Autor: Iván Martínez López, director general de Intedya y vicepresidente internacional de la World Compliance Association

Fuente: LinkedIn

La irrupción en el mundo del compliance de la nueva norma ISO 37301:2021, sistemas de gestión del compliance, sin duda marcará un antes y un después en el sector dado su amplio rango de aplicación y su capacidad para adaptarse a las diferentes circunstancias de cada organización y los retos de compliance que tiene que gestionar. Sin embargo, siendo este amplio espectro de aplicación una de sus principales fortalezas, me encuentro muy a menudo que se está interpretando de forma inadecuada y está llevando a un error fundamental en la aplicación del espíritu que persigue esta norma internacional.

Ya desde su fase de borrador, en la cual tuve la oportunidad de aportar de forma positiva en su fase de consulta, he venido advirtiendo que uno de los principales retos de esta norma era su entendimiento conceptual en lo relativo a la correcta definición del ALCANCE sobre el cual se debería diseñar y establecer el sistema de gestión del compliance (SGCM). Recibo multitud de consultas y leo decenas de artículos que interpretan que la nueva ISO 37301 permite elaborar un SGCM “a la carta”, por ejemplo, multitud de organizaciones que se plantean certificar su programa anticorrupción su modelo de cumplimiento de prevención de delitos bajo esta norma en lugar de hacerlo con otras normas específicas como ISO 37001 o UNE 19601 ya que suena mucho más “atractivo” el certificar su “Sistema de Gestión del Compliance” que, por ejemplo, certificar su “Sistema de gestión Antisoborno”, y todo ello sin el adecuado sustento que cumpla los requisitos fijados en la norma.

ISO 37301, sucesora de la tan popular y ya extinta ISO 19600, plantea un abordaje mucho más integral y sensato que es importante entender, abordaje que permite entender bajo una perspectiva global, las principales obligaciones de cumplimiento que afectan a la organización para, tras un adecuado análisis orientado a riesgos, priorizar aquellas obligaciones que pueden ser más relevantes para la organización en cada momento y no hacia aquellas que “resulten del capricho de la organización”. 

 La norma indica claramente que “se deben determinar los límites y la aplicabilidad del sistema de gestión del compliance para establecer su alcance” y para ello en requisito considerar las cuestiones externas e internas de su contexto, las necesidades y expectativas de sus partes interesadas, sus OBLIGACIONES DE CUMPLIMIENTO, así como la evaluación de riesgos de cumplimiento. Para ir hilando conceptos, se indica de forma clara que “la organización debe identificar sistemáticamente sus obligaciones de compliance como resultado de sus actividades, productos y servicios, y evaluar el impacto de estas en sus operaciones”.

¿TODAS LAS OBLIGACIONES DE CUMPLIMIENTO?

El espíritu de la norma queda reforzado en las aclaraciones y recomendaciones del ANEXO a la misma cuando se indica que “la organización debería tomar las obligaciones de compliance como base para establecer, desarrollar, implementar, evaluar, mantener y mejorar su sistema de gestión del compliance”, es decir, no se trata de hace un “MENÚ A LA CARTA” si no más bien de entender el contexto completo de las obligaciones de cumplimiento que aplican a la organización, y para ello debe “debe disponer de procesos para identificar obligaciones de compliance nuevas y modificadas para asegurar un cumplimiento continuo” así como “evaluar el impacto de los cambios identificados e implementar cualquier cambio necesario en la gestión de las obligaciones de compliance”

Aunque la tarea de identificar y evaluar TODAS las obligaciones de cumplimiento que aplican a una organización puede resultar titánica y compleja, de hecho en algunos caso lo será, la norma pone un poco de sentido común dimensionando este requisito y en el anexo aclara que “se debería adoptar un enfoque basado en el riesgo, es decir, una organización debería comenzar con la identificación de la obligación de cumplimiento más importante pertinente para el negocio y luego centrarse en todas las demás obligaciones de compliance (principio de Pareto)”.

Esta recomendación específica, que viene a reforzar lo que se deduce de la interpretación completa del texto de la norma, la organización debe tener una visión completa de sus obligaciones de cumplimiento, al menos de las más relevantes dado su contexto, para, bajo una aproximación con visión de riesgo, priorizar aquellas que pueden suponer mayores amenazas a la organización en cada momento.

Es de vital importancia comprender esto antes de lanzarse a construir o a pretender certificar el SGCM de la entidad ya que, por un lado, es imposible construir un sistema de compliance si no se han definido adecuadamente que cuestiones de cumplimiento deben ser abordadas y, por el otro, será muy difícil superar una auditoría de certificación con cierta seriedad si no se muestran evidencias de que se ha cumplido este requisito base de la norma.

De forma adicional pero totalmente complementario de lo anterior, está el diseño y aplicación de la medidas de diligencia debida y control que son necesarias en el SGCM. Me consta que muchos/as profesionales han sentido cierta decepción cuando observaron de ISO 37301 no contenía una lista exhaustiva de controles mínimos a aplicar a diferencia de otras normas como ISO 37001. Si nos paramos un poco a reflexionar, entenderemos que resulta IMPOSIBLE o INABORDABLE que la norma incorporase una lista más o menos exhaustiva de controles mínimos ya que poco tienen que ver los controles para obligaciones de cumplimiento relacionadas con, por ejemplo, temas tan diversos como la corrupción, marco regulatorio, cuestiones laborales, sociales, libre competencia, derecho de los consumidores, ciberseguridad, prevención de lavado de activos, obligaciones tributarias, compromisos sociales o ambientales, seguridad y salud laboral, compromisos contractuales con clientes, y eso solo por mencionar algunos de los muchos aspectos en materia de cumplimiento que pueden ser relevantes para una organización y que hacen que estos tengan que diseñarse de forma totalmente individualizada en relación a su contexto, riesgos y políticas.

Si bien no es objeto de este artículo, es importante y les recomiendo una profunda revisión de las cuestiones que matiza y requiere la norma en relación con los controles, su eficacia y la prueba de controles, otra de las cuestiones que observo que se están tratando con mucha ligereza y sin embargo tiene una importancia capital para el desempeño del sistema y para el cumplimiento de los requisitos de ISO 37301.

¿CÓMO DEFINIR EL ALCANCE?

En primer lugar, algo que no me cansaré de explicar, no hay una sola forma de cumplir los requisitos fijados en la norma, si bien la forma elegida debe cumplir con los requisitos fijados. Es importante que tanto las entidades como los/as profesionales del compliance entendamos, pese a los retos que implica, la relevancia y valor que aporta ISO 37301, la oportunidad de obtener una visión completa e integral de los riesgos derivados de las obligaciones de cumplimiento que tiene cada organización para, de forma priorizada e inteligente con visión de riesgos, adoptar una decisión estratégica de cuales son aquellas sobre las cuales se debe de focalizar con el objetivo de preservar el valor de la organización a corto, medio y largo plazo.

La organización, dado su contexto, debe establecer procesos para identificar y actualizar todas sus obligaciones de cumplimiento relevantes (no solo leyes….), entiendo como estas afectan y/o impactan en sus actividades, procesos, productos, etc., teniendo las necesidades y expectativas de sus partes interesadas en relación a las obligaciones de cumplimiento, por ejemplo a través de estudios de materialidad, y de otras cuestiones como por ejemplo la madurez de los controles ya establecidos en la organización, el impacto de la diferentes obligaciones, la probabilidad y otras variables que se deseen incorporar. El alcance definido debe explicitar de forma clara e inequívoca las entidades o partes de la entidad, actividades o procesos y localizaciones dentro de alcance de su SGCM, así como las obligaciones de cumplimiento que aborda el sistema, todo ello con el análisis y sustento adecuado que ponga en evidencia que esa es la prioridad actual de la organización.