ISO, la Organización Internacional de Normalización, es uno de los entes más reputados en materia de establecimiento de estándares internacionales; desarrolló cerca de 20.000 estándares de toda índole, incluyendo varios estándares relacionados a Compliance. El primero fue el de gestión de riesgo (ISO 31.000) que fue publicado originalmente en 2009. En 2014 publicó el ISO 19.600 para programas de compliance y en 2016 la ISO 37.001, para programas anti-corrupción.
El ISO 19.600 es una guía para establecer, implementar, mantener y mejorar programas de compliance. No inventa algo nuevo, ya que se basa en normas y guías así como iniciativas reconocidas de gobiernos y organizaciones internacionales, como el Resource Guide to FCPA, los Federal Sentencing Guidelines (FSGO), UK Bribery Act Guidance, BS 10500 Anti Bribery Management System, ICC Rules on Combating Corruption, OECD Good practices on internal controls y otras.
El foco está en temas como anti-corrupción, anti-trust, fraude, entre otros. La ISO 19600 es una norma de directrices, no de requisitos, por lo que en teoría no es certificable. Lo que sin embargo no impide por ejemplo, a una entidad de certificación hacer una “validación” del sistema de Compliance (ver aquí).
Prevé un proceso de cuatro pasos: 1. Planificar en base a un mapeo de riesgos, 2. Implementar medidas y controles, 3. Monitorear en base a los controles definidos y 4. Actuar sobre los resultados para remediar y mejorar.
Es aplicable a todo tipo de organización independientemente de su tamaño, sector industrial o ubicación geográfica. Puede ser adoptado “stand alone” o ser combinado con otros estándares ISO ya implementados, como el ISO 9.001 de calidad. No especifica requerimientos, pero da una guía para programas de compliance y prácticas recomendadas que se basan en el buen gobierno corporativo, la transparencia y la sustentabilidad. Requiere adaptación y su uso varía según el tamaño de organización y la madurez de su sistema de compliance, su entorno y complejidad.
Es un nivel mínimo necesario para que un programa pueda ser calificado de “efectivo”.
Simplifica lenguaje y complejidad de las diferentes iniciativas y normas existentes. Es un muy buen manual para empezar a trabajar en el tema y es una prueba de buena voluntad que se puede exhibir a los reguladores. Considerando el peso de ISO, probablemente se convertirá con el tiempo en un “must have” que otorgará credibilidad y en consecuencia confianza en la organización, y facilitará los distintos procesos de homologación para empresas locales exigidos por sus clientes multinacionales.
Por supuesto no es una protección contra incidentes de compliance.
El ISO 37.001 es un estándar independiente de la ISO 19.600, diseñado para ayudar a organizaciones a establecer, implementar, mantener y mejorar un programa de anti-corrupción. Se puede decir que es un 19.600 especializado en anti-corrupción que es certificable.
Su base son las regulaciones y guías internacionales de anti-corrupción, especialmente de los EEUU (DoJ y Guía FCPA). La ISO 37.001 posee un enfoque de riesgo, dándole especial importancia al mapeo, análisis y evaluación de riesgos de corrupción para determinar los requerimientos y los controles del programa anti-corrupción. Otorga centralidad al due diligence de los riesgos que puedan existir en la cadena de valor.
Hay pocas diferencias con la FCPA: Prevé la prohibición de pagos de facilitación, que la FCPA permite en casos tan limitados que en la práctica casi no se dan (cuando se paga un monto insignificante para que un funcionario tome una decisión reglada, sin espacio para la discrecionalidad y sólo cuando la legislación local permita estos pagos). Además, como en el UK Bribery Act, abarca la corrupción entre privados y la corrupción “inbound”.
Lamentablemente, se mantiene en un lenguaje muy neutral respecto a la definición y ubicación jerárquica del Compliance Officer. Casi no lo nombra con esta denominación. Prefiere hablar de “persona relevante no expuesta a riesgos de corrupción”. Considerando la gran importancia de la figura del Compliance Officer y su posición jerárquica en la organización para el éxito de todo programa de compliance, hubiese sido aconsejable poner mayor énfasis en su posición.
La ISO 37.001 anti-corrupción cubre el subsector de compliance de mayor preocupación para las empresas en muchos países, y aunque su proceso de certificación sea complejo, seguramente, la ISO 37.001 se convertirá en una herramienta interesante no solo para una lucha más efectiva contra la corrupción sino especialmente como demostración de la organización de poseer un programa anti-corrupción que se puede exhibir ante la justicia penal on rainy days.
Sin embargo, quedan algunas dudas y críticas. Por un lado existe la preocupación que lo que se establece como un piso para lograr la certificación, se convierta en una ilusión de protección y en un techo, obstaculizando así el desarrollo de mejoras.
Por el otro lado resultará difícil certificar en forma adecuada y equitativa el cumplimiento con términos cualitativos como “razonable” o “apropiado” y sobre todo la calidad del liderazgo y Tone at the Top. Las interpretaciones deben necesariamente variar entre sectores, regiones y culturas. No existe un one fits all. Su certificación requiere conocimientos y comprensión de la temática por parte de los auditores. Ojalá los tengan.
Se verá en la práctica como se resuelven estos temas. O no.