Implementación de ISO 37301 en el sector financiero
Temporada 6 Episodio 04
Transcripción
Juan José Ríos (Host):
La presión regulatoria y reputacional sobre las instituciones financieras sigue en aumento. Hoy enfrentamos un entorno normativo cada vez más complejo, con regulaciones que evolucionan rápidamente tanto a nivel nacional como internacional.
Desde las recomendaciones del Grupo de Acción Financiera Internacional (GAFI), la ley AMLA en Estados Unidos —especialmente relevante para la banca corresponsal—, hasta las leyes de protección de datos, ciberseguridad y muchas otras normativas clave para el sector financiero.
En este contexto, contar con un sistema sólido de gestión de cumplimiento no solo es una buena práctica, sino una necesidad estratégica.
Bienvenidos a Mundo Financiero Seguro, el podcast de Plus TI. Soy Juan José Ríos.
En este episodio hablaremos sobre la ISO 37301, el estándar internacional certificable para sistemas de gestión de cumplimiento que está ganando cada vez más tracción entre las instituciones financieras. ¿Por qué? Porque proporciona un marco estructurado y eficaz para demostrar a reguladores y stakeholders que los riesgos normativos están siendo gestionados de forma proactiva y transparente. Además, fortalece la cultura de integridad, mejora la gobernanza corporativa y contribuye a construir confianza dentro y fuera de la organización.
Hoy nos acompañan dos expertos:
- Siomara Saavedra, gerente de Cumplimiento de Banco Popular Colombia, especialista en gerencia y gestión de riesgos, con más de 15 años de experiencia como oficial de cumplimiento.
- Raúl Castellanos, gerente de Soluciones de Cumplimiento en Plus TI, con más de 20 años de trayectoria en la industria financiera y certificado por FIBA como asociado en prevención de lavado de dinero.
Siomara Saavedra:
Buenos días, Juan José y Raúl. Es un gusto estar con ustedes el día de hoy y un saludo muy especial para todos los que escuchan este podcast.
Raúl Castellanos:
Hola, Juan José. Me da mucho gusto nuevamente compartir contigo y, en esta oportunidad, acompañar a Siomara Saavedra, una excelente profesional en temas de cumplimiento, a quien tengo el placer de conocer desde hace algunos años. Estoy seguro de que este episodio será de mucho provecho para todos quienes nos escuchan.
Juan José Ríos:
Si les parece, entremos en materia. Siomara, Banco Popular de Colombia se ha caracterizado por ser pionero en la adopción de estándares internacionales. Desde tu experiencia, cuéntanos cómo fue el proceso de certificación en ISO 37301 e ISO 37001 y cuáles fueron las principales razones para asumir este reto.
Siomara Saavedra:
En Banco Popular venimos trabajando desde hace varios años en el logro de nuestros objetivos estratégicos, enfocados en nuestra propuesta de valor para el segmento Silver, las entidades oficiales y las pequeñas y medianas empresas.
Desde el equipo de cumplimiento nos comprometimos a ir más allá de los mínimos regulatorios exigidos en la administración del riesgo de lavado de activos, financiación del terrorismo, soborno y corrupción, buscando implementar mejores prácticas.
En este sentido, los estándares internacionales ISO 37301 e ISO 37001 han sido instrumentos idóneos para entregar valor y garantizar negocios sanos, tanto para el Banco Popular como para la sociedad.
Vivir este proceso de certificación fue un reto importante y muy satisfactorio. Contamos con un equipo altamente comprometido y abordamos cada requisito de la norma con rigurosidad. Trabajamos en la evaluación de riesgos, definición de controles, análisis del contexto interno y externo, actualización de políticas, fortalecimiento de canales de denuncia, programas de consecuencias y el compromiso activo de la alta dirección.
Asimismo, abordamos capacitación, sensibilización ética, gestión del cambio y automatización de procesos, adquiriendo competencias técnicas en herramientas como Modeler, Python y Power BI. Todo esto bajo un enfoque de monitoreo y mejora continua, con un fuerte respaldo de la alta gerencia.
Juan José Ríos:
Con base en esta experiencia, Siomara, ¿cómo recomiendas planificar un proyecto de certificación como este, considerando la participación de distintas áreas?
Siomara Saavedra:
El primer paso fue definir claramente el alcance de la certificación y los procesos a evaluar. Luego identificamos los requisitos de la norma frente a nuestra situación actual.
Seleccionamos el organismo certificador, realizamos los procesos de contratación y entendimos a profundidad su metodología de evaluación. Posteriormente ejecutamos una auditoría interna, desarrollando competencias específicas en ISO, identificando brechas y cerrando gaps.
El certificador realizó una evaluación preliminar, identificando ajustes menores, principalmente en lenguaje y alineación de políticas, los cuales debieron ser aprobados por la junta directiva. Finalmente, entramos en el proceso formal de certificación, que duró dos semanas y contó con la participación de todo el banco.
Desde el inicio hasta la obtención del certificado, el proceso tomó aproximadamente nueve meses. A partir de ahí, continuamos con auditorías de seguimiento y, posteriormente, la recertificación.
Juan José Ríos:
Raúl, desde tu perspectiva, ¿qué importancia tiene un sistema automatizado en la implementación de la ISO 37301?
Raúl Castellanos:
La implementación de este estándar implica una gran diversidad de tareas y actores. Existen herramientas periféricas para análisis y modelación, pero es fundamental contar con un sistema centralizado que actúe como hilo conductor.
Un sistema automatizado permite el alineamiento estratégico, la trazabilidad de políticas, procedimientos y evidencias, así como el seguimiento de indicadores de desempeño y riesgo. Centralizar la información reduce el error humano y facilita la supervisión continua, lo cual hoy es indispensable dada la complejidad operativa de las organizaciones.
Juan José Ríos:
¿Qué características funcionales debería tener este tipo de sistema y en qué áreas puede aprovecharse?
Raúl Castellanos:
Debe ser un sistema integral, capaz de integrarse con múltiples plataformas, recibir y retroalimentar información. La orquestación de datos es clave.
Además, debe ser altamente interactivo, facilitar la gestión de tareas, tiempos, controles y promover la comunicación constante con los usuarios, ya sea mediante recordatorios, formularios o herramientas colaborativas.
También es importante que aproveche tecnologías como inteligencia artificial —generativa o robots de apoyo— para acompañar los procesos. En resumen: integración, eficacia, facilidad de uso, interacción continua y aprovechamiento de tecnología avanzada.
Juan José Ríos:
Siomara, ¿qué beneficios han identificado tras la implementación de estos estándares y cómo han impactado en la cultura organizacional?
Siomara Saavedra:
Existen beneficios estratégicos y tácticos. Entre los estratégicos, destaco el aumento de competitividad, el fortalecimiento de la reputación, una mejor percepción de clientes y reguladores, y una cultura de cumplimiento proactiva.
En el plano táctico, logramos integrar los sistemas de administración de riesgos mediante análisis de contextos internos y externos, identificación de vulnerabilidades, definición de triggers, monitoreo continuo y uso de inteligencia artificial.
Asimismo, fortalecimos la cultura ética, desde el tono de la alta dirección hasta todos los niveles de la organización, estableciendo indicadores clave para medir la madurez del programa de cumplimiento.
Juan José Ríos:
Raúl, ¿cómo apoya un sistema informático la toma de decisiones y el cumplimiento de políticas?
Raúl Castellanos:
Un sistema centralizado permite contar con información confiable, actualizada y contextualizada en el momento oportuno. Esto es clave para evitar decisiones basadas en falsos positivos o datos incompletos.
El sistema debe ser interactivo y apoyar al usuario en tiempo real. Es importante recalcar que la tecnología no sustituye la toma de decisiones humanas, sino que la fortalece, facilitando decisiones más informadas y oportunas.
Juan José Ríos:
Siomara, ¿qué recomendaciones darías a las instituciones que desean iniciar un proyecto de esta magnitud?
Siomara Saavedra:
Mi principal recomendación es dar el primer paso y comprometerse con la mejora continua. Los programas de cumplimiento generan un impacto positivo en la sociedad y en las instituciones.
Resaltó la importancia de la tecnología, la automatización, la cultura ética y el establecimiento de indicadores que permitan medir resultados, madurez y efectividad del monitoreo.
Raúl Castellanos:
Más allá de certificarse, las instituciones deben considerar estos marcos de referencia como la ISO 37301 por su reconocimiento global y su aporte a la competitividad.
Estos estándares fortalecen la gobernanza, reducen riesgos regulatorios, mejoran la reputación y son altamente valorados por nuevas generaciones que priorizan la ética, la sostenibilidad y la responsabilidad social.
Juan José Ríos:
Ha sido una conversación sumamente enriquecedora. Agradecemos a Siomara Saavedra y a Raúl Castellanos por compartir su experiencia y conocimientos sobre la implementación de la ISO 37301 y su impacto positivo en el sector financiero.
Gracias a ustedes por acompañarnos en Mundo Financiero Seguro, el podcast de Plus TI.
Soy Juan José Ríos. Nos escuchamos en el próximo episodio.
