UNE 19601: sistema versus enfoque lineal

Finalizado el periodo de consulta anunciado en el Boletín Oficial del Estado del pasado día 2 de febrero, el 18 de mayo se publicó la Norma UNE 19601 sobre sistemas de gestión de compliance penal, llamada a establecer un lenguaje de entendimiento común en esta materia, alineado con lo establecido en los estándares internacionales modernos. Sin embargo, lo realmente trascendente de esta noticia ha pasado inadvertido: la migración de modelos lineales de compliance a los “sistemas de gestión”, circunstancia que implica un cambio drástico de mentalidad y enfoque.

Podríamos decir que un modelo lineal fija unos requisitos cuyo cumplimiento se interpreta adecuado para la consecución de determinada finalidad. De este modo, por ejemplo, cuando se señala que el modelo de prevención de delitos debe estar dotado de recursos económicos, se cumple con él asignándole un presupuesto. Pero un “sistema” trasciende esta inmediatez, pues es un conjunto interrelacionado de elementos que logran unidos ciertos objetivos que no pueden alcanzar aisladamente y, por eso, no deben analizarse aisladamente. En un sistema de gestión, la interacción entre los requisitos es lo que verdaderamente contribuye a lograr los objetivos del conjunto y les brinda sentido individual, como explicaré siguiendo el hilo del mismo ejemplo.

Una organización se da cuenta de que dispone de un sistema lineal cuando ejecuta determinados requisitos por disciplina y no por lógica sistémica, lo que lleva a formularse algunas reflexiones: ¿cuál debe ser el importe del presupuesto de compliance? La Norma UNE 19601 establece la necesidad de fijar objetivos de compliance penal, que pueden comenzar a nivel estratégico y descender luego al táctico: queremos mejorar la sensibilidad de compliance de manera especial en determinada región (estrategia) y para ello precisaremos incrementar las horas locales de formación, disponer de ayuda técnica y contratar a un responsable de zona (táctica). La fijación de objetivos de compliance penal, desencadena necesariamente una serie de consecuencias, entre las que figura disponer de recursos para llevarlos a la práctica. Por lo tanto, las partidas presupuestarias vendrán condicionadas por los objetivos de compliance pretendidos, que son cuantificables económicamente (especialmente los tácticos). Así, una organización dotada de un sistema de gestión de compliance penal no se sentirá insegura con su presupuesto de compliance penal, pues tendrá que estar alineado con los objetivos de compliance penal que se ha impuesto. Es más, bajo esta lógica sistémica, los objetivos de compliance determinarán también qué informaciones deben capturarse y medirse para valorar su grado de consecución, cómo y a quién se comunicarán, cómo se realizará su seguimiento e informará de su evolución a la alta dirección y órgano de gobierno, etc. Con este ejemplo vemos que un requisito de la Norma UNE afecta a otros muchos, siendo esa la filosofía subyacente en el estándar español, cuando no regula elementos aislados sino interrelacionados para lograr un conjunto armónico y eficaz.

Para quienes no están habituados a manejarse en sistemas de gestión, les llamará la atención la gran cantidad de referencias cruzadas en conceptos y materias en la Norma UNE, circunstancia que no obedece al desorden sino que es fruto de articular requisitos estrechamente vinculados los unos con los otros. Es un enfoque sustancialmente distinto a los modelos lineales, que listan sus componentes pero no profundizan en la relación que existe entre ellos, lo que en ocasiones conduce a no verles un sentido individual claro ni tampoco como conjunto.

Sucede lo mismo con la evaluación del riesgo penal, que se regula en el Capítulo 6 del estándar español, y que determina automáticamente una serie de medidas entre las que figuran las de diligencia debida sobre el “personal especialmente expuesto” citado en su Capítulo 7. Y así encontramos un sinfín de referencias cruzadas, incluso en un documento tan relevante como la propia Política de compliance penal también exigida en nuestro estándar. La Política de compliance es un pilar fundamental del sistema de gestión, pues dota de sentido a la práctica totalidad de componentes que se establecen para su consecución, como se explica en el video número 6 de la Serie Compliance Basics.

El cambio de mentalidad que supone migrar de los modelos lineales a los sistemas de gestión de compliance precisa cierto esfuerzo, abandonando la comodidad de implantar mecánicamente una serie de elementos para ejecutar luego un check-list que valide su existencia. Pero un enfoque lineal no garantiza la eficacia, y por eso ha sido rehusado en las conocidas normas ISO 19600 e ISO 37001 sobre compliance.

El cambio del que estoy hablando va a producir variaciones drásticas en los próximos meses, dado que las organizaciones que quieran adecuar sus modelos de prevención de delitos deberán plantearse qué interacciones precisan definir o reforzar para que realmente operen de forma integrada como un sistema de gestión, pues es un aspecto clave de eficacia al que, en adelante, prestará atención todo externo que evalúe la conformidad de su contenido respecto de la Norma UNE 19601.