Auditoría & Co

Este año nos traerá una de las novedades más relevantes en la escena internacional del Compliance: la publicación del estándar ISO 37301 sobre CMS (Compliance Management Systems). Permitirá no sólo el diseño sino también la evaluación de la conformidad (certificación) de los sistemas de gestión de Compliance transversales, esto es, de aquellos modelos que procuran el cumplimiento de las normas más relevantes de cada organización. Relevará a la norma ISO 19600, que, siendo el primer estándar internacional sobre Compliance, se vio eclipsada por la inmediatamente posterior sobre sistemas de gesión anti-soborno, la norma ISO 37001.

No se percibió la necesidad de que el estándar ISO 19600 fuese certificable durante su elaboración en 2013, pero sí durante su actualización: obedece a la evolución en la curva de madurez del Compliance, donde las organizaciones centran primero su atención en acreditar la diligencia debida en la prevención penal y del soborno, para luego extender su foco a otros ámbitos. Es una forma de rentabilizar los esfuerzos organizativos, si consideramos que la comisión de delitos (incluyendo los vinculados con la corrupción) tiene normalmente carácter excepcional, a diferencia del resto de incidentes de Compliance, no por ello menos importantes. Además, la prevención de irregularidades fuera de la esfera penal evita en muchos casos llegar a ella, como subyace en la Circular 1/2016 de la Fiscalía General del Estado cuando señala que los modelos de organización y gestión procurarán “cumplir con la legalidad en general y, por supuesto, con la legalidad penal pero no sólo con ella”. Este texto abomina del Compliance penal y obvia referirse a los modelos centrados en esta materia, a sabiendas de que el mejor modo de soslayar los incumplimientos con trascendencia penal es precaver los que todavía no alcanzan dicho estadio.

Las claves de ISO37301

En este contexto, no cabe duda de que el estándar ISO 37301 adquirirá en breve una notable importancia. Veamos algunas de sus características más destacadas.

Los cometidos de la función de Compliance se conceptualizan de “supervisión”, evitando atribuirle competencias decisorias, salvo que sea objeto de una delegación de facultades que el estándar no exige ni prevé. Es un matiz importante que limita las responsabilidades legales de dicha función, situándolas en las instancias y cargos societarios con verdadera capacidad para adoptar e impulsar decisiones: el órgano de gobierno y la alta dirección. Bajo este entendimiento, se evita exigirle la consecución de resultados (‘ensure’), recurriendo a la acción de supervisar (‘monitor’) más acorde con una obligación de medios. La función de Compliance sólo puede “asegurar” algunas cosas, como promover ciclos formativos y de concienciación, pero no puede garantizar su aprovechamiento, que dependerá en gran medida tanto del perfil de los asistentes como de la cultura organizativa que impulsan el órgano de gobierno y la alta dirección.

Puesto que el sistema de gestión de Compliance cubrirá las principales fuentes de obligaciones de una organización, precisará identificarlas correctamente. Será necesaria una primera delimitación del perímetro mínimo razonable del sistema, para desarrollar a continuación los ejercicios de evaluación de riesgos asociados a las casuísticas en cada uno de los bloques de normas. La adecuación del sistema de gestión de Compliance será cuestionable cuando no englobe las principales fuentes de obligaciones que afectan a la organización, que no son necesariamente todas.

No conformidad y no cumplimiento

La norma seguirá manteniendo la distinción entre “no conformidad” y “no cumplimiento”, tan típica de su antecesora ISO 19600. Es un matiz diferencial que no encontramos en ningún otro estándar de Compliance, incluidas las normas ISO 37001, UNE 19601 y UNE 19602. Una “no conformidad” es la contravención de las normas que conforman el propio sistema de gestión, mientras que un “no cumplimiento” es la violación de las normas sustantivas que aquel protege. Obsequiar puede ser una “no conformidad” cuando se realiza fuera del procedimiento interno fijado para ello, pero sólo devendrá un “no cumplimiento” si la conducta es, además, idónea como soborno. Esta distinción conceptual ayuda a modular la reacción ante ambas situaciones, al tiempo que señala las fisuras del sistema de gestión: un “no cumplimiento” que no venga acompañado de una “no conformidad” denota una vulnerabilidad del modelo que deberá ser corregida.

Estas son algunas de las características que imprimirán el carácter del estándar ISO 37301 que, con gran probabilidad, se publicará a finales de este año.

También es una novedad la publicación de una serie de videos que abordan cuestiones frecuentes que afrontan los profesionales dedicados al Compliance, y que van desde una correcta gestión de los conflictos de intereses, a una adecuada planificación de las actividades formativas, pasando por conocer las situaciones de soborno percibido o las dificultades que entraña, en algunas ocasiones, concienciar a la máxima dirección. Dotados de un formato ejecutivo que incorpora referencias explícitas a textos internacionales que tratan cada materia, conforman una herramienta muy útil para impulsar con efectividad las labores de Compliance.

Alain Casanovas