Por: María Trinidad de Vedia.
ABSTRACT
Un nuevo estándar certificable en materia de Compliance es inminente. Recientemente fue publicado el borrador ISO/ DIS 37301:2020 sobre Sistemas de Gestión de Compliance y se espera la versión definitiva de este estándar para finales de este año. De esta manera, será reemplazada la actualmente vigente ISO 19600:2014.
La futura ISO 37301 pretende erigirse como una de las principales referencias internacionales para el diseño, implementación, mantenimiento y mejora de los Programas de Compliance. Viene a dotar de una mayor formalidad a la norma sobre Sistemas de Gestión de Compliance, estableciendo requisitos y recomendaciones adaptables a cualquier tipo de organización y a todo marco legislativo. Este estándar permitirá no sólo el diseño sino también la evaluación de la conformidad de los referidos sistemas de índole transversal.
Sin embargo, numerosos son los interrogantes que se plantean ante esta eventualidad: ¿qué sucederá con la certificación antisoborno ISO 37001? ¿Y en territorio español, con la certificación UNE 19601? ¿Qué exigencias demandará el mercado?
Norma ISO/DIS 37301:2020. Sistemas de Gestión de Compliance
Todos los que de alguna manera se relacionan con el Compliance, habrán oído hablar en este último año sobre la futura norma ISO 37301.
En efecto, en el mes de septiembre de 2018 el Comité Técnico ISO/TC 309[1] responsable de la ISO 19600:2014 sobre Sistemas de Gestión de Compliance acordó la revisión de esta norma con el objeto de convertirla en un estándar de requisitos certificable, para lo cual adoptaría una nueva numeración.
De esta manera, perderá vigencia la norma ISO 19600:2014, primer referente internacional en la materia, de carácter no certificable, dirigido a proporcionar orientación para el desarrollo y mantenimiento de un eficaz Sistema de Gestión de Compliance (“Compliance Management System” o “CMS”).
El encargo de este trabajo le fue asignado al Grupo de Trabajo 4 de ISO/TC 309 (GT4) y se espera que el nuevo estándar ISO 37301 sea publicado entre diciembre el año 2020 y principios de 2021, precisamente cinco años después que su antecesora[2].
Actualmente, la norma se encuentra en pleno desarrollo. El Grupo de Trabajo elaboró una primera versión borrador identificada como DIS 37301 (Draft International Standard) que fue publicada[3] y se encuentra en etapa de votación. Esta fase vencerá los primeros días del mes de junio y en función de los resultados, se conocerá si el borrador DIS ha alcanzado la aprobación final aunque se espera que éste no sufra grandes cambios.
La norma ISO 37301 tiene como finalidad proporcionar una guía de uso para desarrollar, implementar, evaluar, mantener y mejorar un Sistema de Gestión de Compliance de enfoque amplio y efectivo, en una organización. Bajo los principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad, establecerá requisitos lo suficientemente genéricos como para ser aplicables en organizaciones de diverso tipo, tamaño y sector de actividad, sujetas al ámbito de distintas legislaciones nacionales.
Su estructura estará conformada por: (i) una parte normativa que contenga requisitos y recomendaciones generales, y (ii) un Anexo como guía que pretenda aclarar dichas exigencias y, a su vez, establecer orientaciones, sugerencias de carácter no obligatorio.
En este orden, las principales novedades que introduce este estándar son:
- su carácter certificable,
- contempla la posibilidad de alcances parciales, es decir, que el Sistema de Gestión sea aplicado a una parte de la organización o a una localización concreta de ésta,
- importancia de la identificación del contexto legal y regulatorio en el que opera la organización,
- énfasis en la necesidad de establecer un Sistema de Gestión de Compliance completo, que trascienda el enfoque exclusivo sobre anticorrupción e integrado con otros sistemas existentes en la entidad (medioambiente, calidad, seguridad alimentaria, etc.).
Conocidas son las ventajas que un Sistema de Gestión de Compliance eficaz proporciona a las organizaciones que pretenden ser sustentables a largo plazo. Su implementación permite demostrar el compromiso de la entidad con el cumplimiento en sentido amplio, en todos sus ámbitos: requerimientos legislativos, códigos sectoriales de buenas prácticas, estándares de buen gobierno corporativo y las expectativas éticas de la comunidad.
Plantea el borrador publicado que, a la hora de planificar un Sistema de Gestión, una vez delimitado su alcance, deberá definirse el método de identificación y priorización de riesgos, el respectivo límite de tolerancia, el proceso de evaluación de impacto y de actualización, entre otros aspectos relevantes, para así poder establecer sus obligaciones de cumplimiento. Luego, podrán delinearse los objetivos de cumplimiento que tendrán que ser medibles, supervisados, documentados y actualizados periódicamente.
Alineado con la planificación tendrá que estar el soporte con el que la organización gestione el Sistema. Será fundamental una adecuada asignación de recursos financieros, humanos, técnicos y de infraestructura que incluyan el asesoramiento externo especializado en la materia. En este orden, la organización deberá determinar la competencia necesaria de las personas cuyas funciones se relacionen con el cumplimiento y establecer evidencia de competencia (por ejemplo, la “descripción de puestos de trabajo”) procurando asegurar que todas las personas cuenten con el conocimiento, experiencia y habilidades necesarias para realizar su tarea de manera efectiva. La formación periódica constituirá una herramienta para garantizar que se mantengan las competencias existentes y para contribuir a la adquisición de nuevas capacidades. Su contenido deberá ser apropiado para instruir al personal acerca de los riesgos de cumplimiento a los que está expuesto y los registros de su impartición se conservarán como información documentada junto con otros instrumentos exigidos por la norma o determinados por la propia entidad, relevantes para el Sistema de Gestión. El borrador sugiere que la capacitación interactiva, si tiene previstas consecuencias graves para su incumplimiento, es uno de los mejores formatos. A efectos de motivar al personal también será necesario generar concienciación a través de la comunicación de las políticas de cumplimiento -disponibles y accesibles para todos- y del compromiso de la organización con el Sistema.
Asimismo, este estándar resaltará que el liderazgo de la organización juega un papel fundamental, siendo el Órgano de Gobierno y la Alta Dirección quienes deben transmitir las buenas prácticas en materia de cumplimiento, los valores y la cultura de integridad entre los empleados, en todos los niveles de la entidad. Hará hincapié en la necesidad de comunicación bidireccional, de canales de reporte y de feedback con el órgano de gobierno. Además, establecerá responsabilidades para los líderes directivos, para la función de cumplimiento y para el resto del personal.
Para una adecuada evaluación del desempeño, la organización deberá desarrollar una serie de indicadores que permitan evaluar el logro de sus objetivos y medir la eficacia del Sistema. Estos indicadores podrán ser reactivos o predictivos y variarán según las dimensiones de la organización y la etapa en la que se encuentre le implementación de su programa. A modo de ejemplo, podrán incluir el porcentaje de empleados formados, la utilización de mecanismos de feedback, los incidentes reportados y las sanciones impuestas por incumplimientos verificados, entre otros. El mantenimiento de registros actualizados de las actividades de cumplimiento de la entidad será fundamental a la hora de una correcta evaluación del Sistema. Además, se realizarán periódicamente auditorías internas independientes y libres de conflictos de interés.
Por último, se mantendrá la distinción entre “no conformidad” y “no cumplimiento” ya contemplada en la ISO 19600, de suma importancia para respetar la necesidad de mejora continua del Sistema. La “no conformidad” refiere a la contravención de un requisito del Sistema de Gestión, mientras que constituye un “no cumplimiento” la violación de una obligación imperativa como puede ser la legislación u otra norma sustantiva. A modo de ejemplo, hacer un regalo puede ser una “no conformidad” cuando se realiza incumpliendo el procedimiento interno establecido a tal efecto, pero será un “no cumplimiento” si la conducta está dirigida, además, a sobornar al destinatario[4]. El Sistema de Gestión de Compliance debe contemplar distintas reacciones y medidas correctivas según se identifique una “no conformidad” o un “no cumplimiento”.
Sin embargo, la principal novedad que introduce la norma, esto es, su carácter certificable, inevitablemente nos enfrenta a determinados obstáculos. En algunos apartados el borrador contempla requisitos no cuantificables y difícilmente medibles cuya evaluación, a la hora de acreditar una certificación, resulta por lo menos cuestionable. Por ejemplo, dentro de las competencias que debe tener quien cumple las funciones de cumplimiento se incluyen habilidades de comunicación, de integridad y compromiso. Ahora bien, ¿podrán evaluarse objetivamente estos requisitos?
Por otra parte, su pretendido alcance territorial tan amplio plantea la cuestión de si los requisitos para lograr la certificación serán sectoriales o universales; es decir, si la acreditación se ajustará a los requisitos y obligaciones propias de cada territorio. La calidad del liderazgo y las interpretaciones necesariamente varían entre sectores, regiones y culturas; no existe un “one fits all”[5] y esto es una dificultad con la que los auditores deberán saber lidiar.
En suma, los conceptos fundamentales de la norma ISO 37301 son el contexto, el liderazgo, la planificación, el soporte, la evaluación del desempeño y la mejora continua. Este estándar viene a dar respuesta a aquellas entidades que reclamaban una certificación acreditada en Compliance de reconocimiento internacional y establecerá un marco ético común para las relaciones entre clientes y organizaciones de distintos países. Probablemente, sorteadas las dificultades a las que se enfrente, se convierta en el equivalente de la ISO 9001 en materia de Compliance.
Expuestos los lineamientos generales de la futura ISO 37301, se abre paso a los interrogantes sin -aún- respuesta: ¿perderá sentido la certificación antisoborno ISO 37001 y, en territorio español, la certificación UNE 19601? ¿La certificación ISO 37301 será un requisito para contratar con las Administraciones Públicas? ¿Y será exigida para operar en el mercado? Lo que sí se percibe con claridad es que el reclamo de homogeneidad en un Compliance integral está un paso “menos lejos” de ser satisfecho.
[1] El Comité Técnico ISO/TC 309 Governance of Organizations fue establecido en septiembre 2016 para abordar la "estandarización en el campo de la gobernanza en relación con los aspectos de dirección, control y responsabilidad de las organizaciones" (https://committee.iso.org/home/tc309).
[2] La fecha de edición del estándar ISO 19600:2014 data del 5 de diciembre de 2014. La Norma española UNE- ISO 19600, de idéntico contenido, fue publicada el 15 de abril 2015 (https://www.une.org/).
[3] https://www.iso.org/obp/ui/es/#iso:std:iso:37301:dis:ed-1:v1:en
[4] CASANOVAS, Alain, Novedades de Compliance 2020: ISO 37301 (https://www.tendencias.kpmg.es/2020/01/iso-37301-Compliance-novedad-2020/).
[5] https://www.gobernabilidadytransparencia.com/2018/08/27/iso-19-600-compliance-y-37-001-anti-corrupcion/