'Compliance': La nueva ISO 37301 permitirá certificar la cultura de cumplimiento implantada en las empresas
Comentario Derecho Penal España
Las organizaciones cuentan con un nuevo estándar internacional en el ámbito del cumplimiento normativo. La nueva ISO 37301 es transversal y permite integrar en la gestión de los riesgos de cumplimiento los relativos a la corrupción, entre otros. La principal novedad es que es una norma certificable, lo que permitirá evidenciar el funcionamiento y vigencia de un estándar exigente en materia de ‘compliance’.
Recientemente, ha visto la luz un nuevo estándar internacional en materia de compliance. La norma en cuestión, denominada ‘ISO 37301:2021. Compliance managment systems – Requirements with guidance for use’ (en adelante, ISO 37301), surge en clara respuesta al creciente interés que en los últimos años están mostrando las empresas por alinear sus sistemas de gestión de riesgos conforme a normas internacionalmente reconocidas.
En este caso estamos ante un nuevo estándar publicado por la Organización Internacional de Normalización (ISO), entidad formada por 162 países y más de 300 comités técnicos que trabajan en el diseño de todo tipo de normas para organizaciones de todos los sectores y tamaños. Ello permite lograr uniformidad en el lenguaje en todo cuanto es objeto de las normas publicadas, facilitando, así, un idioma único para las empresas que desarrollan su actividad en cualquier parte del mundo.
Esta nueva norma de gobernanza viene a reemplazar a la ‘ISO 19600:2014 Compliance Managment systems – Guidelines’, que fue traducida oficialmente al español al año de su publicación bajo la denominación ‘ISO-UNE 19600:2015 Sistemas de gestión de compliance – Directrices’.
La nueva norma mantiene una estructura de alto nivel y desarrolla los elementos que debe reunir un sistema de gestión de riesgos conforme al conocido esquema “plan – do – check – act”. Se aplica con carácter transversal a toda la organización y permite integrar en ella otras normas preexistentes destinadas a gestionar riesgos de ámbitos normativos más específicos.
Ámbito penal
Centrándonos en el ámbito penal, la nueva norma permite integrar en la gestión de los riesgos de cumplimiento los relativos a la corrupción, que ya contaban con una norma específica, la ‘ISO 37001:2016. Anti-bribery management systems. Requirements with guidance for use’, traducida al español con el nombre ‘ISO-UNE 37001:2016. Sistemas de gestión antisoborno. Requisitos con orientación para su uso’.
Y, aunque no es una norma ISO, la estructura también de alto nivel de la norma española ‘UNE 19601:2017. Sistemas de gestión de compliance penal. Requisitos con orientación para su uso’, que define los requisitos para disponer de un sistema de gestión de riesgos penales “alineados con las exigencias del Código Penal español”–tal y como indica la propia norma en su apartado introductorio– permite que pueda integrarse con las normas ISO referidas. Ello, no obstante, exigirá que las entidades que decidan organizar sus sistemas de gestión de riesgos conforme a lo dispuesto en estos estándares, deberán definir unas reglas de convivencia para evitar solapamientos, lagunas e, incluso, eventuales incoherencias, para mantener la eficacia pretendida.
Cumplimiento certificable
Pero más allá de las diferencias relativas al ámbito de aplicación, o de carácter técnico de unas y otras, la principal, y más importante novedad de la norma recientemente publicada es que es certificable. Así, mediante el cumplimiento de este estándar, las empresas evolucionarán desde las directrices y recomendaciones de la anterior ISO 19600, hasta las obligaciones y requisitos de la ISO 37301.
El proceso para obtener una certificación es sin duda exigente. La experiencia de la auditoría no suele ser grata para los auditados. Sin embargo, su obtención permite lograr un objetivo doble: por un lado, implantar el sistema de gestión de riesgos y mantenerlo actualizado en el marco de la mejora continua al que necesariamente debe estar sometido (y es que, lo que no se puede medir, no se puede mejorar); y, por otro lado, la certificación permite acreditar ante un tercero –clientes, accionistas, Administración Pública, etc.–, que la organización cumple con las obligaciones establecidas en el estándar en cuestión. Ni más ni menos.
El primero de los objetivos aludidos es el que debería presidir la decisión de las organizaciones de alinear sus sistemas de gestión de riesgos de cumplimiento –como de cualquier otra índole– conforme a un estándar determinado, siendo, el segundo de ellos, la consecuencia de haber logrado la referida alineación. Y es que, ciñéndonos a los riesgos de cumplimiento, y dentro de ellos, a los penales, la verdadera cultura ética empresarial que debe existir en las organizaciones para la prevención de aquellos, empieza por ser bueno, sin perjuicio, por supuesto, de la importancia de parecerlo también. Así, si actuamos conforme a lo dispuesto en un estándar, la certificación constituirá la evidencia de que estamos cumpliendo, y de ello deberían derivarse los efectos, sin duda positivos, que, para un eventual tercero, se desplieguen en cada caso.
Procedimientos judiciales
Habrá que estar, en todo caso, pendientes de la acogida que tengan las certificaciones derivadas de estos estándares en el seno de los procedimientos judiciales. Volviendo al ámbito penal, la certificación relativa a la ISO 37301 no será, como ya apuntó la Fiscalía General del Estado, un salvoconducto que permita excluir automáticamente la responsabilidad criminal de la empresa certificada en un eventual procedimiento penal, ni, por supuesto, eliminará la valoración jurídica de los hechos que compete indefectiblemente al juez, pero sí permitirá evidenciar el funcionamiento y vigencia de un estándar exigente en materia de compliance lo que, sin duda, debería contribuir notablemente a demostrar que en la organización de que se trate existe una cultura de cumplimiento. Y de eso se trata.
Profesional de contacto