Implementación de ISO 37301 en el sector financiero Artwork

Mundo Financiero Seguro

El podcast de Plus TI sobre prevención de fraude, crimen financiero, AML, tecnología y tendencias de prevención y seguridad en la banca. Encuéntrenos en www.plusti.com

All Episodes

Mundo Financiero Seguro

Implementación de ISO 37301 en el sector financiero

April 23, 2025 • Plus TI • Season 6 • Episode 4

0:00 | 30:59

En este episodio conversamos sobre la ISO 37301, el estándar internacional certificable para sistemas de gestión de cumplimiento, que está ganando cada vez más relevancia en el sector financiero.

Introducción a Mundo Financiero Seguro

Speaker 1 0:02

Mundo Financiero Seguro , tu espacio para estar a la vanguardia en ciberseguridad , prevención de fraude , aml , fintech y gestión de riesgos . Descubre las últimas amenazas , innovaciones y herramientas clave para construir un futuro financiero más seguro . Únete a la conversación y transforma los desafíos en oportunidades . La presión regulatoria y reputacional sobre las instituciones financieras sigue en aumento . Hoy en día enfrentamos un entorno normativo cada vez más complejo , con regulaciones que evolucionan rápidamente tanto a nivel nacional como internacional , desde las recomendaciones del Grupo de Acción Financiera Internacional GAFI , la ley AMLA en Estados Unidos , que , por cierto , especialmente es relevante para la banca corresponsal , hasta las leyes de protección de datos , ciberseguridad y muchas otras normativas clave para el sector financiero . En este contexto , contar con un sistema sólido de gestión de cumplimiento no sólo es una buena práctica , es una necesidad estratégica .

Entrevista con expertos de cumplimiento

Speaker 1 1:16

Bienvenidos a Mundo Financiero Seguro , el podcast de Plus-T . Soy Juan José Ríos . En este episodio hablaremos sobre la ISO 37301 , el estándar internacional certificable para sistemas de gestión de cumplimiento , que está ganando cada vez más tracción entre las instituciones financieras . Ustedes se preguntarán por qué . Bueno , es muy sencillo porque proporciona un marco estructurado y eficaz para demostrar a reguladores y stakeholders que los riesgos normativos están siendo gestionados de forma proactiva y transparente , además de fortalecer la cultura de integridad , mejorar la gobernanza corporativa y , además , realmente contribuye a construir una confianza dentro y fuera de la organización . Hoy día nos acompañan dos expertos . Por un lado , xiomara Saavedra , gerente de cumplimiento de Banco Popular Colombia . Xiomara es especialista en gerencia y gestión de riesgos y cuenta con más de 15 años de experiencia como oficial de cumplimiento . Raúl Castellanos , gerente de soluciones de cumplimiento en Plusti , con más de 20 años en la industria financiera , certificado por FIBA como asociado en prevención de lavado de dinero financiera certificado por FIBA como asociado en prevención de lavado de dinero .

Speaker 2 2:27

Buenos días , Juan José y Raúl . Un gusto estar con ustedes el día de hoy y también un saludo muy especial para todos los que escuchan este podcast .

Speaker 3 2:34

Hola , juan José . Me da mucho gusto nuevamente compartir contigo y , en esta oportunidad , acompañar a Xiomara Saavedra , quien es un excelente profesional en temas de cumplimiento y a quien tengo el placer de conocer hace algunos años , así que estoy seguro que este podcast será de mucho provecho para todos aquellos que puedan escucharlo .

Speaker 1 2:52

Perfecto , entonces , si les parece , entremos en materia . Voy a comenzar contigo , xiomara

Experiencia de certificación ISO 37301

Speaker 1 2:57

hasta Colombia . Banco Popular de Colombia , precisamente , se ha caracterizado en ser pionero en cuanto a la adopción de estándares . Se ha caracterizado en ser pionero en cuanto a la adopción de estándares internacionales . Y , dado el papel que has tenido en este esfuerzo , por favor coméntanos , compártanos , cómo ha sido tu experiencia en el proceso de certificación de ISO 37301 e ISO 37001 , así como también cuáles aprovecho para preguntarte fueron las principales razones que los motivaron a tomar este reto ?

Speaker 2 3:28

Juan José , en el Banco Popular venimos trabajando desde hace varios años incansablemente en el logro de nuestros objetivos estratégicos con la oferta de valor para el segmento silver , las entidades oficiales y las pequeñas y medianas empresas . En este sentido , desde el equipo de cumplimiento nos comprometimos con ir más allá de los mínimos que nos exigía la normativa en materia de la administración del riesgo de lavado de activos y financiación del terrorismo y la prevención del soborno y la corrupción , buscando implementar mejores prácticas En este sentido . Sin lugar a dudas , contar con los estándares internacionales ISO 37301 y 37001 son instrumentos que consideramos idóneos para lograr esa entrega de valor respecto a negocios sanos , tanto para el Banco Popular como para la sociedad Vivir . Este proceso de certificación fue un reto bastante importante y satisfactorio , tanto para mí como en general , como para todo el banco general , como para todo el banco . Tuve la fortuna de contar con un equipo de trabajo absolutamente comprometido en el desempeño de esta función para el logro de los objetivos , y abordamos cada uno de los aspectos requeridos por la CISO con rigurosidad .

Speaker 2 4:59

Durante el primer semestre del año pasado abordamos temas como la evaluación de los riesgos y la definición de los controles . Acá hicimos todo un ejercicio de análisis del contexto interno y externo y su relación con el objetivo estratégico del banco . También la actualización de políticas y controles internos en materia de los riesgos mencionados . Observamos las reglas claras para prevenir y sancionar los actos ilícitos o las denuncias de la línea ética . Acá estoy hablando del establecimiento de un programa de consecuencias , también del compromiso del Comité de ética y de la alta gerencia . Abordamos temas relevantes sobre capacitación y sensibilización a partir de un enfoque de ética empresarial de la administración del riesgo , el lado de activos y financiación del terrorismo y el antisoborno . Trabajamos de manera dedicada la gestión de cambio , donde definimos estrategias para gestionar la resistencia al cambio dentro del mismo equipo de trabajo de cumplimiento , ya la automatización de procesos operativos y adquirimos competencias un poco más técnicas dentro del equipo de trabajo de cara al Modeler , al Python y Power BI . Nos enfocamos también en el monitoreo y mejora continua a cabo de la rigurosidad del ciclo de riesgos no-transcript .

Speaker 1 7:08

¿qué podrías comentarnos sobre la forma en que se debe planificar ese plan de trabajo ? Me refiero al involucramiento de distintas áreas a nivel corporativo y , por supuesto , los mejores retos asumidos .

Speaker 2 7:22

Claro que sí , juan José . En primera instancia hicimos un análisis y una definición del alcance de la certificación , identificando cuáles eran esos procesos específicos que íbamos a evaluar y a certificar , e identificamos los requisitos de la certificación ISO de cara a lo que teníamos . Luego iniciamos la búsqueda de cuál iba a ser ese organismo certificador con el cual íbamos a contratar este proceso y , bueno , adelantamos todos esos procesos de contratación que toman bastante , bastante tiempo o , por lo menos en nuestra entidad , requieren un esfuerzo de varias áreas . Tenía que aplicarnos . Nos preparamos con una auditoría interna sobre el cumplimiento de cada uno de los componentes requeridos por la ISO . Para esta auditoría interna tuvimos que desarrollar unas competencias ISO específicas .

Speaker 2 8:39

Recibimos el informe de nuestro auditor , entendiendo cuáles eran esas brechas o esas oportunidades de mejora , e hicimos todo un proceso de aplicación o de cierre de gaps . Luego entró el certificador con una evaluación preliminar de su parte , donde también identificó la situación actual de los sistemas de administración de riesgos del banco . Realmente , en nuestro caso salieron unas observaciones menores que conllevaron unos ajustes de políticas y de procesos , particularmente porque el lenguaje ISO tiene unas connotaciones propias que pueden diferir o pueden no estar incluidas dentro de las políticas institucionales . Estos alcances a las políticas , pues , a nivel interno como por parte del certificador .

Speaker 2 9:47

Ya nos adentramos en ese proceso de entrega de evidencias y entrevistas , ese proceso de certificación que nos tomó dos semanas y tuvo la participación no solamente del equipo de la gerencia de cumplimiento , sino también de todo el banco , no solamente el equipo de la gerencia de cumplimiento , sino también de todo el banco . Finalizadas estas dos semanas , tuvimos una respuesta positiva que nos dio mucha alegría , y era que lograbamos el objetivo y , un par de semanas después , nos fue otorgado el certificado . Este proceso , desde la primera parte que les comenté hasta obtener el certificado , nos tomó más o menos unos nueve meses . Ahora lo que sigue es un ejercicio de mantenimiento , de auditoría de seguimiento al primer y segundo año y , al tercero , contar con la recertificación .

Speaker 1 10:40

Gracias , Xiomara Raúl

Sistema automatizado y tecnología aplicada

Speaker 1 10:42

. cuéntanos qué importancia tiene entonces utilizar un sistema automatizado , La implementación del ISO 37301 .

Speaker 3 10:52

Claro que sí , juan José . Como hemos venido escuchando las intervenciones de Xiomara , podemos notar que hay diversidad de tareas que atender . Algunas , como ella decía , han utilizado algunas herramientas para modelación de información , para análisis estadístico , así que , en principio , puedo comentar que hay diferentes sistemas periféricos que se atienden de acuerdo a las necesidades de cada unidad de negocio . Ahora bien , en cuanto a la implementación centralizada o al hilo conductor que va a atender todas estas unidades , podemos hablar de un sistema central de atención de la implementación de este estándar . Hay algunas características importantes a resaltar que permiten apoyar a esta implementación , como por ejemplo el alineamiento estratégico . Es sumamente importante que todas las directrices que se obtienen de la alta dirección y de las unidades de negocio , en función de cómo pueden aportar a la implementación de ese estándar , se materialicen con hechos concretos , Que todos aquellos criterios de seguimiento tiempos de desarrollar tareas , indicadores de desempeño , etcétera sean establecidos de una manera concreta y que tengan un seguimiento continuo .

Speaker 3 12:14

Así que , número uno , alineamiento estratégico . Luego , en consecuencia de ello , permite estructurar , almacenar y acceder la documentación del sistema , por ejemplo políticas , procedimientos algo básico para auditoría evidencias de los controles aplicados , así que también aumenta la trazabilidad y rendición de cuentas . Así que , sobre estas bases , contando con un sistema automatizado que centralice la información . Podemos tener análisis de indicadores de desempeño , indicadores de riesgo , avance de todos los procesos , así que hoy en día es fundamental contar con un sistema de apoyo , dada la diversidad de tareas , diversidad de equipos de trabajo y el posible error humano que podemos tener si no contamos con una herramienta que nos permita supervisarlo de manera adecuada .

Speaker 1 13:13

Raúl , entonces contar con un sistema automatizado para la implementación del estándar ISO 37301 representa una ventaja estratégica . Este tipo de solución tecnológica no sólo agiliza la adopción del sistema de gestión de cumplimiento , sino también habilita una supervisión continua que garantiza el alineamiento permanente con políticas corporativas y , por supuesto , reduciendo riesgos y fortaleciendo la cultura de integridad en toda la organización . Ahora , raúl , ¿qué características continuando con esta plática , características funcionales debe tener este sistema y en qué áreas específicas puede aprovecharse ?

Speaker 3 14:16

En ese sentido , una de las características importantes que debe tener este sistema es la capacidad de integrarse con múltiples plataformas de información , en principio para recibir o extraer información , así como retroalimentar a esos sistemas . La integralidad o la orquestación de información es una característica sumamente importante en este tipo de sistemas . Por otro lado , el alto nivel de eficacia , modelando los controles especializados , enmarcando tareas en tiempos de gestión que sean establecidos para cumplir los planes de trabajo , debe ser muy interactivo . Hoy día no se concibe una aplicación que no esté constantemente comunicándose con el usuario final , sea a través de recordatorios , sea , eventualmente , a través de un chat o un formulario de seguimiento . Así que no debe ser una herramienta pasiva sino que realmente promueva la interacción , no solo con el usuario final , sino a nivel de grupos de trabajo , no solo con el usuario final sino a nivel de grupos de trabajo .

Speaker 3 15:14

Para todo ello se debe poder aprovechar tecnologías distintas , como herramientas de mensajería , y algo que también voy a tocar más adelante es la inteligencia artificial , sea generativa , que es de mucho uso hoy en día , o también robots que ayuden a acompañar estos procesos . Entonces , en resumen , integración a múltiples fuentes de información , eficacia en sus modelos de concepción y seguimiento , muy interactivo con los usuarios , fácil de utilizar y que aproveche la tecnología disponible .

Speaker 1 15:46

Gracias , Raúl , por hacernos entender que implementar entonces un sistema automatizado especializado en la ISO 37301 , bueno , permite a la organización aprovechar tecnología de vanguardia pero al mismo tiempo fortalecer el marco de control interno y proporcionar un soporte sólido al negocio para alcanzar sus objetivos estratégicos con integridad y sostenibilidad . Regreso contigo , Xiomaraara . Por favor , cuéntanos qué beneficios han encontrado ustedes en la implementación de estos estándares y cómo esto ha contribuido a su cultura organizacional y el impacto , sobre todo , cuéntanos , en alcanzar objetivos corporativos .

Beneficios estratégicos y tácticos

Speaker 2 16:45

Sí , juan José . Bueno , hay unos beneficios estratégicos y otros tácticos también muy importantes . Uno de ellos es el aumento de la competitividadno , por supuesto , pero también de cara a los clientes . Fortalece la imagen y la reputación porque hay una mejor percepción de las partes interesadas , desde los clientes hasta los reguladores . También la detección oportuna y preventiva , porque esto permite identificar irregularidades en operaciones financieras o comerciales , evitando simplemente ser reactivos frente a cumplimientos que ya sean evidentes . Esto es ya adentrarse en una cultura proactiva del compliance . La mitigación de los riesgos de sanciones también es un componente muy importante porque en la medida que hay una identificación y una reducción proactiva de los riesgos pues por supuesto hay un impacto en la minimización de sanciones legales o en multas y la eficiencia operativa optimizada porque se previenen interrupciones costosas debido a inconvenientes relacionados con el incumplimiento . Y , hablando de esos beneficios tácticos , nos ha permitido lograr una integración de los sistemas de administración de riesgos de lavado de activos , financiación del terrorismo y anticorrupción a partir de cinco elementos que voy a referir rápidamente como un factor determinante para analizar vulnerabilidades correr los ciclos de identificación , medición , control y monitoreo de esas vulnerabilidades , identificar triggers que deban ser observados , esta definición de disparadores para activar los próximos pasos de cara a los riesgos que se puedan materializar y la estructuración de un monitoreo de contextos recurrentes de cara a la operación con los clientes , con los proveedores y con los socios de negocios . En esta parte de análisis de contextos , por ejemplo , lo que tenemos implementado nosotros se encuentra a través del método PESTAL para la gestión del compliance y también de esa eficiencia operativa que se logra a través de herramientas tecnológicas e inteligencia artificial como las que estaba mencionando ahorita Raúl . Logramos una caracterización de los perfiles o de la exposición de riesgo de los clientes , los usuarios y los socios de negocios a partir del SARLAV y de la exposición al soborno y la corrupción .

Speaker 2 19:56

Identificamos esos sectores de gobierno y terceras partes intermediarias de mayor riesgo para la entidad e hicimos la respectiva estrategia comercial y de portafolio y de riesgos para garantizar el negocio sano Y observamos particularidades que son del negocio . Esto quiere decir que el estándar GAFI así como el estándar ISO no se pueden aplicar a rajatabla a negocios específicos , a rajatabla a negocios específicos , sino que tiene que haber una customización y una adaptación de los sistemas de riesgos . Es clave . La estrategia de monitoreo tiene que observar componentes de inteligencia artificial o de aplicativos de near real time que permitan la detección oportuna de las alertas .

Speaker 2 21:08

Tiene que haber el procesamiento de los datos en este tipo de herramientas que involucre otras opciones periféricas , como decía ahorita , modeler , python , entre otras , para que la tarea analítica pueda tener un escopio de observancia más amplio y los profesionales que hacen ese análisis se puedan enfocar en las señales que realmente tienen un impacto de riesgo y no se desgasten operativamente en falsos positivos de esta implementación , porque la entidad se ve abocada a reconocer el compromiso ético y cultural de todos los trabajadores como un factor clave que requiere un mantenimiento recurrente , empezando desde el tono de la alta gerencia hasta todos los niveles de la organización . Con esto te resumo los principales beneficios estratégicos y tácticos de la implementación de los estándares ISO .

Speaker 1 22:21

Gracias , omara . Muy interesante Ahora , sobre este mismo diálogo . Raúl sé , y también Omara , que tomar decisiones puede incluir inseguridades , dudas . Raúl , danos más luz¿ . Cómo puede apoyar la que tomar decisiones puede incluir inseguridades , dudas . Raúl , danos más luz . ¿cómo puede apoyar la toma de decisiones , un sistema informático y asimismo asegurar el cumplimiento de políticas y procedimientos ?

Speaker 3 22:43

Con todo gusto , Juan José . Tomando algunas de las ideas que mencionaba Xiomara , por ejemplo , el enfoque que deben de tener los colaboradores , así como tomar decisiones en momentos críticos , es sumamente relevante para este proceso centralizado . podemos aplicar esos criterios tanto en tiempos de ejecución como en aquellos criterios de toma de decisión que pueden ser validados por los sistemas . Algo sumamente importante es que podamos tener la información disponible en el momento oportuno , con el contexto adecuado y , por supuesto , presume que la información está vigente y actualizada , y es que , justamente para poder tomar decisiones o dar seguimientos , la información tiene que ser 100% fiable y también retoma algo que mencionaba Xiomara no actuar en base a falsos positivos o a información que no sea veraz .

Speaker 3 23:52

Entonces el sistema informático debe estar presente . En mi respuesta anterior yo mencionaba el tema de ser interactivo Justamente a estas partes . es algunas de las que se refiere . las que se refiere Poder tomar decisiones en el momento oportuno y actuar con el usuario en tiempo real . Independientemente de la forma en la que la información llega , si es tiempo real , tiempo cercano al real o carga de información masiva . cuando estamos en el momento de la toma de decisión , el sistema tiene que centralizar datos que puedan ser oportunos para un análisis inmediato y una toma de decisión oportuna .

Speaker 1 24:32

personas de tal manera que lo que se busca es facilitar el trabajo para que la decisión sea más asertiva

Conclusiones y recomendaciones finales

Speaker 1 25:04

parte de conclusiones y recomendaciones , y voy a apoyarme una vez más en tu experiencia Xiomara ¿Qué recomendarías a las instituciones para tomar en cuenta el iniciar un proyecto de esta envergadura ? así como , por supuesto , que nos recomiendes cómo las conclusiones y lecciones aprendidas te han dejado en este proceso .

Speaker 2 25:23

Claro que sí , juan José . Mi principal recomendación para que las instituciones den este importante cambio es que den el primer paso y luego que continúen avanzando en el proceso de mejora continua mediante la implementación de mejores prácticas locales o internacionales y que contemplen los estándares ISO , los equipos de cumplimiento . Contribuimos de manera frontal a la sociedad en la lucha con estos delitos transnacionales deplorables como la corrupción y el lavado de activos Y , en la medida que todos mantengamos la mejor versión de nuestros programas de cumplimiento , vamos a generar un impacto positivo en la sociedad y en nuestras instituciones . Todos vamos a ganar Como lección aprendida .

Speaker 2 26:20

Resalto el reto fundamental de la tecnología para hacer más eficientes las labores analíticas , con minería de datos y con la automatización de funciones operativas que restan tiempo de análisis a los equipos de monitoreo , y también resalto como predominante la construcción y mantenimiento de la cultura ética dentro de las entidades . También resalto el establecimiento de indicadores claves que permitan hacer una frecuente medición de los resultados de la madurez de los programas de cumplimiento , indicadores para la estrategia de monitoreo para medir cómo están siendo esos resultados y la calidad y el impacto de las denuncias internas mediante los canales de denuncia .

Speaker 3 27:38

A esta altura de la plática sustentemos contigo , raúl , cuáles son tus recomendaciones para la implementación de estándares internacionales acompañados de tecnología de punta , por se certifiquen en el estándar . las instituciones deben de tomar en cuenta estos marcos de referencia Marcos , como el ISO 37301 , que es un estándar reconocido a nivel global , lo cual facilita la cooperación con instituciones extranjeras y , por supuesto , abrir negocios en otros territorios . Y , por supuesto , abrir negocios en otros territorios . De esta manera , contando con herramientas que faciliten su implementación , pueden posicionarara y de la filosofía de Banco Popular , que es el hacer negocios seguros , crecer con aquellos nos permiten reducir el riesgo regulatorio y sancionatorio al cual podemos estar sujetos como instituciones en el mercado .

Speaker 3 29:11

Las nuevas generaciones , como los millennials y la generación Z , estiman mucho que las instituciones tengan buena reputación , que se preocupen por el medio ambiente y que tengan una buena proyección social . Así que , a través de estos estándares , podemos fortalecer la gobernanza y la cultura organizacional Y , como bien lo indicaba Xiomara , poder obtener lo mejor de cada uno de todos los que formamos parte de este esfuerzo empresarial por contribuir a la mejora de nuestra sociedad . así que sumamente importante tomar en cuenta buenas prácticas locales . estándares internacionales nos va a dar mayor competitividad , mayor penetración de mercado , mejores índices de rentabilidad y , por supuesto , al final del día , contribuir con el crecimiento de nuestros países .

Speaker 1 30:02

Bien pues , ha sido una gran aportación de conocimiento y experiencias , además de una conversación sumamente enriquecedora que sin duda nos aporta valores a quienes buscamos fortalecer los sistemas de cumplimiento , promover una cultura de integridad y enfrentar con éxito los desafíos del entorno regulatorio . Gracias a nuestros invitados , Xiomara Saavedra y Raúl Castellanos , por compartir su experiencia y conocimientos sobre la implementación de la norma ISO 37301 y su impacto positivo en el sector financiero Y , por supuesto , gracias a ustedes por acompañarnos en Mundo Financiero Seguro , el podcast de Plus Tip . Nos escuchamos en el próximo episodio . Soy Juan José Ríos . Hasta la próxima y que todo esto sea de mucha utilidad .