Revisiones de compliance sobre ISO e UNE: tres sugerencias

El estándar internacional ISO 37001 sobre sistemas de gestión antisoborno se publicó en octubre de 2016, y el estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal vio la luz en mayo de 2017.

Aun siendo estándares muy novedosos, ya se están ejecutando trabajos de evaluación de la conformidad respecto de sus requisitos.

Estos estándares de compliance permiten evaluar los sistemas de gestión atendiendo a sus requisitos, lo que favorece la homogeneidad de este tipo de revisiones. Como contrapartida, el margen de discrecionalidad del revisor es prácticamente nulo, pues debe ceñirse a contrastar la existencia y efectividad de tales requisitos, sin que pueda ignorarlos. Por lo tanto, un sistema de gestión de compliance que no satisfaga alguno de ellos difícilmente será certificable, por muchos esfuerzos de convencimiento que se viertan sobre el revisor independiente.

Ahora bien, existen algunas prácticas previas a la revisión que facilitan el desarrollo posterior de este tipo de trabajos.

La primera es asegurarse de que el modelo de compliance está alineado con las exigencias de la norma ISO y/o UNE, no dando por hecho que cumple con ellas. Pueden detectarse carencias significativas, dado que estos estándares articulan “sistemas de gestión” y no “programas”, tal como expliqué en un post anterior . Esto no significa que necesariamente deba cambiarse el modelo de compliance de la organización, pero tal vez sea preciso modificarlo o completarlo. Desarrollar este ejercicio interno de revisión evitará graves complicaciones posteriores.

En segundo lugar, debemos considerar que el revisor independiente aplicará el principio de escepticismo profesional y, por lo tanto, no validará el cumplimiento de los requisitos exigidos por los estándares si no están adecuadamente soportados. Es más, tanto el estándar ISO como el UNE establecen las características que debe reunir tal documentación, en términos de su creación, actualización y control. Es el concepto de “información documentada” sin la cual el revisor externo se verá imposibilitado para desarrollar su labor. Los estándares indicados señalan en su articulado los requisitos que deben figurar como información documentada. En particular, el estándar UNE 19601 recopila en su Anexo C la información documentada que viene exigida en diversos apartados de la norma, lo que resulta de gran utilidad para comprobar si realmente disponemos de ella. Por cierto, como el estándar UNE 19601 hereda una gran cantidad de contenidos del estándar ISO 37001, esa misma lista es también útil para formarnos una idea de la información documentada requerida en los sistemas de gestión antisoborno, lógicamente adaptada a ese contexto. No sólo deberemos asegurarnos de disponer de esta documentación, sino también de que reúne las cualidades para merecer el calificativo de información documentada. Hecho este trabajo, veremos que existe información documentada que representa los pilares fundamentales del sistema de gestión (como la Política de compliance penal, por ejemplo), mientras que otra parte constituye evidencia de su aplicación práctica (informes de compliance penal, las actividades de formación o la gestión de incumplimientos o irregularidades, por ejemplo). Ambos tipos de evidencias son necesarios para acreditar que el sistema de gestión de compliance no es una mera formalidad, sino que se aplica en la práctica. Por eso, un modelo bien descrito documentalmente pero no ejecutado no podrá ser objeto de certificación.

En tercer lugar, puesto que el sistema de gestión de compliance se proyecta sobre riesgos de esa naturaleza, deberá prestarse atención a su evaluación (riesgos de compliance penal, en el caso de UNE 19601, y de soborno, en el caso del estándar ISO 37001). Este ejercicio, que debe constar como información documentada, es trascendental ya que condiciona el enfoque del sistema de gestión en su conjunto. Una evaluación inadecuada de riesgos de compliance puede enfocar de manera errónea las prioridades en dicho ámbito. Por eso, un revisor independiente prestará especial atención a la solidez de este ejercicio. Ni la Norma UNE 19601 ni el estándar internacional ISO 37001 obligan a emplear una determinada metodología de evaluación de riesgos, aunque sí establecen algunas directrices esenciales (análisis de probabilidad e impacto de los riesgos) y fijan aspectos importantes que se deben derivar de él. Así, por ejemplo, la Norma UNE 19601 exige aplicar cautelas especiales ante personas especialmente expuestas al riesgo penal, y también sobre socios de negocio que presenten un riesgo penal mayor que bajo. Esto significa que el ejercicio de evaluación de riesgos debe ser también idóneo para identificar inequívocamente a estos colectivos. Una evaluación de riesgos de compliance poco robusta o incompleta se convertirá en un hándicap insalvable.

Visto lo anterior y desde una perspectiva práctica, es útil visualizar cómo se desarrollará el procedimiento de revisión, planificando el modo en que se explicará el sistema de gestión de compliance al revisor y se le facilitará la información documentada relativa a su diseño y nivel de implementación. Se trata de allanar su trabajo y evitar que se vea obligado a interpretar múltiples documentos organizativos sin ayuda, previniendo que incurra en errores de apreciación involuntarios.