Una de las novedades más importante de este año 2021 en materia de compliance es, sin lugar a duda, la publicación del estándar normativo ISO 37301:2021 “Compliance management systems – Requirements with guidance for use”, que actualmente se encuentra en fase de elaboración y que reemplazará la conocida ISO 19600:2014 “Compliance management systems – Guidelines”. Cabe destacar, como primera novedad, que la nueva versión se erige como una norma ISO de tipo A. Ello significa, como el propio título del estándar también indica que, además de recomendaciones contendrá requisitos y, por tanto, permitirá a cualquier tipo de organización certificar oficialmente y con reconocimiento internacional su sistema de gestión de cumplimiento, siempre que acredite que cumple, bajo el principio de proporcionalidad, con los requisitos mínimos requeridos por la misma.
A continuación, se va a exponer, sin perjuicio de otras, algunas de las claves más relevantes de ISO 37301:
Integridad y ética
Cabe destacar que ISO 37301 contempla de manera específica que el sistema de gestión de compliance debe basarse en un conjunto de objetivos y principios. Al respecto, cristalizan conceptos de alto valor como, por ejemplo, la integridad y la ética, siendo ello una muestra del asentamiento de los mismos en los estándares normativos de compliance.
Contexto de la organización
Como base para la edificación de un adecuado sistema de gestión de compliance y, con el objetivo de identificar correctamente los riesgos de cumplimiento es imprescindible analizar y entender el contexto de la organización. Para ello, ISO 37301 requerirá el estudio de un conjunto de parámetros, entre los cuáles, se incluye como novedad remarcable respecto a ISO 19600, entre otros, el análisis del contexto social, cultural y ambiental de la organización, así como su cultura de cumplimiento actual, siendo este último aspecto uno de los elementos, como veremos más adelante, fundamental del estándar.
En conexión con el contexto de la organización, otro de los aspectos relevantes de ISO 37301 que nos deberemos plantear, con carácter inicial, será la determinación del alcance del sistema de gestión de cumplimiento. En este sentido, la nueva norma permitirá que el referido sistema pueda ser aplicado solamente a un sector, función, proceso o localización de la organización, favoreciendo así que tanto grandes empresas que tienen representación en diferentes puntos del mundo como empresas pequeñas puedan delimitar su sistema a aquellos elementos que les sean de interés.
Enfoque basado en el riesgo: la identificación de las obligaciones de cumplimiento
Uno de los aspectos clave a destacar del nuevo estándar normativo es la adopción de un ámbito de prevención mucho más amplio que el estrictamente penal, siendo una norma diseñada para cualquier compromiso u obligación de cumplimiento que afecte o pueda afectar a la organización o voluntariamente la misma decida adquirir. De esta manera, la anticipación de la barrera preventiva fuera de la esfera penal evita en numerosas ocasiones llegar a la misma, como refleja la conocida Circular de la Fiscalía 1/2016, de 22 de enero: “La empresa debe contar con un modelo para cumplir con la legalidad en general y, por supuesto, con la legalidad penal pero no solo con ella […]”. Por tanto, una organización podría abordar, dentro de la misma norma, puntos diversos como obligaciones medioambientales, de igualdad, de fiscalidad, etc.
Teniendo en consideración lo anterior, cabe señalar que las empresas navegan por un mar de legislaciones que suele ser sumamente amplio. Por tanto, la compañía que, en el futuro, desee obtener la certificación de la ISO 37301 deberá efectuar, en base al contexto de la organización y su realidad, un estudio inicial completo de sus obligaciones de cumplimiento, priorizando aquellas que tengan una mayor relevancia con la finalidad de poder realizar, posteriormente, la correspondiente evaluación de los riesgos de compliance inherentes y residuales. A modo de ejemplo, una organización gestora de infraestructuras públicas y que se encuentra presente en cincuenta países de todo el mundo podrá decidir establecer un sistema de gestión de compliance con alcance a Perú y España acotado a su proceso de participación en licitaciones públicas, abordando como obligación prioritaria, la corrupción.
La implicación desde la cúpula (tone from the top) y la función de compliance
Aunque no es ninguna novedad para aquellos que estén familiarizados con el compliance, es de vital importancia recordar que un adecuado liderazgo determina el éxito de un sistema de gestión de compliance. Sin el compromiso del órgano de gobierno y la alta dirección es muy difícil que el citado sistema alcance sus objetivos. Siguiendo la anterior premisa, ISO 37301 persigue que quién posea la verdadera capacidad para adoptar e impulsar decisiones sea la cúpula de la organización, dejando a la función de compliance los cometidos de supervisión (monitor), evitando así, atribuirle competencias de carácter decisorio.
La importancia de la cultura de compliance
Tal y como establece ISO 37301, el “compliance se sostiene a través de su integración en la cultura de una organización y en comportamiento y la actitud de las personas que trabajan en ella”. La cultura de compliance es un aspecto que, necesariamente, debe impregnar todas las bisagras del sistema y que debe, siguiendo la filosofía del anterior apartado, emanar, necesariamente, del órgano de gobierno y la alta dirección.
La cultura de compliance encuentra su expresión en múltiples elementos como, por ejemplo, en los valores y la estrategia de la organización alineada con el cumplimiento, en la importancia de la comunicación y la existencia de un feedback, en la impartición de formación cualificada a los miembros de la organización, en la toma de acciones disciplinarias ante incumplimientos, entre otros.
A pesar de que la cultura es un aspecto que estaba bien presente en ISO 19600, el nuevo estándar la refuerza, contemplando nuevos aspectos como, por ejemplo, el reconocimiento, esto es, la valoración de la conducta adecuada de los miembros de la organización dentro de la compañía como requisito a evidenciar en el sistema de gestión de compliance.
En conclusión, ISO 37301 traerá consigo novedades que, aquellos que nos dedicamos al mundo del compliance, no podremos dejar pasar por alto. Deberemos estar atentos a la versión final de la norma que, se prevé que, a más tardar, se apruebe definitivamente durante el primer semestre del año 2021.
Desde Fortuny Legal, expertos en Compliance, nos ponemos a su disposición para brindarles asesoramiento en relación con el contenido del presente artículo.
