La primera norma global para certificar el 'compliance' ve la luz en español
El texto en castellano de la UNE-ISO 37301, que será publicado en próximos días, ofrece los requisitos para los sistemas de gestión del cumplimiento. Al contrario que la UNE 19601, no se limita a los riesgos penales
La versión en español de la norma UNE-ISO 37301, el primer estándar internacional para certificar los sistemas de 'compliance', verá la luz en los próximos días. El texto presenta dos grandes diferencias respecto a su antecesora, la UNE-ISO 19600, que resulta anulada y sustituida por la misma. En primer lugar, el nuevo estándar no se limita a ofrecer orientaciones a las organizaciones que decidan implementarlo, sino que además resulta certificable por un tercero independiente. En segundo término, al haberse elaborado con la experiencia acumulada en los últimos años —la ISO 19600 es de 2014—, incorpora mayor concreción en aspectos como la estructura, funciones, acciones y sistema de evaluación que deben llevar a cabo las empresas.
Asimismo, y frente a la UNE 19601, norma estrictamente española y que se limitaba a los programas de 'compliance' penal, la UNE-ISO 37301 contiene los requisitos para una estructura armonizada de los distintos sistemas de gestión. Es decir, permite implementar para prevenir y mitigar otro tipo de riesgos más allá de los vinculados a la comisión de delitos por parte de la persona jurídica. Junto con los miembros de la Asociación Española de Normalización (UNE), en la traducción al castellano del texto han participado representantes de Argentina, Bolivia, Chile, Colombia, Costa Rica, Ecuador, El Salvador, Guatemala, Panamá, Perú y Uruguay.
"Este documento especifica requisitos y, además, proporciona una guía de los sistemas de gestión del 'compliance' y prácticas recomendadas", subraya la norma en su introducción, que establece pautas que son de aplicación a toda clase de organizaciones y empresas, con independencia de su tipo, tamaño o actividad. También si son del ámbito público, privado o sin ánimo de lucro. El estándar, dividido en 10 capítulos y un anexo, que contiene una guía de uso, tiene una extensión total de 59 páginas.
Javier García, director general de la UNE, asevera que la norma "impulsará de manera definitiva a escala global la cultura del 'compliance' y, con ella, la de la integridad y la sostenibilidad". Según explica, también es un facilitador del 'ODS 16, Paz, justicia e instituciones sólidas' contenido en la Agenda 2030 de las Naciones Unidas. "El texto contiene las mejores prácticas internacionales sobre los requisitos medibles para que las empresas puedan implantar unos sistemas de cumplimiento transversales y eficaces". Y prueba del interés y el consenso que ha despertado, concluye García, es que ha sido aprobada por cerca de 60 países en todo el mundo.
La incógnita es qué valor tendrá la certificación en un proceso judicial y si se admitirá como vía para lograr la exención de responsabilidad
El gran valor de la UNE-ISO 37301 es que, a través de la certificación, la organización que la haya implementado podrá demostrar a terceros su vocación de cumplir y reducir al máximo los riesgos vinculados al 'compliance'. La gran incógnita, no obstante, es qué consideración tendrá el certificado en un procedimiento judicial penal, en donde contar con un sistema de prevención de delitos eficaz es la forma en que las empresas y organizaciones pueden eximirse de ser condenadas en caso de delito de la persona jurídica. Esta cuestión, aún no resuelta por la jurisprudencia, suscita un intenso debate entre los juristas. Así, mientras algunos defienden que las certificaciones son un elemento muy relevante para valorar la cultura de cumplimiento de las compañías, quienes recelan argumentan que se está dejando en manos privadas una decisión tan sensible como una condena en el ámbito penal.
Independiente y sin conflictos de interés
El propio texto de la UNE-ISO 37301 indica que cada organización tiene cierto margen para implementar su programa de 'compliance', indicando que "los pasos dados deben ser razonables respecto a la naturaleza y extensión de los riesgos" a que se enfrente. En este sentido, se señala que "lo ideal" sería que el modelo contenido en la norma sea implementado "junto con el resto de sistemas de gestión, como los de riesgos, antisoborno, calidad, ambiental, seguridad de la información y responsabilidad social".
El documento exige a las organizaciones la realización de una evaluación de los riesgos del 'compliance', la base para después desarrollar el sistema de gestión. Asimismo, la función de cumplimiento deberá tener "acceso directo al órgano de gobierno y a la alta dirección", una línea de comunicación planificada y sistemática. Tendrá que asegurarse que el departamento sea independiente, tenga autoridad y no tenga conflictos de interés. "Son libres para actuar sin ninguna interferencia con la línea de mando", detalla la UNE-ISO. La guía de uso incluida en el anexo, si bien admite la externalización de la función de 'compliance', de muestra partidaria de "no asignar la totalidad" a terceras partes. "Incluso si se contrata externamente parte de la función, debería considerar mantener la autoridad sobre ella y vigilar esas funciones", remarca el texto.
Los sistemas de gestión deberán contener objetivos concretos, con un marco temporal determinado y con un sistema de medición de resultados. Junto a ello, una dotación de recursos "financieros, humanos y técnicos, así como el acceso a asesoramiento externo y a habilidades especializadas, infraestructura organizacional, desarrollo profesional, tecnología y material de referencia actual sobre la gestión".
Contratación del responsable
La UNE-ISO 37301 hace bastante hincapié en la figura del responsable de cumplimiento. A este respecto, indica que las organizaciones deberán definir los conocimientos necesarios que debe tener dicho cargo y "establecer evidencia" de las competencias necesarias para cubrir el puesto de trabajo, así como las medidas necesarias para su actualización (formación, por ejemplo). Todo ello deberá quedar documentado. De este modo, antes de contratar personal o llevar a cabo promociones, la norma exige a la compañía "llevar a cabo la debida diligencia" para comprobar su adecuación.
Las empresas deberán, entre otras exigencias, crear un registro de información en el que deberán almacenar, entre otras cosas, la política y procedimientos de 'compliance', los objetivos, la asignación de roles y responsabilidades, un registro de riesgos e incumplimientos y los procesos de auditoría. Este archivo deberá ser sometido a un proceso de actualización permanente y, en caso de servir para el asesoramiento legal, podrá "estar sometido a privilegio legal".
Otro elemento a desarrollar es un "mecanismo que funcione bien para las investigaciones oportunas y exhaustivas de cualquier alegación o sospecha de malas prácticas", que habrá de incluir medidas disciplinarias y mecanismos para que las pesquisas sean "justas e independientes".
La versión en español de la norma UNE-ISO 37301, el primer estándar internacional para certificar los sistemas de 'compliance', verá la luz en los próximos días. El texto presenta dos grandes diferencias respecto a su antecesora, la UNE-ISO 19600, que resulta anulada y sustituida por la misma. En primer lugar, el nuevo estándar no se limita a ofrecer orientaciones a las organizaciones que decidan implementarlo, sino que además resulta certificable por un tercero independiente. En segundo término, al haberse elaborado con la experiencia acumulada en los últimos años —la ISO 19600 es de 2014—, incorpora mayor concreción en aspectos como la estructura, funciones, acciones y sistema de evaluación que deben llevar a cabo las empresas.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F7dd%2F923%2F048%2F7dd9230481cfbfc23817c5f933f36809.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff44%2F2c3%2F3d7%2Ff442c33d70d0748e51046bbb1c398423.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9e3%2Fdba%2F246%2F9e3dba2465cc5f8a67f69d5e99b6d90a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F31d%2F3e0%2F5f2%2F31d3e05f245670f8b83eaabcf4d454e5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F784%2Fbb0%2F902%2F784bb09023499ccc5c8882bfa2557710.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fdfb%2Ff22%2Fc21%2Fdfbf22c21eb75909a26e294302d71864.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F2e5%2Fc48%2Fda1%2F2e5c48da1ce2d49341c1a68b54220c69.jpg)