Requisitos de competencia para los auditores de compliance. Nueva norma ISO/TS 17021-13

Mucho se ha debatido, especialmente en los últimos años al calor del incremento de la popularidad y difusión de los programas de compliance normalizados, sobre los requisitos, conocimientos y competencias que debería tener un/a Auditor/a de Compliance para un correcto desempeño de su trabajo y para que los resultados de su trabajo sean fiables.

Dando por entendido que la reciente norma ISO 37301:2021 será la gran norma que marcará la referencias para el diseño, implementación y mejora de los programas/sistema de compliance así como para su auditoría/evaluación y certificación, hace apenas unos días (finales de diciembre de 2021) se a publicado la nueva norma, en formato de especificación técnica (TS), ISO/IEC TS 17021-13 que establece los requisitos de competencia para la auditoría y certificación e sistemas de gestión del compliance.

Lo primero que es relevante destacar es que está nueva norma complementa a los requisitos ya establecidos en la norma ISO 17021-1, Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión, estableciendo principalmente las particularidades en materia de competencia que deben tener los auditores de sistemas de compliance y de ISO 37301:2021.

Es importante entender su complementariedad con ISO 17021-1 ya que en la misma se establecen los requisitos base de competencia que debe tener un Auditor, enuncio de forma resumida los más relevantes,

• Conocimiento de la actividad, sector, productos, servicios y contexto de la organización auditada
• Conocimiento de los principios, prácticas y técnicas de auditoría
• Conocimiento específico de la norma a auditar
• Habilidades en el desarrollo y ejecución de las técnicas de muestreo y recopilación de evidencias de auditoría.
• Habilidades para la planificación, preparación y presentación de informes de auditoría.

Siendo los anteriores, requisitos de competencia genéricos, ISO 17021-13 introduce elementos relevantes, sensatos y oportunos para establecer la competencia mínima que debería tener un equipo auditor de compliance, de forma resumida destaco los más relevantes:

• Conocimiento y comprensión sobre los diferentes sistemas legales, leyes, regulaciones y similares que afectan a la organización auditada.
• Conocimiento y habilidades para comprender textos legales y comprender su relevancia para las obligaciones de cumplimiento de la organización.
• Ser capaz de comprender las obligaciones de cumplimiento aplicables y los riesgos derivados
• Conocimiento sobre evaluaciones de riesgo de cumplimiento según ISO 37301 (4.6) así como de métodos para evaluar y tratar riesgos de compliance
• Conocimiento y comprensión para la evaluación de los controles.
• Conocimientos sobre los impulsores de la cultura del cumplimiento y el liderazgo eficaz
• Conocimientos sobre la función, competencia y responsabilidad de la función de cumplimiento
• Conocimientos sobre los sistemas para plantear inquietudes, denuncias, y procesos de investigación.
• Comprender y conocer en profundidad los requisitos de ISO 37301 y la relación entre estos requisitos y el contexto de la organización auditada.

Si bien esta es una norma que tendrá especial relevancia para las entidades/organismos de certificación que deseen auditar y certificar sistemas de gestión del compliance bajo una estructura de reconocimiento formal, oficial y acreditada, es la pauta que debería de revisar detenidamente todos/as aquellos profesiones que aspiren a ser auditores/as de compliance, así como todas las organizaciones a la hora de seleccionar a un equipo auditor competente y fiable.

Iván Martínez López

Vicepresidente internacional World Compliance Association

CEO Intedya Internacional