Guía práctica de compliance según la Norma ISO 37301:2021
Edición que incluye la Norma UNE-ISO 37301:2021
Alain Casanovas Ysla
Créditos
Título: Guía práctica de compliance según la Norma ISO 37301:2021.
Edición que incluye la Norma UNE-ISO 37301:2021. ePUB
Autor: Alain Casanovas Ysla
© AENOR Internacional, S.A.U., 2021
Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR Internacional, S.A.U.
ISBN: 978-84-17891-43-5
Edita: AENOR Internacional, S.A.U.
Maqueta: BLOCK Comunicaciones
Diseño de cubierta: AENOR Internacional, S.A.U.
Nota: AENOR Internacional, S.A.U. no se hace responsable de las opiniones expresadas por el autor en esta obra.
Génova, 6. 28004 Madrid
Tel.: 914 326 036 • normas@aenor.com • www.aenor.com
Dedicado a la comunidad de compliance
Presentación
Los principios sobre los que se fundamenta la credibilidad y confianza de la actividad de normalización: la transparencia, el consenso, la imparcialidad, la apertura y diversidad, han evidenciado en estos últimos años su enorme potencial para aportar soluciones a los grandes temas que preocupan a la sociedad y a las empresas para llegar a crear normas en disciplinas como la ética, la responsabilidad social, la gobernanza y el compliance. La normalización da respuesta eficaz a los grandes desafíos de las organizaciones.
La normalización posibilita que las partes interesadas pongan en común sus necesidades y sus conocimientos para ofrecer soluciones técnicas (las normas) que ayudan a lograr un mundo más seguro, desarrollado y sostenible; y es por ello, que terminará estando presente en cualquier ámbito en el que se detecte la necesidad de llevar a cabo una ordenación o de establecer un lenguaje común.
El compliance irrumpe en el mundo de la normalización internacional en el año 2013 en el que, desde la Organización Internacional de Normalización (ISO), dando respuesta a las necesidades del mercado, se decide empezar a trabajar en una norma que pueda convertirse en referente internacional para las organizaciones a la hora de entender qué es el compliance y cómo gestionar los riesgos de cumplimiento a los que se enfrentan.
España, a través de la Asociación Española de Normalización, UNE, y del ahora órgano técnico CTN 165/SC3 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, se sumó entonces de forma inmediata y activa a los trabajos internacionales. En 2014, se publicó la Norma ISO 19600 Sistemas de gestión de compliance. Directrices, posteriormente adoptada como norma española UNE-ISO 19600. Este documento ayudó a que en nuestro país el compliance pasase, de ser una disciplina prácticamente exclusiva de empresas multinacionales o de sectores muy regulados, a ser foco de interés para todas aquellas organizaciones preocupadas por sus riesgos corporativos, especialmente tras la reforma del Código Penal de 2015.
Esta norma proporcionaba únicamente recomendaciones en materia de compliance y de ahí que pocos años después de su publicación, y respondiendo a la demanda del mercado, haya sido preciso trabajar en su revisión para transformarla en una norma también de requisitos. Es así como se llega a la publicación de la Norma ISO 37301 Sistemas de gestión de compliance. Requisitos con orientación para su uso. Esta norma ofrece una visión más madura y evolucionada del compliance, pero no sólo eso, el sistema de gestión que establece permite a las organizaciones demostrar su compromiso para cumplir con las leyes y con otros compromisos asumidos de forma voluntaria (incluidos lo de carácter ético) y poder hacer visible ese compromiso ante sus grupos de interés a través de una posible certificación.
Como Director General de UNE y como miembro del Consejo de Administración de ISO, es para mí un enorme honor prologar la Guía práctica de compliance según la Norma ISO 37301:2021, de Alain Casanovas, que va a permitir a las organizaciones y a los expertos en compliance entender, interpretar y aplicar esta norma, tan necesaria.
La Norma ISO 37301:2021, por su carácter de norma de alto impacto, cuenta con una versión ISO oficial en español, fruto del trabajo del grupo de traducción al español, ISO/TC 309/STTF (Spanish Translation Task Force), compuesto por 12 países de habla hispana. La Norma ISO 37301 en español ha sido adoptada como Norma UNE-ISO 37301, con contenido idéntico.
En este libro encontramos un contenido privilegiado. La actuación de su autor como presidente del órgano técnico de normalización nacional de compliance (CTN 165/SC3), su participación como delegado y experto español en el comité internacional y los grupos de trabajo que la han elaborado (ISO/TC 309 Governance of organizations), así como su dilatada experiencia profesional en la implementación de sistemas de gestión de compliance, le hacen poseedor de un conocimiento único sobre la letra y el espíritu de la norma a nivel internacional, y sobre cómo trasladar ese conocimiento de forma práctica.
Antes de despedir estas líneas no quiero dejar de plasmar algunos agradecimientos: gracias a ISO por continuar atendiendo los retos de la sociedad aportando soluciones globales; gracias a las entidades españolas del CTN 165/SC3, por hacer posible la participación española en los foros internacionales de normalización en el ámbito del compliance; gracias a Alain Casanovas por compartir su sabiduría y su dilatada experiencia; y gracias a la Dirección de Servicios de Información Sectorial y a la editorial de AENOR por contribuir a la difusión de la normalización y del conocimiento con el rigor de siempre.
Confío en que tanto la norma, como este libro, impulsen de manera definitiva a nivel mundial la cultura del compliance, y con ella la de la integridad y la sostenibilidad. Algo coherente con la misión de UNE de impulsar la mejora de la competitividad de nuestros sectores económicos y el bienestar social.
Javier García
Director General
Asociación Española de Normalización, UNE
y miembro del Consejo de Administración de ISO
Prólogo
La evolución de un estándar
El impacto del estándar australiano AS 3806:2006 Compliance Programs trascendió sus fronteras. Sería equivocado decir que fue el primer texto sobre compliance, pues era una materia ya tratada en documentos de recomendaciones tanto nacionales como internacionales. Sin embargo, estos textos hacían referencia a mercados o sectores regulados (banca, principalmente) o a riesgos de compliance específicos (especialmente los de soborno). El acierto del estándar australiano fue brindar una visión del compliance apta para cualquier tipo de organización y materia.
Tanto ISO como las entidades de normalización nacionales que la integran solo redactan estándares cuando advierten su conveniencia: su objetivo no es generar necesidades, sino dar respuesta a las mismas. Por su gran aceptación, está claro que el estándar AS 3806:2006 fue una respuesta acertada a la demanda de los agentes sociales y económicos. Considerando el éxito que había tenido en otros países, se valoró y aceptó producir un estándar internacional que lo tomaría como punto de partida. Así, en 2013 se obtuvo el consenso para iniciar el proceso de elaboración del estándar ISO 19600. En aquel momento no se consideró que fuese preciso configurarlo como un MSS de tipo A (certificable), al no percibirse tal necesidad. Sucedió lo contrario con el estándar ISO 37001 sobre sistemas de gestión antisoborno donde, comenzando su proceso de normalización muy poco tiempo después, sí se convino que fuera certificable.
La divulgación general del compliance en la sociedad suele darse a raíz de regulaciones que afectan a un amplio espectro de sujetos. La lucha contra la corrupción y la prevención de determinados actos criminales está provocando la exigencia de mecanismos de compliance en entidades de cualquier tamaño y sector en diferentes países. Esto contribuye a generalizar este concepto de compliance.
No obstante, y una vez puesto el foco inicial en la prevención de los no cumplimientos de compliance más graves –los de naturaleza criminal–, la progresión normal en la curva de madurez de las organizaciones lleva a poner medios para la prevención, detección y gestión temprana del resto de no cumplimientos de compliance que pueden comprometerlas igualmente. En este escenario, adquiere importancia disponer de un estándar capaz de generar confianza en el mercado, susceptible soportar procedimientos de verificación de la conformidad con su contenido. Es decir, la necesidad de facilitar al mercado un estándar certificable.
Esta evolución, junto con la constante progresión de las buenas prácticas en materia de compliance, propició la revisión de la norma ISO 19600:2014. Esta iniciativa coincide con la agrupación de los estándares ISO sobre compliance bajo la serie 37000 de normas, encabezada por el primer sistema de gobierno de las organizaciones.
Desde una perspectiva muy simple, se podría pensar que el estándar ISO 37301:2021 es solo la versión certificable de la norma previa ISO 19600:2014. Pero esta visión sería completamente errónea: su contenido no solo aborda materias que no fueron reguladas con anterioridad (como los procesos de empleo, el proceso para el planteamiento de inquietudes o el de investigaciones, por ejemplo), sino que también se tratan las clásicas de manera distinta (el gobierno de compliance o la cultura de compliance, por ejemplo). Se hace eco de nuevas prácticas generalmente aceptadas en la comunidad internacional, de un tiempo a esta parte.
Responsabilidad frente a la comunidad de compliance
Al haber participado como experto en los comités de normalización de los estándares ISO 19600:2014 e ISO 37001:2016, era depositario de una responsabilidad ante la comunidad de compliance: trasladar la trascendencia del estándar ISO 37301:2021 y brindar informaciones útiles para su interpretación.
Como partícipe en los debates entre expertos que han concluido en el texto actual, me sentía obligado a trasladar la lógica de sus disposiciones, el porqué de su redacción y, sobre todo, señalar sus omisiones deliberadas. Solo así se adquiere plena conciencia de su orientación. El lector puede así disfrutar de una visión de primera línea de la norma, que le ayudará a aplicarla de forma certera.
Algunas convenciones
Los estándares son de aplicación voluntaria y no tienen ni la vocación ni la naturaleza de un texto jurídico. Sus conceptos son siempre organizativos y huyen de términos legales que vinculen el contenido de las normas a una tradición jurídica o que condicionen la interpretación de sus requisitos. Esto se observa en la propia definición de organización que emplean los sistemas de gestión ISO, que no es equivalente a la de persona o entidad jurídica que se halla en algunos textos legales sobre compliance.
Sin perjuicio de lo anterior y a efectos didácticos, a lo largo de este libro me refiero ocasionalmente a algunas normas de Derecho comparado o conceptos que provienen del mundo legal. Así, mencionaré la willful blindness (ignorancia deliberada, véase el apartado II.4.6 Evaluación de los riesgos de compliance, de este libro), el duty of enquiry (deber de mantenerse informado, véanse los apartados II.5.1.1 Órgano de gobierno y alta dirección y II.5.1.3 Gobernanza de compliance, ambos de este libro) o la business judgement rule (discrecionalidad empresarial, véanse los apartados II.4.6 Evaluación de los riesgos de compliance y II.9.3 Revisión por la dirección, ambos de este libro), por ejemplo. Son conceptos habituales en la esfera legal, aunque no están vinculados a ningún sistema jurídico en concreto.
Los ejemplos
Las diferentes circunstancias que afectan a las organizaciones y la aplicación del principio de proporcionalidad (véanse los comentarios del apartado I.6.1.2 Principio de proporcionalidad, de este libro), llevan inevitablemente a que existan infinitas maneras de plasmar los requisitos del estándar ISO 37301:2021 ante casos concretos. Bajo este entendimiento, carece de sentido proponer “modelos” de sus diferentes requisitos, que pueden ser excesivos para algunas organizaciones o insuficientes para otras. Proponer “modelos” evoca el one fit all, que es precisamente lo que tratan de evitar los sistemas de gestión ISO. La adaptación de los requisitos del estándar a las circunstancias concretas de cada organización es clave para su eficacia.
No obstante, este libro incorpora abundantes ejemplos puntuales, reflexiones e incluso propuestas en búsqueda de la excelencia en compliance. Son formas de completar las explicaciones aportando una visión práctica, que en modo alguno pretende ser la única y excluir otras muchas aproximaciones.
Mis deseos respecto a este libro
Confío en que este libro resulte de utilidad a los profesionales comprometidos con el compliance. He tratado de volcar en él mi experiencia y conocimientos del estándar ISO 37301:2021, habiendo vivido no solo su desarrollo, sino también, el de normas precedentes. Soy consciente de lo difícil que es cubrir exhaustivamente todos sus aspectos y brindar ejemplos que encajen en la totalidad de casuísticas. Conocedor de mis limitaciones al respecto, mi pretensión se ha centrado en redactar una obra rigurosa que ayude a interpretar y aplicar este estándar de compliance global. Si su contenido ayuda verdaderamente al lector, además de un objetivo cumplido será una gran satisfacción personal.
Alain Casanovas
Abreviaturas
Los términos redactados en letra cursiva se refieren a conceptos definidos en el estándar ISO 37301:2021, que en buena parte coinciden con los incluidos en el documento de ISO ISO/IEC Directives-Part I-Consolidated ISO Supplement-Procedures especific to ISO, Annex L Appendix II High level structure, identical core text, common text and core definitions, donde se estable la estructura de alto nivel para las normas de los sistemas de gestión (HLS) y de la HLS de ISO/IEC1. Esta obra cita los documentos fruto de la normalización como “estándares” o “normas”, indistintamente.
Las siguientes abreviaturas corresponden a los significados indicados:
ABMS: Anti-Bribery Management System
AFNOR: Association Française de Normalisation
ANSI: American National Standards Institute
AS: Australian Standard
ASI: Austrian Standards Institute
BA: Bribery Act (UK)
BS: British Standard
BSi: British Standards institution
CMS: Compliance Management System
COSO: Committee of Sponsoring Organizations (of the Treadway Commission)
CTN: Comité Técnico de Normalización
DoJ: Department of Justice (US)
FATF: Financial Action Task Force
FCPA: Foreign Corrupt Practices Act (US)
FDIC: Federal Deposit Insurance Corporation
FinCEN: Financial Crimes Enforcement Network
GAFI: Group d’Action Financière
GRC: Governance, Risk & Compliance
HLS: High Level Structure (estructura de alto nivel) de los sistemas de gestión que propone ISO/IEC.
IEC: International Electrotechnical Commission
ISO: International Organization for Standardization
MSS: Management System Standard
NCUA: National Credit Union Administration
OCC: Office of the Comptroller of the Currency
OCDE: Organización para la Cooperación y el Desarrollo Económicos
PDCA: Plan, Do, Check, Act
PC: Project Committee
SC: Subcomité
SEC: Securities and Exchange Commission (US)
TC: Technical Committee
UNE: Una Norma Española
US: United States
UK: United Kingdom
WD: Working Draft
———————
1 La HLS regula en el documento ISO/IEC Directives-Part I-Consolidated ISO Supplement-Procedures especific to ISO, Annex L Appendix II High level structure, identical core text, common text and core definitions, 10.ª ed., 2019. Es un documento de acceso público a través de internet, incluyendo sus eventuales revisiones.
———————
Parte I: Historia y características del estándar ISO 37301:2021
I.1. Antecedentes
El estándar ISO 37301:2021 es el resultado de un proceso de normalización internacional sobre sistemas de gestión de compliance cuyo objeto era actualizar y sustituir a la norma ISO 19600:2014. Este texto fue el primero en el que se utilizó la denominada “estructura de alto nivel” (High Level Structure, HLS), sobre la que se hablará en el capítulo I.2 La HLS de ISO, de este libro, para articular un sistema de gestión dedicado exclusivamente al compliance. Esta norma, a su vez, estaba basada en los contenidos del estándar nacional AS 3806:2006 2.
I.1.1. El estándar AS 3806:2006
La norma australiana AS 3806:2006 es el primer estándar nacional que se proyecta en el ámbito del compliance con un enfoque general. Australian Standards, reputada organización independiente sin ánimo de lucro, reconocida por el Gobierno de Australia y miembro de ISO, encomendó este proyecto de normalización a su comité especializado QR-0143. El texto del estándar fue aprobado en el Consejo de dicha organización celebrado el 23 de enero de 2006, sustituyendo a la antigua norma AS 3806:1998.Esta norma brindaba principios para desarrollar y mantener programas de compliance eficaces, tanto para organizaciones públicas como privadas. A tales efectos, articulaba doce principios fundamentales que apuntalaban un programa de compliance, vinculando cada uno de ellos con determinadas buenas prácticas. No obstante, toda esta serie de elementos estaba regulada en forma de programa y no como un sistema de gestión (véanse los comentarios del capítulo II.4 Contexto de la organización, de este libro).
Pese a ser un estándar local, este texto adquirió una notable difusión internacional, no solo por ser el primero de amplio alcance objetivo y subjetivo4, sino también, por la claridad y el enfoque práctico de sus contenidos.
———————
2 Cuando se aprecia la utilidad internacional de un estándar publicado por una entidad nacional de normalización, se puede impulsar un proyecto de normalización internacional (ISO) sobre la base de sus contenidos.
3 Es significativa la composición del grupo de trabajo que otorgó al estándar sobre programas de compliance una fuerte legitimidad: Australian Competition and Consumer Comisión, Australian Compliance Institute, Australian Record Industry Association, Australian Securities and Investments Commission, Australian Taxation Office, Consumer’s Federation of Australia, Law Council of Australia, Society of Consumer Affairs Professionals, The Institute of Internal Auditors-Australia, University Western Sydney.
4 El texto fue diseñado para proyectarse sobre un amplio espectro de organizaciones y materias. No era un estándar sectorial destinado a cubrir ciertos ámbitos regulatorios, en particular.
———————
I.1.2. El estándar ISO 19600:2014
El estándar australiano AS 3806:2006 fue la base de trabajo para elaborar el primer estándar internacional en materia de compliance: la que sería norma ISO 19600:2014. A tales efectos, ISO constituyó el Project Committee ISO/PC 271, presidido por Martin Tolar5 y que acogió a expertos de 14 países. El texto australiano AS 3806:2006 fue adaptado a la HLS (véase el capítulo I.2 La HLS de ISO, de este libro), objeto de debate en diversas sesiones plenarias6, publicándose finalmente en diciembre de 2014 bajo la forma de un MSS de Tipo B7 (no certificable).
———————
5 Martin Tolar ha ostentado cargos directivos en el GRC Institute (Australia), vinculado con la creación del AS 3806:2006. También ha presidido la International Federation of Complace Associations (IFCA).
6 Se mantuvieron tres sesiones plenarias. La primera tuvo lugar del 8 al 12 de abril de 2013 en Sídney, Australia, siendo Australian Standards la entidad anfitriona. La segunda se celebró del 14 al 18 de octubre de 2013 en París, Francia, siendo la Association Française de Normalisation (AFNOR) la entidad anfitriona. La tercera y última sesión plenaria se mantuvo del 7 al 11 de julio de 2014 en Viena, Austria, siendo la organización anfitriona el Austrian Standards Institute (ASI).
7 El diseño de un MSS de Tipo B o de directrices, no es adecuado para que su aplicación sea objeto de certificación. En el momento de iniciar la normalización del estándar, no se consideró que existía justificación suficiente (demanda social) para generar un estándar certificable (los estándares ISO no pretenden generar necesidades sino responder a ellas). Por otra parte, tomaba como punto de partida la norma local AS 3806:2006, que tampoco era certificable.
En relación con las diferencias entre Management System Standards (MSS) de tipo A y de tipo B, véanse las explicaciones en el capítulo I.2 La HLS de ISO, de este libro. En cualquier caso, el empleo de la HLS era potestativo en MSS de tipo B, a pesar de lo cual se decidió aplicar.
———————
I.2 La HLS de ISO
El Grupo ISO de coordinación técnica sobre sistemas de gestión ideó la llamada estructura de alto nivel (High Level Structure, HLS) para que los estándares sobre sistemas de gestión (Management System Standards, MSS) elaborados a través de dicha organización tuvieran una estructura común, así como unas definiciones y unos contenidos básicos equiparables8.
La regulación sobre la HLS distingue entre en MSS de tipo A y B9, siendo los primeros aquellos que proporcionan especificaciones y admiten certificar la conformidad con sus contenidos, mientras que los segundos brindan líneas directrices y no son certificables10.
Emplear la HLS brinda uniformidad a los MSS, exigiéndose su empleo en los de tipo A y, cuando sea posible, también en los de tipo B. La HLS puede enriquecerse con contenidos adaptados a cada sistema de gestión, pero no admite alterar su contenido básico.
Cuando es necesario desviarse de la HLS por causas excepcionales, se precisa informar de ello a ISO, razonando los motivos. Desde una perspectiva práctica, cuando los procesos de normalización internacional adoptan como punto de partida, una norma nacional, la adaptan primero a la HLS y señalan los contenidos inalterables por tal motivo11. Como se ha anticipado, esto es lo que sucedió con el estándar ISO 19600:2014 (sobre Compliance Management Systems, CMS), cuyo primer borrador de trabajo (Working Draft, WD) surgió de acomodar el contenido del estándar nacional AS 3806:2006 a la HLS. Lo mismo ocurrió después con el estándar ISO 37001:2016 (sobre anti-bribery management systems, ABMS), que partió de adaptar la norma nacional BS 10500:2011 –specification for an anti-bribery management system (ABMS)– a la HLS. Por ello, estos textos internacionales sobre compliance, así como ahora el estándar ISO 37301:2021, dividen su contenido en los diez capítulos que determina la HLS y recurren a un núcleo común de definiciones y regulación. A pesar de ello, cada estándar dispone del contenido adaptado a su naturaleza y finalidad, lo que hace muy necesario prestar atención a sus definiciones y requisitos singulares.
En cualquier caso, el empleo de la HLS permite armonizar e integrar sistemas de gestión gracias a su estructura y a los contenidos comunes. De hecho, ISO publica una guía que ayuda a realizar estas integraciones12. Es algo especialmente útil en el ámbito del compliance, donde un sistema de gestión general puede, a su vez, integrar otros sistemas de gestión específicos que se proyectan sobre ciertos riesgos u obligaciones de compliance en particular. Esto puede suceder con mucha facilidad con el estándar ISO 37301:2021, llamado a aglutinar mecanismos que garanticen el cumplimiento de las principales obligaciones de compliance que afectan a la organización. Una correcta integración facilita:
• Aglutinar los elementos comunes de todos los sistemas de gestión en el modelo del alcance general, evitando así el tratamiento redundante de las cuestiones comunes. De este modo, los elementos organizativos y documentales de cada grupo de riesgos u obligaciones de compliance quedan reducidos a sus singularidades, ayudando a prevenir modelos de compliance innecesariamente voluminosos.
———————
8 La HLS regula en el documento ISO/IEC Directives–Part I–Consolidated ISO Supplement -Procedures specific to ISO, Annex L Appendix II High level structure, identical core text, common text and core definitions, 10.ª ed., 2019. Es un documento de acceso público a través de internet, que incluye sus eventuales revisiones. Los MSS (Management System Standards) de tipo A (certificables), como lo es el estándar ISO 37301:2021, deben seguir la HLS, mientras que es una opción potestativa para los MSS de tipo B (no certificables), como la anterior norma ISO 19600:2014.
9 ISO/IEC Directives-Part I-Consolidated ISO Supplement-Procedures specific to ISO, Annex L Appendix II High level structure, identical core text, common text and core definitions”, 10.ª ed., 2019. Esta distinción entre MSS de tipo A y B viene establecida en los apartados L. 2.5 y L 2.6 del anexo L del documento.
10 Sin perjuicio de esta clasificación general, los MSS de tipo A pueden igualmente incorporar líneas directrices que ayuden a la interpretación y a la aplicación de sus requisitos. Normalmente, tal circunstancia se aprecia en el propio título del estándar, como sucede en la Norma ISO 37001:2017 titulada Sistemas de gestión antisoborno. Requisitos con orientación para su uso. Los contenidos no normativos suelen introducirse a través de notas aclaratorias a los diferentes apartados o de anexos finales (normalmente identificados como “no normativos”).
11 En los Project Committees (PC) de ISO se señalaron los contenidos inalterables de los documentos de trabajo en un color distinto, conocidos como blueprints.
12 ISO, ISO Handbook–The integrated use of Management System Standards (IUMSS), 2nd ed., 2018-11.
———————
EJEMPLO. Modo de integrar políticas de compliance.
De este modo, la política de compliance general o “transversal” recogerá aspectos comunes que no se replicarán entonces en las políticas exigidas en los sistemas de gestión que aplican sobre diferentes riesgos de compliance, que se reducen a su esencia por motivos técnicos. Esta mecánica de “traspasos” a la estructura general o “transversal” de compliance aplicará igualmente con el resto de requisitos, de modo que los sistemas de gestión que eventualmente operen sobre los distintos grupos de riesgos u obligaciones de compliance queden reducidos a su mínimo exponente por motivos técnicos El resto de contenidos queda en la parte general o común para todos ellos.
• Obtener una visión conjunta de las cuestiones de compliance referidas a las principales obligaciones de naturaleza que afectan a la organización y reportarla de forma integrada. Esto brinda una imagen completa que ayuda a priorizar correctamente las acciones y decisiones, mejorando notablemente la calidad en la gestión.
EJEMPLO. Reportes consolidados de compliance vs. múltiples líneas de reporte.
Los estándares sobre sistemas de gestión de compliance en materias concretas precisan reportar sus actividades al órgano de gobierno y a la alta dirección. A la larga, esto supone la multiplicación de informes de compliance, con los inconvenientes que entraña. Un informe consolidado de compliance evita esta dispersión y brinda una visión general con mayor valor añadido en el proceso de toma de decisiones.
• Optimizar las políticas, los procedimientos y los controles de compliance cuando pueden cubrir las necesidades derivadas de obligaciones de compliance de diferentes ámbitos. Evita redundancias innecesarias de control, inconsistencias y también, lagunas.
EJEMPLO. Políticas y procedimientos innecesariamente redundantes o inconsistentes.
La ausencia de una visión o coordinación transversal de las actividades desarrolladas para promover el cumplimiento de las diferentes obligaciones de compliance favorece la producción de políticas, procedimientos y controles redundantes, eventualmente inconsistentes, así como posibles lagunas por una deficiente asignación de roles y responsabilidades.
Los componentes que aparecen reflejados en la HLS de ISO se pueden interpretar y aplicar en clave de ciclo Deming13, que pretende la mejora continua en la gestión mediante cuatro etapas: planificar, hacer, verificar y actuar14.
———————
13 William Edwards Deming (Sioux City Iowa, 1900-Washington D. C. 1993, EE. UU.). Estadístico y profesor universitario, presentó en la década de 1950 el denominado PDCA (Plan, Do, Check, Act) para la mejora continua en todo tipo de situaciones, creado y publicado en 1939 por W. A, Shewhart. De ahí que sea referido indistintamente como ciclo Deming o ciclo Shewhart.
14 En la primera etapa (planificar) se determinan qué elementos y actividades serán precisos para alcanzar los resultados pretendidos. A continuación, se llevan a la práctica dichas actividades (hacer) para verificar después si se están cumpliendo las expectativas esperadas (verificar). A partir del análisis de la información obtenida se pueden idear las actuaciones necesarias para corregir las desviaciones indeseadas (actuar), lo que nuevamente conducirá a una etapa para planificar los elementos y actividades que se precisan para llevarlas a cabo (planificar).
———————
I.3. El proceso de normalización del estándar ISO 37301:2021
En el contexto de la reunión 67 del Technical Management Board de ISO, celebrado en Beijing (China) el 10 de septiembre de 2016, se adoptó la decisión de establecer el nuevo comité técnico (Technical Committee, TC) ISO/TC 309 sobre el gobierno de las organizaciones15. Acabaría comprendiendo cuatro grupos de trabajo (Working Group, WG), proyectados sobre diferentes materias técnicas:
• ISO/TC 309 WG 1 Guía para el gobierno de las organizaciones, orientado a definir el primer “sistema de gobierno” ISO 37000, como fundamento de toda la serie de “sistemas de gestión” bajo su cobertura16.
• ISO/TC 309 WG 2 sobre sistemas de gestión antisoborno, como continuación del antiguo ISO/PC 278.
• ISO/TC 309 WG 3 sobre sistemas de gestión de canales para el planteamiento de inquietudes, que se orientaría a producir el estándar ISO 37002 de directrices sobre dicha materia.
• ISO/TC 309 WG 4 sobre sistemas de gestión de compliance, como seguimiento del antiguo ISO/PC 271, cuya aprobación se comunicó por la secretaría del ISO/TC 309 el 20 de septiembre de 201817 y que produciría el estándar ISO 37301:2021.
El proceso de revisión y transformación de la norma ISO 19600:2014 en el nuevo estándar ISO 37301:2021 atravesó por seis reuniones plenarias18, de las cuales la última tuvo que celebrarse telemáticamente debido a las restricciones de movilidad derivadas del covid-19.
A lo largo de este proceso de maduración, no solo se revisaron los contenidos del anterior estándar ISO 19600:2014 a la luz de las buenas prácticas surgidas desde su publicación19, sino que también se reestructuraron sus contenidos para hacerlos adecuados para un MSS de tipo A (certificable). Esto significó trasladar una buena parte de su contenido inicial al nuevo anexo A (informativo) Guía para el uso de este documento, dejando en el cuerpo de la norma los requisitos esenciales. Recordemos que el estándar ISO 19600:2014, un MSS de tipo B (no certificable) no disponía de un anexo semejante y todo su contenido (de recomendaciones) se encuentra recogido en su articulado.
Como estándar certificable bajo la órbita de la familia de normas 37000, se le otorgó la numeración 3730120 y finalmente ha sido publicado el 13 de abril de 2021.
Debido al interés que despertó esta norma en países de habla hispana, el 23 de noviembre de 2020 se constituyó el ISO/TC 309/STTF (Spanish Translation Task Force), presidido por la Asociación Española de Normalización, UNE, y cuya secretaría ostenta el Servicio Ecuatoriano de Normalización (INEN). Gracias a esta iniciativa, se dispone de una versión oficial ISO en español, que será adoptada como norma UNE-ISO 37301:2021, con contenido idéntico.
———————
15 Desempeñando la secretaría la institución británica BSI (British Standards Institution), que ya lo había hecho en el antiguo e ISO/PC 278 sobre sistemas de gestión antisoborno. No es así en el anterior ISO/PC 271 sobre sistemas de gestión de compliance cuyo desempeño de la secretaría recayó en la entidad australiana SA (Standards Australia).
16 Un sistema de gestión difícilmente operará correctamente en organizaciones desestructuradas desde una perspectiva de gobierno. A partir de esta idea, se constató la importancia de que todos los sistemas de gestión en compliance orbitaran alrededor de la familia de normas 37000, encabezada por el primer “sistema de gobierno” de ISO. El sistema establece parámetros para el buen gobierno de las organizaciones, bajo cuya correcta interpretación y aplicación cabe desarrollar actividades de gestión a través de los correspondientes “sistemas de gestión”. De ahí emerge la lógica del estándar de gobierno ISO 37000 y de los estándares de gestión bajo su órbita: ISO 37001, ISO 37002 e ISO 37301.
17 Se designó coordinador de dicho grupo a Martin Tolar, que fue el presidente del antiguo ISO/PC 271 que proyectó su actividad en la elaboración del estándar ISO 19600:2014, precursor del ISO 37301:2021. Es interesante señalar que para la coordinación adicional se designó al Dr. Yiyo Wang de China, lo que demuestra el interés en dicho país por el estándar.
18 La primera tuvo en lugar en Londres, Reino Unido, del 9 al 11 de noviembre de 2016; la segunda en Quebec, Canadá, del 22 al 26 de mayo de 2017; la tercera en Shenzhen, China, del 12 al 17 de noviembre de 2017, la cuarta en Sydney, Australia, del 2 al 9 de noviembre de 2018 y la quinta en Nueva Delhi, India, del 3 al 9 de noviembre de 2019. La sexta y última tenía que celebrarse en Viena, Austria, en junio de 2020, pero se suspendió por motivo de las restricciones a la movilidad derivadas del covid-19.
19 Algunas de ellas reflejadas en el estándar ISO 37001:2016, que igualmente se recogen ahora en el estándar ISO 37301:2021.
20 En línea con las prácticas de ISO, debería procurarse que los MSS de tipo A (certificables) terminasen en 01. Al ya existir el estándar 37001:2016 (sobre sistema de gestión antisoborno), se escogió el número 37301.
———————
I.4. El estándar ISO 37301:2021 como sistema de gestión
Al hablar de modelos de compliance es común referirse a “programas” como si sólo existiese esta forma de concebirlos. Sin embargo, los estándares ISO determinan sistemas de gestión, cuyos componentes y sus interacciones redundan en una mayor eficacia de los modelos respecto de “programas” clásicos.
I.4.1. De los programas de compliance a los sistemas de gestión
El transcurso de la última década muestra la evolución de los modelos de compliance: primero, en forma de programas y recientemente, articulados como sistemas de gestión. Así, el primer estándar general sobre compliance, la norma australiana AS 3806:2006, versaba sobre “programas” de compliance; más tarde, la recomendación de la OCDE para fortalecer la lucha contra el cohecho21 también empleó el concepto de “programas”; como, del mismo modo, vienen haciendo las administraciones norteamericanas: tanto en las líneas directrices publicadas anualmente por la US Sentencing Commission22, como en los documentos producidos por el US Department of Justice (DoJ)23.
Un programa de compliance aglutina una serie de componentes considerados idóneos para alcanzar determinada finalidad. Un “sistema de gestión”, además de fijar estos elementos clave, pone énfasis en la interrelación que debe existir entre ellos y en la lógica que inviste al conjunto. En bastantes ocasiones, el sentido de estas relaciones radica principalmente en un enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro), que condiciona la orientación de diferentes componentes: aunque las acciones formativas están ampliamente referenciadas en los textos sobre compliance, cualquier actividad de formación no es objetivamente idónea, debiendo cubrir las materias que exponen a la organización e impartirse a las personas que desempeñan un rol relevante en los procesos expuestos a riesgo. Este tipo de consideraciones, que se entenderían como recomendables en el contexto de un programa de compliance, se multiplican y son indispensables para un sistema de gestión. Tanto el diseño como la evaluación de un modelo de compliance en clave sistémica precisan atender a estas interacciones y, por eso, no pueden realizarse atendiendo solamente a la concurrencia de elementos aisladamente considerados.
———————
21 El texto de la recomendación de la OCDE para fortalecer la lucha contra el cohecho se localiza en la página web www.oecd.org. El anexo II a dicha recomendación de 2009 hace referencia a los “programas de ética y cumplimiento”.
22 Así, por ejemplo, US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of Organizations, noviembre de 2018. El apartado 2 de dicho capítulo hace referencia a los “effective compliance and ethics programs”.
23 El texto de la Resource Guide to the US Foreign Corrupt Practices Act publicado conjuntamente por el US Department of Justice (DoJ) y la Securities and Exchange Commission (SEC) en el año 2012, se refiere a los “corporate compliance programs”. También se refiere a estos, el documento titulado Evaluation of Corporate Compliance Programs, Guidance Document, emitido por su Criminal Division (actualización del mes de junio de 2020, que estuvo precedido de versiones previas publicadas en 2019 y 2017). Estos documentos se localizan en la página web www.justice.gov.
———————
I.4.2. La normalización internacional en materia de compliance tiende a los sistemas de gestión
La actividad de normalización es un fenómeno que da respuesta a la inquietud social por homogeneizar el tratamiento de determinadas materias técnicas. Con esta finalidad, los Estados pueden atribuir capacidades de producción normativa a entidades de sus respectivos territorios: es el caso de la Asociación Española de Normalización, UNE, como también lo es el de la Association Française de Normalisation (AFNOR) en Francia, el del Deutsches Institut für Normung en Alemania, el del Ente Nazionale Italiano di Unificazione UNI en Italia, el del American National Standards Institute ANSI en los Estados Unidos y un largo etcétera. Las entidades de normalización se agrupan en la International Organization for Standardization (ISO), que es una organización no gubernamental independiente de la que forman parte actualmente 164 miembros24.
———————
24 Actualmente existen 194 países soberanos reconocidos por la ONU. Por consiguiente, acogiendo a 164 países, ISO es una plataforma internacional ampliamente reconocida.
———————
Cuando en el año 2013 ISO decidió estandarizar sobre compliance, adoptó como documento de partida la norma australiana AS 3806:2006 Compliance Programs, (sobre “programas” de compliance), pero adaptó sus contenidos a la denominada “estructura de alto nivel” (High Level Structure, HLS) que ISO emplea en sus sistemas de gestión. Sobre esta base, se refinó el documento hasta publicar la norma ISO 19600:2014 Compliance management systems-Guidelines, primer estándar internacional sobre sistemas de gestión de compliance. El caso de la norma ISO 37001:2016 sobre sistemas de gestión antisoborno fue distinto, dado que adoptó como partida el moderno estándar británico BS 10500:2011, que también articulaba un sistema de gestión, aunque este no estaba basado en la HLS. Desde entonces, otros estándares ISO siguen adoptando la forma de sistemas de gestión, como la norma ISO 37002 sobre sistemas de gestión de canales para el planteamiento de inquietudes (MSS de tipo B, no certificable) o el estándar ISO 37301:2021 que ahora nos ocupa (MSS de tipo A, certificable).
I.4.3. El estándar ISO 37301:2021
El estándar ISO 37301:2021 articula un sistema de gestión y así lo subraya en múltiples ocasiones:
• De manera general, cuando, por ejemplo, el apartado 4.4 Sistema de gestión del compliance no solo insta a la organización a impulsarlo, sino que llama a atender las interacciones precisas. Insta, como condicionante de partida, a considerar en su diseño lo indicado en el apartado 4.1 Comprensión de la organización y de su contexto, no solamente para fundamentar un sistema de gestión basado en interacciones, sino para que, además, se adecúe a las circunstancias de la organización. Puesto que es clave entender bien tales circunstancias para establecer un sistema de gestión y sus componentes, el citado contenido del apartado 4.1 Comprensión de la organización y de su contexto aparece referenciado en diversos apartados del estándar (los apartados 4.3 Determinación del alcance del sistema de gestión del compliance, 4.4 Sistema de gestión del compliance y 6.1 Acciones para abordar los riesgos y oportunidades de la norma).
• De forma específica, cuando en algún requisito se indica tener en cuenta otro. Esto sucede con el apartado 4.6 Evaluación de los riesgos de compliance, que se cita explícitamente en otros lugares de la norma (los apartados 5.3.2 Función de compliance, 6.1 Acciones para abordar los riesgos y oportunidades y 9.1.2 Fuentes de opinión sobre el desempeño del compliance), como también sucede con otros muchos apartados del estándar25.
• Finalmente, también cabe considerar multitud de referencias implícitas que, sin referirse explícitamente a otros apartados, emplean su vocabulario o citan sus materias; por citar un ejemplo, cuando en el apartado 7.2.3 Formación se apunta que debe ser adecuada a los roles del personal y los riesgos de compliance a los que están expuestos, esto lleva a tener en consideración, como mínimo, la identificación de roles de riesgo de compliance del personal que se establece en el apartado 7.2.2 Proceso de empleo, así como el resultado de aplicar el apartado 4.6 Evaluación de los riesgos de compliance, aunque ninguno de estos dos apartados estén expresamente citados.
El contenido del estándar y la interacción de sus componentes puede interpretarse en clave de ciclo Deming, que, como se explicó anteriormente en el capítulo I.2 La HLS de ISO, de este libro, al tratar la HLS, pretende la mejora continua a través de cuatro etapas: planificar, hacer, verificar y actuar. De hecho, la Introducción de la norma ISO 37301:2021 incorpora un novedoso esquema en este sentido, distinto del que plasmó la norma ISO 19600:2014. Encontramos reflejados los componentes que se asocian con cada una estas etapas, ilustrando el modo en que opera el sistema de gestión como algo “vivo”.
———————
25 A los lectores no acostumbrados a los sistemas de gestión, las continuas referencias cruzadas (que interrelacionan componentes) dan una sensación inicial de falta de sistematicidad en la redacción de los estándares. Cuando se comprende la operativa sistémica de sus componentes, se entiende también la necesidad de establecer estas correlaciones.
———————