martes, 7 de marzo de 2017

¿Necesitamos una norma española sobre compliance?

Juan Carlos Bajo Albarracín. CGPC. Probablemente cuando se elaboró y publico la norma ISO 19600 “Sistemas de gestión compliance. Directrices” se cometió un error, no se creó una norma certificable. Es posible que, en aquel momento, las partes interesadas, no pudieran dar paso a la certificación, el hecho de sacar la norma ya representaba un importante hito y no se podía ir más allá.

Juan Carlos Bajo ,presidente del CGPC

En cuanto a su alcance, ISO 19600 es aplicable a cualquier tipo de incumplimiento, bien sea como consecuencia de un requisito legal o cualquier obligación que la empresa haya adquirido voluntariamente con alguna parte interesada. Es decir, hablamos del denominado Corporate compliance, el sistema de cumplimiento integral de la empresa independientemente de la tipificación de las consecuencias para la empresa del incumplimiento (administrativas, penales, reputacionales u otras). No obstante, la organización podría limitar el alcance a un tipo de riesgos, por ejemplo, los de corrupción.

Recientemente se ha publicado la norma ISO 37001 “Sistemas de gestión anti-soborno: Requisitos con orientación para su uso” que sí es certificable, aunque como la norma indica su alcance se limita al soborno, no abordando específicamente el fraude, carteles y otros delitos antimonopolio/competencia, el blanqueo de dinero u otras actividades relacionadas con las prácticas de corrupción, a pesar de que, tal y como indica,  una organización puede optar por ampliar el alcance del sistema de gestión para incluir este tipo de actividades. Es decir, la norma solo es un sistema de gestión compliance como el indicado en la ISO 19600, con su alcance limitado a los riesgos de soborno.

Próximamente, será publicada la norma UNE 19601 “Sistemas de gestión de compliance penal. Requisitos con orientación para su uso” que como la norma ISO 37001 es certificable y, al igual que esta, afecta a una parte específica del cumplimiento: los incumplimientos cuya consecuencia es penal (art. 31 bis CP), indicando en su nota del apartado “1 Objeto y campo de aplicación” que “un sistema de gestión de compliance penal (3.31) puede establecerse de manera independiente, o integrada en un modelo de compliance de mayor alcance, esto es, no limitado a la prevención penal”.

Como vemos ISO 37001 y UNE 19600, son normas con un alcance limitado, que forman parte del alcance de ISO 19600. No obstante, aunque cuando hablamos de cumplimiento normativo nos referimos a estas tres normas, existen muchas otras normas de gestión que también afectan al cumplimiento como las normas de gestión medioambiental ISO 14001, la norma de calidad ISO 9001, las de seguridad y salud en el trabajo OHSAS 18001, la de seguridad en la información ISO 27001, etc. en muchos casos analizando riesgos incluidos en varias de ellas. Por ejemplo, un riesgo medioambiental es gestionado por el sistema de medioambiente ISO 14001 y, a su vez, si el riesgo puede tener consecuencias penales por el sistema de compliance penal UNE 19601, o un riesgo laboral que puede tener consecuencias penales, administrativas y civiles, etc.

En consecuencia, en la organización coexisten diversos sistemas de gestión que se relacionan como podemos ver en el gráfico.




Está claro que la futura norma UNE 19601 cubre un aspecto muy importante para las organizaciones y sus directivos, por ello, aunque teniendo la misma estructura y aportar pocas diferencias con ISO 19600 e ISO 37001, creo que la mezcla ha salido muy bien. La norma va a ser muy importante para las organizaciones pues disponen de un claro elemento de referencia para el diseño de sus sistemas de compliance penal y su posterior defensa en caso de necesitarlo.

No obstante, me hago una pregunta, teniendo en cuenta la circular de la Fiscalía General del Estado 1/2016, al igual que todas las normas, establecen como requisito fundamental de los sistemas de cumplimiento el imprescindible liderazgo de la dirección y la creación de cultura preventiva, ¿Podemos pensar que existe cultura de cumplimiento en una organización que limita su sistema al cumplimiento penal? El verdadero cumplidor no discrimina cuando quiere o no cumplir, cumple siempre, independientemente de las consecuencias del incumplimiento.

En consecuencia, parecería lógico disponer de una norma para sistemas de gestión compliance como ISO 19600 pero certificable, cuyo alcance (tipos de obligaciones compliance) a incluir los defina la organización con un objetivo de incluir la totalidad de las obligaciones y sus riesgos asociados.

Busca Compliance

NOTICIAS