Una solución de Compliance que viene a sumar

Descubre como implantar y certificar en cualquier organización la norma ISO 37301, sistemas de gestión del compliance.

La Asociación Española de Normalización y Certificación, ha publicado la primera edición de la Norma ISO 37301 que anula y sustituye a la Norma ISO 19600:2014, que ha sido revisada técnicamente y cuyos principales cambios respecto de la Norma ISO 19600:2014 son los siguientes:

• este documento contiene ahora requisitos y orientación adicional basada en los mismos;
• este documento sigue los requisitos de ISO para una estructura armonizada para las normas de sistemas de gestión.

Como reza la presentación de la propia organización ISO, las organizaciones que pretenden ser exitosas a largo plazo necesitan establecer y mantener una cultura de cumplimiento, considerando las necesidades y expectativas de las partes interesadas.

El compliance, por tanto, no sólo es la base, sino también una oportunidad para una organización exitosa y sostenible. El compliance es un proceso continuo y el resultado de que una organización cumpla con sus obligaciones.

El compliance se hace sostenible a través de su integración en la cultura de una organización y en el comportamiento y la actitud de las personas que trabajan para ella.

Mientras se procure y mantenga su independencia, es preferible que la gestión del compliance esté integrada con los demás procesos de gestión de la organización y en sus requisitos y procedimientos operacionales. Su efectiva implementación en la organización es tenida en cuenta en varias jurisdicciones a la hora de determinar la sanción a imponer por contravenir las leyes pertinentes por parte de los tribunales.

La ISO 37301 contiene una serie de requisitos para implantar un sistema de gestión de Compliance y se completa con una guía que recoge directrices que, no siendo obligatorias, pueden suponer una gran ayuda para aterrizar estos requisitos en las organizaciones.

Es aplicable a Organizaciones de cualquier tamaño, sector y naturaleza.

Esta solución resulta de fácil integración con otras soluciones de Corporate Compliance, ya que algunos de los requisitos tienen grandes similitudes, especialmente en lo que afecta a liderazgo, cultura de cumplimiento y canales de comunicación, tales como: 

• UNE 19601 Gestión de prevención de delitos
• UNE 19602​ Compliance Tributario
• ISO 37001​ Gestión antisoborno
• ISO 37301 Sistemas de gestión de Compliance

Este estándar ISO 37301 establece los requisitos de un sistema de gestión para:

• Identificar las principales obligaciones que afectan a las organizaciones y realizar un ejercicio de evaluación de los riesgos de su incumplimiento.
• Fomentar la cultura de cumplimiento en sentido amplio, potenciando la formación y sensibilización del personal.
• Evidenciar el compromiso de los máximos líderes de la organización y proporcionarles, a la vez, mecanismos de control adecuados.
• Reforzar la “función de cumplimiento” como función cada vez más relevante para la sostenibilidad de las organizaciones.
• Poder evidenciar ante terceros el compromiso con el cumplimiento.

Así mismo el documento de la Norma ISO 37301 especifica requisitos y, además, proporciona una guía de los sistemas de gestión del compliance y prácticas recomendadas. Se pretende que tanto los requisitos como la guía que proporciona dicho documento sean adaptables, y su aplicación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión del compliance de una organización y del contexto, la naturaleza y la complejidad de las actividades y los objetivos de la organización.

La siguiente Figura proporciona una visión general de los elementos comunes de un sistema de gestión del compliance.

Estructura de la Norma ISO 37301 y la relación con la Norma de referencia en Compliance Penal Español

La Estructura de la Norma ISO 37301, es la siguiente: 

1. Objeto y campo de aplicación 
2. Referencias normativas 
3. Términos y definiciones 
4. Contexto de la organización 
5. Liderazgo 
6. Planificación 
7. Apoyo 
8. Operación 
9. Evaluación del desempeño 
10. Mejora 

La norma, como se menciona en su primer apartado, específica los requisitos y proporciona directrices para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión del compliance eficaz dentro de una organización siendo aplicable a toda clase de organizaciones independientemente del tipo, tamaño y naturaleza de la actividad, así como a organizaciones del sector público, privado o sin fines de lucro.

Las referencias a un órgano de gobierno se aplican a la alta dirección en aquellos casos en los que una organización no tenga un órgano de buen gobierno como función independiente. Está claramente imbuida de la familia de las normas de sistemas de gestión de riesgos (de cumplimiento) y proclama la idea de sistema como un todo interconectado en la organización y también con su entorno de cumplimiento.

Para evaluar el alcance del estándar ISO 37301:2021, las organizaciones deberán realizar el análisis de brecha de su sistema o modelo vigentes y compararlo con los requisitos dispuestos en las legislaciones penales aplicables. Así como con el estándar ISO 37301:2021, para luego proceder de acuerdo con el plan propuesto. Y será para determinar:

• El contexto de la organización (cuestiones internas y externas).
• Partes interesadas.
• Alcance del sistema de compliance penal.
• Identificar las obligaciones penales de cumplimiento y evaluar sus riesgos.
• Definir a los sujetos del liderazgo (Alta Dirección, Función de Cumplimiento).
• Aprobar la política de cumplimiento penal y así, a través de la planificación, apoyo, controles (planteamiento de inquietudes e investigaciones como mandatorios. Sin perjuicio de otros controles pertinentes para casi todo sistema de gestión de cumplimiento penal), auditoría y revisión y procesos de mejora continua. Inmersos dentro de un ciclo de Planificar, Hacer, Verificar y Actuar, propender a su perfeccionamiento y acoplamiento a las concretas necesidades de la organización.

La auditoría externa de certificación del sistema de gestión de Compliance realizada por un tercero independiente, es una de las maneras más fiables, eficaces y transparentes de dar respuesta a estos requisitos y de evidenciar el compromiso explícito y público de la organización y sus líderes con la cultura de cumplimiento.

Beneficios para un modelo de Compliance

Entre los criterios de eficacia de un modelo de compliance en los que se mejoraría con la implantación de la ISO 37301, contamos:

• Histórico de procedimientos judiciales y sanciones, ya sean penales o administrativo sancionadores. La fiscalía señala en la citada Circular que se tendrán en cuenta procedimientos judiciales anteriores y anteriores sanciones en cualquier jurisdicción a la hora de acreditar el grado de cultura de cumplimiento de esta.
• Compromiso del órgano de gobierno y la dirección en el cumplimiento normativo: implantar la ISO 37301 resulta una clara muestra de compromiso por el Compliance. La implicación del órgano de gobierno y de los principales ejecutivos son claves para trasladar una cultura de cumplimiento al resto de la compañía
• Establecer una verdadera cultura de cumplimiento empresarial. La clave, según la Fiscalía, para valorar la eficacia del modelo de Compliance no radica tanto en la existencia de modelo sino en la importancia que tiene en la toma de decisiones de sus dirigentes y empleados y en qué medida es una verdadera expresión de su cultura de cumplimiento.
• La certificación como elemento adicional a tener en cuenta por los tribunales a la hora de apreciar la exoneración o atenuación de la responsabilidad penal. La ISO 37301 es una norma certificable, al contrario de su antecesora la ISO 19600:2014.

Es la EFICACIA de los programas de cumplimiento normativo tendentes a evitar la comisión de estos delitos en el seno de las empresa y organizaciones, la que se torna en el factor clave del éxito del cumplimiento normativo a efectos de exonerar a la organización ante actos de terceros, por lo que la profesionalidad y experiencia de aquellos llamados a diseñar e implementar tales normas y programas debe ser tenida muy en cuenta en aras a asegurar esa eficacia del plan de prevención penal o programa de cumplimiento en términos de salvaguardar a la organización de actos de sus directivos y/o empleados. 

La adopción de estándares internacionales comúnmente adoptados por estados y organizaciones como “mejores prácticas” para afrontar gestión de riesgos, como es el caso, permite, por un lado, objetivar y demostrar la eficacia de los planes de prevención (sistemas de gestión de riesgos) implantados en la organización a través de su certificación por un tercero independiente conforme a dichos estándares y, por otro, limitar la discrecionalidad de los Tribunales a la hora de “enjuiciar” o valorar esa idoneidad del sistema para evitar el delito que finalmente se perpetró en el seno de la misma. 

Aunque la mera certificación no será el supuesto de hecho que automáticamente determinará la exención de responsabilidad para la persona jurídica como no lo es la certificación en otros ámbitos toda vez que, como herramientas que son, dicen mucho acerca de la “voluntad cumplidora” de aquél que las incorpora a su organización sin duda el Tribunal deberá tenerlo en cuenta.

Entre los esquemas más habituales, relacionados con cualquier empresa o entidad podremos encontrar:

• ISO 9001 de Gestión de la Calidad.
• ISO 14001 de Gestión Ambiental.
• ISO 45001 de Gestión de la Seguridad Laboral.
• ISO 27001 de Gestión de la Seguridad de la Información.

Si desea un presupuesto para certificar su empresa, rellene el formulario https://qualitycert.es/certificacion-de-sistemas o escr´íbanos a info@qualitycert.es