Entrevista a Paloma López Lemos, Directora del Área de Certificación de sistemas de la WCA

Con ocasión del I Congreso Nacional de Compliance y Auditoría celebrado en Barcelona el 24 de enero de 2019, organizado por la World Compliance Association y patrocinado por Wolters Kluwer, entrevistamos a Paloma López Lemos, Directora del Área de Certificación de sistemas de la WCA, sobre el valor de los Sistemas de gestión del compliance normalizados: ISO 37001 - UNE 19601 y su certificación.

¿Qué ventajas ofrece la certificación en compliance?

La certificación es la declaración por parte de un tercero, independiente y objetivo, de que el programa de cumplimiento de la organización realmente atiende a los requisitos del estándar que se haya decidido seguir. Por tanto, es una forma de demostrar la eficacia del programa de cumplimiento ante los grupos de interés de la entidad: los socios y accionistas, los clientes, los propios trabajadores, partners, la administración pública e incluso la ciudadanía.

El certificado no es una garantía, por supuesto, pero aporta un gran valor a la organización, y bien empleada, es una herramienta de mejora fundamental. Al fin y al cabo, la entidad certificada se somete a auditorías periódicas, que le ayudan a consolidar sus buenas prácticas y sobre todo, a identificar oportunidades de mejora.

¿Está creciendo el número de empresas que se están certificando?

Sin duda. El número de certificaciones aumenta en todos los esquemas (calidad, medio ambiente, seguridad de la información…) pero sin duda, el número de empresas que se está certificando en los estándares más conocidos de Compliance (UNE 19601:2017 Sistemas de Gestión de Compliance Penal e ISO 37001:2016 Sistemas de Gestión Antisoborno) va aumentando. Las normas son muy nuevas y aún no existen datos oficiales sobre el número de certificados, pero en la WCA notamos el aumento de la demanda de ofertas, ya no solo por parte de las grandes entidades, sino también por parte de las PYMEs.

Lo cierto es que cada vez hay menos tolerancia ante la corrupción, el fraude y el soborno. Por ejemplo, un estudio de Compliance realizado por The Red Flag Group indica que el 77% de las grandes empresas (entre 1.000 y 10.000 trabajadores y con una facturación anual que supera el billón de dólares) consideran fundamental integrar las medidas antisoborno en sus sistemas de gestión. Más del 50% de estas empresas, además, querrían utilizar la certificación como medio de comparar sus programas de cumplimiento con los de otras compañías y prácticamente el 65% estarían más dispuestas a hacer negocios con empresas que también estuviesen certificadas en ISO 37001.

¿Qué dicen los tribunales sobre la validez de las certificaciones como prueba de eficacia de un plan de compliance?

Muy recientemente, el Magistrado de la Sala Segunda del Tribunal Supremo y Doctor en derecho, Sr. Vicente Magro Servet, publicó un artículo muy interesante en www.diariolaley.laley.es titulado “Viabilidad de la pericial de compliance para validar la suficiencia del programa de cumplimiento normativo por las personas jurídicas” en el que indicaba (cito textualmente) que:

“Será un apoyo de enorme valor y consistencia el disponer de un sistema de cumplimiento basado en normas de referencia, auditado, certificado, y comparable con terceros. Ninguna empresa certificadora puede sustituir la valoración del modelo que llegado el caso haga el juez o tribunal, pero es importante que dicho modelo esté certificado periódicamente por un tercero independiente”.

Sinceramente creo que este artículo marcará un antes y un después en la forma en que se valoran los certificados de Compliance, pues hasta ahora contábamos con la opinión de varios miembros de la judicatura y de la fiscalía, pero no de un miembro del Tribunal Supremo.

En general existe bastante consenso en que el certificado compliance de una organización aporta valor a la hora de evaluar la eficacia de su programa de cumplimiento si bien no debe ser considerado como una garantía ni sustituye la valoración del tribunal.

¿Qué opina de implementar programas de cumplimiento conforme a normas UNE o ISO?

Las normas (ISO, UNE) permiten implementar un programa de cumplimiento de forma sistemática, sin duda, y son una herramienta para comparar programas de distintas organizaciones. Además, en su elaboración, los organismos normalizadores suelen integrar las “mejores prácticas” del sector, por lo que suelen ser una garantía de éxito.

Además, tanto UNE 19601 como ISO 37001 son estándares con muchos puntos en común con otras normas ISO (como ISO 9001, la norma de los sistema de gestión de calidad), muy extendidos hoy en día en empresas de todos los sectores, lo que simplifica su implementación e integración en los mismos y facilita la labor de los Compliance Officers. En la mayoría de las empresas que nos encontramos, el sistema de gestión de compliance penal y/o antisoborno está plenamente integrado con los sistemas de gestión de calidad, medio ambiente o seguridad laboral… y, cuando no lo está, es nuestra primera recomendación.

¿Contar con una herramienta informática de compliance alineada con la UNE 19601 facilita la certificación? ¿Y abarata su coste?

Claro que sí. Me sorprende que estando en la era del Big data, Realidad Virtual y datos en la nube aún nos encontramos con empresas que tienen su sistema de gestión controlado mediante Excel. Disponer de una herramienta informática siempre simplifica la gestión y la organización del sistema, agiliza procesos que de otra forma pueden resultar poco ágiles (como la gestión documental) y siempre es un acierto. Si, además, está alineada con los requisitos del esquema utilizado para el programa de cumplimiento, pues aún mejor.

Esa mejora en la eficiencia de todo el proceso tiene como consecuencia que se requiere menos tiempo y dedicación de los recursos humanos y compensa con creces el coste de la propia aplicación.

¿Cómo detectar a los que llama los piratas de la certificación?

Yo suelo llamar “piratas” a esas entidades que, habiendo visto negocio en la certificación de sistemas Compliance ofrecen sus servicios sin una mínima garantía de independencia, imparcialidad y, sobre todo, competencia.

Una forma de identificar a las entidades de certificación confiables es, sin duda, comprobando si están acreditadas. La acreditación es la “certificación” de las entidades de certificación, pues es un proceso a través del cual un tercero independiente declara que la entidad es competente precisamente para prestar esos servicios.

La acreditación es un aval de que la entidad de certificación dispone de auditores expertos (en el estándar que se va a auditar, en técnicas de auditoría, etc.), de que se analiza con lupa la imparcialidad de todo el proceso, de que no se incurre en conflictos de interés, de que el proceso de auditoría se realiza conforme a estándares internacionales incluso que se dispone de un seguro de responsabilidad civil.

Ojo, la acreditación, al igual que la certificación, es un proceso voluntario –no se trata de una licencia o un “permiso” para poder certificar- y el hecho de no disponer de ella no significa automáticamente que la entidad sea “pirata”. Muchas entidades serias y de reconocido prestigio, tanto españolas como internacionales, están ofreciendo sus servicios de certificación Compliance sin acreditación.

Por lo general, en una entidad de certificación “pirata”, todo son facilidades: no requieren gran cantidad de información de partida para hacer una oferta, se avienen a modificar la duración de la auditoría según desee la organización, no tienen problema en colocar las fechas de auditoría cuando el cliente decida, ofrecen la posibilidad de integrar consultoría y formación junto con la propia certificación… en fin, hay que desconfiar de este tipo de entidades, pues tanta flexibilidad suele obedecer al hecho de que no tienen implementado un sistema de gestión conforme a ISO 17021-1 (la norma internacional que aplica a las entidades de certificación de sistemas de gestión) ni aplican las recomendaciones que la IAF (International Accreditation Forum) publica periódicamente en forma de Guías.

Nosotros recomendamos a las empresas que soliciten varias ofertas a distintas entidades y que comparen las condiciones de todas ellas, especialmente los días de auditoría, los plazos, el proceso de certificación... Las empresas dudosas suelen ponerse de manifiesto enseguida.