La futura Norma ISO 37301 sobre sistemas de gestión de Compliance, cuyo período de revisión concluye el próximo 5 de junio, es una vuelta de tuerca más dentro de la mejora continua del Compliance.

Aunque el texto disponible para revisión aún puede sufrir modificaciones en la versión definitiva, damos por sentado que serán retoques de forma más que de fondo y por tanto podemos analizar la esencia de este nuevo estándar, ahora sí certificable, que abarca el cumplimiento normativo desde una perspectiva integral (recordemos que la UNE 19601 versa sobre sistemas de gestión de Compliance Penal y la ISO 37001 sobre sistemas de prevención de la corrupción).

La posibilidad de que las organizaciones puedan, ahora sí, optar por una certificación en Compliance de carácter general, representa una oportunidad de oro para alcanzar el reconocimiento de modelos sustentados en un buen gobierno corporativo, apegado a las buenas prácticas y la legalidad y que atienda a las relaciones con sus grupos de interés.

Diferencias de la Norma ISO 37301 con su antecesora, ISO 19600:2014

La principal diferencia entre la futura Norma ISO 37301 y el estándar ISO 19600:2014, su antecesora, es que esta última no era certificable, al tener el carácter de recomendaciones en vez de requisitos.

Aunque en la actualidad existen variedad de certificaciones disponibles en materia de cumplimiento, la Norma ISO 37301 ahora tendrá ventaja sobre las demás existentes. Ofrece un enfoque global que trasciende sobre los asuntos de naturaleza estrictamente penal y permite su adecuación a los riesgos legales de diversa naturaleza.

Otra diferencia es que el nuevo estándar se ha nutrido de la evolución que han tenido tanto el resto de normas técnicas ISO en sistemas de gestión, como de los avances que han surgido en el ámbito del Compliance. Aspectos como el contexto de la organización, la relación con los distintos públicos de interés y la importancia de la efectividad dentro de la evidencia, son coherentes con la realidad actual y dejan cada vez más obsoletos los modelos basados en papel y la cultura de checkbox.

Además, la Norma ISO 37301 vendrá acompañada de un extenso anexo como guía, que contribuirá a la documentación de los sistemas y facilitará la labor de los auditores, similar a lo que ha hecho el Anexo C de la Norma UNE 19601, aunque ampliando el nivel de detalle.

Tres grandes novedades de la Norma ISO 37301

Entre las grandes novedades que propone la Norma ISO 37301 sobre sistemas de gestión de Compliance podemos encontrar las siguientes:

El contexto de la organización adquiere mayor protagonismo.

Un elemento que condiciona la implementación de los sistemas de Compliance en la práctica es el contexto, y es de agradecer que se ponga un mayor énfasis en ello, porque es la base sobre la cual los consultores y los Compliance Officers debemos edificar un sistema de gestión.

Vivimos en una época donde una pandemia global es una realidad y no un ejercicio teórico. Por lo tanto resulta coherente que los sistemas de gestión de Compliance sean diseñados pensando en todos los elementos sociales, culturales, medioambientales y económicos que pueden incidir en su éxito, y esto es lo que se busca en la definición del contexto.

Adicionalmente, la consideración de estos factores facilitará la integración del sistema de gestión de Compliance a otros ámbitos de la organización. Criterios que ya vienen siendo utilizados en la gestión de la sostenibilidad y el levantamiento de la información no financiera, pasarán a nutrir los indicadores de Compliance, y viceversa.

Las organizaciones que adopten este esquema tendrán la ventaja de que sus sistemas de gestión serán más flexibles y a medida, suprimiendo requisitos y controles que no se adapten a su realidad y concentrando recursos en aquellas actividades y ámbitos que generen un mayor riesgo.

La cultura de Compliance se convierte en un pilar fundamental del sistema.

El estándar ISO 19600 ya hacía referencia a la cultura de Compliance; la Norma UNE 19601 le dedica un apartado y la Circular 1:2016 de la Fiscalía destaca la importancia de una «verdadera cultura ética empresarial» como elemento esencial para demostrar la eficacia de los sistemas de gestión de Compliance Penal.

Pero la Norma UNE 37301 elevará el listón, incorporando criterios que facilitarán la identificación de los sistemas realmente implementados, respecto de aquellos que sólo existen en el papel. En este sentido, el estándar contempla factores objetivos que permiten la medición de la cultura de Compliance, mediante indicadores específicos que capturan el cumplimiento de requisitos, la percepción de los grupos de interés y la efectividad de las acciones implementadas.

Un giro hacia la evaluación de los sistemas de Compliance enfocados en la cultura, por sobre los aspectos netamente documentales, permitirá a las organizaciones no sólo mitigar los riesgos de forma más acertada, sino detectar controles ineficientes y reducir gastos.

Claridad en las responsabilidades de los roles de los involucrados.

 Una de las dificultades que podemos encontrarnos en la implementación de sistemas de gestión de Compliance es la atribución de responsabilidades. ¿Qué corresponde al órgano de gobierno, a la dirección o a la función de Compliance?

De todas las Normas UNE e ISO enfocadas en cumplimiento normativo, la Norma UNE 37301 plantea -a mi criterio y siempre a la espera de la versión definitiva de la norma- la distribución más clara y fácil de adaptar a distintos tipos de organizaciones, respetando la independencia de la función de Compliance y delimitando claramente sus responsabilidades.

Tanto en órgano de gobierno, como la alta dirección, la función de cumplimiento y el personal en general tienen distintas obligaciones (esta distribución ya está presente en la Norma UNE 19601). Este nuevo estándar mantiene una distribución similar, pero se aprecia mayor flexibilidad para que organizaciones pequeñas y medianas (que no cuentan siempre con una estructura con esa división tan marcada) puedan adecuarse sin desnaturalizar a la función de Compliance.

 

¿Por qué adoptar esta nueva Norma y proceder a la certificación?

La adopción de un estándar siempre tiene beneficios en el sentido de que facilitan la integración de los sistemas de gestión de la organización, a la vez que uniforman el lenguaje de la organización con el que utilizan otros grupos de interés, sean sus propios clientes, proveedores u organismos reguladores.

Uno de los retos que ha tenido la Norma UNE 19601 es que al ser un estándar sobre sistemas de gestión de Compliance Penal, su alcance está muy delimitado. Aunque la intención de la norma fue abarcar el cumplimiento normativo penal y hacerlo extensivo a otros ámbitos, existe una percepción generalizada de que los riesgos penales no son tan próximos a la empresa como otros riesgos legales de naturaleza administrativa o incluso civil. Esto, en la práctica, ha condicionado la implementación de este estándar.

La Norma UNE 37301 no tendrá ese problema, ya que habilita a las organizaciones a certificar su sistema de gestión de Compliance partiendo de un análisis de riesgos legales asociados a su actividad, sin que tenga que incluir el filtro de riesgos penales. Estos deberán analizarse en tanto sean aplicables, y en empresas españolas seguirá siendo recomendable que lo hagan.  Pero el punto de partida podrá abarcar preocupaciones más próximas a la realidad empresarial, como la protección de datos, la prevención de blanqueo de capitales, o la gestión fiscal.

Otra de las ventajas de este estándar es que facilitará la integración del Compliance con otra área en donde existen cada vez más controles: La gestión de la información no financiera. Un sistema de gestión conforme al estándar UNE 37301 contribuirá a la documentación no sólo en el ámbito de Compliance, sino de mucha de la información necesaria para elaborar las memorias de gestión no financiera.

Por último, se trata de un estándar ISO, que es una organización de carácter internacional, lo cual le da más peso a su valor respecto de la certificación de la UNE 19601 fuera del mercado español, y puede eventualmente convertirse en requisito para participar en licitaciones internacionales, especialmente en mercados iberoamericanos donde las exigencias en Compliance comienzan a ser cada vez más frecuentes.

 

La transición hacia sistemas de gestión de ética

Una realidad que ha venido evidenciándose con el paso de los años es que el Compliance sólo tiene sentido cuando permea dentro de la cultura de la organización y se trabaja en el factor humano.

De allí que los estándares también van evolucionando y le dan una mayor ponderación a criterios relacionados con el esfuerzo de la organización por gestionar las conductas entre sus colaboradores y grupos de interés, en lugar de documentar minuciosamente el cumplimiento de requisitos materiales.

El estándar UNE37301 puede servir como un eslabón entre los sistemas de gestión de Compliance y sistemas integrales que vigilen un intengible mucho más valioso, que es la ética en la organización.

Si desde el Compliance se gestiona el cumplimiento normativo, desde la ética se gestiona la relación con los grupos de interés, ampliando aún más el foco y trabajando en los riesgos ESGT (Riesgos ambientales, sociales, geopolíticos y tecnológicos, según sus siglas en inglés y como los ha definido Andrea Bonime Blanc en su libro Boom to Gloom). Bajo este enfoque, los riesgos legales quedan integrados en los demás.

Cada vez más las organizaciones se ven presionadas por sus grupos de interés de formas que antes no eran relevantes. A los ojos de la sociedad, cumplir la ley no es ningún mérito por el cual el órgano de gobierno deba colgarse una medalla; es la línea base de cualquier negocio. Los inversores ya toman nota de ello y promueven la inclusión de criterios de sostenibilidad dentro de los factores de éxito de las empresas. En el caso de organizaciones sin fines de lucro, mantener una buena reputación es clave para continuar recibiendo donaciones y contar con la buena voluntad de los gobiernos con los cuales trabaja.

Por lo tanto, “sólo” cumplir la Ley es una solución insuficiente para la sociedad actual. Ante un público que consume responsable, y con unos inversores que valoran la sostenibilidad a largo plazo por encima de la rentabilidad a corto plazo, cobran cada vez más relevancia una gestión integral del contexto organizacional y los grupos de interés. Es decir, gestionar la ética.

En ese sentido, la Norma UNE 37301 puede ser una muy buena oportunidad para empezar a cambiar el eje de nuestros modelos, dando un giro del cumplimiento normativo a la gestión de la ética organizacional, pensando en las expectativas y exigencias no sólo de hoy, sino las que vendrán en los próximos diez años.

 

En Ethical Strategists, promovemos cultura de integridad en las organizaciones a través de recursos prácticos que generan evidencia de cumplimiento. ¡Contáctanos y trabajemos juntos!