Auditoría & Co

El pasado día 11 de enero se ultimó el Proyecto de Norma Española 19601 sobre Sistemas de gestión de Compliance penal, inicialmente numerado PNE 307101. Se estima que finalizarán los trámites en el Boletín Oficial del Estado durante el próximo mes de marzo, momento a partir del cual este estándar del organismo de normalización español será accesible. Es una novedad muy relevante, dado que hasta ahora no existía un estándar oficial que favoreciera la homogeneidad entre sistemas de gestión para la prevención de delitos en las empresas.

El origen de este estándar guarda relación con el subcomité de normalización CTN 307 SC1, constituido en España en abril de 2013 para contribuir, en primer lugar, al proceso de normalización internacional de la norma ISO 19600 sobre Compliance Management Systems, y después al de la norma ISO 37001 sobre Anti-Bribery Management Systems. Habiendo contribuido activamente en la preparación de los estándares internacionales más modernos sobre Compliance, se creó en el subcomité un grupo ad-hoc para aprovechar esta experiencia en la preparación de un estándar nacional sobre prevención penal, alineado con las mejores prácticas en la materia.

Que la Norma UNE 19601 se haya beneficiado de estos antecedentes produce una serie de ventajas, más allá de incorporar las prácticas actuales en otros países. En primer lugar, se quiso que la estructura de los sistemas de gestión de Compliance españoles fuera consistente con la que impulsa ISO a nivel internacional. Seguir su filosofía y configuración facilita el aprendizaje de la Norma española, su aplicación y, sobre todo, su eventual comprensión no solo dentro de nuestras fronteras, sino también a nivel internacional. A nuestras organizaciones les resultará mucho más sencillo explicar su modelo de prevención penal a posibles interlocutores extranjeros, si está alineado con estructuras conocidas y reconocidas internacionalmente. Además, es un enfoque que simplifica bastante el encaje de estructuras de Compliance de varios países en organizaciones multinacionales.

Al compartir la carga genética de las Normas ISO, resulta sencillo tanto integrar el Compliance penal en una superestructura de alcance más amplio basada en el estándar ISO 19600, como disponer de un sistema específico de gestión anti-soborno basado también en el estándar ISO 37001. Recordemos que los sistemas de gestión de Compliance operan como “matrioskas”, de modo que los aspectos generales quedan cubiertos por los sistemas de gestión de Compliance de coordinación transversal, mientras que los sistemas específicos se limitan entonces a tratar aspectos muy precisos. Así, disponiendo de un sistema de Compliance penal basado en el estándar UNE 19601, se sientan también las bases del sistema de gestión anti-soborno de la Norma ISO 37001. De este modo, si una organización está sujeta a los requisitos del Código penal pero precisa también disponer de medidas anti-soborno específicas porque así le viene exigido, puede disponer de ambas cosas con cierta facilidad. Es más, siendo ambos estándares certificables, el trabajo de revisión para emitir un certificado de conformidad sobre cualquiera de los sistemas es de utilidad para el otro, lo que brindará notables economías a las organizaciones interesadas en esa doble certificación.

Los componentes de la Norma UNE se encuadran, principalmente, en sus Capítulos 4 a 10, ambos incluidos. Es allí donde se detallan los aspectos a considerar en el diseño del sistema, para generar una cultura de Compliance, para fijar sus objetivos, darle soporte, operarlo adecuadamente, evaluar su desempeño y mejorarlo. De esos contenidos, es importante deslindar aquellos que son requisitos o especificaciones, es decir, aspectos esenciales sin los cuales resultará imposible emitir un certificado de conformidad, de aquellos otros que son meras guías o directrices, y que no condicionan la certificación del sistema de gestión. Es igualmente importante disponer de los elementos que el estándar califica como información documentada, cuya evidencia documental es igualmente necesaria a efectos de certificación.

La Norma UNE 19601 dispone de 6 anexos, de los cuales uno es normativo (el que relaciona aquellos elementos considerados información documentada) y el resto son meramente informativos. Estos últimos ayudan a la interpretación del estándar y a la aplicación práctica de sus contenidos, incluyendo menciones a los procedimientos de diligencia debida, cláusulas contractuales, etc.

Evidentemente, disponer de un sistema de gestión de Compliance penal acorde con la Norma UNE 19601 no garantiza que no se hayan producido delitos o que no vayan a producirse. Sin embargo, la correcta ejecución de su contenido disminuye la probabilidad de que suceda y constituye una evidencia más de gestión responsable.

Para finalizar, recordemos que un sistema de gestión de Compliance penal no es un objetivo en sí mismo, sino un mero instrumento para conseguir o afianzar una cultura ética y de respeto a la Ley. Por consiguiente, tanto o más importante que un acertado diseño del sistema de gestión de Compliance penal, será necesario comprobar que realmente funciona y genera la cultura pretendida.

Alain Casanovas