Recientemente, se ha publicado la Norma ISO 37301:2021 que viene a reemplazar la ISO 19600:2014, aportando nuevas e importantes novedades. Se trata de una norma, que a diferencia de su predecesora, es certificarle. Es decir, permitirá la evaluación de la conformidad de la norma o certificación de los sistemas de gestión de Compliance de carácter transversal.
El objeto de la norma será el de apoyar a las organizaciones para desarrollar una cultura de cumplimiento robusta, basada en una gestión efectiva y eficaz de los riesgos vinculados al cumplimiento. Como sucede también con otras normas estandarizadas, la ISO 37301:2021 es aplicable a cualquier tipo de organización (entendiéndose así las organizaciones públicas, privadas y sin ánimo de lucro), independientemente de su tamaño y naturaleza de la actividad.
De acuerdo con la norma, la estandarización en compliance podrá servir de referencia a los órganos judiciales y regulatorios, ya que los tribunales han considerado el compromiso de una organización a través de su sistema de gestión de compliance al momento de determinar una sanción por contravenir las leyes pertinentes.
Una de los elementos en los que se profundiza más en la norma es en la cultura de cumplimiento de la organización, y por lo tanto, del comportamiento y actitud del personal miembro. Como indica el término 3.28 del capítulo tercero, la cultura de cumplimiento consiste en valores, ética, creencias y conductas que existen a lo largo de una organización y que interactúan con las estructuras de la organización y los sistemas de control para producir normas de comportamiento que conducen al cumplimiento. Un ejemplo, es el que encontramos en el apartado 5.1.1 a) de la UNE 19601 que establece la obligación del órgano de gobierno (Consejo de Administración) de "establecer y defender como uno de los valores fundamentales de la organización que las actuaciones de los miembros de la organización, sean siempre conformes al ordenamiento jurídico (...) promoviendo una cultura de compliance adecuada en el seno de la organización". Esto implica que un efectivo modelo de compliance permite a la organización demostrar su compromiso con el cumplimiento de leyes relevantes, requerimientos regulatorios, códigos y estándares organizacionales, así como estándares de buen gobierno, y mejores prácticas éticas.
En el ámbito del derecho español, el deber de que exista una cultura corporativa en la organización, la hallamos regulada en el artículo 31 bis del Código Penal, que a su vez, desarrolla lo contenido en el artículo 225 de la Ley de Sociedades de Capital (LSC) en referencia a la diligencia de un ordenado empresario, que se traduce en el deber de adoptar las medidas precisas para la buena dirección y control de la sociedad. En caso de falta de diligencia en la implantación de los programas de compliance como acto u omisión contrario a la Ley e incumpliendo los deberes inherentes al cargo de administrador, es improbable la exención de responsabilidad penal de la persona jurídica, y muy probable que prospere el ejercicio de acciones sociales e individuales contra los administradores sociales, en virtud de lo establecido en los artículos 238 y 241 de la LSC.
Asimismo, la Circular 1/2016 de la Fiscalía General del Estado, en su apartado 5.6 relativo a los criterios para valorar la eficacia de los modelos de organización y gestión, señala al respecto que el objeto del modelo de organización y gestión es promover una verdadera cultura ética empresarial, cuya eficacia radica en la toma de decisiones de sus dirigentes y empleados y en qué medida es una verdadera expresión de su cultura de cumplimiento. Por lo tanto, como bien continua diciendo la Circular, depende del inequívoco compromiso y apoyo de la alta dirección de la compañía, claves para trasladar una cultura de cumplimiento al resto de la compañía.
En este sentido, el liderazgo debe partir del principio “tone from the top”, que se basa en el compromiso por el cumplimiento desde lo más alto de la organización al resto de niveles. La norma dedica gran parte de su contenido en desplegar compromisos y obligaciones para desarrollar adecuadamente el liderazgo. Para eso, hace hincapié en que el órgano de gobierno supervise y evalué el desempeño del cumplimiento, ostentando así la máxima responsabilidad en la organización.
La estructura de la Norma ISO 37301:2021 es exactamente a la de otras normas como la UNE 19601:2017 de Sistemas de Gestión de Compliance Penal, UNE-IS0 37001:2017 de Sistemas de Gestión Antisoborno, UNE 19602:2019, de Sistemas de Gestión de Compliance Tributario, entre otros. Por lo que sigue la estructura HLS o estructura de alto nivel, que se compone de 10 capítulos, de los cuáles los tres primeros abarcan cuestiones teóricas, y el resto tienen un abordaje práctico de cara al diseño del Sistema de Gestión del Cumplimiento, inspirados en el Ciclo de Deming, que se representa en la siguiente imagen:
 |
Fuente: iso.org – ISO 37301:2021 Compliance management systems – Requirements with guidance for use.
Como es de esperar, en relación al Ciclo de Deming, la organización tiene que hacer una actualización sistemática de las obligaciones de cumplimiento y evaluar las relevantes y no relevantes para la estrategia de riesgo. Para ello, la Norma ISO 37301:2021 se ha basado en los criterios de la ISO 31000:2018 sobre gestión de riesgos e ISO 31010 sobre técnicas de evaluación de riesgos.
Con esto, tendríamos la planificación sobre esos riesgos y oportunidades de mejora para hacer frente a esos riesgos hasta el nivel de tolerancia fijados por la organización. Sería para estos casos un requisito que la organización tenga conocimiento en materia de cumplimiento.
Otras de las cuestiones a comentar sobre la Norma es la importancia de comunicar de forma adecuada mediante canales éticos o de denuncia, teniendo en consideración cuáles serán los retos clave en la implantación del canal de denuncias conforme a la Directiva 2019/1937, de 23 de octubre de 2019 y la lSO 37002 de Sistemas de Gestión de Canal de Denuncias.
Por otro lado, sobre el requisito de información documentada, no hay grandes novedades, salvo lo relativo a los registros, que son una evidencia para la medición del desempeño del cumplimiento, ylos informes sobre la función de compliance, que pasan a ser un documento sensible para evitar cualquier tipo de alteración.
En referencia a los informes de cumplimiento, la Norma dedica la evaluación del desempeño, creando indicadores para determinar cómo se presentan y con qué periodicidad (además de su protección). Asimismo, de esta evaluación del desempeño, se establecen criterios de fuentes y de medición de los resultados de mejora para el programa.
Por último, la Norma ISO 37301:2021 continua manteniendo la distinción entre “no conformidad” y “no cumplimiento” que ya se daba en la ISO 19600:2014. Es un matiz que la diferencia de las normas citadas anteriormente. La “no conformidad” consiste en contravenir el conjunto de normas que conforman el sistema de gestión de cumplimiento. Mientras el “no cumplimiento” consiste en la violación de las normas sustantivas.
Como conclusión, la Norma ISO 37301:2021 nos ayudará a definir los componentes mínimos que deberá tener la organización para tener un sistema completo. No hay que olvidar que los requisitos de la norma deben interpretarse conforme al principio de proporcionalidad a las características de la organización. Vemos además como al tratarse de una norma certificable, esto permitirá a entidades acreditadas realizar las correspondientes auditorías para valorar si efectivamente existe una conformidad del sistema con los requisitos de la norma. De modo que es un gran oportunidad para hacer valer que aportamos valor a las organizaciones y cómo el cumplimiento puede aportar sostenibilidad a las personas jurídicas. Y entendiendo que todo rige bajo la cultura de compliance, todo lo anterior es posible mediante el liderazgo.
Comentarios
Publicar un comentario