Mayrata Conesa, Mánager de Compliance de AENOR.
Cuando el término compliance empezó a tomar impulso, fueron muchas las voces que en ese momento ya afirmaron que no se trataba de una moda pasajera, sino de un factor fundamental para que la sostenibilidad y el buen gobierno alcanzara el nivel deseado en las organizaciones. Hoy está demostrado que sin un compromiso con el cumplimiento y, sobre todo, si no se aborda la cultura de compliance como algo que debe llegar a todos los niveles de la organización es imposible alcanzar objetivos en un valor en alza como es el buen gobierno.
En este sentido, la UNE-ISO 37301 Sistemas de gestión de compliance. Requisitos con orientación para su uso, viene a sumarse y a completar las soluciones de evaluación de la conformidad que ya ofrece AENOR en este ámbito dentro de su Plataforma de confianza: “Escalar valores corporativos”. Esto es, las certificaciones de Sistema de Gestión de Compliance Penal UNE 19601, Antisoborno UNE-ISO 37001 y Compliance Tributario UNE 19602.
La nueva Norma UNE-ISO 37301, con estructura de alto nivel, sustituye a la UNE-ISO 19600:2015, que constituía una guía de directrices para la implantación de sistemas de gestión de compliance en las organizaciones, pero que no era certificable. Y es que, la UNE-ISO 37301 contiene requisitos, por lo que se trata de una norma certificable. Además, completa su contenido con una guía que recoge directrices no obligatorias, pero que pueden resultar de gran ayuda para la aplicación y correcta interpretación de dichos requisitos.
Identificación de obligaciones
Partiendo, como en otros sistemas de gestión, de un análisis de contexto y de partes interesadas, el sistema de gestión de compliance descrito en la UNE-ISO 37301 implica que la organización debe contar con una sistemática para la identificación y actualización de las principales obligaciones que afectan a sus actividades, productos o servicios.
Cuando se habla de obligaciones, la Norma UNE-ISO 37301 no pone el foco solo en las derivadas de leyes o reglamentos, sino en aquellas otras obligaciones relevantes para la organización y que pueden provenir de compromisos adquiridos por vía contractual, por ejemplo. La organización tiene que realizar una evaluación para analizar y valorar los riesgos derivados de los posibles incumplimientos de esas obligaciones, establecer los mecanismos de control adecuados para evitar o minimizar esos riesgos, y verificar periódicamente que esos controles son eficaces.
Como en otras soluciones de compliance son muy relevantes los requisitos relativos al liderazgo (ya que estos sistemas deben ser impulsados desde los órganos de gobierno), los requisitos de cultura de compliance (formación, sensibilización, comunicación al personal) y la necesidad de poner a disposición los canales de comunicación adecuados para facilitar que se pueda informar de posibles incumplimientos o irregularidades.
En los Sistemas de Compliance Penal UNE 19601 y Gestión Antisoborno UNE-ISO 37001, las organizaciones tienen que identificar las potenciales situaciones de riesgo a las que podrían enfrentarse y evaluar el riesgo de que se materialicen. Con la UNE-ISO 37301, las organizaciones tienen que identificar las obligaciones y evaluar los riesgos asociados a sus posibles incumplimientos.
Asimismo, la Norma UNE-ISO 37301 establece el conjunto de requerimientos de gestión del cumplimiento. Es decir, no se trata de cumplir con las obligaciones, sino de acreditar que se dispone de los recursos, procedimientos y procesos adecuados para gestionar adecuadamente ese cumplimiento.
Probablemente, los elementos de control que se asocian a los riesgos en las Normas UNE 19601, UNE-ISO 37001, UNE 19602 y UNE-ISO 37301 van a ser coincidentes total o parcialmente. Esto que facilita la integración de todas las soluciones de compliance, además de otros requisitos entre las distintas normas.
Función de cumplimiento
La Norma UNE-UNE-ISO 37301 contiene algunos requisitos que necesariamente implican una cierta estructura de la “función de cumplimiento”, si bien es la propia norma la que contempla su aplicación a organizaciones de todos los tamaños. Por tanto, debemos tener en cuenta que lo relevante en esa “función de cumplimiento” será que cada organización disponga de los recursos adecuados. Pero, sobre todo, que haya una formalización de esta función en su nombramiento y que se asegure su autonomía e independencia, entendidas como el acceso directo al órgano de gobierno y como ausencia de interferencia/presión indebida en relación con el ejercicio propio de la función.
Otra cuestión que se plantea en la Norma UNE-ISO 37301 es el alcance del sistema de gestión de compliance que define la organización. Este debe alcanzar, como mínimo, las obligaciones más relevantes a las que la organización debe hacer frente en el ejercicio de sus actividades, elaboración de sus productos o prestación de sus servicios. Es decir, el sistema de gestión de compliance debe tener una cobertura razonable de las obligaciones cuyo incumplimiento supone un riesgo importante para la organización.
La auditoría externa de certificación del sistema de gestión de compliance de acuerdo con la Norma ISO 37301 realizada por un tercero independiente, como es el caso de AENOR, es una de las maneras más fiables, eficaces y transparentes de evidenciar el compromiso explícito y público de la organización y sus líderes con la cultura de cumplimiento.
Ventajas del Sistema de Gestión de Compliance UNE-ISO 37301
- Dota a la organización de mecanismos de control y gestión de las obligaciones, identificación de los riesgos y toma de decisiones informada respecto a la minimización de estos últimos.
- Apuesta clara en favor del buen gobierno, tanto por el necesario impulso que requiere por parte de los órganos de gobierno, como por facilitar a estos órganos de gobierno el conocimiento de cuál es el nivel de riesgo y la adecuación de los mecanismos de control.
- Refuerza la confianza de las partes interesadas.
- Permite evidenciar, ante las Administraciones Públicas, el compromiso con las medidas de cumplimiento, relevante para trabajar con ellas.
- Contribuye a la creación de una cultura de cumplimiento integral.
La nueva certificación AENOR de Sistema de Gestión de Compliance basada en la Norma UNE-ISO 37301, que ya ha publicado la Asociación Española de Normalización, UNE, se suma a las soluciones incluidas en la Plataforma de confianza: “Escalar valores corporativos” con el objetivo de impulsar la cultura del cumplimiento en un sentido amplio, facilitando la identificación y actualización de las principales obligaciones que afectan a las actividades, productos o servicios de las organizaciones.
AENOR, enfocado desde su origen en aquellas necesidades que tiene el tejido empresarial por dar respuesta a las demandas de la sociedad, no ha sido ajeno a la creciente preocupación social y empresarial por disponer de herramientas que mejoren los sistemas de vigilancia y transparencia del buen gobierno.