Guía práctica de compliance según la Norma Norma ISO 37301:2021 37301:2021 Alain Casanovas Ysla
Este documento ha sido adquirido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance según la Norma ISO 37301:2021
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance según la Norma ISO 37301:2021
Alain Casanovas Ysla
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Título: Guía práctica de compliance según la Norma ISO 37301:2021. PDF Autor: Alain Casanovas Ysla Ysla
© AENOR Internacional, S.A.U., 2021 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR Internacional, S.A.U. S.A.U. ISBN: 978-84-17891-38-1 Edita: AENOR Internacional, S.A.U. Maqueta: Block Comunicaciones Diseño de cubierta: AENOR Internacional, S.A.U. S.A.U.
Nota:
AENOR Internacional, S.A.U. no se hace responsable de las opiniones expresadas por el autor en esta obra.
Génova, 6. 28004 Madrid Tel.: 914 326 036 •
[email protected] [email protected] • www.aenor.com Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Dedicado a la comunidad de compliance
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Índice
Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Abreviaturas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Parte I Historia y características del estándar ISO 37301:2021 I.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
I.1.1. El estándar AS 3806:2006 3806:2006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.1.2. El estándar ISO 19600:2014 19600:2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.2. La HLS de ISO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.3. El proceso de normalizaci normalización ón del estándar ISO 37301:2021 . . . . . . . . . . . . sistema de gestión. . . . . . . . . . . . . . . . I.4. El estándar ISO 37301:20 37301:2021 como I.4.1. De los programas de21 compliance a compliance a los sistemas los sistemas de gestión gestión . . . . . . . . . I.4.2. La normalización internacional en materia de compliance tiende a los sistemas los sistemas de gestión gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.4.3. El estándar ISO 37301:2021 37301:2021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.5. Singularidades Singularidades del estándar ISO 3 37301:202 7301:2021 1. . . . . . . . . . . . . . . . . . . . . . I.5.1. El estándar IS ISO O 37301:2021 y la cultura de compliance compliance . . . . . . . . . . . I.5.2. Las dos fuentes de obligaciones de compliance . . . . . . . . . . . . . . . . . . I.5.3. Las no conformidades y conformidades y los no cumplimientos de compliance compliance . . . . . . . . I.6. Principios rectores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1. Principios explícitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.1. Principio ddee buen gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.2. Principio de proporcionalidad . . . . . . . . . . . . . . . . . . . . . . . . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
9
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
25 25 26 27 31 33 33 34 35 37 37 40 42 45 45 46 46
10
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
I.6.1.3. Principio de integridad integridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.4. Principio de transparencia transparencia . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.5. Principio de responsabilidad responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.6. Principio de sostenibilidad sostenibilidad . . . . . . . . . . . . . . . . . . . . . . . . . .
49 50 50 51
I.6.2. Principios implícitos implícitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.2.1. Principio de subordinación a LLey ey . . . . . . . . . . . . . . . . . . . . . I.6.2.2. Enfoque basad basadoo en el riesgo riesgo . . . . . . . . . . . . . . . . . . . . . . . . I.6.2.3. Principio de seguridad razonable razonable . . . . . . . . . . . . . . . . . . . . . I.6.2.4. Principio de mejora continua continua . . . . . . . . . . . . . . . . . . . . . . . .
52 52 53 58 60
Parte II Comentarios al contenido del estándar ISO 37301:2021 II.0. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
II.1. Objeto y campo de aplicación aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 II.2. Referencias normativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 II.3. Términos y definiciones definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
II.3.1. Organización Organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.2. Parte interesada interesada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.3. Alta dirección dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.4. Sistema de gestión gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.5. Política Política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.6. Objetivo Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.7. Riesgo Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.8. Proceso Proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.9. Competencia Competencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.10. Información documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.11. Desempeño Desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.12. Mejora continua continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.13. Eficacia Eficacia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.14. Requisito Requisito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.15. Conformidad Conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.16. No conformidad conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.17. Acción correctiva correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.18. Auditoría Auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.19. Medición Medición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.20. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.21. Órgano de gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
75 78 79 80 82 84 85 86 87 87 88 89 90 90 91 92 93 93 94 95 96
Índice
II.3.22. II.3.23. II.3.24. II.3.25.
11
Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Función de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Riesgo de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Obligaciones de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
II.3.26. Compliance Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.27. No cumplimiento de compliance de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.28. Cultura de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.29. Conducta Conducta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.30. Tercera parte parte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.31. Procedimiento Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.4. Contexto de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.4.1. Comprensión de la organización organización y y de su contexto . contexto . . . . . . . . . . . . . . . II.4.2. Comprensión de las necesidades y expectativas de las partes interesadas interesadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.4.3. II.4.4. II.4.5. II.4.6.
102 104 105 106 107 109 111 114 116
Determinación del de alcance del del sistema sistema gestión compliance Sistema de gestión de gestión compliance compliance . . . .de. .gestión del . . . . . del . . . compliance . . . . . . . . . .. .. .. Obligaciones de compliance . compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Evaluación de los riesgos de compliance compliance . . . . . . . . . . . . . . . . . . . . . II.5. Liderazgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.1. Liderazgo y compromiso compromiso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.1.1. Órgano de gobierno y gobierno y alta dirección dirección . . . . . . . . . . . . . . . . . II.5.1.2. Cultura de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.1.3. Gobernanza del compliance. compliance . . . . . . . . . . . . . . . . . . . . . . . . II.5.2. Política Política de de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
112216 127 130 149 151 151 164 167 171
II.5.3. Roles, responsab responsabilidades y autoridades autoridades . . . . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. II.5.3.1. Órganoilidades de gobierno y gobierno y alta dirección II.5.3.2. Función de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.3.3. Dirección Dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.3.4. Personal Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.6. Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.6.1. Acciones para aabordar bordar los riesgos y oportunidades oportunidades . . . . . . . . . . . . . . . II.6.2. Objetivos Objetivos de de compliance compliance y y planificación para lograrlos . lograrlos . . . . . . . . . . . II.6.3. Planificación de los cambios cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7. Apoyo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.1. Recursos Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.2. Competencia Competencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.2.1. Generalidades Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119910 195 207 210 213 213 216 221 225 226 229 229
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
12
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.7.2.2. Proceso de empleo empleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.2.3. Formación Formación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.3. Toma de conciencia conciencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.4. Comunicación Comunicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231 236 244 249
II.7.5. Información documentada. documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.5.1. Generalidades Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.5.2. Creación y ac actualización tualización de la información documentada documentada . . II.7.5.3. Control de la información documentada . documentada . . . . . . . . . . . . . . . II.8. Operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.8.1. Planificación y control operacional operacional . . . . . . . . . . . . . . . . . . . . . . . . . II.8.2. Establecimiento de controles y procedimientos procedimientos . . . . . . . . . . . . . . . . . II.8.3. Planteamiento de inquietudes inquietudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.8.4. Procesos Procesos de de investigación investigación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.9. Evaluación del desempeño desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
255 256 258 259 261 262 265 267 277 283
II.9.1. Seguimiento, Seguimiento , medición medición,, análisis evaluación II.9.1.1. Generalidades Generalidades . . . . . y. .evaluación . . . . . . . . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. II.9.1.2. Fuentes de opinión sobre el desempeño desempeño del del compliance compliance . . . II.9.1.3. Desarrollo de indicadores indicadores . . . . . . . . . . . . . . . . . . . . . . . . . II.9.1.4. Informes de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . II.9.1.5. Mantenimiento de registros registros . . . . . . . . . . . . . . . . . . . . . . . . II.9.2. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.9.3. Revisión ppor or la dirección dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.10. Mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.10.1. Mejora continua continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.10.2. No conformidades y conformidades y acciones correctivas correctivas . . . . . . . . . . . . . . . . . . . .
228844 287 289 290 293 293 300 311 312 313
Anexo I. Información documentada documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Anexo II. Preguntas Preguntas frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Sobre el autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Presentación
Los principios sobre los que se fundamenta la credibilidad y confianza de la actividad de normalización: la transparencia, el consenso, la imparcialidad, apertura diversidad, han evidenciado en estos últimos años su enorme potencial lapara aportary soluciones a los grandes temas que preocupan a la sociedad y a las empresas para llegar a crear normas en disciplinas como la ética, la responsabilidad social, la gobernanza y el compliance. La normalización da respuesta eficaz a los grandes desafíos de las organizaciones. La normalización posibilita que las partes interesadas pongan en común sus necesidades y sus conocimientos para ofrecer soluciones técnicas (las normas) que ayudan a lograr un mundo más seguro, desarrollado y sostenible; sostenib le; y es por ello, que terminará estando presente en cualquier ámbito en el e l que se detecte la necesidad de llev llevar ar a cabo una ordenación o de establecer un lenguaje común. El compliance irrumpe en el mundo de la normalización internacional en el año 2013 en el que, desde la Organización Internacional de Normalización (ISO), dando respuesta a las necesidades del mercado, se decide empezar a trabajar en una norma que pueda convertirse en referente referente internacional para las organizaciones a la hora de compliancee y cómo gestionar los riesgos de cumplimiento a los entender qué es el complianc que se enfrentan. España, a través de la Asociación Española de Normalización, UNE, y del ahora órgano técnico CTN 165/SC3 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, se sumó entonces de forma inmediata y activa a los trabajos internacionales. En 2014, se publicó la Norma ISO 19600 Sistemas de gestión de compliance. Directrices, posteriorm posteriormente como norma española UNE-ISO 19600. Este documento ayudó a queente en adoptada nuestro país el compliance pasase, de ser una disciplina prácticamente exclusiva de empresas multinacionales o de sectores muy regulados, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
13
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
14
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
a ser foco de interés para todas aquellas organizaciones preocupadas por sus riesgos corporativos, especialmente tras la reforma del Código Penal de 2015. Esta norma proporcionaba únicamente recomendaciones en materia de compliance y de ahí que pocos años después de su publicación, y respondiendo a la demanda del mercado,, haya sido preciso trabajar en su revisión para transformarla en una norma mercado también de requisitos. Es así como se llega a la publicación de la Norma ISO 37301 Sistemas de gestión de compliance. Requisi Requisitos tos con orient orientación ación para su uso. Esta norma ofrece una visión más madura y evolucionada del compliance, pero no sólo eso, el sistema de gestión que establece permite a las organizaciones demostrar su compromiso para cumplir con las leyes y con otros compromisos asumidos de forma voluntaria (incluidos lo de carácter ético) y poder hacer visible ese compromiso ante sus grupos de interés a través de una posible certificación. Como Director General de UNE y como miembro del Consejo de Administración de ISO, ISO, es para mí un enorme honor prologar la l a Guía práctica de compliance según de Alain que va a permitir a las organiza la N orma Norma 3730 37301:202 1:2021 ciones y aISO los expertos en1, comp complian liance ceCasanovas, entender, interpretar y aplicar esta norma, tan necesaria. La Norma ISO 37301:2021, por su carácter de norma de alto impacto, cuenta con una versión ISO oficial en español, fruto del trabajo del grupo de traducción al español, ISO/TC 309/STTF (Spanish Transla ranslation tion Task Force), compuesto por 12 países de habla hispana. La Norma ISO 37301 en español ha sido adoptada como Norma UNE-ISO 37301, con contenido idéntico. En este libro encontramos un contenido privilegiado. La actuación de su autor como presidente del órgano técnico de normalización nacional de compliance (CTN 165/ SC3), su participación como delegado y experto español en el comité internacional y los grupos de trabajo que la han elaborado (ISO/TC 309 Governance of organizations), así como su dilatada experiencia profesional en la implementación de sistemas de gestión de compliance, le hacen poseedor de un conocimiento único sobre la letra y el espíritu de la norma a nivel internacional, y sobre cómo trasladar ese conocimiento de forma práctica. Antes de despedir estas líneas no quiero dejar de plasmar algunos agradecimientos: gracias a ISO por continuar atendiendo los retos de la sociedad aportando soluciones globales; gracias a las entidades españolas del CTN 165/SC3, por hacer posible la participación española en los foros internacionales de normalización en el ámbito del compliance; gracias a Alain Casanovas por compartir su sabiduría y su dilatada experiencia; y gracias a la Dirección de Servicios Información Sectorial y a la editorial de AENOR por contribuir a la difusión de ladenormalización y del conocimiento con el rigor de siempre. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Presentación
15
Confío en que tanto la norma, como este libro, libro, impulsen de manera definitiva a nivel mundial la cultura del compliance, y con ella la de la integridad y la sostenibilidad. Algo coherente con la misión de UNE de impulsar la mejora de la competitividad de nuestros sectores económicos y el bienestar social.
Javier García DIRECTOR G GENERAL
Asociación Española de Normalización, UNE y miembro del Consejo de Administración de ISO
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Prólogo
La evolución de un estándar El delSería estándar australiano 3806:2006 trascendió Compliance Programs susimpacto fronteras. equivocado decirAS que fue el primer texto sobre compliance , pues era una materia ya tratada en documentos de recomendaciones tanto nacionales como internacionales. Sin embargo, estos textos hacían referencia a mercados o sectores regulados (banca, principalmente) o a riesgos de compliance compliance específicos (especialmente los de soborno). El acierto del estándar australiano fue brindar una visión del com pliance apta para cualquier tipo de organización y materia. Tant Tanto o ISO como como las entida entidades des de normal normaliza ización ción naciona nacionales les que la integr integran an solo redac redactan tan estándares cuando advierten su conveniencia: su objetivo no es generar necesidades, sino dar respuesta a las mismas. Por su gran aceptación, está claro que el estándar AS 3806:2006 fue una respuesta acertada a la demanda de los agentes sociales y económicos. Considerando el éxito que había tenido en otros países, se valoró y aceptó producir un estándar internacional que lo tomaría como punto de partida. Así, en 2013 se obtuvo el consenso para iniciar el proceso de elaboración del estándar ISO 19600. En aquel momento no se consideró que fuese preciso configurarlo como un MSS de tipo A (certific (certificable), able), al no percibir percibirse se tal necesidad. necesidad. Sucedió Sucedió lo contrario contrario con el estándar ISO 37001 sobre sistemas de gestión antisoborno donde, comenzando su proceso proce so de normalización muy poco tiempo después, sí se convino que fuera certificable. certificable. La divulgación general del compliance en la sociedad suele darse a raíz de regulaciones que afectan a un amplio espectro de sujetos. La lucha contra con tra la corrupción y la prevención de determinados actos criminales está provocando la exigencia de mecanismos de compliance c ompliance en entidades de cualquier tamaño y sector en diferentes países. Esto contribuye a generalizar este concepto de compliance. No obstante, y una vez puesto el foco inicial en la prevención de los no cumplimientos de compliance más graves –los de naturaleza criminal–, la progresión normal en Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
17
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
18
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
la curva de madurez de las organizaciones lleva a poner medios para la prevención, detección y gestión temprana del resto de no cumplimientos cumplimientos de compliance que pueden comprometerlas compromete rlas igualmente. En este escenario, adquiere importancia disponer de un estándar capaz de generar confianza en el mercado, susceptible soportar procedimie procedimientos ntos de verificación de la conformidad con su contenido. Es decir, decir, la necesidad de facilitar al mercado un estándar certificable. Esta evolución, junto con la constante progresión de las buenas prácticas en materia de compliance, propició la revisión de la norma ISO 19600:2014. Esta iniciativa coincide con la agrupación de los estándares ISO sobre compliance bajo la serie 37000 de normas, encabezada por el primer sistema de gobierno de las organizaciones. Desde una perspectiva muy simple, se podría pensar que el estándar ISO 37301:2021 es solo la versión certificable de la norma previa ISO 19600:2014. Pero esta visión sería completamente errónea: su contenido no solo aborda materias que no fueron reguladas con anterioridad (como los proce procesos sos de empleo, el proc proceso eso para el planteamiento de inquietudes o el de investigaciones, por ejemplo), sino que también se tratan las clásicas de manera distinta (el gobierno de compliance o la cultura de compliance, por ejemplo). Se hace eco de nuevas prácticas generalmente aceptadas en la comunidad internacional, de un tiempo a esta parte.
Responsabilidad frente a la comunidad de compliance Al haber haber participado como experto en los comités de normalización de los estándares estándares ISO 19600:2014 e ISO 37001:2016, era depositario de una responsabilidad ante la comunidad de compliance: trasladar la trascendencia del estándar ISO 37301:2021 y brindar informaciones útiles para su interpretación. in terpretación. Como partícipe en los debates entre expertos que han concluido en el texto actual, me sentía obligado a trasladar la lógica de sus disposiciones, el porqué de su redacción y, y, sobre todo, señalar sus omisiones deliberadas. Solo así se adquiere plena conciencia de su orientación. El lector puede así disfrutar de una visión de primera línea de la norma, que le ayudará a aplicarla de forma certera.
Algunas convenciones Los estándares son de aplicación voluntaria y no tienen ni la vocación ni la naturaleza de un texto jurídico. Sus conceptos son siempre organizativos y huyen de términos legales que vinculen el contenido de las normas a una tradición jurídica o que condicionen la interpretación de sus requisitos. Esto se observa en la propia definición de organización que emplean los l os sistemas de gestión ISO, que no es equivalente a la de persona o entidad jurídica que se halla en algunos textos legales sobre compliance. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Prólogo
19
Sin perjuicio de lo anterior y a efectos didácticos, a lo largo de este libro me refiero ocasionalmente a algunas normas de Derecho comparado o conceptos que provienen del mundo legal. Así, mencionaré la willful blindness (ignorancia deliberada, véase el apartado II.4.6 Evaluación de los riesgos de compliance, de este libro), el duty of enquiry enquiry (deber de mantenerse informado, véanse los apartados II.5.1.1 Órgano de gobierno y alta dirección y II.5.1.3 Gobernanza de compliance, ambos de este libro) o la businessy judgement rule rule (discrecionalidad empresarial, véanse los apartados II.4.6 Evaluación Evaluación de los riesgos de d e compliance y II.9.3 Revisión por la dirección, ambos de este libro), por ejemplo. Son conceptos habituales en la esfera legal, aunque no están vinculados a ningún sistema jurídico en concreto.
Los ejemplos Las diferentes circunstancias que afectan a las organizaciones y la aplicación del principio de proporcionalidad (véanse los comentarios del apartado I.6.1.2 Principio de de , de este libro), llevan inevitablemente a que existan infinitas maneras proporcionalidad de plasmar los requisitos del estándar ISO 37301:2021 ante casos concretos. Bajo este entendimiento, carece de sentido proponer “modelos” de sus diferentes requisitos, que pueden ser excesivos para algunas organizaciones o insuficientes para otras. Proponer “modelos” evoca el one fit all, que es precisamente lo que tratan de evitar los sistemas de gestión ISO. La adaptación de los requisitos del estándar a las circunstancias concretas de cada organización es clave para su eficacia. No obstante, obstante, este libro libro incorpo incorpora ra abundantes abundantes ejemplos ejemplos puntuales, puntuales, reflexione reflexioness e incluso incluso propuestas en búsqueda de la excelencia en compliance. Son formas de completar las explicaciones aportando una visión práctica, que en modo alguno pretende ser la única y excluir otras muchas aproximaciones.
Mis deseos respecto a este libro Confío en que este libro resulte de utilidad a los profesionales comprometidos con el compliance. He tratado de volcar en él mi experiencia y conocimientos del estándar ISO 37301:2021, habiendo vivido no solo su desarrollo, desarrollo, sino también, el de normas precedentes. Soy consciente de lo difícil que es cubrir exhaustivamente todos sus aspectos y brindar ejemplos que encajen en la totalidad de casuísticas. Conocedor de mis limitaciones al respecto, mi pretensión se ha centrado en redactar una obra rigurosa que ayude a interpretar y aplicar este estándar de compliance global. Si su contenido ayuda verdaderamente al lector, lector, además de un objetivo cumplido será una gran satisfacción personal. Alain Casanovas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Abreviaturas
Los términos redactados en letra cursiva curs iva se refieren a conceptos definidos en el estándar ISO 37301:2021, que en buena I-Consolidated parte coinciden conSupplement-Procedures los incluidos en el documento de ISO ISO/IEC Directives-Part ISO e specific to especific
ISO, Annex L Appendix II High llevel ISO, evel structure, identical core text, common text and core definitions, donde se estable la estructura de alto nivel para las normas de los sistemas de gestión (HLS) y de la HLS de ISO/IEC1. Esta obra cita los documentos fruto de la normalización como “estándares “ estándares”” o “normas”, “n ormas”, indistintamente. Las siguientes abreviaturas corresponden a los significados indicados:
Anti-Bribery Management System AFNOR: Association Française de Normalisation American National Standards Institute ANSI: ABMS:
AS: ASI: BA: BS: BSi: CMS: 1 La
Australian Standard Austrian Standards Institute Bribery Act (UK) British Standard British Standards institution Compliance Management System
HLS regula en el documento ISO/IEC Directives-P Directives-Part art II-Consolidated -Consolidated ISO Su Supplement-Procedu pplement-Procedures res
espe cificc to IS especifi ISO, O, Annex L Ap Appendi pendixx II Hig Highh leve levell stru structure cture,, ide identica nticall core text, common ttext ext and core definiti defi nitions ons , 10.ª ed., 2019. Es un documento de acceso público a través de internet, incluyendo sus eventuales revisiones. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
21
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
COSO:
Committee of Sponsoring Organizations (of the T Treadway readway Commission)
CTN:
Comité Técnico de Normalización
DoJ:
Department of Justice (US)
Financial Action Action T Task ask FForce orce Foreign Foreign Corrupt Practices Act (US) FCPA: FDIC: Federal Federal Deposit Insurance Corporation Enforcement Network FinCEN: Financial Crimes Enforcement GAFI: Group d’Action Financière Governance, Risk & Compliance GRC: HLS: High Level Struc Structure ture (estructura de alto nivel) de los sistemas de gestión FATF:
que propone ISO/IEC.
International Electrotechnical Commission International Organization for Standardization MSS: Management System Standard NCUA: NCU A: National Credit Union Administration OCC: Office of the Comptroller of the Currency IEC: ISO:
OCDE:
Organización para la Cooperación y el Desarrollo Económicos
PDCA: PC:
Plan, Do, Check, Act Project Committee
SC:
Subcomité
SEC: TC:
Securities and Exchange Commission (US) Technical Committee
UNE:
Una Norma Española
US:
United States United Kingdom Working Draft
UK: WD:
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. 22
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Parte I
Historia y características del estándar ISO 37301:2021
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.1 Antecedentes
El estándar 37301:2021 es compliance el resultado cuyo de unobjeto deactualizar normalización interna procesoera cional sobreISO sistemas de gestión de y sustituir a la norma ISO 19600:2014. Este texto fue el primero primero en el que se utilizó la denominada “estructura de alto nivel” ( High Level Structure, HLS), sobre la que se hablará en el capítulo I.2 La HLS de ISO, de este libro, para articular un sistema de gestión dedicado exclusivamente al compliance. Esta norma, a su vez, estaba basada en los contenidos del estándar nacional AS 3806:2006 2.
I.1.1. El estándar AS 3806:2006 La norma australiana AS 3806:2006 es el primer estándar nacional que se proyecta en el ámbito del complia compliance nce con un enfoque general. Austra Australian lian Standar Standards ds, reputada organización independiente indepen diente sin ánimo de lucro, reconocida por el Gobiern Gobierno o de Australia y miembro de ISO, ISO, encomendó este proyecto de normalización normalizació n a su comité especializado QR-0143. El texto del estándar fue aprobado en el Consejo de dicha organización celebrado el 23 de enero de 2006, sustituyendo a la antigua norma AS 3806:1998. 2 Cuando
se aprecia la utilidad internacional de un estándar publicado por una entidad nacional de normalización, se puede impulsar un proyecto de normalización internacional (ISO) sobre la base de sus contenidos. 3 Es significativa la composición del grupo de trabajo que otorgó al estándar sobre programas de compliance una fuerte legitimidad: Australian Competition aand nd Consume Consumerr Comisión, Australian Com pliance Institute, Australi Australian an R Record ecord Industry Association, Australia Australiann Sec Securities urities and Investmen Investmentsts Com Commismis sion, Austra Australian lian Taxation Office, Consumer’s Federation of Australia, Law Council Council of A Australia ustralia, Society of Consumer Affairs Professionals, The Institute of Internal Auditors-Australia, Universit Universityy W Western estern Sydney. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
25
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
26
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Esta norma brindaba principios para desarrollar y mantener programas de compliance eficaces, tanto para organizaciones públicas como privadas. A tales efectos, articulaba doce principios fundamentales que apuntalaban apu ntalaban un programa de comp complian liance ce, vinculando cada uno de ellos con determinadas buenas prácticas. No obstante, toda esta serie de elementos estaba regulada en forma deContexto programa como un sistema delibro). gestión (véanse los comentarios del capítulo II.4 deylanoorganización , de este Pese a ser un estándar local, este texto adquirió una notable difusión internacional, no solo por ser el primero de amplio alcance objetivo y subjetivo4, sino también, por la claridad y el enfoque práctico de sus contenidos.
I.1.2. El estándar ISO 19600:2014 El estándar australiano AS 3806:2006 fue la base de trabajo para elaborar el primer estándar internacional en materia de complian sería norma ISO 19600:2014. compliance ce: la que A tales efectos, tales ISO constituyó el Project Committee ISO/PC 271, presidido presidid o por Martin Tolar5 y que acogió a expertos de 14 países. El texto australiano AS 3806:2006 fue adaptado a la HLS (véase el capítulo I.2 La HLS de ISO, de este libro), objeto de debate en diversas sesiones plenarias 6, publicándose finalmente en diciembre de 2014 bajo la forma de un MSS de Tipo B 7 (no certificable).
texto fue diseñado para proyectarse sobre un amplio espectro de organi organizaci zaciones ones y materias. No era un está estándar ndar sec sectorial torial destina destinado do a ccubrir ubrir ciertos ámbito ámbitoss regulat regulatorios, orios, en part particular. icular. 5 Martin Tolar ha ostentado cargos directivos en el GRC Institute (Australia), vinculado con la creación del AS 3806:2006. También ha presidido la Inte Internat rnation ional al Federa Federatio tionn of Com Compla place ce Associati Asso ciations ons (IFCA). 6 Se mantuvieron tres sesiones plenarias. La primera tuvo lugar del 8 al 12 de abril de 2013 en Sídney, Australia, siendo Austra Australian lian Stand Standards ards la entidad anfitriona. La segunda se celebró del 14 al 18 de octubre de 2013 en París, Francia, siendo la Association Française de Normalisation (AFNOR) la entidad anfitriona. La tercera y última sesión plenaria se mantuvo del 7 al 11 de julio de 2014 en Viena, Austria, siendo la organización anfitriona el Austri Austrian an SStanda tandards rds Institute Insti tute (ASI). 7 El diseño de un MSS de Tipo B o de directrices, no es adecuado para que su aplicación sea objeto de certificación. En el momento de inici iniciar ar la normalización del estándar, estándar, no se consideró que existía justificación suficiente (demanda social) para generar un estándar certificable (los estándares ISO no pretenden generar necesidades sino responder a ellas). Por otra parte, tomaba como punto de partida la norma local AS 3806:2006, que tampoco era certificable. En relación con las diferencias entre Manag Management ement Syst System em SStanda tandards rds (MSS) de tipo A y de tipo B, véanse las explicaciones en el capítulo I.2 La HLS de ISO , de este libro. En cualquier caso, el empleo de la HLS era potestativo en MSS de tipo B, a pesar de lo cual se decidió aplicar. 4 El
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.2 La HLS de ISO
El Grupo ISO de coordinación técnica sobre sistemas de gestión ideó la llamada estructura estru ctura de alto nivel ( High Lev Levelel Structu Structure re, HLS) para que los estándares sobre Management ment System Standa Standards rds, MSS) elaborados a través de sistemas de gestión ( Manage dicha organización tuvieran una estructura común, así como unas definiciones y unos contenidos básicos equiparables8. La regulación sobre la HLS distingue entre en MSS de tipo A y B 9, siendo los primeros aquellos que proporcionan especificaciones y admiten certificar la conformidad con sus contenidos, mientras que los segundos brindan b rindan líneas directrices y no son certificables10. 8 La
HLS regula en el documento ISO/IEC Directives–Part I–Consolidated ISO Supplement -Proce-
dures specific to ISO, Annex L Appendix II High level structure, identical core text, common text and core definitions, 10.ª ed., 2019. Es un documento de acceso público a través de internet, que incluye sus eventuales revisiones. revisiones. Los MSS ( Management System Standards) de tipo A (certificables (certificables), ), como lo es el estándar ISO 37301:2021, deben seguir la HLS, mientras que es una opción potestativa para los MSS de tipo B (no certificables), como la anterior norma ISO 19600:2014. 9 ISO/IEC Direc Directives tives-Part -Part I-C I-Consoli onsolidate datedd ISO SSupple upplementment-Proce Procedures dures spec specific ific to ISO, Anne Annexx L Ap pendixx II High lev pendi levelel struc structure, ture, iidenti dentical cal cor coree text, com common mon text an andd core def definiti initions ons”, 10.ª ed., 2019. Esta distinción entre MSS de tipo A y B viene establecida en los apartados L. 2.5 y L 2.6 del anexo L del documento. 10 Sin perjuicio de esta clasificación general, los MSS de tipo A pueden igualmente incorporar líneas directrices que ayuden a la interpretación y a la aplicación de sus req requis uisito itoss. Normalmente, tal circunstancia se aprecia en el propio título del estándar, como sucede en la Norma ISO 37001:2017 titulada Sistemas de gestión antisoborno. Requi Requisito sitoss con orie orientac ntación ión para su uso. Los contenidos no normativos suelen introducirse a través de notas aclaratorias a los diferentes apartados o de anexos finales (normalmente identificados como “no normativos”). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
27
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
28
Emplear la HLS brinda uniformidad a los MSS, exigiéndose su empleo en los de tipo A y, cuando sea posible, también en los de tipo B. La HLS puede enriquecerse con contenidos adaptados a cada siste sistema ma de ges gestión tión, pero no admite alterar su contenido básico. Cuando es necesario desviarse de la HLS por causas excepcionales, se precisa informar de ello a ISO, razonando los motivos. Desde una perspectiva práctica, cuando los proc proceso esoss de normalización internacional adoptan como punto de partida, una norma nacional, la adaptan primero a la HLS y señalan los contenidos inalterables por tal motivo11. Como se ha anticipado, esto es lo que sucedió con el estándar ISO 19600:2014 (sobre Compliance Management Systems, CMS), cuyo primer borrador de trabajo ( Working Draft , WD) surgió de acomodar el contenido del estándar nacional AS 3806:2006 a la HLS. Lo mismo ocurrió después con el estándar ISO 37001:2016 (sobre anti-bribery management systems, ABMS), que partió de adaptar la norma nacional BS 10500:2011 – specification for an anti-bribery management system (ABMS)– a la HLS. Por ello, estos textos internacionales sobre compliance, así como ahora el estándar 37301:2021, dividen su de contenido en los diez capítulos que determina la HLS ISO y recurren a un núcleo común definiciones y regulación. A pesar de ello, cada estándar dispone del contenido adaptado a su naturaleza y finalidad, lo que hace muy necesario prestar atención a sus definiciones y requisitos singulares. En cualquier caso, el empleo de la HLS permite armonizar e integrar siste sistemas mas de gestión gracias a su estructura y a los contenidos comunes. De hecho, ISO publica una guía que ayuda a realizar estas integraciones 12. Es algo especialmente útil en el ámbito del compliance, donde un sistema de gestión general puede, a su vez, integrar obligaciones ciones otros sistemas de gestión específicos que se proyectan sobre ciertos riesgos u obliga de compliance en particular. Esto puede suceder con mucha facilidad con el estándar ISO 37301:2021, llamado a aglutinar mecanismos que garanticen el cumplimiento de las principales que afectan a la organización. Una correcta integración facilita: obligaciones de compliance
sistemas as de gestión en el modelo • Aglutinar los elementos comunes comunes de todos todos los sistem del alcance general, evitando así el tratamiento redundante de las cuestiones comunes. De este modo, los elementos organizativos y documentales de riesgos os u obliga obligacione cioness de de compliance complia nce quedan reducidos a sus sincada grupo de riesg gularidades, ayudando a prevenir modelos de comp complian liance ce innecesariamente voluminosos. volumi nosos.
11 En
los Proj Project ect
Commi Committees ttees (PC) de ISO se señalaron los contenidos inalterables de los docu-
mentos de trabajo en un color distinto, conocidos como bluep blueprints rints..
12 ISO,
ISO Hand Handbook book–The –The inte integrat grated ed use of Mana Manageme gement nt Sys System tem Stan Standard dardss (IUM (IUMSS) SS) , 2nd ed.,
2018-11. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.2 La HLS HLS de ISO
29
EJEMPLO. Modo de integrar políticas de compliance.
De este modo, la política de compliance compliance general general o “transversal” recogerá aspectos comunes que no se replicarán entonces en las políticas políticas exigidas exigidas en los sistemas los sistemas de gestión que gestión que aplican sobre diferentes riesgos de de compliance compliance,, que se reducen a su esencia por motivos técnicos. Esta mecánica de “traspasos” a la estructura general o “transversal” de compliance compliance aplicará aplicará igualmente con el resto de requi sitos,, de modo que los sistemas sitos los sistemas de gestión que gestión que eventualmente operen sobre los distintos grupos de riesgos riesgos u u obligaciones de compliance queden compliance queden reducidos a su mínimo exponente por motivos técnicos El resto de contenidos queda en la parte general o común para todos ellos. • Obtener una visión conjunta de las cuestiones de comp complianc liancee referidas a las principales obligaciones de naturaleza que afectan a la organización y reportarla de forma integrada. Esto brinda una imagen completa que ayuda a priorizar correctamente las acciones y decisiones, mejorando notablemente la calidad en la gestión.
EJEMPLO. Reportes consolidados de compliance vs. vs. múltiples líneas de reporte.
Los estándares sobre sistemas sobre sistemas de gestión gestión de de compliance compliance en en materias concretas precisan reportar sus actividades al órgano de gobierno y gobierno y a la alta dirección. dirección. A la larga, esto supone la multi multiplicaci plicación ón de infor informes mes de compliance compliance,, con los inconvenientes que entraña. Un informe consolidado de compliance compliance evita evita esta dispersión y brinda una visión general con mayor valor añadido en el proceso proceso de toma de decisiones. • Optimizar las políticas, los procedimientos y los controles de compliance cuando pueden cubrir las necesidades derivadas de oblig obligacione acioness de compliance compliance de diferentes ámbitos. Evita redundancias innecesarias de control, inconsistencias y también, lagunas.
procedim edimient ientos os innecesariamente redundantes o EJEMPLO. Políticas y proc inconsistentes. La ausencia de una visión o coordinación transversal de las actividades desarrolladas para promover el cumplimiento de las diferentes obligaciones de compliance compliance favorece la producción de políticas de políticas,, procedimientos procedimientos y y controles redundantes, eventualmente inconsistentes, así como posibles lagunas por una deficiente asignación de roles y responsabilidades. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
30
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Los componentes que aparecen reflejados en la HLS de ISO se pueden interpretar y aplicar en clave de ciclo Deming13, que pretende la mejora continua en la gestión mediante cuatro etapas: planificar, hacer, verificar y actuar 14.
13
William Edwards Deming (Sioux City Iowa, 19001900-W Washington D. C. 1993, EE. UU.). Estadístico y profesor universitario, presentó en la década de 1950 el denominado PDCA ( Plan, Do, Check, Act ) para la mejora continua c ontinua en todo tipo de situaciones, creado y publicado en 1939 por W.. A, Shewha W Shewhart. rt. De ahí que sea referido indistintame indistintamente nte como cciclo iclo Demin Deming g o cicl ciclo o Shewhart. 14 En la primera etapa (planificar) se determinan qué elementos y actividades serán precisos para alcanzar los resultados pretendidos. pretendidos. A continuación, se llevan a la práctica dichas actividades (hacer) para verificar después si se están cumpliendo las expectativas esperadas (verificar). A partir del análisis de la información obtenida se pueden idear las actuaciones necesarias para corregir las desviaciones indeseadas (actuar), (actuar), lo que nuevamente conducirá a una etapa para planificar los elementos y actividades que se precisan para llevarlas a cabo (planificar) (planificar).. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.3
El proceso de normalización del estándar ISO 37301:2021
En el contexto de la reunión 67 del Technical Management Board de ISO, celebrado en Beijing (China) el 10 de septiembre de 2016, se adoptó la decisión de establecer el nuevo comité técnico ( Technical Committee, TC) ISO/TC 309 sobre el gobierno de las organizaciones15. Acabaría comprendiendo cuatro grupos de trabajo (Working Group, WG), proyectados sobre diferentes materias técnicas: • ISO/TC 309 WG 1 Guía para el gobierno de las organizaciones, orientado a definir el primer “sistema de gobierno” ISO 37000, como fundamento de toda la serie de “sistemas de gestión” bajo su cobertura16. • ISO/TC 309 WG 2 sobre sistemas de gestión antisoborno, antisoborno, como continuación del antiguo ISO/PC 278. • ISO/TC 309 WG 3 sobre sistemas de gestión de canales para para el planteamiento de inquietudes, que se orientaría a producir el estándar ISO 37002 de directrices sobre dicha materia. la secretaría la institución británica BSI ( British Standards S tandards Ins Institution titution), que ya lo había hecho en el antiguo e ISO/PC 278 sobre sistemas de gestión antisoborno. No es así en el anterior ISO/PC 271 sobre sistemas de gestión de compliance cuyo desempeño de la secretaría recayó en la entidad australiana SA (Standards Australia). 16 Un sistema de gestión difícilmente operará correctamente en organizaciones desestructuradas desde una perspectiva de gobierno. A partir de esta idea, se constató la importancia de que todos los sistemas de gestión en compliance orbitaran alrededor de la familia de normas 37000, encabezada por el primer “sistema de gobierno” go bierno” de ISO. El sistema establece parámetros para el buen gobi gobierno erno de las organizacio organizaciones, nes, bajo cuya correcta interpre interpretación tación y aplicación cabe desarrollar actividades de gestión a través de los correspondie correspondientes ntes “sistemas de gestión”. De ahí emerge la lógica del estándar de gobierno ISO 37000 y de los estándares de gestión bajo su órbita: ISO 37001, ISO 37002 e ISO 37301. 15 Desempeñando
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
31
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
32
• ISO/TC 309 WG 4 sobre sistemas de gestión de compliance, como seguimiento seguimiento del antiguo ISO/PC 271, cuya aprobación se comunicó por la secretaría del ISO/TC 309 el 20 de septiembre de 201817 y que produciría el estándar ISO 37301:2021. El proceso de revisión y transformación de la norma ISO 19600:2014 en el nuevo estándar ISO 37301:2021 atravesó por seis reuniones plenarias18, de las cuales la última tuvo que celebrarse telemáticamente debido a las restricciones de movilidad derivadas del covid-19.
proceso eso de maduración, no solo se revisaron los contenidos del anterior A lo largo largo de este este proc estándar ISO 19600:2014 a la luz de las buenas prácticas surgidas desde su publicación19, sino que también se reestructuraron sus contenidos para hacerlos hacerlos adecuados para un MSS de tipo A (certificable). Esto significó trasladar una buena parte de su contenido inicial al nuevo anexo A (informativo) Guía para el uso de este documento, dejando en el cuerpo de la norma los requisit requisitos os esenciales. Recordemos Recordemos que el estándar ISO 19600:2014, 196 00:2014, un MSS de tipo B (no certifi certificabl cable) e) no disponía disponía de un anexo anexo semejan semejante te y todo su contenid contenido o (de recomendaciones) se encuentra recogido en su articulado. Como estándar certificable bajo la órbita de la familia de normas 37000, se le otorgó la numeración 3730120 y finalmente ha sido publicado el 13 de abril de 2021. Debido al interés que despertó esta norma en países de habla hispana, el 23 de no viembree de 2020 se viembr se constituyó constituyó el ISO/TC ISO/TC 309/STTF (Spanish Translation Task Force), presidido por la Asociación Española de Normalización, UNE, y cuya secretaría ostenta el Servicio Ecuatoriano de Normalización (INEN). Gracias a esta iniciativa, se dispone de una versión oficial ISO en español, que será adoptada como norma UNE-ISO 37301:2021, con contenido idéntico.
17 Se
designó coordinador de dicho grupo a Martin Tolar, que fue el presidente del antiguo ISO/ PC 271 que proyectó su actividad en la elaboración del estándar ISO 19600:2014, precursor del ISO 37301:2021. Es interesante señalar que para la coordinación adicional se designó al Dr. Yiyo Wang W ang de China, lo que d demuestra emuestra el inte interés rés en dicho país por el estándar estándar. 18 La primera tuvo en lugar en Londres, Reino Unido, del 9 al 11 de noviembre de 2016; la segunda en Quebec, Canadá, del 22 al 26 de mayo de 2017; la tercera en Shenzhen, China, del 12 al 17 de noviembre de 2017, la cuarta en Sydney, Australia, del 2 al 9 de noviembre de 2018 y la quinta en Nueva Delhi, India, del 3 al 9 de noviembre de 2019. La sexta y última tenía que celebrarse en Viena, Austria, en junio de 2020, pero se suspendió por motivo de las restricciones a la movilidad derivadas del covid-19. 19 Algunas de ellas reflejadas en el estándar ISO 37001:2016, que igualmente se recogen ahora en el estándar ISO 37301:2021. 20 En línea con las prácticas de ISO, debería procurarse que los MSS de tipo A (certificables) terminasen en 01. Al ya existir el estándar 37001:2016 (sobre sistema de gestión antisoborno), se escogió el número 37301. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.4
El estándar ISO 37301:2021 como sistema de gestión
Al hablar de modelos de compliance es común referirse a "programas" como si sólo existiese esta forma de concebirlos. Sin embargo, los estándares ISO determinan sistemas de gestión, cuyos componentes y sus interacciones redundan en una mayor eficacia de los modelos respecto de "programas" clásicos.
I.4.1. De los programas de compliance a los sistemas de gestión El transcurso de la última década muestra la evolución de los modelos de d e compliance: primero, en forma de programas y recientemente, articulados como siste si stemas mas de gestión gesti ón. Así, el primer estándar general sobre complia compliance nce, la norma australiana AS complianc iancee; más tarde, la recomenda3806:2006, versaba sobre “programas” de compl ción de la OCDE para fortalecer la lucha contra el cohecho 21 también empleó el concepto de “programas”; como, del mismo modo, vienen haciendo las administraciones norteamericanas: tanto en las líneas directrices publicadas anualmente por
El texto de la recomendación de la OCDE para fortalecer la lucha contra el cohecho se localiza en la página web www web www.oecd.org .oecd.org.. El anexo II a dicha recomendación de 2009 hace referencia a los “programass de ética y cumplimiento”. “programa 21
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
33
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
34
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
la US Sentencing Commission22, como en los documentos producidos por el US Department of Justice (DoJ)23. Un programa de compliance aglutina una serie de componentes considerados considerados idóneos para alcanzar determinada finalidad. Un “sistema de gestión”, además de fijar estos elementos clave, pone énfasis en la interrelación que debe existir entre ellos y en la lógica que inviste al conjunto. En bastantes ocasiones, el sentido de estas relaciones radica principalmente en un enfoque basado en el riesgo (véase el apartado I.6.2.2 I.6.2.2 Enfoque basado en el riesgo, de este libro), que condiciona la orientación de diferentes componentes: aunque las acciones formativas están ampliamente referenciadas en los compliancee, cualquier actividad de formación no es objetivamente idónea, textos sobre complianc debiendo cubrir las materias que exponen a la organización e impartirse a las personas que desempeñan un rol relevante en los procesos expuestos a riesgo. Este tipo de consideraciones, que se entenderían como recomendables en el contexto de un programa de compliance, se multiplican y son indispensables ind ispensables para un sistema de gestión. Tanto el diseño como la evaluación de un modelo de compliance en clave sistémica precisan atender a estas interacciones y, y, por eso, no pueden realizarse atendiendo solamente a la concurrencia de elementos aisladamente considerados.
I.4.2. La normalizació normalización n in internaciona ternacionall en materia de compliance tiende a los sistemas de gestión La actividad de normalización es un fenómeno que da respuesta a la inquietud social por homogeneizar el tratamiento de determinadas materias técnicas. Con esta finalidad, final idad, los Estados pueden atribuir capacidades de producción normativa a entidades de sus respectivos respect ivos territorios: es el caso de la Asociación Española de Normalización, UNE, como también lo es el de la Association Française de Normalisation (AFNOR) en Francia, Fra ncia, el del Deutsches Institut für Normung en Alemania, el del Ente Nazionale
por ejemplo, US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of Organizations, noviembre de 2018. El apartado 2 de dicho capítulo hace referencia a los “ effective compliance and ethics programs”. 23 El texto de la Resource Guide Guide to the US For Foreign eign Corr Corrupt upt Practices Act publicado publicado conjuntamente por el US Department of Justice (DoJ) y la Securities and Exchange Commission (SEC) en el año 2012, se refiere a los “ corporate compliance complia nce programs”. También se refiere a estos, el documento titulado Evaluation of Corpo Corporate rate Com Compliance pliance Prog Programs, rams, G Guidance uidance D Document ocument , emitido por su Criminal Division (actualización del mes de junio de 2020, que estuvo precedido de versiones previas publicadas en 2019 y 2017). Estos documentos se localizan en la página web www.justice.gov. web www.justice.gov. 22 Así,
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.4 El estándar ISO 37301:2021 37301:2021 como como sistema
de gestión
35
Italiano di Unificazione UNI en Italia, el del American National Standards Institute ANSI en los Estados Unidos y un largo etcétera. Las entidades de normalización normalizaci ón se agrupan en la International Organization for Standardization (ISO), que es una organización no gubernamental independiente de la que forman parte actualmente 164 miembros24. Cuando en el año 2013 ISO decidió estandarizar sobre compliance, adoptó como documento de partida la norma australiana AS 3806:2006 Compliance Programs, (sobre “programas” de compliance), pero adaptó sus contenidos a la denominada “estructura de alto nivel” ( High Level Structure, HLS) que ISO emplea en sus sistemas de gestión. Sobre esta base, se refinó el documento hasta publicar la norma ISO 19600:2014 Compliance management systems-Guidelines, primer estándar internacional sobre sistemas de gestión de compliance. El caso de la norma ISO 37001:2016 sobre sistemas de gestión antisoborno fue distinto, dado que adoptó como partida el moderno estándar británico BS 10500:2011, que también articulaba un sistema de de gestión, aunque este no estaba basado en la HLS. Desde entonces, otros estándares ISO siguen adoptando la forma de sistemas de gestión, como la norma ISO 37002 sobre sistemas de gestión de canales para el planteamiento de inquietudes (MSS de tipo B, no certificable) o el estándar ISO 37301:2021 que ahora nos ocupa (MSS de tipo A, certificable).
I.4.3. El estándar ISO 37301:2021 El estándar ISO 37301:2021 articula un sistema de gestión y así lo subraya en múltiples ocasiones: • De manera general, cuando, cuando, por ejemplo, ejemplo, el apartado 4.4 Sistema de gestión del compliance no solo insta a la organización a impulsarlo, sino que llama a atender las interacciones precisas. Insta, como condicionante de partida, a considerar en su diseño lo indicado en el apartado 4.1 Comprensión de la organización y de su contexto, no solamente para fundamentar un sistema de gestión ge stión basado en interacciones, sino para que, además, se adecúe a las circunstancias de la orga nización. Puesto que es clave entender bien tales circunstancias para establecer un sistema de gestión y sus componentes, el citado contenido del apartado 4.1 Comprensión de la organización y y de su contexto aparece referenciado en diversos apartados del estándar (los apartados 4.3 Determinación del alcance del sistema
24 Actualmente
existen 194 países soberanos reconocidos por la ONU. Por consiguiente, acogiendo a 164 países, ISO es una plataforma internacional ampliamente reconocida. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
36
de gestión del compliance, 4.4 Sistema de gestión del compliance y 6.1 Acciones para abordar los riesgos y oportunidades de la norma). • De forma específica, específica, cuando en algún algún requisito se indica tener en cuenta otro. riesgos sgos de compliance compliance, que se Esto sucede con el apartado 4.6 Evaluación de los rie cita explícitamente en otros lugares de la norma (los apartados 5.3.2 Función Función de compliance, 6.1 Acciones para abordar los riesgos y oportunidades y 9.1.2 Fuentes Fuentes de opinión sobre el ddesempeño esempeño del complianc compliancee), como también sucede con otros muchos apartados del estándar25. • Finalmente, también cabe considerar multitud de referencias implícitas que, sin referirse explícitamente a otros apartados, emplean su vocabulario o citan sus materias; por citar un ejemplo, cuando en el apartado 7.2.3 Formación se apunta que debe ser adecuada a los roles del personal person al y los riesgos de compliance a los que están expuestos, esto lleva a tener en consideración, como mínimo, la identificación de roles de riesgo de compliance del personal que se establece en el apartado 7.2.2 Proceso de empleo, así como el resultado de aplicar el apartado 4.6 Evalu Evaluación ación de los riesgos de compl compliance iance, aunque ninguno de estos dos apartados estén expresamente citados. El contenido del estándar y la interacción de sus componentes puede interpretarse en clave de ciclo Deming, que, como se explicó anteriormente en el capítulo I.2 La La HLS de ISO, de este libro, al tratar la HLS, pretende la mejora continua a través de cuatro etapas: planificar, hacer, verificar y actuar. De hecho, la Introducción de la norma ISO 37301:2021 incorpora un novedoso esquema en este sentido, distinto del que plasmó la norma ISO 19600:2014. Encontramos reflejados los componentes que se asocian con cada una estas etapas, ilustrando el modo en que opera el sistema de gestión como algo “vivo”.
25 A
los lectores no acostumbrados a los sistemas de gestión, las continuas referencias cruzadas (que interrelacionan componentes) dan una sensación inicial de falta de sistematicidad en la redacción de los estándares. Cuando se comprende la operativa sistémica de sus componentes, se entiende también la necesidad de establecer estas correlaciones. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.5
Singularidades del estándar ISO 37301:2021
No cabe duda que el mejor modo de procurar procura r el e l cumplimiento cumpli miento de las normas es que sus destinatarios quieran también hacerlo. A tales efectos, generar o mantener una adecuada cultura era un reto ya presente en la norma ISO IS O 19600:2014 y que el estándar ISO 37301:2021 potencia.
I.5.1. El estándar ISO 37301:2021 y la cultura de compliance Existen dos grandes aproximaciones al compliance: • La que lo considera como una adaptación de las metodologías de control interno. • La que lo interpreta como una palanca de mejora de la inte integridad gridad de las personas y de las organizaciones. Simplificando a efectos didácticos, podríamos decir que el primer enfoque parte de considerar que las personas, dejadas a su libre albedrío, tienden a satisfacer sus intereses con independencia de las normas 26; se debe, entonces, poner el foco en
26 Desde
una perspectiva clásica, podría decirse que este enfoque obedece a lo que ya señaló el biólogo Thomas H. Huxley en el siglo XIX, “ la doctrina doctri na de la dep depravación ravación innata del hombre y la
perdición de la mayor parte del género humano…, me parece muchísimo más ccerca erca de la verdad que las ilusiones ‘liberales’ populares de que todos los niños nacen buenos ”. Al hilo de esta visión, una sociedad ética es la que asegura que todos estemos bajo observación, siendo la moralidad un dique artificial que ayuda a contener nuestra perniciosa naturaleza innata. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
37
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
38
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
controlarlas. El segundo entiende que las personas procuran, de forma natural, desarrollar conductas éticas e incluso, altruistas27 , que interesa cultivar, cultivar, ejemplarizar y promover mediante actividades concretas, poniendo, por consiguiente, el foco sobre las acciones que favorezcan esta faceta. Cuantas más personas íntegras concurran en las organizaciones, menor necesidad habrá de controlarlas. Aunque la mayoría de normas modernas sobre complia compliance nce siguen aproximaciones híbridas que conjugan elementos de ambos entendimientos, es cierto que tienden a acercarse más a alguno de ellos. En el caso del estándar ISO 19600:2014 y ahora ISO 37301:2021, es patente su apuesta por el enfoque de integridad, enfatizando los aspectos culturales. La Introducción del estándar ISO 37301:2021 subraya que el compliance no solo consiste en cumplir con las normas, sino hacerlo de manera que forme parte de la cultura de la organización . Obviamente, una cultura organizativa positiva no se consigue mediante la imposición y el control sino: • Atrayendo y manteniendo personas alineadas con la misma. • Cultivando su integridad. • Reaccionando frente a quienes la ponen en riesgo. Dentro de esta dinámica, los controles ayudan a identificar tanto situaciones de riesgo como las personas que las protagonizan, pero no generan una cultura cu ltura organizativa por sí solos.
comEl estándar ISO 37301:2021 otorga una importancia capital a la cultura de com28 pliance , hasta el punto de ser el primer sistema de gestión que incorpora la definición de “ conducta ”, como comportamientos o prácticas que traslucen los valores de las
27 Desde
una perspectiva clásica, este enfoque enlazaría con los pensamientos que el economista
Adam Smith divulgó en el siglo XVIII a tr través avés de su obra La teoría (1759). ría ddee lo los s sent sentimientos imientos morales Ya en el siglo XX, el filósofo John Rawls señaló que “los sentimientos sentiteo mientos morales sostienen la adhesi adhesión ón a las normas”, subrayando la importancia de las “personas buenas” equiparándolas equiparándolas a “personas de valor moral” (Teoría de la Justici Justiciaa, sección 66 “La definición del bien aplicada a las personas”, 1971, edición del Fondo de Cultura Económica, 12.ª ed., 2018). 28 El apartado 4.1 Comprensión de la organización y de su contexto , dentro del capítulo 4 Contexto de la organización organización, señala la importancia de considerar la actual cultura de compliance de la organización; respecto al capítulo 5 Liderazgo, el apartado 5.1.1 Órgano de gobierno y alta dirección apunta que se deben establecer y actualizar los valores de la organización, el apartado 5.1.2 Cultura de compliance compliance, desarrolla este concepto. Son referencias explícitas a esta materia, junto con otras muchas implícitas que figuran en otros capítulos y apartados del estándar, que se refieren a las obligaciones de compliance compliance (que, englobando las asumidas voluntariamente, suelen recoger los valores de la organización), o la evaluación de riesgos de compliance compliance (que incluye aquellos derivados de las obligaciones de compliance, incluidas las voluntarias). En particular, el capítulo 7 Apoyo hace referencia a actividades estrechamente relacionadas con el establecimiento o mantenimiento de una cultura de compliance, como son las actividades de formación (en el apartado 7.2.3 Form Formación ación) y concienciación (en el apartado diferenciado 7.3 Toma de conciencia). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.5 Singularidades del estándar ISO 37301:2021
39
organizaciones29 (véase la figura 1). 1). De hecho, el órgano de gobierno y la alta dirección deben establecer y mantener actualizados estos valores30 en un ejercicio de liderazgo que es clave para la consolidación cultural31, como subraya desde el primer momento la Introducción del estándar. V Valores alores
r
Cultura
r
Conductas
Figura 1. El establecimiento y difusión de un conjunto de valores ayuda a generar una cultura corporativa común sobre los mismos, de la que deben derivarse conductas alineadas con ellos. A los efectos efectos de lo que se está explicando, explicando, nótese que el apartado apartado 4.1 Comprensión de la organización y de su contexto del estándar ISO 37301:2021 incorpora también una novedad relevante respecto a la norma precedente ISO 19600:2014: la cultura de de la acorde propia organización de los a valorar para prever un compliance sistema de gestión con ella. De es esteuno modo, lasaspectos necesidades de cada organización dependerán, entre otros factores, de su estado cultural de partida 32. Otro matiz cultural importante lo hallamos en el apartado 5.3.4 Personal Personal, cuando exige de esta categoría tan amplia que no solo se adhiera a las obligaciones de compliance compliance de la organización (como ya decía el estándar ISO 19600:2014), 19600:2 014), sino también a sus políti cas, procesos y procedimientos procedimientos33. No es una novedad intrascendente, pues este conjunto
importantes a la hora de consolidar la cultura de co compliance mpliance que se barajó seriamente la posibilidad de que el estándar ISO 37301:2021 se refiriera a “sistemas de
29 Los aspectos conductuales son tan
gestión conducta” la nomenclatura “ sistema Conduct Management Systems de gestiónde de dela complian compliance ce” ((Compliance Management System),)abandonando pero manteniendo su acrónimo:deCMS. La idea se desestimó finalmente, más por la confusión que podía ocasionar ante una idea consolidada en el mercado ( sistema de gestión de compliance), que por la falta de sentido lógico. 30 Es una de las actividades activ idades que deben desarrollar ( requisito), según indica el apartado 5.1.1. Órgano de gobierno y alta dirección, dentro del capítulo 5 Liderazgo del estándar ISO 37301:2021. Véase también el 2.5.1.1 Órgano de gobierno y alta dirección que incorpora la norma. 31 El apartado 5.1.2 Cultura de compliance compliance del estándar ISO 37301:2021, indica que el órgano de gobierno debe demostrar activamente una conducta alineada con el conjunto de valores que se exige la organización.
Organizaciones más evolucionadas desde una perspectiva cultural c ultural pueden precisar menores esfuerzos
32
que las que dispongan de margen de mejora. Estas últimas tienen más por construir. una perspectiva técnica, esto supone que el personal no solo se compromete a evitar no ) sino también, no conformidades cumplimientos de complian compliance ce (referidos a las obligaciones de compliance conformidades (respecto a procesos y procedimientos). Sobre este particular, véanse también los comentarios expandidos en el apartado I.5.2 Las dos fuentes de obligaciones de complianc e complianc e, de este libro. 33 Desde
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
40
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
de elementos traslada los valores de la organización34 y, por tanto, los parámetros de conducta concretos que se esperan y los que no se toleran35. Sin perjuicio de todo lo anterior, anterior, el estándar ISO 37301:2021 no descuida la faceta del control, que se localiza principalmente en su capítulo 8 Operación.
I.5.2. Las dos fuentes de obligaciones de compliance Siguiendo la línea de su norma antecesora AS 3006:2006 36 , el estándar ISO 19600:2014 contemplaba expresamente dos tipos de obli obligac gacion iones es de complia com pliance nce : aquellas que las organ organizaci izaciones ones debían cumplir (“ requi requirement rementss”), y las que elegían voluntariamen volun tariamente te cumplir (“ commit committments tments”), incluyendo ambos vocablos en su capítulo 3conceptos, otorgaba el mismo valor a Términos ypues definiciones. dichos ambos Esto eran oblig obligacion aciones esautomáticamente de compliance compli ance cuyo cumplimiento debían procurar las organi organizacio zaciones nes. Desde esta perspectiva, la funció funciónn de compliance compli ance supervisa la aplicación de ambas categorías, sin motivos para considerar que los compromisos libremente libremente asumidos tienen un rango inferior a las obligaciones o bligaciones que
34 Muchos
de los compromisos asumidos voluntariamente se establecen en elementos normativos internos, como códigos éticos o de conducta o en las políti políticas cas que desarrollan sus contenidos. textos sobre complia compliance nce, especialmente en el ámbito de la prevención penal o del soborno, hacen especial hincapié en la necesidad de fijar parámetros de conducta, normalmente mediante políticas polític as, que luego se concretarán en procedi procedimientos mientos . La Guía de Buenas Prácticas para los Controles Internos,, la De Internos Deontologí ontologíaa y la Conformi Conformidad dad de la OCDE en materia de prevención del soborno (es el anexo II de la Recomendación OCDE para fortalecer la lucha contra el cohecho, adoptada el 26 de noviembre de 2009), se refiere explícitamente la necesidad nec esidad de fijar estándares de conducta, como elemento clave para pa ra luchar contra esta lac lacra. ra. T También ambién siguen una aproximac aproximación ión análoga las US Sentencing Commission Guidelines que se vienen publicando anualmente, la Resourc Resourcee Guide to the US Foreign Corrupt Practices Act del del año 2012 (referencias al Código de Conducta y políti políticas cas de compliance que se citan en el apartado Corporate Compliance Program en la p. 57), o la Guidance para la aplicación de la Bribery Act británica británica de publicada en el año 2011 (dentro de su principio número 6), por citar algunos ejemplos. Obviamente, tanto la promoción como la represión de determinadas conductas en las organiz organizacion aciones es precisa fijarlas y difundirlas previamente a través de polític políticas as internas. 35 Los
36 Ya
el estándar AS 3806, precursor de la Norma ISO 19600:2014, dedicó su apartado 3.5.1 Identification Identificati on of compliance obligations a listar, a título enunciativo, una serie de obligaciones, potencialmente subsumibles en un programa de compliance , incluyendo las obligaciones impuestas (por la Ley, por ejemplo) y otras asumidas voluntariamente (los principios voluntarios o códigos de prácticas, por ejemplo). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.5 Singularidades del estándar ISO 37301:2021
41
vienen impuestas impuesta s por po r la normativa normativ a o los poderes públicos públi cos37 . En cualquier caso, la funciónn de compliance funció complia nce no fija unas ni otras, sino que se limita a procurar su aplicación, sin distinciones38. Esta es la misma aproximación que sigue el estándar ISO 37301:2021, pero a través de una redacción simplificada: en lugar de definir por separado las dos fuentes de obligaciones obligaci ones de compliance complianc e, integra los conceptos en la propia definición 3.25 Obli gaciones gacio nes de complia compliance nce. Por lo demás, el apartado A.4.5 Obligaciones de compliance del anexo A (informativo) Guía para el uso de este documento, incluye ejemplos que se corresponden con ambas categorías conceptuales. Por todo ello, lo indicado en el apartado 4.5 Obligaciones de compliance debe interpretarse en este sentido (véase la figura 2). 2). u
Las que se deben cumplir
u
Las que se eligen voluntariamente cumplir
Obligaciones de compliance
Figura 2. Las obligaciones de compliance no solo provienen de la Ley o las autoridades, sino que también son los compromisos que se impone la organización voluntariamente.
Finalmente, es interesante señalar que el apartado 5.3.4 Personal exige que este se adhiera no solo a las obligaciones de ccompliance ompliance (como ya apuntaba el estándar ISO 19600:2014), sino también a las políticas, procesos y procedimientos de la organización, que son emplazamientos típicos de algunos compromisos que trascienden de lo ya estipulado en las normas imperativas.
estándar ISO 19600:2014 introduce así la acepción moderna del compli compliance ance, que deja de circunscribirse circunscribir se a: 37 El
(i) La regula regulación ción específica de determin determinado ado mer mercado cado o sector de actividad. (ii) Las normas que vienen impu impuestas estas por la Ley o los poderes públicos. públicos. la función de compliance compliance, ambas son obligaciones que le vienen dadas: unas por parte de los poderes públicos y las otras, por voluntad de la organización. 38 Para
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
42
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
I.5.3. Las no conformidades y los no cumplimientos de compliance Tanto Tanto la HLS (véanse (véan se los comentarios comen tarios en el capítulo capítu lo I.2 La HLS de ISO, de este libro) como los estándares tradicionales ISO en materia de compliance adoptan los conformid ad”, entendidos como el cumplimiento conceptos de “ conformidad” y “ no conformidad o no cumplimiento de un requisito, respectivamente. Sin embargo, el estándar ISO 19600:2014, acogiendo también estas definiciones sin variar su contenido, introdujo las adicionales de “ cumplimiento” y “ no cumplimiento de compliance”, vinculadas con observar o no las obligaciones de compliance compliance. El estándar ISO 37301:2021 hace lo propio, desmarcándose de la línea clásica que siguió, por ejemplo, la norma ISO 37001:2016. Esta distinción entre conformidades/cumplimientos y no conformidades/no cumplimientos de complia compliance nce desconcierta a quienes están habituados a la estructura de la HLS y a los sistemas de gestión que no se apartan de ella. • Del concepto de requis requisito ito, como “necesidad o expectativa establecida, generalmente implícita u obligatoria”, surgen las conformidades y no conformidades. T Toda oda esta terminología es propia de la HLS y también la incorpora el estándar ISO 37301:2021. • Sin embargo, embargo, el estándar estándar ISO 19600:2014 introdujo introdujo el concepto de obligac obligación ión de compliance complian ce, que no consta en la HLS y que integra in tegra los “requisitos de complian compliance ce” compliance iance”, como términos igualmente definidos. Como y los “compromisos de compl he explicado en el apartado anterior, anterior, el estándar ISO 37301:2021 sigue de facto esta misma línea. De esta combinación se aprecia que una conformi conformidad dad no equivale al cumplimient cumplimientoo de una obliga obligación ción de compl compliance iance , ni una no conformidad a su no cumplimiento cumplimi ento. Aunque la interpretación de estos conceptos debe realizarse considerando las circunstancias de cada caso, se entiende que las conf conformid ormidades ades y no conformida confo rmidades des guardan relación con los requ requisi isitos tos fijados por el sis sistema tema ddee ges gestión tión, mientras que los cumpli cumplimien mientos tos y no cumpl cumplimie imientos ntos lo hacen con las normas sustantivas a las que aquel se debe (las obligac obli gacione ioness de complian comp liance ce)39. Por tanto, estas últimas definiciones vacían parcialmente el contenido de las primeras. No asistir a una sesión de formación requerida sistema ema de gest gestión ión es normalmente una no conf conformi ormidad dad, pero no un no cumpor el sist plimiento plimi ento de comp complianc liancee cuando tal conducta no vulnera una norma obligatoria o
39
obligaciones obligacion es de compliance
algunas ( políticas internas, por ejemplo). pueden Por estareso, plasmadas en documentos integrados en Ciertamente, el sistema de gestión la interpretación para clarificar si se trata de una no conformidad o un no cumplimiento de compliance debe realizarse atendiendo a las circunstanciass de cada caso y diferen circunstancia diferenciando ciando entre las cuestiones procedimentales y las sustantivas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.5 Singularidades del estándar ISO 37301:2021
43
organizac nización ión . Esto explica, por ejemplo, por qué un compromiso asumido por la orga no es necesario realizar investigaciones en casos de no conformi conf ormidade dadess, mientras que sí procede ante sospechas de no cumplim c umplimient ientos os, según distingue implícitamente el apartado 8.4 Procesos de investigación. En líneas generales, aglutinar conceptualmente solo concepto abocaría a no conf conformi ormidade dades s y no cumpli cumplimien tos de compl complianc iancee en un sobreactuar en algunos casosmientos (investigar o informar al órg órgano ano de gobi gobierno erno o a las autoridades que una persona no ha asistido a la formación interna, por ejemplo) y no actuar correctamente en otros. El capítulo 10 Mejo Mejora ra nos habla de la necesidad de reaccionar tanto ante no confor co nformida midades des como frente a no cumplim cu mplimient ientos os de complianc comp liancee, pero la distinción conceptual entre ambos términos ayuda a modular la respuesta de manera correcta. La distinción es también útil desde una perspectiva de gestión, pues un no cumpli miento de complian compliance ce que no venga precedido de una no conformid conformidad ad, puede delatar una vulnerabilidad del sistema de gestión: se produce el no cumplimiento de una obligación de complia compliance nce sin haber infringido algún requisito del siste sistema ma de gesti gestión ón fijado para prevenir esa situación. En cualquier caso, el apartado 5.3.4 Personal, que engloba a una categoría amplia de compliance, sino sujetos40, obliga a que se adhieran no solamente a las obligaciones de compliance también a las políticas , procesos y procedimie procedimientos ntos de la organizaci organización ón –que es donde se recogen los requisitos del sistema de gestión–. Es un modo de subrayar el compromiso compliance (respecto a las obligadel personal en evitar tanto los no cumplimientos de compliance ciones de compliance) como las no conformidades (respecto a los requisitos fijados por el sistema de gestión).
que el estándar ISO 37301:2021 emplea el término “ personal” en lugar de “empleados” (utilizado en ISO 19600:2014), evitando vincularlo a la naturaleza jurídica de su relación con la organización. Esto permite englobar a un conjunto muy amplio de sujetos, convirtiéndose en una categoría residual que abarca individualmente a los componentes del órgano de gobierno, la alta dirección dirección, la función de compl compliance iance, etc. Véanse los comentarios al respecto en el apartado II.3.22 II.3.22 Personal, de este libro. 40 Recordemos
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022 8 4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
El estándar ISO 37301:2021, en su conjunto, debe interpretarse a la luz de ciertos principios. Algunos Algu nos vienen expresamente reconocid reconocidos os en su texto, mientras que otros se infieren por su propio contenido. Seguidamente se comentan unos y otros, excluyendo del análisis aquellos adicionales que puntualmente se citan, pero solo están referidos a apartados concretos41.
I.6.1. Principios explícitos El capítulo 1 Objeto y campo de aplicación del estándar ISO 19600:2014 relacionaba expresamente los principios en los que se fundamentaba esta norma internacional: buen gobierno, proporcionalidad, transparencia transparencia y sostenibilidad. En el estándar ISO 37301:2021 pasan a localizarse en el apartado A.4.6 Evaluación de los riesgos del com pliance del anexo A (informativo) Guía para el uso de este documento, que añade a los anteriores los principios de integridad y responsabilidad.
ejemplo, los expresamente reconocidos en el apartado A.7.4 Comunicación , en referencia a los principios que deben regir las comunicaciones de la organización en materia de compliance. 41 Por
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022 8 4.
45
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
46
I.6.1.1. Principio de buen gobierno Al igual que en el estándar ISO 19600:2014, 19600: 2014, la norma ISO 37301:2021 37301: 2021 cita expresamente el principio de buen gobierno, aunque con un sentido más afinado 42. No debemos olvidar que su elaboración se enmarca en el ISO/TC 309 cuyo WG 1 desarrolla el primer sistema de gobierno: el estándar ISO 37000 sobre gobierno de las organizaciones43. Allí se vincula este concepto con aspectos generales como la ética y también otros concretos como la toma de decisiones, estructuras y procesos. Todo Todo ello para generar valor en el largo plazo, coherente coherente con las expectativas de las par partes tes int interes eresada adass de las organizaciones. Para todo ello, un liderazgo basado en valores es fundamental. No cabe cabe duda de que el estándar estándar ISO 37301:2021 aborda estas materias, materias, tanto desde el punto de vista de los valores de la organi organización zación , a los que se refiere el apartado 5.1.1 Órgano de gobierno y alta dirección; como de las conductas en que derivan, según apunta el apartado 5.1.2 Cultura de compliance. Por Por lo demás, todos los lo s apartados del estándar nos hablan de estructuras organiz organizativas, ativas, procesos, procedimientos y actividades compliance. En cualquier caso, los contenidos del espara hacer realidad la cultura de compliance tándar ISO 37301:2021, como el resto de sistemas de gestión ISO sobre compliance, deberán interpretarse de manera coherente con el citado estándar ISO 37000 sobre buen gobierno de las organizaciones.
I.6.1.2. Principio de proporcionalidad La norma previa ISO 19600:2014 citaba expresamente el principio de proporcionalidad, como también lo hace el estándar ISO 37301:2021. Lo L o encontramos reflejado en su Introducción, cuando manifiesta que la implementación tanto de los requisitos como de la Guía que acompaña al texto pueden variar dependiendo de la madurez 42 El
estándar ISO 19600:2014 mezclaba aspectos generales de buen gobierno con algunas cuestiones puntuales. Así, el apartado 4.4 Sistema de gestión de compliance y principios de buen gobierno , realmente recogía algunas recomendaciones concretas de gobernanza para un adecuado mando y operación del sistema (acceso directo al órgano de gobierno, independencia, autoridad y recursos). En el estándar ISO 37301:2021 pasan a estar en el apartado 5.1.3 Gobernanza del complianc compl iancee, con un título mucho más acorde a su naturaleza. 43 Aunque existen numerosos textos tanto nacionales como internacionales que aportan buenas prácticas sobre buen gobierno corporativo: (i) Son textos emitidos por plataformas que aglutinan un número limitado de países y plasman determinado entendimiento cultural –normalmente occidental–. (ii) Tienen un sesgo mer mercantil cantil o empresaria empresariall –de ahí la designación de buen gobierno “corporativo”–. (iii) Suelen concebirse pensando en las grandes corporaciones o entidades cotizadas ocasiones provienen o involucran a órganos regulares o supervisores–. La novedad y la–en importancia del estándar ISO 37301:2021 sobre gobierno de las organizaciones está en que supera todos estos límites.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022 8 4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
47
de las organizaciones, sus actividades y objetivos. En este mismo sentido, el capítulo 1 Objeto y campo de aplicación subraya que el estándar es aplicable a todo tipo de orga nizaciones, con independencia de su tamaño, tipo de actividad y tanto si operan en el sector privado, como público o son entidades sin ánimo de lucro. Con independencia de estas referencias generales, que influyen en la aplicación práctica de los requisitos del estándar, estándar, algunos apartados hacen especial hincapié en el principio de proporcionalidad. Es el caso del apartado 7.5 Información documentada, donde una nota aclara que el grado de la información documentada puede variar según las circunstancias de las organizaciones. Aunque el anexo A (informativo) Guía para el uso de este documento tampoco tiene naturaleza normativa, se refiere igualmente al principio de proporcionalidad cuando plantea sugerencias re respecto specto a algunos apartados. El principio de proporcionalidad figura reflejado en numerosos textos sobre compliance44. De hecho, existe una estrecha vinculación de este principio con el análisis de las circunstancias de la organiza organización ción, establecido en el capítulo 4 Contexto de la organización del estándar ISO 37301:2021, indispensable para definir y mantener el sistema de de gestión adecuado a cada caso. Este principio aboga por la interpretación proporcional de todos los requ requisit isitos os del estándar, estándar, que no equivale a implantar solo algunos al gunos de ellos a conveniencia. Se quiere evitar el llamado “ cherry-p cherry-picking icking”45 de requisi requisitos tos, esto es, la posibilidad de obviar algunos de ellos amparándose en el principio de proporcionalidad. Por consiguiente, se precisa implementarlos todos, como se infiere del capítulo 1 Objeto y campo
por ejemplo, la Int Introd roducc ucción ión al ane anexo xo II de la Rec Recome omenda ndacición ón del Con Consej sejoo de la OCDE para reforzar la lucha contra la corrupción señala que “la presente Guía es flexible y puede ser adoptada por las empresas, en particular por las pequeñas y medianas empresas (...), en funci función ón de sus circunstancias propias, incluido su tamaño, su forma, su estructura jurídica y el sector de explotación geográfica e industrial en el que operan, así como de los principios en materia de competencia y otros principios jurídicos fundamentales que rigen sus actividades”. Por citar ejemplos locales ampliamente conocidos, en la misma línea se manifiestan las U.S. Sentencing Commission Guidelines, señalando que los req requis uisito itoss para disponer de un “ Eff Effect ective ive Compliance and Ethics Program” tendrán en cuenta una serie de factores, incluyendo el tamaño de la organi organizaci zación ón. La Guidance para la aplicación de la Foreign Corrupt Practices Act publicada en 2012 por el Departamento de Justicia de los Estados Unidos y el regulador norteamericano reiteran el mensaje de que no existe un Corporate Compliance Program para prevenir las prácticas corruptas que sirva para todas las organizaci organizaciones ones, dependiendo de su tamaño, entre otros factores. El Ministerio de Justicia británico es más explícito, pues en su Guidance para la aplicación de la Bribery Bribe ry Act del del año 2010, hace hincapié en su aplicación sobre la base del principio de proporcionalidad, refiriéndose en particular a pequeñas organi organizaci zaciones ones que tengan recursos limitados. 45 Neiger Barbara, Successful Compliance for efficient effic ient organizations with ISO 19600:2014. Austrian Standards (AS), 1.ª ed., 2015, p. 83. La L a autora fue la Head of Austrian Delegation en el ISO/PC 271 sobre Compliance Management Systems (CMS) que elaboró el estándar ISO 19600 y recoge en su obra, como “ practi practical cal tip ” el “ no cherry-pickin cherry-p ickingg”. La obra dedica su capítulo 4 a desarrollar una Guía para pequeñas y medianas empresas (pp. 160 y ss.), Austri Austrian an Stan Standards dards (AS), 1.ª ed., 2015. 44 Así,
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
48
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
de aplicación aplicación, aunque aplicados de manera proporcional a las particularidades de cada organización organiz ación46. Dada la diversidad en las circunstancias internas y externas susceptibles de concurrir, concurrir, es imposible concretar una aplicación universal de este principio. Por eso, algunos organismos plantean ejemplos ilustrativos47 . Debido a lo anterior, inspirarse en modelos o prácticas de organiz organizaciones aciones grandes (de sociedades cotizadas, por ejemplo) organizacion zacionees, pero no ayuda demasiado al resto. puede ser útil para una parte de las organi En ocasiones se piensa que la aplicación proporcional de los requisito requisitoss de los estándares sobre compl compliance iance depende del tamaño de la organiz organización ación o su cifra de negocios. Aunque son factores a considerar48, no son determinantes del sistema de gestión que precisa la organización organizaci ón, que estará principalmente condicionado por sus riesgos: una organizac organización ión grande puede no estar amenazada por grandes riesgos de compliance y tener menos necesidades que una pequeña que sí lo esté. Aunque se tiende a asociar tamaño y riesgo, no es una correlación necesaria. De ahí también la importancia del enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro) para una adecuada aplicación del principio de proporcionalidad, como se explicará más adelante. No tener en en cuenta el paralelism paralelismo o entre el sistema de gestión gestión y los riesgos sobre los que proyecta sus actividades lleva fácilmente a sobredimensionarlo o infradimensionarlo.
de Por último, el principio de subordinación subordin ación a Ley (véase el aparta apartado do I.6.2.1 Principio de subordinación a Ley, de este libro) también influye en la correcta aplicación razonable del principio de proporcionalidad, por cuanto el marco normativo que afecta a la organización o las actividades que desarrolla puede fijar exigencias concretas respecto al tipo de actividades a desarrollar y el modo de ejecutarlas. En este sentido, pueden concurrir condicionantes regulatorios que excedan las capacidades reales de una or ganización por motivo de su tamaño49. apartado A.1.2 Alca see Alcance nce del anexo A (informativo) Guía para el uso de este documento s manifiesta en tal sentido, al indicar que deben seguirse cada uno de los requis requisitos itos del documento. 47 US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of Organizations. Véanse los ejemplos que figuran en el apartado Comentarios en relación con el tamaño de las organizaciones y los ejemplos de aplicación de los requisitos para “ Large Organizations Organizations” y “Small Organizations”. 48 El tamaño o la cifra de negocios de una organi organizaci zación ón formarían parte de las “circunstancias internas” a considerar para dimensionar el sistema de gestión. Ahora bien, junto con ellas también deben considerarse las “circunstancias externas”, exte rnas”, como los mercados donde opera o la regulación existente. De ambas categorías se extraerán los ries riesgos gos que amenazan a la organ organiza ización ción . Puede resultar entonces que una organ organizac ización ión pequeña (por cifra de negocios y empleados) tenga un nivel de exposición elevado debido a los mercados y al tipo de transacciones que opera. En este caso, esta organi organizaci zación ón –pequeña– precisaría un sistema de gestión de compliance robusto, aunque sus circunstancias internas no aparenten necesitarlo. 49 Es otro ejemplo donde las “circunstancias externas” de la organizac organ ización ión (la regulación que le aplica) precisan de un sis sistema tema de gest gestión ión de compliance que no se puede permitir debido a sus “circunstancias internas”. 46 El
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
49
I.6.1.3. Principio de integridad El principio de integridad aparece citado por primera vez en el estándar ISO 37301:2021. No figuraba figuraba expresam expresamente ente en su antecedent antecedentee ISO 19600:2014 19600:2014 aunque su Introd Introducción ucción recurría a este término y remarcaba la importancia de una cultura de integridad, in tegridad, como también hizo después el estándar ISO 37001:2016.
organizaciones iones supone actuar de forma honesta, manteniendo La integridad en las organizac un compromiso con la ética y los valores que se derivan de ella. Como principio se manifiesta al analizar la coherencia entre los valores que dicen mantener los sujetos y sus actos. Esto produce organizaciones éticamente predecibles, con gran capacidad de generar confianza ante la sociedad. La Introducción del estándar ISO 37301:2021 señala la importancia de alinearse con estándares éticos generalmente aceptados. Por otra parte, la definición de cultura de compliance también está relacionada con la ética de la organización. Según reza el apartado 5.1.1 Órgano de gobierno y alta dirección, forma parte de sus cometidos establecer y defender los valores de la organización. En esta misma línea, el apartado 5.1.2 Cultura de compliance señala que el órgano de gobierno, la alta dirección y la dirección en general deben mantener un compromiso activo, visible, consistente y sostenido en relación con los estándares de conducta que se exigen en toda la organización50. Estos parámetros de conducta son, lógicamente, los que derivan de los valores y se trasladan a las políticas, procesos y procedimientos a las que el personal debe adherirse, por imperativo del apartado 5.3.4 Personal Personal. De acuerdo con lo anterior, el estándar ISO 37301:2021 no solo fija un entorno propicio para desarrollar el principio de integridad mediante el establecimiento de valores y la promoción de los patrones patrones de conducta que se derivan de ellos, sino que también se preocupa por la uniformidad y consistencia en su aplicación: que afecten a todas las personas en la organización y que se apliquen por igual.
una aproximación análoga a la de otras plataformas e instituciones, como la OCDE. La Guía de buenas prácticas para los controles internos, la deontología y la conformidad se localiza en el anexo II de la Reco Recomendac mendación ión OCDE para forta fortalecer lecer la llucha ucha contr contraa el cohec cohecho ho ( Recom Recomendat endation ion
50 Es
of the Coun Council cil for Further Comb Combatin atingg Brib Bribery ery of Foreign Publi Publicc Offi Officia cialsls in Inte Internati rnational onal Busi Business ness Transactions ), adoptada el 26 de noviembre de 2009. El citado anexo II se actualizó el 18 de
febrero de 2010. En el numeral 1 de su apartado A), se hace ha ce referencia al “apoyo y compromisos sólidos, explícitos y visibles, por parte del más alto nivel de dirección, a los programas o medidas de control interno, deontología y conformidad”.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
50
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
I.6.1.4. Principio de transparencia El estándar ISO 37301:2021 cita el principio de transparencia como también hicieron los antecedentes ISO 19600:2014 e ISO 37001:201651. El apartado con mayores
Comunicación vínculos vínculo s explícitos explícla itos con esta materia materia ce es de la 7.4 que subraya lae importancia de comunicar la organización, las, obligacion cultura de complian compliance obligaciones es dde co compliance mpliance y sus objetivos. Las comunicaciones de las organizaciones en materia de compliance ganan protagonismo con los años y tienden a publicitarse externamente en el contexto de los requisitos sobre información no financiera que demandan algunos reguladores y la sociedad, en general. La transparencia suele asociarse con una gestión ética, no porque po rque sean conceptos equivalentes, sino por la tendencia tende ncia a ocultar las actuacio actuaciones nes reprobables. Sin embargo, el mero hecho de comunicar de forma transparente determinadas informaciones o hechos, no los legitima. La transparencia, transparencia, por sí sola, no rehabilita las conductas poco éticas o ilegales.
I.6.1.5. Principio de responsabilidad El estándar ISO 37301:2021 introduce el principio de responsabilidad que, aunque no estaba explicitado como tal en el antecedente ISO 19600:2014, sí recurría a vocablos equivalentes en varios apartados, mientras que la norma ISO 37001:2016 370 01:2016 prácticamente no los utilizaba. La responsabilidad supone, en esencia, que las l as personas y las organizaciones se hacen responsables de sus actos. Por tanto, sus actuaciones deben ser trazables para poder ser fiscalizadas y exigir explicaciones52. Esta aproximación general se traduce en el establecimiento de mecanismos que permitan ejercita ejercitarr dichas facetas. Así, el apartado 5.3.1 Órgano de gobierno y alta dirección señala, entre sus cometidos, fijar y mantener mecanismos de rendición de cuentas que incluyan acciones disciplinarias y otras consecuencias. De acuerdo con lo anterior, el principio de responsabilidad pasa por informar de lo que se está gestionando, dar explicaciones al respecto y asumir las consecuencias derivadas de los actos. Aunque no se cite expresamente, este principio subyace en el cuerpo del estándar, estándar, incluyendo especialmente el apartado 5.3 Roles, responsabilidades y autoridades, que deben interpretarse bajo estos parámetros. Incluso los niveles de independencia y autonomía de que disfruta la función de compliance deben ejercerse de manera responsable, incluyendo esta componente de rendición de cuentas.
51 El
estándar ISO 37001:2016 no cita expresamente el “principio” de integridad, pero su Introducció Introd ucciónn se refiere a la cultura de integridad. 52 En esta acepción, el principio de responsabilidad también podría traducirse como “de rendición de cuentas”.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
51
I.6.1.6. Principio de sostenibilidad Tanto Tanto el estánda estándarr ISO 37301:202 37301:2021 1 como su antecede antecedente nte ISO 19600:2014 19600:2014 contemp contemplan lan expresamente el principio de sostenibilidad, sostenibil idad, del que hacen mención en sus respectivas 53
introducciones . No así el estándar ISO 37001:2016. El principio de sostenibilidad se basa en desarrollar actividades con las vistas puestas en el largo plazo. Este entendimiento de la realidad se contrapone a las visiones cortoplacistas, que supeditan el futuro a un interés inmediato de presente 54. En la esfera medioambiental, la sostenibilidad implica un consumo responsable de los recursos naturales, de manera que no hipoteque el porvenir de las generaciones venideras. En el ámbito económico supone primar el mantenimiento de operaciones en el largo plazo por encima de las oportunidades presentes que lo comprometen. Esto supone la búsqueda constante de un equilibrio para operar en el mercado, cuanto más tiempo mejor, mejor, de modo que qu e el rendimiento acumulado acumul ado sea siempre más ventajoso para p ara todos que qu e el beneficio benefici o inmediato de las decisiones decisio nes insensibles insensibl es a este planteamiento. Para ello, es importante evitar los daños económicos y de imagen cumplimi entos de co compliance mpliance, que erosionan la confianza que van asociados a los no cumplimientos en las organizaci organizaciones ones y arriesgan su futuro. Bajo esta perspectiva, no cabe duda de que los sistemas de gestión gestión de compliance son una herramienta de sostenibilidad, pues contribuyen a prevenir prevenir,, detectar y reaccionar de manera temprana ante no cumplimientos de compliance. Cuando las organizaciones se manifiestan abiertamente alineadas con el principio de sostenibilidad, no solo proclaman una apuesta de futuro, sino también, su voluntad de evitar actuaciones cortoplacistas que lo pongan en riesgo. A partir de ese momento, organizaciones aciones pasan a medirse bajo ese baremo todas las actividades y decisiones de las organiz de la sostenibilidad. Por este motivo, el interés de la función de compliance no es otro que el interés de negocio, dado que ambos fijan su norte en la sostenibilidad de la de la mención en su Introd Introducció ucciónn, el apartado 4.1 Comprensión de la organización y de su conte contexto xto del estándar ISO 37301:2021 señala la sostenibilidad de la organi organizaci zación ón dentro de los factores a considerar para comprender las circunstancias que la envuelven para la fijación o el mantenimiento del sist sistema ema de gest gestión ión de compliance, aspecto que no consideraba el apartado equivalente del estándar ISO 19600:2014. 54 Hallamos fundamentos morales de esta visión visi ón en pensadores como Adam Smit Smith h que, en Transacciones su obra La Teoría Teoría de los sentimientos morales (1756) apunta que “las cualidades más útiles para nosotros son, en primer lugar, la razón en grado superior y en el entendimiento, que nos capacitan para discernir las consecuencias remotas de todos nuestros actos y prever el provecho o perjuicio que con probabilidad pueda resultar de ellos; y, en segundo lugar lugar,, el dominio de sí mismo, que permite abstenernos del placer del momento o soportar el dolor de hoy, a fin de obtener mayor placer o evitar un dolor más grande en el futuro”. 53 Además
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
52
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
organización y de sus operaciones. Por ello, es radicalmente falso que dicha función defienda los intereses de las partes interesadas como contrapuestos a los de negocio55. El apartado A.1.1 Generalidades del anexo A (informativo) Guía para el uso de este documento incluye, entre la relación de normas con las que puede simultanearse el estándar ISO 37301:2021, el estándar ISO 26000 Guía de responsabilidad social (también figura en el listado final de la bibliografía). Aunque Aunque no se cite, resulta de utilidad la ISO Guide 82:2019 para la aplicación de sostenibilidad en estándares.
I.6.2. Principios implícitos Además de los que cita expresamente expresamen te el estándar estánda r ISO I SO 37301:2021 37301 :2021,, existen otros principios implícitos en la norma que condicionan enormemente su interpretación y aplicación.
I.6.2.1. Principio de subordinación a Ley ISO es una organización de carácter privado, que no tiene cedidas facultades facul tades legislati vas por parte de los Estados de las entidades de normalización normalización nacional que aglutina. aglutina. Partiendo de ahí, es obvio que no puede promover normas de cumplimiento obligado ni fijar requisitos o directrices que contravengan el marco legal de los países donde se aplicarán. Esta consideración general es especialmente obvia en los sistemas de gestión de compliance, donde sería paradójico que contravinieran las regulaciones nacionales y propiciaran su incumplimiento. La totalidad de contenidos los estándares interpretarse bajo esta 56 . Si premisa, sin que sea precisodehacer referencia ISO a elladeben constantemente alguna especificación o directriz llegase a entrar en conflicto con la ley local donde tiene
en ocasiones, se habla de “intereses de negocio” como contrapuestos a los de com plianc pli ancee, en verdad se está hablando de intereses económicos cortoplacistas, que ignoran los objetivos de sostenibilidad y suelen contravenir el auténtico interés de la orga organiz nizaci ación ón en el medio y largo plazo. 56 No obstante, algunos estándares nacionales incluyen indicaciones expresas al respecto cuando fijan sus especificaciones o requisitos, como es el caso de la Norma británica BS 10500:2011 sobre sistemas de gestión antisoborno, cuyo prólogo indica que el cumplimiento con un Briti British sh 55 Cuando,
no confiere inmunidad al cumplimiento de obligaciones legales (p. vincuii). La la Norma españolarespecto UNE 19601:2017 sigue una aproximación análoga, Introducció Introd Standard ucción n de lando su contenido al régimen de responsabilidad penal de la persona jurídica establecida en el Código penal español.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
53
que aplicarse, se sobreentendería sobreentende ría que no resulta exigible en virtud de este princi principio. pio. No obstante, obstante , tal circunstancia circunstanc ia no supondría supondr ía la inaplicación inaplica ción del resto de contenidos conten idos no conflictuados. Esta aproximación tan elemental produce, sin embargo, situaciones donde determinados requisitos pueden aplicarse con normalidad en algunos países, pero no en otros. A efectos de la evaluación de la conformidad de sistemas de ggestión estión de compliance ubicados en organizaciones internacionales, cabrá que la organización fundamente el motivo de tales asimetrías.
I.6.2.2. Enfoque basado en el riesgo En un escenario ideal de recursos ilimitados podría especularse con implantar medidas para la prevención, la detección y la reacción temprana ante todo el universo de riesgos de las organizaciones, por remotos que fueran. Como esto no es factible, el foco de su atención y de sus recursos debe priorizarse siguiendo criterios lógicos. El enfoque basado en el riesgo juega un rol clave en ello, por cuanto ayuda a identificar, analizar y valorar los riesgos que exponen a las organiz organizaciones aciones, para priorizar sus actividades y, por tanto, los medios afectos a su tratamiento. Lo contrario no solo podría interpretarse en clave de gestión negligente, sino también, de malversación de recursos. El enfoque basado en el riesgo guarda una estrecha relación con el principio de proporcionalidad (véase el apartado I.6.1.2 Princi Principio pio de propor proporcional cionalidad idad, de este libro), puesto que la razonabilidad del sistema de gesti gestión ón de compliance reside, entre otros factores, en organización ación. su capacidad de proyectarse sobre las amenazas que más exponen a la organiz Seguir un enfoque basado en el riesg riesgoo implica concretar cuáles son los riesg riesgos os que amenazan a cada organización, dentro de un ejercicio racional de previsión y considerando sus circunstancias. Esto permite adoptar medidas tendentes a disminuir la probabilidad de que se materialicen y mitigar sus consecuencias. Ni el estándar están dar ISO 37301:2 373 01:2021 021 ni antes ante s los estándares están dares ISO 19600:20 1960 0:2014 14 e ISO 37001:2016 hacen referencia explícita al enfoque basado en el riesgo dentro de su contenido normativo. Sí que figura citado como información a considerar, a modo de nota57 o anexo58 y también se infiere en numerosos apartados. En su conjunto, es estándar ISO 19600:2014 cita expresamente el enfoque basado en el riesgo en la nota 2 del apartado 4.6 Identificación, análisis y val valoración oración de riesg riesgos os de compliance (las notas no tienen naturaleza de contenido normativo). 57 El
58
estándarA.4.5 ISO 37301:2021 hace referencia explícita al enfoque de los El apartados y A.4.6 (tienen riesgo dentro Obligaciones de compliance Evaluación de losbasado riesgosen de elcompliance naturaleza informativa) del anexo A (informativo) Guía para el uso de este es te documento. El estándar ISO 37001:2017 lo menciona en el apartado A.16 Auditorí Auditoríaa interna de su anexo (informativo).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
54
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
obvio que juega un rol transcendente en el estándar ISO 37301:2021, 37301:202 1, comenzando por la acotación del sistema de gestión de compliance que necesita cada organización , enmarcada en el capítulo 4 Contexto de la organización:
Determinaci minación ón del alcanc alcancee del siste sistema ma de gesti gestión ón de dell compl compliance iance • El apartado 4.3 Deter indica que la organi organizació zaciónn debe determinar las fronteras del siste sistema ma de gestió gestiónn, incluyendo sus “principales” riesg riesgos os de complia compliance. nce. • El apartado 4.4 Sistema de gestión del compliance dice que reflejará los valores, objetivos, estrategia y riesgos de compliance de la organización. Bajo esta premisa, no se comprende un sistema de gestión de compliance que no se proyecte sobre los riesgos que la amenazan.
Evalua luacición ón de lo loss ries ri esgos gos de compl co mplia iance nce es un mandato a la • El apartado 4.6 Eva organi org anizac zación ión para que desarrolle un ejercicio de evaluación de rie riesgo sgoss, que es la piedra angular de todo modelo de gestión con un enfoque basado en el riesgo ries go, como reconocen no pocos referentes internacionales sobre compli compliance ance , especialmente en el ámbito de la prevención del blanqueo de capitales 59 o del soborno60 .
59 Financial
Action Task Force (FATF) – Group D’action Financière (GAFI). Su guía para aplicar una aproximación basada en el riesgo para combatir el blanqueo de capitales y la financiación del terrorismo (Guidance on the Risk-Based Approach to Combating Money Laundering and Terrorist Financing-High Level Principles and Procedures), de junio de 2007, proporciona una visión general de lo que es una aproximación basada en el riesgo, destinada principalmente a Estados. for Economic Cooperation and Development (OCDE). La Guía de buenas prácticas para los controles internos, la deontología y la conformidad se localiza en el anexo II de la Recomendación OCDE para fortalecer la lucha contra el cohecho ( Recomendation of the Council for Further Combating Bribery of Foreign Public Officials in International Business Transactions ), adoptada el 26 de noviembre de 2009. El citado anexo II se actualizó el 18 de febrero de 2010. El inicio del apartado A) recoge una referencia explícita a unos de los aspectos clave de una aproximación basada en el riesgo: la evaluación de riesgos. Relaciona la razonabilidad de este ejercicio con las circunstancias de cada empresa, evidenciando la vinculación entre el principio de proporcionalidad y la aproximación basada en el riesgo. Señala que la eficacia de las medidas que se adopten en un programa contra la corrupción “han de establecerse sobre la base de una evaluación de riesgos (…)”. En relación con la aplicación de ciertas cautelas frente a terceros con los cuales la organización se relaciona, a los que denomina “socios comerciales”, nuevamente el texto de la OCDE se refiere a desarrollar una “contratación basada en el riesgo”. 60 Organisation
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
55
Reconocidos textos nacionales siguen esta misma aproximación, tanto del continente europeo61 como del americano 62. Del ejercicio de evaluación de riesgoss ddee ccompliance riesgo ompliance se derivan múltiples consecuencias, como explicaré más adelante. A partir de este encuadre encuadre general, el enfoque basado en el riesgo impacta en muchos apartados del estándar ISO 37301:2021, hasta el punto de que los resultados de la evaluación de riesgos de compliance condicionan la razonabilidad de otros contenidos de la norma: • Debida diligencia diligencia externa. El apartado 4.6 Evaluación de los riesgos de compliance precisa identificar los riesgos relacionados con procesos externalizados ( outsou outsourcing rcing) y terceras partes. Lo hace para aplicar ciertos procedimientos de debida diligencia sobre las categorías susceptibles de exponer a la l a organización. • Debida diligencia interna. El apartado 7.2.2 Proc Proceso eso de empleo señala que la organización debe considerar el nivel de exposición a riesgos de compliance que entrañan las diferentes posiciones para aplicar procedimientos de debida diligencia antes de realizar incorporaciones o promociones. Solo aplicarán a aquellas compliance. posiciones expuestas a riesgos de compliance
of Justice, The Bribery Act 2010-Guidance about procedures which relevant commercial organizations organiz ations can put into pplace lace to prevent persons associ associated ated wi with th the them m from bbribing ribing (Section 9 of the 61 Ministry
Bribery Bribe ry Act 2010 ), Reino Unido, marzo de 2011. En el numeral 6 de la Introd Introducci ucción ón de dicha Guía (p. 7) se indica que las organizaciones comerciales deben adoptar una aproximación basada en el ries riesgo go respecto a los ries riesgos gos de soborno. Este entendimiento recoge también los seis principios que impulsa, en algunos de los cuales vuelve a aparecer explícita o implícitamente citada la aproximación basada en el riesgo . Así, por ejemplo, en el numeral 1.5 de su principio 1 Proportionate Proport ionate proced procedures ures (p. 22) indica que la aplicación de proced procedimient imientos os debe realizarse adoptando un enfoque basado en el riesgo , lo que pone de manifiesto su vinculación con el principio de proporcionalidad; en el numeral 4.5 de su principio 4 Due dilige diligence nce (p. 28) nuevamente se apunta la necesidad de recurrir a una aproximación basada en el riesgo en cuando a proced procedimiento imientoss de debida diligencia (por ejemplo, en la evaluación de intermediarios); en el numeral 5.6 de su principio 5 Communication (including training) (p. 30), o cuando se refiere a la formación de empleados y agentes de manera aquilatada. 62 Department of Justice and the Enforcem Enforcement ent Division of the US Securities and Exchan Exchange ge Commission, 14 capítulo de noviembre Resou Resource rceejemplo, G Guide uide to the USapartado Foreign Foreign Corrupt Practices Act ct , Estados, Unidos, de 2012. AAsí, por en el dedicado al RiskA Assessment dentro del 5 del documento (Guiding Principles of Enforcement , pp. 58 y 59) se hace referencia explícita a que el programa de Compliance debe ser risk-based.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
56
•
Objetivos de compliance, indicadores, recursos e informes. Aunque el apartado 6.2 Objetivos de compliance y planificación para para lograrlos parece ser ajeno al mundo de los riesgos, en verdad guarda una estrecha relación con ellos. Los objetivos de compliance deberían ser adecuados para mitigar los riesgos en su ámbito, lo que no solo condiciona su fijación, sino también, las actividades a desarrollar para lograrlos (apartado 6.2 Objetivos de compliance y planificación para lograrlos), los indicadores que miden su grado de avance (9.1.3 Desarrollo de indicadores), los recursos que se precisan (7.1 Recursos) y el modo en que se informará de todo ello al órgano de gobierno y la alta dirección (9.1.4 Informes de compliance y 9.3 Revisión por la dirección).
• Formación. Formación. Dice el apartado 7.2.3 F Formación ormación que debe ser adecuada a los roles compliance que les exponen. del personal y a los riesgos de compliance • Controles y proc procedim edimient ientos os. Aunque ya he hecho referencia a algunos pro procedi cedimien mientos tos y controles en particular (por ejemplo, de debida diligencia dil igencia interna o externa), el controles y pprocedimientos rocedimientos enlaza de forma general apartado 8.2 Establecimiento de controles esta materia con la gestión de los correspondientes riesgos de compliance. • Auditoría interna. El apartado 9.2.2 Programa de auditoría interna indica que el programa de auditoría deberá tener en consideración los procesos afectados, señalando así la necesidad de enfocar su trabajo sobre aquellos que supongan exposición a los riesgos de compliance. Los ejemplos anteriores ayudan a comprender la importancia del enfoque basado en el riesgo: ninguna de estas materias podría abordarse razonablemente sin concretar y priorizar antes los riesgos de compliance que amenazan a la organización63. Ayudan también a entender la importancia de lo indicado en los apartados 4.3 Determinación del alcance del ssistema istema de gestión del compliance, 4.5 Obligaciones de compliance compliance y 4.6 3). Evaluación de los riesgos de compliance (véase la figura 3).
63 A
diferencia del estándar ISO 37001:2016, la norma ISO 37301:2021 no recurre a la mención de “riesgo superior a bajo” ( more than low bribery risk, citado en múltiples ocasiones en el estándar ISO 37001:2016). No obstante, cuando el estándar ISO 37301:2021 se refiere a considerar los riesgos de ccomplian ompliance ce, obviamente está pensando en aquellos cuya categorización –tras la evaluación de riesgos– implican un nivel de exposición (en términos de probabilidad de ocurrencia y consecuencias, como apunta la definición 3.24 Riesgo quiso superior a bajo. recordar que nicon tan siquiera el estándar ISO 37001:2016 de compliance definir )este concepto (es Conviene una locución que utiliza frecuencia pero que no conforma un término definido), que variará en virtud de la metodología de evaluación de riesgos que se utilice.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
Proyección correcta de los procedimientos de diligencia debida Procesos afectados por los riesgos Evaluación de riesgos de r compliance
Personal afectado por los riesgos Terceras partes afectadas por los riesgos
u
Interna
u
Externa
57
toma Actividades de conciencia de formación enfocadas y r
Determinación de objetivos de compliance concretos
u
Actividades para lograrlos u
Procesos , , procedimientos y controles adecuados para su cobertura
Recursos para impulsarlos u
Indicadores para medirlos Enfoque correcto de las revisiones y auditorías
u
Reportes para informar
Figura 3. El enfoque basado en el riesgo implica la adecuada evaluación de los riesgos de compliance que exponen a la organización. Es un ejercicio de importancia crítica, crítica, pues de su adecuado contenido depende la eficacia de multitud de actividades comprendidas en el sistema de gestión. La evaluación de riesg riesgos os de compli compliance ance se concibe como un ejercicio actualizable64 periódicamente –de forma planificada– o bien cuando se producen cambios en las circunstancias de la organización –de manera sobrevenida–. Como se infiere de todo lo anterior, anterior, su deficiente ejecución u obsolescencia deteriora el desempeño de muchos apartados del estándar.
capítulo 4 Contexto de la organización de la HLS parece centrado en considerar elementos contextuales que ayudan a determinar el alcance del sistem sistemaa de gestión, lo que induce a pensar que aplican en el momento de su diseño o reevaluación. Sin embargo, el análisis de riesgos no solo debe vincularse exclusivamente a esos momentos, sino realizarse a lo largo de la vida del sistem sistemaa de gest gestión ión . Para evitar esta equivocación, se pensó en traspasar el contenido del apartado 4.6 Evaluación Evaluaci ón ddee los riesgos de ccomplian ompliance ce al capítulo 6 Planif Planificaci icación ón, aunque finalmente se mantuvo en su ubicación inicial, alineada con los estándares previos ISO 19600:2014 e ISO 37001:2016. No obstante, algunos al gunos estándares naci nacionales onales (UNE 19601:201 19601:2017 7 Sistemas de gestión de compliance penal. Requisi Requisitos tos co conn orie orientación ntación para su uso y UNE 19602:2019 Sistemas de gestión de compliance tributario. Requisitos con orientación para su uso) lo ubican en dicho capítulo 6 Planif Planificació icaciónn, por los motivos señalados. 64 El
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
58
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
I.6.2.3. Principio de seguridad razonable El concepto de seguridad razonable se contrapone al de seguridad absoluta. El conocido marco de referencia COSO65 lo reconoció en el año 1992, considerando que todo mecanismo de control tiene limitaciones inherentes que le impiden prevenir o detectar vulneraciones, normalmente por efecto de los errores humanos, la negligencia o el dolo66. Bajo esta perspectiva, un entorno de control no puede brindar garantía absoluta de estar exento de vulnerabilidades, pero puede contribuir a reducir la ex-
65 El
origen de COSO se remonta al año 1985, momento en que se funda en Estados Unidos la National Commission on Fraudulent Financial Reporting, partiendo de una iniciativa del sector pri vado para revisar, revisar, analizar y emitir recomendaciones sobre reportes financieros fraudulentos. fraudulentos. L Lo o poco atractivo de su denominación propició que fuera comúnmente referida a través del nombre de su primer presidente, James C. Treadway, conociéndose de forma abreviada como la Treadway Commission. En un primer momento, se dedicó a estudiar reportes financieros del periodo comprendido entre octubre de 1985 y septiembre de 1987, emitiendo en octubre de ese año un Informe con sus conclusiones y recomendaciones titulado Report of the National Commission on Fraudulent F Financial inancial Reporting . Sin embargo, hecho este estudio, se percibió la necesidad de emitir recomendaciones para evitar las deficiencias detectadas, constituyéndose en su seno un grupo al que se denominó Committee Of Sponsoring Organizations (COSO) con dicho propósito. El enfoque desarrollado inicialmente por COSO es adoptado por el órgano regulador norteamericano, la Securities and Exchange Commission (SEC) como patrón de control interno en el ámbito de la información financiera, convirtiéndose desde entonces en estándar mundialmente reconocido sobre esta materia. La Final Rule emitida por la SEC a tales tal es efectos el 14 de agosto de 2003 200 3 supone un reconocimiento notorio al modelo COSO, aunque excluya su aplicación en ámbitos que no estén directamente relacionados con los reportes financieros, tales como el cumplimiento de las leyes (salvo las que traten la preparación de estados financieros). Sin embargo, ello no obsta que los principios de COSO nacieran con una vocación más extensa y tengan, de hecho, aplicación en el ámbito del compliance. 66 Así,
por ejemplo, COSO I, que es el documento emitido en el año 1992 que fija su marco integrado de control interno (COSO Internal Control-Integrated Framework), apunta que los controles pueden fallar por colusión de varias personas para evitar los procesos de gestión del riesgo.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
59
posición a ese riesgo dentro de un nivel aceptable. Es un entendimiento que también incorporan conocidas normas de compliance67 . El estándar ISO 37301:2021 conforma un MSS de tipo A (certificable). Por tanto, un tercero independiente puede emitir una opinión de conformidad conproducido su contenido. No cabe interpretar una declaración en tal sentido como que no se hayan irregularidades en el pasado o de que no vayan a materializarse en el futuro68. Evidentemente, una sistem temaa de ges gestió tiónn es un elemento de opinión independiente que confirme la adecuación del sis generación de confianza, pero no sustituye la valoración que finalmente puedan hacer los poderes públicos –especialmente la administración de Justicia– cuando el ordenamiento jurídi jur ídico co le re recon conoce oce tal facult facultad ad 69. Lo contrario contravendría el principio de subordinación a Ley (véase el apartado I.6.2.1 Prin Princip cipio io ddee su subor bordin dinació aciónn a Ley, de este libro), que aplica a todas las l as normas ISO.
67 Por
citar algunos ejemplos, el capítulo 8 del
Guidelines Manual que publica anualmente la US
señala que el fallo en prevenir o detectar delitos no significa necesariame necesariamente nte Sentencing Commission que el programa de compliance no sea, en líneas generales, efectivo en la prevención y detección de conductas criminales. No obstante, también apunta que la recurr recurrencia encia de determinada determinadass conductas inapropiadas cuestiona que la organización haya adoptado adopt ado las medidas razonables para cumplir con los requisitos de las líneas directrices. Por consiguiente consiguiente,, aunque la constatación de tales conductas no cuestiona per se la eficacia del programa, sí lo hace su reiteración. En Intégrate el documento que publican en 2012 conjuntamente el Departamento Departamento de Justicia de los Estados Unidos y el regulador norteamericano (Securities and Exchange Commission), A Resource Resource Guide to the US Foreign Corrupt Practices Act , se considera que “ningún programa de compli compliance ance puede siempre prevenir toda la actividad criminal de sus empleados” y, por eso, no exige un estándar de perfección. En el sentido apuntado previamente por el Guidelines Manual, también dice que “el fallo en prevenir una sola violación no significa necesariamente que el programa de compliance de una determinada compañía no sea generalmente efectivo". Las citas textuales, así como los contenidos que se citan se ubican dentro del capítulo 5 del documento (Guiding Principles of Enforcement ), ), en el dedicado a definir un “seCorporate la p. 56. El apartado Ministerio de Justicia británico manifiesta Compliance en sentidoProgram análogo”,alenseñalar que “ninguna política ni procedimi procedimientos entos son capaces de prevenir y detectar todos los sobornos”, en su documento The
Bribery Act 2010-Guidance about procedures which relevant comercial organisations ccan an put iinto nto place to prevent persons associated with them from bribing (Section 9 of the Bribery Act 2010 ), Reino Unido, marzo de 2011. Cita extraída del numeral 6 de la Introducción de dicha guía (p. 7). 68 Es
una consecuencia del principio de seguridad razonable, que viene señalado, por ejemplo, en el estándar ISO 37001:2016, cuando su Introducción dice que “la conformidad con este documento no puede proporcionar ninguna garantía garantí a de que el soborno no haya ocurrido o no ocurrirá ocurri rá en relación con la organización , ya que no es posible eliminar por completo el riesgo de soborno”. Aunque no existe una declaración equivalente en el estándar ISO 37301:2021 ni en su antecedente ISO 19600:2014, ambos plantean en su Introducción “minimizar” no cumplimientos (no eliminarlos) y también emplean ocasionalmente el vocablo “reducir”, con ese mismo sentido. 69 La aplicación más obvia obv ia de esta prerrogativa es el principio de libre valoración valoraci ón de las pruebas que
asiste a Jueces y del Magistrados en la37301:2021 práctica totalidad loslosordenam ordenamientos ientos No obstante, la Introducción estándar ISO señala de que Tribunales dejurídicos. diversas jurisdicciones han valorado el nivel de compromiso de las organizaciones con el compliance –a la luz de su sistema de gestión–, para determinar la pena aplicable ante vulneraciones de la Ley.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
60
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
estión de compliance razonable reduce la probabilidad de que En general, un sistema de ggestión ocurran no cumplimientos de compliance compliance o mitiga sus consecuencias, pero no erradica ambos factores70. La Introducción del estándar ISO 37301:2021 se manifiesta en tal sentido, como ya lo hizo el precedente ISO 19600:2014. Sentado todo lo anterior, el estándar ISO 37301:2021 incorpora el resultado del trabajo desarrollado por expertos acreditados de diferentes países y, por tanto, compliance ance ampliamente reconocidas en la comunidad internabuenas prácticas de compli cional. Por ello, la adecuada aplicación de su contenido transmite confianza tanto a la orga organizac nización ión , como a las terceras partes con las que se relaciona y al mercado en general.
I.6.2.4. Principio de mejora continua Un sistema de gestión mantendrá su eficacia a lo largo del tiempo si es capaz de adaptarse a las circunstancias cambiantes donde opera. Tanto las organizaciones como su entorno varían, siendo necesario que el sistema de gestión contemple los mecanismos que le permitan afrontar esta realidad y evolucionar evolu cionar con el tiempo. Este proceso supone la mejora continua del sistema de gestión, de modo que no solo se acomoda a la realidad diaria, sino que lo hace del mejor modo posible.
continu a de los proceso procesoss71, pero los Existen metodologías muy centradas en la mejora continua estándares de complia compliance nce de ISO IS O siguen una orientación particular. particular. En este sentido, no persiguen tanto la “eficiencia” del sistem sistemaa de gestión, sino su “ efica eficacia cia”, esto es, el 70 Por
este motivo, los estándares de complian compliance ce suelen referirse a la “reducción” del riesgo. El apartado
8.2 Establecimiento del estándar ISO 37301:2021 subraya la necesidad de nto de con controles troles(única y pr procedimientos ocedimientos que Establecimie sean efectivos, aclarando nota) que el testeo de controles solo pretende contrastar si son efectivos para la reducción de la probabilidad de ocurrencia o las consecuencias del riesgo sobre los que se proyectan. No se pretende que brinde una conclusión de seguridad absoluta en cuanto a su eficacia, en el sentido de erradicar la probabilidad de que materialicen no cumplimientos cumplimientos de compl compliance iance o que, en tal caso, dejen de provocar consecuencias adversas completamente. Como apunta, por ejemplo, el apartado 5.1.1 Órgano de gobierno, de la Norma UNE 19601:2017. T También ambién se rrecurre ecurre a la ca categoría tegoría de “ riesgo bajo”, que no a la de “ riesgo nulo”. 71 Sirva como ejemplo la metodología Six Sigma, que trata de reducir los defectos en los distintos di stintos procesos proce sos de la organiz organización ación . A la larga, termina convirtiéndose en una filosofía que pone el acento en la evolución constante de la organ organizac ización ión en búsqueda de la mejo mejora ra conti continua nua . Se basa en el principio de que “lo que no se puede medir no se puede mejorar”. Por tanto, determinando un sistema de medida se dispone de una base objetiva para la mejora. Su metodología se basa, pues, en el el enfoque análisis científico de los datos. Aunque in icial es proy inicial proyectar ectar esas mej mejoras oras sobre el cli cliente ente de los produc productos tos o servici servicios os de la organ organizac ización ión , también se aplica la metodología Six Sigma a clientes “internos”, es decir, dentro de la propia organi organizaci zación ón.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I.6 Principios rectores
61
grado en que las actividades planificadas se ejecutan y se consiguen los resultados esperados72. Conseguirlo aplicando el menor número posible de recursos (eficiencia) es un objetivo que está desterrado en los sist sistemas emas de gest gestión ión d dee compl complianc iancee de eficacia cia en aras ISO por lo arriesgado de esta dinámica, que puede comprometer la efica a la eficiencia. Debido a lo anterior, anterior, el vocablo “eficiencia” no consta en la HLS ni en los sistemas de gestión de compliance, a diferencia de lo que sucede con el término eficacia. La mejora continua es también un término definido que consta en la HLS y que igualmente hallamos en los estándares ISO 19600:2014 (definición 3.27), ISO 37001:2016 37001:20 16 (definición 3.24) e ISO 37301:2021 (definición 3.12): actividad recurrente para mejorar el desempeño (resultado medible). Por consiguiente, esta materia enlaza con Desarrollo llo ddee ind indicadore icadoress del la fijación de indicadores que indica el apartado 9.1.3 Desarro estándar ISO 37301:2021. Estos indicadores permitirán conocer si mejora o no el desempeño del sistema de gestión de compliance. La HLS (véase el capítulo I.2 La HLS de ISO , de este libro) incorpora también un capítulo para tratar la mejora del siste si stema ma de gesti ge stión ón, como también lo hacen comp mplilian ance ce (ISO 19600:2014, ISO 37001:2016 e todos los estándares sobre co ISO 37301:2021). Esta mejora se consigue analizando no conf co nfor ormi mida dade dess y no cumplimi cump limiento entoss de complia comp liance nce , no solo para gestionarlos, sino para adoptar medidas que impidan que se reproduzcan; y también introduciendo cambios de manera planificada en el sis sistem temaa ddee ggest estió iónn. El principio de mejora continua guarda también relación en el enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro): mejorando las diferentes medidas organizativas y actividades articuladas por el sistema de gestión se disminuye el nivel de exposición de la organización a los riesgos de compliance. Por ello, un ejercicio de evaluación de dichos ries de manera defectuosa riesgos gos ejecutado compromete las capacidades para desarrollar actividades de mejora y pone en riesgo esta faceta tan relevante73.
es la definición de efic eficacia acia , tanto en la HLS (definición 3.6) como en el estándar ISO 37301:2021 (definición 3.13). 72 Esta
73
Sería el por ejemplo, todos losaparentemente, eventuales riesgos de laactividades de ccompliance ompliance organización organizació tuviesen la caso, calificación de bajos,donde de modo que, no procediese realizar den supervisión distintas de las que se venían realizando realizando,, siendo inútil cualquier mejora. No obstante, es un escenario teórico muy improbab improbable le en la práctica.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Parte II
Comentarios al contenido del estándar ISO 37301:2021
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.0 Introducción
Propósito de la introducción La Introducción del estándar ISO 37301:2021 es un excelente recurso recurso interpretativo frente a las dudas que pueda plantear la aplicación aplicació n práctica de su contenido. La norma debe leerse comprendiendo bien su finalidad y sin encorsetarse en su literalidad, deliberadamente parca. Es especialmente valiosa cuando detectamos incoherencias puntuales entre los resultados de la aplicación de su tenor literal y la filosofía del estándar. En este sentido, el valor de la Introducción es indudable. La Introducci Introducción ón remarca la importancia de la cultura de compliance como factor de éxito de las organizaciones. Representa una oportunidad no solo para mejorar mejo rar su éxito en el corto plazo, sino también, para afianzar la confianza de sus grupos de interés y mejorar las perspectivas de sostenibilidad. No cabe duda de que el mejor modo de procurar el cumplimiento de las obligaciones de compliance compliance es convertir esta meta en una cuestión cultural que se traduzca en las actitudes y los comportamientos correctos de quienes trabajan para la organización. gobierno no y la alta direcc dirección ión juegan un A tales t ales efectos, el compromiso del órgano de gobier rol importante cuando viene precedido por la fijación y difusión de valores claros y secundado por sus propias conductas. Evidentemente, mantener una cultura positiva que promueve el compliance no obedece a la casualidad, resultando de la voluntad de la organización y de sus líderes. Compliance es el fruto de un proceso consciente y no es un acto puntual ni el fruto de la casualidad. Un sis sistema tema de ges gestió tiónn de com complia pliance nce constituye una herramienta para los propósitos anteriores. Aunque puede operar aisladamente, es importante que lo haga de forma integrada con otros proc procesos esos de gestión, requ requisit isitos os operativos y proc procedim edimient ientos os
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
65
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
66
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
de la organización. Cuando se interioriza que solo existe un modo de desarrollar actividades, que es de forma ética y respetuosa con las normas, carece de sentido interpretar que comp complia liance nce es algo separado de los pro proces cesos os ordinarios de negocio. Ante este entendimiento, solo cabe fusionar ambas facetas, siempre que sea posible. Disponer de un sistema de ges gestión tión de compliance facilita que la organización y sus líderes muestren su compromiso con el respeto de las normas ante las autoridades. Pero Pero este compliance ance no es un objetivo en sí mismo, sino la mera consecuencia efecto positivo del compli de procurar una cultura de respeto a las normas. Por eso, la Introducción del estándar ISO 37301:2021 lo cita de forma colateral. Evidentemente, disponer de un sistema de gestión de compliance genera implicaciones en términos de recursos. Hay quienes ven en ello un inconveniente mayor que las supuestas ventajas que reporta. La Introducció Introducciónn del estándar ISO 37301:2021 relaciona una serie de ventajas tangibles y con efecto directo en el negocio, incluyendo la mejora en la imagen y la reputación de las org organiz anizaci aciones ones . Se subrayan así los beneficios del compliance , más allá de su mera conveniencia para mejorar la defensa organizaci izaciones ones y como factor mitigante de sanciones. Sin perjuicio jurídica juríd ica de las organ de lo anterior y en este último sentido, apunta que cada vez más administraciones valoran positivamente la implantación de modelos de compliance como evidencia de debida diligencia. Finalmente y siendo habitual Finalmente h abitual en las introducciones de las normas de compliance74, se señala la aplicación proporcional del estándar ISO 37301:2021 según las circunstancias internas y externas de cada organización. Incorpora un novedoso esquema que ayuda a interpretar sus diferentes componentes en clave de ciclo Deming75.
Introducción Introdu cción de los estándares previos ISO 19600:2014 e ISO 37001:2016 hace referencia a su aplicación considerando los diferentes factores que envuelven a cada organ organizac ización ión. 75 Sobre el particular, véanse los comentarios en el capítulo I.4 El estándar están dar ISO 3730 37301:2021 1:2021 com comoo 74 La
Ent )relación con ela llamado Deming”, refiere a laque operativa PDCA sistema sis tema Do, de gest gestión ión,. Ac ( Plan, C Check heck, Act para la mejor mejora conti continua nua“ciclo en todo tipo de se situaciones, presentó en la década de 1950 el estadístico y profesor universitario William Edwards Deming (Sioux City Iowa, 1900-Washington DC 1993, EE.UU.).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.0 Introducción
67
Evolución respecto a ISO 19600:2014 El estándar ISO 19600:2014 concebía el compliance como un resultado a conseguir, mientras que la norma ISO 37301:2021 lo concibe como un proceso continuo, que relaciona con la generación o el mantenimiento de una cultura positiva. Introduce como novedad relevante una relación enunciativa de los beneficios derivados de disponer de un sistema de gestión de compliance76.
Análisis de los capítulos del estándar ISO 37301:2021 A continuación, en los siguientes capítulos de este libro, se comentan los diferentes apartados en los que se estructura el estándar ISO 37301:2021, que se corresponden con el orden que sigue la HLS. La correlación entre la estructura que sigue a continuación este libro con el índice de dicho estándar facilita la localización de materias a efecto de consultas.
una cuestión destacable que pretende erradicar la idea de que un sistem sis temaa de gestió ges tiónn de complianc compl iancee supone invertir recursos sin un retorno de inversión claro. La lista de beneficios que plantea no figuraba en los estándares previos ISO 1960:2014 ni ISO 37001:2016. 76 Es
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.1 Objeto y campo de aplicación
Propósito de este capítulo El capítulo 1 Objeto y campo de aplicación del estándar ISO 37301:2021 centra la finalidad de la norma, siendo su propósito establecer los requisitos de un sistema de de gestión sobre compliance, pero también, proporcionar directrices que faciliten su correcta aplicación, esencialmente a través de su anexo A (informativo) Guía para el uso de este doc docume umento nto. El contenido de la norma n orma permite desarrollar múltiples acciones acer acerca ca de un sistema de gestión de compliance: • Establecerlo, Establecerlo, cuando la organización no dispone de él. • Desarrollarlo, cuando, disponiendo de él, existen facetas que todavía no han evolucionado todo lo que debían.
sistema tema de ges gestión tión contempla sustancialmente los • Implementarlo, cuando el sis componentes precisos, pero es necesario completar su puesta en práctica. p ráctica. • Evaluarlo, cuando la organización desea conocer la adecuación de su modelo en comparación con los requisitos que determina el estándar, como reflejo del estado del arte en su materia. • sistema Mantenerlo, para para. llevar a cabo correctamente las actividades que contempla el de gestión • Mejorarlo, con el fin de incrementar incrementar su eficacia.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
69
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
70
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
siste tema ma Es interesante el uso del calificativo “eficaz” que emplea el capítulo en relación con el sis 77 de gestió gestiónn , subrayando así la importancia de que desarrolle las actividades planificadas y obtenga los resultados previstos78. Destierra la idea de modelos meramente estéticos. En línea con anticipado en Principio su Introducción , apuntala el principio de proporcionalip roporcionalidad (véase el lo apartado I.6.1.2 de proporcionalidad , de este libro), planteando la aplicación estándar ante cualquier tipo de organización por tamaño, naturaleza y sector de actividad, activ idad, ya sea en e n el ámbito público, pú blico, privado o incluso, en el Tercer sector. sector. Finalmente, derivado también de la aplicación proporcional del estándar, Finalmente, estándar, este capítulo requis uisito itoss en orga organiz nizacio aciones nes, donde no existe una separación señala el modo de integrar sus req funcional entre el órgano de gob gobierno ierno y la alta dirección, según también explica la nota 1 a la primera definición, pensando en pequeñas organiz organizaciones. aciones. En estos casos, aplican los requisitos de ambos grupos al único órgano o colectivo co lectivo existente que cubre las funciones o cometidos de ambos, según vienen definidos en el estándar ISO 37301:2021.
Evolución respecto a ISO 19600:2014 Una variación obvia respecto al estándar previo IS0 19600:2014 es que estamos frente una norma de req requis uisito itoss, en lugar de directrices. Como se explica en cada uno de sus capítulos, esto ha precisado un ejercicio de reflexión en cuanto a su contenido, dejando lo esencial requisit isitos os y reubicando el resto como directrices en su anexo A (informativo) Guía como requ paraa el uso de est par estee doc docum umen ento to, que carece de naturaleza normativa. Esta dinámica explica que una norma sin anexos como el estándar ISO 19600:2014, se haya transformado en un estándar con contenidos normativos bastante más acotados, pero con un nutrido anexo. Siguiendo esta lógica, los principios que invisten el estándar y que antes constaban relacionados en el capítulo 1 Alcance del estándar ISO 19600:2014 se localizan ahora en el apartado A.4.4 Sistema de gestión del compliance del anexo A (informativo) Guía paraa el uso de est par estee ddocu ocumen mento to, de la norma ISO 37301:2021. A los principios que ya y a se citaban de buen gobierno, proporcionalidad, transparencia y sostenibilidad, se suman ahora los de integridad y responsabilidad (véanse los apartados I.6.1.3 Principio de de integridad y I.6.1.5 Principio de responsabilidad, de este libro). capítulo 1 Objeto y campo de aplicación del estándar ISO 19600:2014 también se refería a la eficacia del sistema de gestión, a lo que añadía su capacidad de dar respuesta ( responsive). 78 Aunq Aunque ue el capítulo 1 Objeto y campo de aplicación no emplea el vocablo “eficaz” como un término definido, no puede obviarse que el estándar incluye una definición de eficac eficacia ia vinculado con el grado en que se realizan las actividades planificadas y se logran los resultados planificados. Es un 77 El
término que también utilizan otros muchos textos reconocidos interna cionalmente, como las US” Sentencing Commission Guidelines cuando se refieren a un “ effectiveinternacionalmente, Compliance and Ethics Program y que señala el nivel de implementación y eficacia de los mecanismos articulados por el modelo, desmarcándose así de aproximaciones puramente formales.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.2 Referencias normativas
Propósito de este capítulo Para los lectores no habituados a los sistemas de gestión de ISO, el título del capítulo 2 Referencias Referenci as normativas induce a confusión. Su propósito no es listar las normas relacionadas con el estándar en un sentido amplio, sino exclusivamente aquellos textos que son resultado de la normalización no rmalización (estándares) a los qu quee se precisa recurrir para interpretar y aplicar correctamente el estándar ISO 37301:2021. No se refiere, por tanto, a la normativa en general. Observamos que el cuerpo del estándar ISO 37301:2021 cita otras normas fruto de la estandarización, pero siempre en ubicaciones sin dimensión normativa, como notas o el anexo A (informativo) Guía para el uso de este documento. Así, son recomendaciones las referencias a la ISO Guide 73:2009 IN Gestión del riesgo. Vocabulario (en la definición 1.1 Riesgo), a la ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos y vocabulario (en la definición 3.4.5 Procedimiento), a la ISO 19011:2018 Directrices para la aauditor uditoría ía de los siste sistemas mas de gesti gestión ón (en el apartado 9.2 Auditorí Auditoríaa iinterna nterna); y también a otros estándares adicionales que añade su anexo A (informativo) Guía para el uso de este docu documen mento to: • Estándares que pueden implementarse conjuntamente conjuntamente con ISO 37301:2021: ISO 31000:2018 Gestión del riesgo. Directrices, ISO 37001:2016 Sistemas de gestión antisob antisoborno orno.. Requisito Requisitoss con orientac orientación ión para su uso, ISO 9001:2015 Sistemas de gestión de la calidad. Requisitos, ISO 14001:2015 Sistemas de gestión ambiental. Requisitos con orientación para su uso, ISO/IEC 27001:2013 Tecnología de
la informaci i nformación. ón. Té Técnicas cnicas de segurida seguridad. d. Si Sistemas stemas de G Gestión estión de la Se Seguridad guridad de la Información. Requisitos e ISO 26000:2021 Guía de responsabilidad social.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
71
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
72
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
• Otros estándares estándares citados según contexto: IEC 31010:2019 Gestión del riesgo. Técnicas de apreciación del riesgo (en relación con las técnicas para la evaluación del riesgo), e ISO 19011:2018 Direc Directrices trices para la auditor auditoría ía de los siste sistemas mas de gestión (se vuelve a citar en relación con el modo de desarrollar la auditoría).
Bibliografía ía del estándar ISO 37301:2021 figura también Además, en el apartado Bibliograf una relación de estándares. De esta relación de textos, enunciados a título informativo, se extraen dos conclusiones relevantes: • Aunque el sistema de gestión que articula estándar ISO 37301:2021 tiene una vocación vocac ión transversal, transv ersal, pudiendo pudie ndo igualmente igual mente incluir inclu ir obliga obligacione cioness de compliance compli ance objeto de otros estándares específicos (por ejemplo, las relacionadas con la prevención del soborno –ISO 37001:2016–, o con la gestión del medio ambiente –ISO 14001:2015–), tal circunstancia no significa que se cumplan sus Por consiguiente, la eventual certificación de un sistema de requisitos específicos. Por de gestión sobre la base del estándar ISO 37301:2021 no equivale a satisfacer los requisitos de estos u otros estándares. Habría sido necesario cumplir con ellos de haberse referenciado como contenido normativo y no a título informativo o de mera recomendación. • Aunque sigue el enfoque basado en el ries ri esgo go (véase el apartado I.6.2.2 I.6.2.2 Enfoq Enf oque ue bas basad adoo eenn eell rrie iesg sgoo, de este libro), el estándar ISO 37301:2021 no Direc rectri trices ces , obliga a recurrir a la norma ISO 31000:2018 Gestión del riesgo. Di aunque se cita en el apartado A.4.6 Eva Evalua luacición ón de los ries ri esgos gos de com compli plianc ancee del anexo A (informativo) Guía para el uso de este documento. Es una omisión deliberada, como antes hicieron los estándares ISO 19600:2014 e ISO 37001:2016, para facilitar la aplicación del principio de proporcionalidad Prin incicipi pioo de prop pr opor orcicion onal alid idad ad de este libro), de (véase el apartado I.6.1.2 Pr modo que cada or orga gani niza zacición ón seleccione la metodología de evaluación de ri riesg esgos os que mejor se adapte a sus circunstancias.
Evolución respecto a ISO 19600:2014 El capítulo 2 Ref Referen erencia ciass norm normativ ativas as del estándar ISO 37301:2021 está vacío de contenido,, como también lo estaba el mismo capítulo de la norma ISO 19600:2014. contenido
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
Propósito de este capítulo El capítulo 3 Términos y definiciones del estándar ISO 37301:2021 relaciona y explica los conceptos que se reiteran a lo largo de la norma. Por consiguiente, no son objeto de definición aquellos términos que se emplean aisladamente 79 , ni algunos otros cuyo contenido es objeto de indicación detallada en el apartado correspondiente80. Como es común en los estándares internacionales, no aparecen listados en orden alfabético, sino más bien conceptual, sabiendo que su traducción a otras lenguas dejaría sin sentido una prelación anglófona. Conocer bien el significado de los lo s términos y definiciones es esencial para una correcta aplicación de los MSS de ISO, ISO, pues condicionan enormemente la interpretación in terpretación y la aplicación de sus requisitos. Aun estando familiarizado con los términos y definiciones de la HLS, conviene recordar que los estándares sobre compliance matizan algunas de ellas e incluyen otras adicionales de capital relevancia. relevanci a. En este sentido, la HLS incorpora 21 definiciones, mientras que el estándar ISO 37301:2021 relaciona 32 términos.
79 Es
el caso, por ejemplo, del término “socios de negocio”, que solamente aparece en una nota de la definición 3.30 de la tercera parte. Puede sorprender que este concepto no haya sido utilizado en el estándar ISO 37301:2021, pero tal circunstancia ci rcunstancia obedece al estar subsumido dentro del concepto de tercera parte . 80 No se consi consideró deró preciso defini definirr “forma “formación”, ción”, “toma de conci conciencia encia”” o “comu “comunicac nicación”, ión”, por ejemplo, al no emplearse de forma generalizada y disponer de apartados con esos mismos títulos que desarrollan su contenido.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
73
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
74
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Dada la importancia que tienen las definiciones para la correcta interpretación y aplicación de los estándares, se intenta que su número se limite a las indispensables, conscientes de que cada definición adicional conlleva la necesidad de consultarla cuando se cita y, y, por tanto, es una barrera para la lectura y el empleo fluido del texto de la norma. Cuando un término no está definido en el estándar ISO 37301:2021, se interpreta según el contexto o en su sentido común81. Todas Todas las definiciones son organizativas y, y, por tanto, no obedecen a con conceptos ceptos jurídicos ni están asociadas con ningún sistema jurídico. Así, por ejemplo, el concepto de organización no equivale al de “persona “ persona jurídica”, el de personal al de “empleado”, el de alta dirección al de directivos sujetos a determinada relación jurídica, etc. Esta circunstancia es importante a la hora de aplicar correctamente el estándar ISO 37301:2021, pues seguir la acepción jurídica ju rídica de algunos de sus términos o requisitos puede distorsionar su sentido.
Evolución respecto a ISO 19600:2014 El estándar ISO 37301:2021 incorpora 31 definiciones, en comparación con las 35 de la norma previa ISO 19600:2014. Las diferencias son: • Desaparecen las definiciones de: requisito de compliance, compromiso de com pliance, código, Estándares organizativos e industriales, autoridad regulatoria, contratar externamente (externalizar) y corrección. • Se añaden las definiciones de eficacia, conducta y tercera parte. • Se sustituye la definición de empleado por personal. Puede llamar la atención que no se defina “sistema de gestión de compliance”, pero ningún estándar incorpora como término definido el resultado de todos los l os requisitos que normaliza, cuya esencia refleja el apartado 4.4 Sistema de gestión del compliance del estándar ISO 37301:2021. Por tanto, no se trata de un olvido, sino de una práctica
81
Así sucede,en porque ejemplo ejemplo, , conEn el término “gobierno”, interpretación variará dependiendo del contexto se utilice. ocasiones se emplea cuya al hablar de “buen gobierno”, mientras que en otros casos es una referen referencia cia al apartado 5.1.3 Gobernanza del compliance. Sin embargo, en otras ocasiones, su sentido es coloquial.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
75
común que también se ha ido observando en los estándares previos 82. Tampoco se considera olvido el que no figuren algunas definiciones frecuentes en el mundo del compliance como “socio de negocios”83 o “debida diligencia”84, por su escasa utilización en el cuerpo normativo del estándar. estándar.
II.3.1. Organización La definición, su importancia y origen Es la “persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para el logro de sus objetivos (3.6)”. Es un concepto de importancia capital, que se emplea en prácticamente todos los capítulos del estándar ISO 37301:2021 y cuyo contenido coincide con el de la HLS, como también sucede en los estándares previos ISO 19600:2014 (definición 3.1) e ISO 37001:2016 (definición 3.2).
Comentarios No cabe cabe duda de que se trata de un un concepto concepto fundamental fundamental een n la medida que el sistema de gestión g estión d dee compliance se proyecta sobre la organizació organizaciónn, según señala el apartado 4.4 Sistema de gestión del compliance del estándar ISO 37301:2021. 3730 1:2021. Por tanto, tanto, la adecuación del sistema debe evaluarse en relación con la organización en la que se aplica. La definición considera que la consecución de determinados objetivos es el factor que cohesiona a los diferentes elementos que aglutina. Por este motivo, compartir tales objetivos y sus consecuencias denota si una persona o grupo de personas forman real-
compliance compl iance”
82 El estándar ISO 19600:2014 no incorporaba el término definido “sistema de gestión gesti ón de
en su capítulo 3 Términos y definiciones, ni el estándar ISO 37001:2016 hacía lo propio respecto a “sistema de gestión antisoborno antisoborno”, ”, a pesar de que ambos recurrían respectiva respectivamente mente a los conceptos en numerosas definiciones y, por supuesto, a lo largo del cuerpo de dichas normas. 83 El vocablo “socio de negocios”, definido en el estándar ISO 37001:2016 y de uso frecuente en los textos de compliance sobre la prevención de la corrupción y del soborno, solo figura en la única nota a la definición de Tercera parte del estándar. Sobre este particular, véanse los comentarios ampliados en el apartado II.3.30 Tercera parte, de este libro. 84
Parece extraña lae.ausencia delaparece término “debida diligencia”, de uso frecuentecon enlamuchos textos de complianc compliance Pero solo en definido el apartado 7.2.2 Proceso de eempleo mpleo , vinculado debida diligencia en los procesos de contratación y promoción de empleados empleados.. No fue tampoco un término definido en el estándar ISO 19600:2014, aunque sí en la norma ISO 37001:2016.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
76
mente parte de una organización o son terceras partes, con las distintas consecuencias que se derivan de ello, a efectos del estándar ISO 37301:202185. La nota 1 que incorpora el apartado deja patente lo dúctil del concepto, pues, entre otras opciones, comprende: • Un trabajador independiente. • Una corporación, firma, firma, empresa, empresa, autoridad, sociedad, sociedad, organización benéfica o institución, tanto de naturaleza jurídica privada como pública. • Una parte de las estructuras citadas en el párrafo anterior, anterior, o una combinación de ellas. Evidentemente, estas aproximaciones nos recuerdan que se trata de un término organizativo y no jurídico, donde prevalece la noción de “ risky entity” sobre la de “legal entity”, en línea con un enfoque basado b asado en el riesgo (véase el apartado I.6.2.2 Enfoque Enfoque basado en el riesgo, de este libro). La flexibilidad de este concepto organizativo desconcierta a quienes están acostumbrados a manejarse en términos jurídicos, donde una organización se corresponde con una persona jurídica o, como mucho, con un grupo de personas jurídicas. Pero les resulta más trabajoso comprender que, afectos del estándar ISO 37301:2021, 37301:202 1, una sola persona jurídicaa pueda comprender jurídic comprender varias organiz organizaciones aciones (caso, por ejemplo, de confluir en una sola entidad distintas actividades dirigidas y desarrolladas por sus correspondientes grupos de personas, con unos objetivos propios cada uno de ellos) o que, incluso, una porción de varias personas jurídicas puedan constituirse con stituirse en orga organiza nización ción diferenciada (en venturee contractual, por ejemplo, donde cada partícipe asigna ciertos equipos una joint ventur y, todos ellos, asumen en conjunto unos objetivos propios distintos de los individuales de las personas jurídicas u organizaciones de origen que los han aportado). Todo ello permite establecer el sistema de gestión de compliance que mejor se adapte a cada caso en aras a su eficacia y que puede llevar a disponer de un solo modelo para un conjunto conju nto de entidades legales, o que una de ellas establezca varios en su seno. El estándar ISO 37301:2021, al igual que qu e sus antecesores, no quiere encorsetar la definición, exigiéndole por ejemplo, la relación matriz-filial puede encuadrarse como una sola organización o como una relación entre organizaciones diferenciadas, dependiendo de si comparten o no objetivos. Estos objetivos comunes normalmente se traducen en compartir o concentrar procesos decisorios, lo que permite actuar de manera coordinada en la consecución de las metas compartidas. Estos objetivos también suelen ir acompañados de procesos de control o supervisión comunes. Por consiguiente, la relación matriz-filial no conduce necesariamente a la existencia de una sola organ organización ización, ni incluso en escenarios de participación mayoritaria si no concurre esa unidad de objetivos. De estas consideraciones 85 Así,
resultará la necesidad tratar a ciertas como los comentarios acerca terceras partes (véanse de este término en elde apartado II.3.30entidades Tercera parte , de este libro), o la gestión de determinados procesos de los que se estén ocupando como contrataciones externas (véanse las cautelas al respecto que se apuntan en el apartado II.8.1 Planificación y control oper operacional acional, también de este libro).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
77
muchos condicionantes, con el peligro de que terminen complicando la adaptación del modelo de compliance a las circunstancias de cada caso y perjudicando su eficacia. Sin perjuicio de todo lo anterior, anterior, es cierto que algunas de las opciones organizativas que admite la decisión pueden ocasionar dificultades prácticas a la hora de certificar el sistema de gestión86. El uso extensivo que el estándar ISO 37301:2021 realiza del concepto “ organización” tiene normalmente el propósito de atribuirle el impulso o ejecución de requisitos87 . Esto no plantea problemas de asignación en escenarios simples donde la organización coincide con la persona (trabajador independiente), pero cuando está formada por un grupo de personas, cabe preguntarse quién asume la responsabilidad concreta en relación con esos requisitos. En líneas generales, cabrá identificar a los sujetos que dispongan de la capacidad operativa para ello88, susceptibles de variar significativamente según las muchas alternativas organizativas que admite el concepto de organización. Ciertamente, el órgano de gobierno y la alta dirección ejercen una enorme vis atractiva al respecto, pues representan representan las máximas instancias de gobierno social, con amplias facultades para la adopción de decisiones e incluso, tienen límites legales en la delegación de roles sobre cuestiones relevantes89. En cualquier caso, para requi requisitos sitos especialmente relevantes, el estándar ISO 37301:2021 no se limitito a exigirlos a la organi organizació zaciónn, concretando después quién en su seno asume 86 Los
problemas prácticos más destacables son de tipo técnico y también en cuanto a las expectativas de confianza que genera la certificación. Desde una perspectiva técnica, puede resultar difícil deslindar los elementos del sistema de gestión de la organi organizaci zación ón evaluada respecto a los que corresponden a otras organi organizaci zaciones ones donde se integra o de donde se desgrana. En particular, perfilar el entorno de control en estos casos es complejo si, por ejemplo ejemplo,, se comparten controles y estructuras. Por otra parte y desde una perspectiva de confianza, una certificación referida a una parte de una entidad, puede confundirse fácilmente con una opinión respecto a su conjunto. Se ha dado algún paso nacional para mitigar los inconvenientes de la elasticidad de la definición: por ejemplo, el estándar español UNE 19601:2017 sobre sistemas de gestión de comp complia liance nce penal añade que ese conjunto de elementos debe constituir una unidad operativa y de negocio. 87 Much Muchos os ap aparta artados dos d del el es estánd tándar ar IS ISO O 373 37301:2 01:2021 021 aatri tribuye buyen n requ requisi isitos tos a la org organi anizac zación ión (“la organiz orga nizaci ación ón debe…”), lo que puede ocasionar dudas sobre a quién en concreto corresponde impulsarlos (más allá de que deban estar presentes para dar debido cumplimiento cumplimient o a la norma). 88 En muchas ocasiones, la capacidad operativa irá vinculada a la capacidad legal para desarroll desarrollar ar esos cometidos, lo que obligará a considerar el marco jurídico donde debe desenvolverse el sistem sis temaa ddee gest g estión ión , por aplicación del principio de subordinación a Ley. 89 Cada vez más ordenamientos jurídicos señalan cometidos no delegables por las máximas instancias de gobierno social, incluyéndose normalmente los relacionados con la supervisión y control. Por otra parte, aun cuando se puedan delegar ciertas actividades: (i) Ello no implica necesariamen necesariamente te la delegación de la rresponsabilida esponsabilidad d última en cu cuanto anto a sus resultados. (ii) Tampoco equivale a una “abdicación” de ciertos cometidos, cuando son especialmente trascendentes para una gestión social responsable.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
78
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
un rol destacado con ellos. ello s. Por eso, eso, es especialmente relevante explorar el contenido de los apartados 5.1 Liderazgo y compromiso, 5.3 Roles, responsabilidades y autoridades, 9.1.4 Informes de compliance y 9.3 Revisión por la dirección dire cción, para concretar las figuras más próximas a determinados requisitos que en otros apartados del estándar se atribuyen a la organización, en términos generales.
II.3.2. Parte interesada La definición, su importancia y origen organización ión (3.1) que puede afectar, verse afectada, o percibirse Es la “persona u organizac como afectada por una decisión o actividad”. Es un concepto cuya aparición se circunscribe a los capítulos 4
Contexto de la
organizac orga nización ión , 5 Lide Liderazgo razgo , 7 Apoy Apoyoo y 9 Evalu Evaluació aciónn del dese desempeño mpeño del estándar ISO 37301:2021; con un notable protagonismo en el primero –como elemento necesario para enfocar correctamente el siste sistema ma de gestión– y un rol de acompañamiento en el resto. Se emplea exactamente la misma definición que en la HLS y que igualmente utilizó el estándar ISO 19600:2014 (definición 3.2). La definición utilizada en la norma ISO 37001:2016 (definición 3.3) incorporaba una nota, apuntando que las partes interesadas podían ser tanto internas como externas, recordando así que existen numerosos colectivos afectados por la actividad de compliance en el seno de la propia organización organiza ción, más allá de los empleados en general. Son, normalmente colectivos, áreas o funciones internas que precisan interactuar y nutrirse de información de com. Aunque el estándar ISO 37301:2021 no explicita esta diferencia, el apartado plianceComprensión A.4.2 de las necesidades y expectativas de las partes interesadas interesad as del anexo A (informativo) Guía para el uso de este documento, contempla una relación no limitativa donde figuran ejemplos de ambas categorías.
Comentarios Existe la tendencia errónea a pensar que las partes interesadas son siempre colectivos externos a la organización. Tal Tal vez por ello, aunque aunqu e la relación de ejemplos ejemplo s propuesto en el apartado A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas del anexo A (informativo) Guía para el uso de este documento documento señala algunos de estos colectivos, escasean los que tienen naturaleza natural eza interna, entre los que cabría destacar aquellas áreas o funciones relacionadas con la gestión de riesgos, el buen gobierno corporativo (incluyendo la responsabilidad social y la sostenibilidad), el control de riesgos legales,
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
79
etc. A medida que legisladores, reguladores reguladores y supervisores incrementan incrementan el protagonismo de la información no financiera de las organizaciones, también se acrecienta la necesidad de que la función de compliance compliance interactúe con estos y otros grupos internos, que manejan en su quehacer datos e informaciones sobre esta materia.
II.3.3. Alta dirección La definición, su importancia y origen Es la “persona o grupo de personas que dirigen y controlan una organización (3.1) al más alto nivel”. Es una definición que se emplea en los capítulos 1 Objeto y campo de aplicación , 5 Liderazgo, 8 Operación y 9 Evaluación del desempeño, del estándar ISO 37301:2021. No obstante, obstante, su máximo protagonismo protagonismo radica en el el capítulo capítulo 5 Liderazgo. Es la misma definición establecida por la HLS y que previamente utilizar utilizaron on también sin variación los estándares estándares ISO 19600:2014 (definición 3.3) e ISO 37001:2016 (definición 3.6).
Comentarios La definición de alta dirección puede no comprenderse sin considerar la de órgano de gobierno y estar a lo que dispone el capítulo 1 Objeto y campo de aplicación del estándar ISO 37301:2021. Aunque la HLS define alta dirección, no hace lo propio respecto a órgano de gobierno. Para la mayoría de los estándares ISO, la alta dirección es, simplemente, el máximo nivel decisorio en el seno de la organización, como se infiere con claridad de las notas incorporadas a su definición. Es, como todos, un concepto organizativo que puede tener diferentes encajes legales. No obstante, el estándar ISO 19600:2014 añadió la definición de órgano de gobierno como colectivo que gobierna la organización, estableciendo su estrategia y al que la alta dirección informa (definición 3.4). Se introdujo así un órgano por encima de la alta dirección, como también hizo después el estándar ISO 37001:2016 (definición 3.7). Además de emplear términos parecidos, su nota 1 advertía que “no todas las organiza orga nizacion ciones es, especialmente las organizaciones pequeñas, tendrán un órga órgano no de gobi gobierno erno independiente de la alta dirección”. Este mensaje se reproduce ahora en dos lugares del estándar ISO 37301:2021 (definición 3.21): en el capítulo 1 Objeto y campo de aplicación y en acrecienta la nota 1 a la propia definición de órgano de gobierno (véase el apartado II.3.21 Órgano de gobierno, de este libro).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
80
requisitos os del estándar a las diferentes modaEsta distinción permite acomodar algunos requisit lidades organizativas y legales que pueden darse. Así, cuando se atribuyen actividades o responsabilidades al órgano de gobierno y a la alta dirección: • caracterizan Aplicarán al las único órgano órgano existente cuando concurran los elementos que definiciones de alta dirección y de órganoendeélgobierno . • Aplicarán de forma selectiva selectiva cuando existan órganos órganos diferenciados, según según dis dis-crimine el contenido normativo del estándar ISO 37301:2021. De acuerdo con lo anterior, por ejemplo, aplicará todo el contenido del apartado II. 5.1.1 Órgano de gobierno yy alta direcció direcciónn al único órgano que reúna las características de ambas definiciones; pero se estará a la distribución de requisitos que fija dicho apartado90 cuando existan dos órganos diferenciados. Otros casos reseñables los hallamos en los apartados 5.3.1 Órgano de gobierno y alta dirección, en relación con los roles, responsabilidades y autoridades de dichas instancias, y 9.3 Revisión por la direcc dirección ión, relativa a la cadena de reporte interna de compliance (véanse los apartados II.5.1.1 II.5.1.1 Órgano de gobierno y alta dirección y II.9.3 Revisió Revisiónn por la direcci dirección ón, ambos de este libro).
II.3.4. Sistema de gestión La definición, su importancia y origen Es el “conjunto de elementos de una organización (3.1) interrelacionados interrelacionados o que interactúan para establecer políticas (3.5), objetivos (3.6) y procesos (3.8) para lograr esos objetivos”. Se trata de un concepto importante por su utilización extensiva en el cuerpo del estándar ISO 37301:2021 pero, sobre todo, por su valor conceptual. Remarca la importancia de la interacción de componentes como factor diferencial respecto a programas de compliance que se limitan a listarlos y describirlos, pero que no profundizan en su interrelación. Es la misma definición que figura en la HLS, que se utilizó también en los estándares ISO 19600:2014 (definición 3.7) e ISO 37001:2016 (definición 3.5).
apartado II.5.1.1 Órgano de gobierno y alta dirección, de este libro, establece algunos contenidos dirigidos exclusivamente al órga órgano no de gobi gobierno erno , mientras que fija otros son comunes de 90 El
dicho órganoespectros con la alt Esta distinción intrascendente cuando solo órgano alta a dir direcc ección ión .elementos cubre ambos (abarca los de las es definiciones de órgano de un gobierno y alta dirección), pero cabe considerarla cuando existen dos. En relación con este apartado, véase el apartado II.5.1.1 Órgano de gobierno y alta dirección , de este libro.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
81
Comentarios El estándar ISO 37301:2021 determina un siste sistema ma de gesti gestión ón, de manera que sus componentes guardan relación los unos con los otros, según se ha explicado anteriormente (véase el capítulo I.4 El estándar ISO 37301:2021 como si , stema de ge gestión de este libro). La forma en que interactúan se aprecia gráficamente sistema en la figura Istión que aparece en la Introducción de la norma. no rma. Como se puede observar, observar, existe una serie de elementos que condicionan el modelo en su conjunto (principios, contexto de la organización y objetivos), mientras que otros forman parte de su operativa continua, dentro de cada uno de los apartados clásicos “planificar, hacer, comprobar, actuar” (“ Plan, Do, Check, A Act ct ”), ”), tan típicos del conocido ciclo Deming (véase el capítulo I.2 I.2 La HLS de ISO, de este libro). Asimismo, no define “ sistema de gestión de compliance”, dado que es el resultado de Asimismo, aplicar el contenido normativo del estándar en su conjunto. Por lo demás, brinda una descripción general en el apartado 4.4 Sistema de gestión del compliance compliance. Tampoco se incorporó la definición en las normas ISO 19600:2014 e ISO 37001:2016 –este último respecto a “ sistema de gestión antisoborno”–, por los mismos motivos, aunque igualmente utilizaron estos conceptos en su cuerpo 91. En cualquier caso, disponer de un “ sistema de gestión”, en general, o de un “ sistema de gestión de compliance”, en particular, particular, no constituye una un a finalidad en sí misma, siendo meramente instrumental a su propósito trascendente. Aunque el contenido del apartado 4.4. Sistema de gestión de compliance no ayuda mucho a encontrarlo, sí lo vemos reflejado en la Introd Introducción ucción del estándar ISO 37301:2021, 37301 :2021, de gran valor interpretativo. interpretativo. Es allí donde aparecen los vínculos del compliance con la cultura de la l a organización y la conducta de sus personas, siendo las piezas clave que brindan auténtico sentido a un sistema de gestión de compliance.
91 El
estándar ISO 19600:2014 no define “sistema de gestión de compl compliance iance ”, aunque se refiere
a él ence numerosas y puede cincelarse través dedesus apartados 4.3 Deter Determinac ión ddel alcan alcance del sistema sist ema ocasiones de gesti gestión ón del compl complianc iancee y 4.4.a Sistema gestión de compliance y minación principios deel buen gobie g obierno rno. El estándar ISO 37001:2016 tampoco define “sistema de gestión antisoborno”, pero describe sus trazos esenciales en el apartado 4.4.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
82
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.3.5. Política La definición, su importancia y origen Son las “intenciones y dirección de una organización (3.1), como las expresa formalmente su alta dirección (3.3)”. No obstante, la única nota aclaratoria de esta entrada señala que también puede expresar una política el órgano de gobierno. Es una definición de uso frecuente en el estándar ISO 37301:2021, principalmente en Política el capítulo 5 Liderazgo, donde dispone de un apartado que la desarrolla: 5.2 Política de compliance. No obstante, también se cita en los capítulos 6 Planificación, 7 Apoyo, 8 Operación y 9 Evaluación del desempeño. Esta definición coincide coinc ide con la de la HLS y es equivalente con la que antes emplearon los estándares ISO 19600:2014 (definición 3.8) e ISO 37001:2016 (definición 3.10).
Comentarios Una política manifiesta la voluntad de la organización en determinada materia, para conducta cta del person personal al92 y de los terceros alinear con ella la condu terceros bajos su supervisión, evitando que las actividades se desarrollen según sus criterios individuales. Por tanto, no es una mera manifestación de intenciones, sino que dispone de d e naturaleza obligacional para sus destinatarios. Lo contrario, co ntrario, le privaría de todo sentido. El contenido de las políticas lo fijan las máximas instancias de gestión social, mientras procedimie dimientos ntos que las desarrollan suelen prepararse por órganos o cargos que los proce técnicos que dependen de ellas. En cualquier caso, ni un procedimiento ni cualquier otra norma de rango inferior debería contravenir lo establecido en las políticas, pues constituyen la máxima representación de la voluntad de la organización. Aunque el estándar ISO 37301:2021 señala que las políti políticas cas las expresa formalmente la alta dirección, aclara en su única nota que también puede hacerlo el órgano de gobierno.
92
La definición 3.22 que establece el estándar ISO 37301:2021 es amplia y se aleja del término “empleados” Personal al que recurría el previo estándar ISO 19600:2014. Así, incluye a sujetos vinculados con la organización sea mediante una relación laboral, como de cualquier otro tipo. Por consiguiente, abarca también a la alta dirección e incluso, a los miembros del órgano de gobierno.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
83
Recordemos que este último término no figura definido en el texto de la HLS y de ahí surge la necesidad de la aclaración93. Curiosamente, el estándar define el término política, pero no “ política de compliance” a pesar de que se utiliza ampliamente cuerpo normativo94. El contenido de esta política concreta viene determinado por: • La conjunción de las definiciones “ polí política tica ” y “ comp complianc liancee”, lo que conduce organizac nización ión e necesariamente al documento que plasma la voluntad de la orga en n cuanto al cumplimiento de todas sus obliga obligacione cioness de ccomplianc ompliancee. • Lo establecido en el apartado 5.2 Polític Políticaa de comp complian liance ce, donde, a pesar de la apariencia general de su título, el contenido hace referencia explícita a la política polít ica de compl complianc iancee. Aunque la polít Aunque política ica de compl compliance iance es un elemento dentro del sistem sistemaa de gestió gestiónn que articula el estándar ISO 37301:2021, goza de un protagonismo indudable al tratarse de una exigencia muy frecuente en los textos sobre compliance y dentro las expectativas de las partes interesadas, especialmente las Administraciones Públicas. De este modo, la fijación clara de la voluntad de la organización en materia de compliance es el primer paso para exigir ciertos parámetros de conducta y determinar: (i)
Actividades tendentes a su mejora.
(ii) Elementos de control control que permitan valorar valorar su grado de conocimiento y debido cumplimiento. Toda actividad de control sobre patrones de comportamiento no fijados previamente corre el riesgo de considerarse arbitraria.
estándar previo 19600:2014 únicamente señalaba la alta dirección dirección como emisor de las políticas, a pesar de que su capítulo 3 Términos y definiciones contemplaba la definición de órgano de gobierno (a diferencia de la HLS, que se limita a definir la alta dirección en un sentido muy amplio). El estándar ISO 37001:2016 solucionó esta laguna indicando en el cuerpo de la definición de política que las podían expresar, tanto la alta dirección d irección de la organización como su órgano de gobi gobierno erno. El estándar ISO 37301:2021 opta por no expandir la definición, refriéndose solo a la alta dirección , pero aclarando su interpretación más amplia mediante una nota. En relación con este particular, véanse los comenta comentarios rios a la lass d definicio efiniciones nes de alta dirección dirección y órgano de go gobierno bierno en los apartados II.3.3 II.3.3 Alta dirección y II.3.21 Órgano de gobierno, ambos de este libro. 94 Esta situación ya se producía en los estándares previos ISO 19600:2014 e ISO 37001:2016. 93 El
A pesar de no n o defi definir nir “ pol de comp ”, la Norma ISO 19600:2014 sí definía defi nía de manera políti ítica caliance complia liance nceindicando separada polí polític tica a (3.8) y comp complia nce (3.17), en su apartado 5.2 Políti Política ca de ccompl omplianc iancee. El estándar ISO 37001:2016 se limitó a definir pol políti ítica ca (3.10) y sob soborn ornoo (3.1), estableciendo también el apartado 5.2 Polít Política ica ant antiso isobor borno no .
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
84
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.3.6. Objetivo La definición, su importancia y el origen Es el “resultado a lograr”. Es una definición de uso frecuente en el estándar ISO 37301:2021, principalmente en el capítulo 6 Planificación, donde el apartado 6.2 Objetivos de compliance y planifi cación para lograrlos cincela el concepto, aunque también se emplea en los capítulos 4 Contexto de la organización, 5 Liderazgo, 6 Planificación y 9 Evaluación del desempeño. Es una definición importante a la hora de comprender el funcionamiento de un modelo de compliance en clave de un sistema de gestión (véanse también los comentarios en el capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión y en el apartado I.6.2.2 Enfoque basado en el riesgo, ambos de este libro). l ibro). Es la misma definición que viene marcada por la HLS y que antes también utilizaron los estándares ISO 19600:2014 (definición 3.9) e ISO 37001:2016 (definición 3.11).
Comentarios Es estándar utiliza el concepto de objetivo, pero no define el concepto de “ objetivos de compliance” que: • Son el resultado de agregar los términos definidos de “ objetivo” y “ compliance”, que conduce a los resultados a lograr en materia del cumplimiento de las obli gaciones de compliance que afectan a la organización. • Su formulación detallada se se indica en el apartado apartado 6.2 Objetivos de compliance y
planificación para lograrlos.
Quienes no están habituados a los modelos de comp complian liance ce que operan en clave de siste sistema ma de gestión suelen confundir los objeti objetivos vos de compliance iance con propósitos generales, como la de compl tolerancia cero a los no cumplimientos cumplimientos de com compliance pliance, el mantenimiento de una cultura corporativa ética y respetuosa con las normas, etc. Sin restar valor a estas manifestaciones, que son más propias del marco para la definición de objetivos en la política de compliance (véanse los comentarios en el apartado II.5.2 Política Política de comp compliance liance, de este libro), los objetivos de compliance varían en virtud de diferentes parámetros, vinculados organizaci ización ón y su nivel de exposición a los con las circunstancias internas y externas de la organ riesgos riesg os de comp complian liance ce (véanse los comentarios en el apartado II.6.2 Objetivos de compliance compliance y planificación planificación para lograrlos, de este libro). Por tanto, el marco estable para la fijación de objetivos que determina la política de compliance, no equivale a dichos objetivos. Para facilitar su determinación, algún estándar (Norma UNE 19 19601:2017 601:2017 Sistemas de gestión gesti ón de comp complian liance ce pena penal.l. Requ Requisito isitoss con orien orientació taciónn para su uso, en su apartado 6.3 Obje-
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
85
tivos de compliance penal y planificación para lograrlos) diferencia entre obje objetiv tivos os estratégicos y tácticos u operativos, ayudando a transitar desde enfoques “macro” a planteamientos “micro” o detallados, lo que facilita concretar las actividades a planificar, planificar, los recursos que se precisarán a tales efectos, los indicadores para medir su grado de consecución, etc.
II.3.7. Riesgo La definición, su importancia y origen Es el “efecto de la incertidumbre sobre los objetivos (3.6)”. Se trata de una decisión ampliamente utilizada en el cuerpo del estándar ISO 37301:2021, con especial relevancia en el apartado 4.6 Evaluació Evaluaciónn de los riesgo riesgoss de
compliance.
Aunque es la misma definición empleada en los estándares estándares previos previos ISO 19600:2014 (definición 3.11) e ISO 37001:2016 (definición 3.12), es distinta de la que aparece en la HLS, que define el riesgo de forma mucho más amplia: “efecto de la incertidumbre".
Comentarios La definición de ries riesgo go que incorpora el estándar ISO 37301:2021, aunque más acotada que la propuesta por la HLS, sigue siendo un término amplio. Esto obliga a definir posteriormente riesgo de compliance. Yendo más allá de la HLS, la definición vincula la incertidumbre al término definido objetivos, lo que acota su contenido a los resultados que se pretenden alcanzar a través del sistema de gestión de compliance. Por consiguiente, consiguiente, es una cuestión que enlaza con los contenidos del apartado 6.2 Objetivos de compliance y planificación para lograrlos. Una de sus notas aclaratorias señala que el riesgo puede expresarse en términos de probabilidad o consecuencias, que es precisamente lo que hace después el concepto de compliance compliance. En este sentido, el estándar ISO 37301:2021 sigue una aprode riesgo de ximación, generalmente generalmente acept aceptada, ada, en la esfera esfera de la evaluación de riesgos. El apartado A.4.6 Evaluación de llos os riesgos de com compliance pliance del anexo A (informativo) Guía para el uso de este documen documento to, no solo se refiere a la probabilidad de un riesgo y a sus consecuencias, sino que introduce los conceptos de riesgo inherente y residual residual. El primero es aquel que se estima en ausencia de medidas de control o tratamiento, mientras que el segundo resulta de tener en cuenta su efecto en la valoración resultante. Aunque el estándar toma conceptos habituales en la gestión de riesgos, evita referirse al “apetito de riesgo”, que induciría a pensar que la organización puede decidir qué normas cumple y cuáles
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
86
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
no. Se trataría de un escenario incoherente con la propia definición definició n de compliance, que se refiere expresamente a observar “todas” las obligaciones de compliance que afectan a la organización. Es, pues, una omisión deliberada95.
II.3.8. Proceso La definición, su importancia y origen Es el “conjunto de actividades interrelacionadas o que interactúan, que emplean o transforman elementos de entrada para obtener resultados”. Es una definición presente en casi todos los capítulos del estándar ISO 37301:2021, sin que ninguno de ellos realice un uso especialmente intenso de la misma. Su empleo es común en cuanto a que diferentes componentes y requisitos de la norma se vinculan con los procesos de la organización. Es una definición basada en la HLS, que acogieron los estándares ISO 19600:2014 (definición 3.10) e ISO 37001:2016 (definición 3.15).
Comentarios Aunque todos los términos Aunque términos que define define el estándar estándar ISO 37301:2021 37301:2021 son organizat organizativos, ivos, no legales, esto es muy patente en el concepto de proceso. Las organiza organizaciones ciones desarrollan sus actividades a través de diferentes procesos, que van desde la gestión de compras, las actividades de prestación de servicios, la entrega de productos, la gestión financiera ysino un siguiendo largo etcétera. Estas prefijado, y otras actividades nointerrelaciones se desarrollan ydeformalidades. manera aleatoria, un orden con ciertas Esta manera predefinida de actuar puede plasmarse gráficamente en los denominados “mapas de procesos”. Los procesos pueden conformarse y quedar formalizados en uno o varios procedim procedimientos ientos, que fijan la forma específica de ejecutarlos. El estándar ISO 37301:2021 también procedimiento miento que, aun no estando presente en la HLS, incorpora la definición de procedi también se utilizó en el estándar ISO 19600:2014, pero no en el ISO 37001:2016, que ocasionalmente hace un uso coloquial del término. 95 El
concepto de “apetito de riesgo” se debatió expresamente y se excluyó del cuerpo del estándar
ISO 37301:2021. El apartado A.4.6 Evaluación de los riesgos de compliance del anexo A (informativo) Guía para el uso de este documento señala que se comparará el nivel de riesgo de compliance que resulta dicho ejercicio con el establecido en la política de compliance, que obviamente pretenderá el cumplimiento de las obligaciones de compliance, sin cortapisas.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
87
II.3.9. Competencia La definición, su importancia y origen Es la “capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos”. Es una definición de uso limitado en el estándar ISO 37301:2021, básicamente en los capítulos 5 Liderazgo y 7 Apoyo, en relación con las competencia competenciass de personas o categorías de sujetos. Es la misma definición que figura en la HLS y que también utilizaron los estándares previos ISO 19600:2014 (definición 3.23) e ISO 37001:2016 (definición 3.13).
Comentarios es un término definido, sino también, el Cuando encabezamiento Competencia apartado del no 7.2solo Competencia del estándar ISO 37301:2021. se habla del de competencia o de factores que inducen o se asocian a la competencia de una persona o de un colectivo, cabe realizar una interpretación amplia, no limitada a la titulación académica o a la formación teórica, sino también, al bagaje práctico y a otras capacidades esperables por motivos del rol a desempeñar desempeñar..
II.3.10. Información documentada La definición, su importancia y origen Es la “información que una organización (3.1) tiene que controlar y mantener, y el medio en el que está contenida”. Es una definición de uso intensivo en el estándar ISO 37301:2021, en la medida que requisitos os en relación con los requisit requisitos os de informa información ción docume documentada ntada se asocia con múltiples requisit del estándar ISO 37301:2021, consúltese el anexo I Información documentada, de este libro), que deberán entonces mantenerse y acreditar según determina el apartado 7.5 Información Infor mación docum documentad entadaa. Es una definición coincidente con la de la HLS, que también se empleó sin la alteración los estándares previos ISO 19600:2014 (definición 3.24) e ISO 37001:2016 (definición 3.14).
Comentarios
La definición de informació informaciónn document documentada ada supone la necesidad de que ciertos requisitos estén recogidos en un soporte de calidad. No cualquier documento reúne las condi-
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
88
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
ciones exigidas por el apartado 7.5 Información documentada, sino solo aquellos que observan ciertos parámetros relacionados con su creación, actualización y control. Esto puede aplicar a documentos o informaciones, tanto descriptivos del siste sistema ma 96
gestionados con motivo su aplicación práctica de gestión ges tión, comolosproducidos Antiguamente, sistemas de ogestión hacían referencia a lade documentación, al control. de documentos y al control de registros. Estos conceptos quedaron implícitamente incluidos en la definición de la HLS que ya siguieron los estándares ISO 19600:2014, ISO 37001:2016 y ahora ISO 37301:2021. Es un concepto importante para un MSS de Tipo A (certificable), donde la acreditación del nivel de cumplimiento de sus requisitos precisa un sustrato de calidad. Las carencias en materia de información documentada no significan necesariamente que el sistema de gestión g estión de compliance no sea adecuado, pero dificultarán que un tercero independiente emita una declaración de conformidad con formidad respecto a su contenido, cuando 97
no se le pueda acreditar la concurrencia de requisitos .
II.3.11. Desempeño La definición, su importancia y origen Es un “resultado medible”. Utilizan esta definición los capítulos 5 Liderazgo, 7 Apoyo y y,, sobre sob re todo, el 9 Evalua Evaluación ción del desempeño, todos ellos en el contexto de la medición y el reporte del rendimiento del sistema de gestión de compliance. Es la misma definición que recoge la HLS y que también utilizaron los estándares previos ISO 19600:2014 (definición 3.26) e ISO 37001:2016 (definición 3.16).
necesidad de mantener infor informació maciónn ddocumen ocumentada tada no significa que deba conservarse todo tipo de documentos, sino solo aquellos necesarios para acreditar la existencia, conocimiento y aplicación efectiva de los requis requisitos itos que la precisan.
96 La
97 La
imposibilidad de emitir una opinión profesional por carencias de infor informació maciónn docume documentada ntada
no equivale a una opinión adversa en cuanto al sis evaluado. Es más, determina sistema tema de d e ges gestió tiónnlas dos déficits de inf informa ormació ciónn ddocu ocument mentada ada pueden suplirse ante Administraciones (incluida la de Justicia) con los medios de prueba admitidos en Derecho, aunque hayan impedido la emisión de una opinión de con confor formid midad ad .
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
89
Comentarios Un sistema de gestión de compliance no es una finalidad en sí mismo, sino una herramienta para alcanzar ciertos propósitos, incluyendo los trascendentes de establecer o mantener una cultura de compliance que se traduzca en conductas adecuadas, según apunta la Introduc Introducción ción del estándar ISO 37301:2021. Bajo esta premisa, medir el desempeño del sistema de gestión se convierte en una actividad clave, hasta el punto de dedicarle el capítulo 9 Evaluación del desempeño y sugerir múltiples fuentes de información en el apartado A.9.1.2 Fu Fuentes entes de opinión sobre el desempeño del compliance del anexo A (informativo) Guía para el uso de este documento. En cualquier caso, los parámetros de medición del desem desempeño peño, tanto del siste sistema ma de gesti gestión ón en su conjunto como de cualquiera de sus componentes, pueden ser cuantitativos y cualitativos. Estos últimos son especialmente valorados en la medida en que ayudan a interpretar correctamente los datos facilitados.
II.3.12. Mejora continua La definición, su importancia y origen Es la “actividad recurrente para mejorar el desempeño (3.11)”. El estándar ISO 37301:2021 hace un uso u so constante de la definición, dado que es un factor relevante para su funcionamiento como siste sistema ma de gesti gestión ón (véanse los comentarios del capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión, de este libro). Así, la vemos plasmada en los capítulos 5 Liderazgo, 6 Planificación, 7 Apoyo, 9 Evaluación y 10 Mejora De hecho, este último se de ubica apartado 10.1desempeño , que .desarrolla el en concepto desdecapítulo un punto pun to vistaeloperativo. del Mejora continua Es la misma definición que plantea la HLS y que incorporó el estándar ISO 37001:2016 (definición 3.24). El estándar ISO 19600:2014 (definición 3.27) se desvió ligeramente del tenor literal de la HLS, refiriéndose tanto a actividades como a proceso procesoss destinados a la mejora.
Comentarios El término mej mejora ora cont continu inuaa se corresponde con un principio implícito de todo sist sistema ema de gestión gest ión ISO (véanse los comentarios al respecto en el apartado II.6.2.4 Pri Princi ncipio pio de mej mejora ora contin con tinua ua, de este libro). Promueve el progreso positivo del des desemp empeño eño del sis sistem temaa de ges gestió tiónn, de manera que incremente su efic eficacia acia. No solo le permite ajustarse a las variaciones en las circunstancias de la organi organizació zaciónn, sino que facilita introducir cambios selectivos en
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
90
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
sistema ema de gest gestión ión para disminuir la probabilidad de no aquellos elementos que integran el sist conform con formida idades des o no cum cumpli plimien mientos tos de com compli plianc ancee, o aumentar la capacidad para detectarlos y reaccionar de la forma más temprana para minimizar sus consecuencias. En última instancia, la mejora continua se asocia igualmente con el incremento paulatino de los umbrales de exigencia respecto a las conductas de quienes se vinculan con la organización.
II.3.13. Eficacia La definición, su importancia y origen Es el “grado en el que se realizan las actividades planificadas y se logran los resultados planificados”. Esta definición, que se utiliza en la práctica totalidad totali dad de los capítulos del estándar ISO 37301:2021, aparece directamente extraída de la HLS. Aunque, curiosamente, no la incorporó la norma previa ISO 19600:2014, sí lo hizo el estándar ISO 37001:2016 en esos mismos términos (definición 3.9).
Comentarios Los textos sobre compliance suelen referirse a la eficacia de los programas o medidas a adoptar. No así sobre su “eficiencia”, que sería la ejecución de las actividades planificadas y la obtención de los resultados previstos con el menor volumen posible de recursos. Es una aproximación de la que se alejan los estándares de compliance ISO, por cuanto esa búsqueda de eficiencia puede perjudicar la eficacia de las actividades desarrolladas y del sistema de gestión en su conjunto. Se considera una meta secundaria, más relacionada con la ingeniería para la mejora de procesos que con el establecimiento eficaz. de requisitos o directrices de un sistema de gestión de compliance eficaz
II.3.14. Requisito La definición, su importancia y origen Es la “necesidad o expectativa establecida, generalmente implícita u obligatoria”. Es una definición importante, especialmente en todo MSS de Tipo A (certificable), que se emplea en prácticamente todos los capítulos del estándar ISO 37301:2021. Su redacción coincide exactamente exa ctamente con la de la HLS, que igualmente reflejó la norma
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
91
previa ISO 19600:2014 (definición 3.13). El estándar ISO 37001:2016 siguió una aproximación distinta (definición 3.4), con una definición más corta remarcando que el requisito tenía que estar fijado en algún lugar y ser obligatorio, evitando así incluir necesidades o expectativas “generalmente implícitas” que podían ser difíciles de identificar y analizar.
Comentarios Los requisitos pueden venir establecidos en las obligaciones de compliance que afectan a la organización (tanto las obligatorias como las asumidas voluntariamente) y también en el propio sistema de gestión. No respetar las primeras generará no cumplimientos de compliance, mientras que no observar las l as segundas producirá normalmente no confor midades (véanse las diferencias entre conformidad/no conformidad y compliance / / no cumplimiento de compliance que se comentan en el apartado I.5.3 Las no conformidades conformidades
y los no cumplimientos de compliance, de este libro).
II.3.15. Conformida Conformidad d La definición, su importancia y origen Es el “cumplimiento de un requisito (3.14)”.
conformidad midad y no confor conformidad midad aparecen en el capítulo 7 Apoyo y Los conceptos de confor y,, sobre todo, en los capítulos 9 Evaluación del desempeño y 10 Mejora. Es la misma decisión de la HLS, que también incorporó el estándar ISO 37001:2016 (definición 3.21), pero no así ISO 19600:2014, que precisaba que la conformida conformidadd se refería exclusivamente a desatender un requisito del sistema de ggestión estión (definición 3.32). No obstante, la interpretación de esta definición sigue siendo la misma, según explico seguidamente.
Comentarios El estándar ISO 19600:2014 añadió a los conceptos tradicionales de la HLS de conformidad/no conformidad, los de cumplimiento/no cumplimiento de compliance. Los primeros hacían referencia a requisitos del sistema de gestión, mientras que los segundos, a las obligaciones de compliance. Aunque la diferencia entre estas categorías debe analizarse según el contexto, en líneas generales, las primeras aplican sobre requisitos fijados internamente en el contexto del sist sistema ema de gest gestión ión (asistir a una sesión de
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
92
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
formación, por ejemplo), mientras que los segundos se relacionan con cuestiones procedimentales o sustantivas de mayor calado, que derivan de las obliga obligacione cioness de compliance (véanse los comentarios en el apartado I.5.3 Las no conformidades y los no no , de este ISO libro). El estándardesmarcándose ISO 37301:2021 cumplimientos cumplimiento e ccompliance ompliance el camino ques dde inició su antecedente 19600:2014, de lasigue HLSasíy rubricando esta diferencia tan típica que no recogen otros sistemas de gestión, incluido el estándar ISO 37001:2016.
II.3.16. No conformidad La definición, su importancia y origen Es el “incumplimiento de un requisito (3.14)”. Se utilizan los conceptos de conformida conformidadd y no conformid conformidad ad en los capítulos 9 Evaluac Evaluación ión del desempeño y 10 Mejora. Este último contempla las no conformidades como circunstancias no solo a corregir, sino también, a analizar para mejorar el sistema de gestión gestió n y evitar que se reproduzcan. Es la misma decisión de la HLS, incorporada también por el estándar ISO 37001:2016 (definición 3.22). Sin embargo, el estándar ISO 19600:2014 vincuco nformida midadd a dejar de satisfacer un requ requisi isito to del sis sistema tema ddee ges gestión tión (véase laba la no confor el apartado I.5.3 Las no cconfo onformid rmidades ades y lo loss no cumpli cumplimien mientos tos de compl complianc iancee, de este libro). En cualquier caso, este sigue siendo el sentido de la definición actual, según se explica a continuación.
Comentarios Como se ha comentado anteriormente al tratar la definición de confo conformida rmidadd, el estándar ISO 19600:2014 añade a los conceptos clásicos de conformidad/no conformidad , los de cumplimiento/no cumplimiento de compliance. El estándar ISO 37301:2021 sigue esta misma línea: normalmente, las no conformidades se vinculan con exigencias del sistema de gestión (suscribir una declaración periódica de conformidad con una política, por ejemplo), mientras que los no cumplimien cumplimientos tos ddee com compliance pliance entrañan la vulneración de las obligaciones de compliance, que revisten mayor gravedad. Esto permite distinguir entre las tipologías de las irregularidades y ayuda a moderar la reacción ante las mismas por su distinto grado de relevancia.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
93
II.3.17. Acción correctiva La definición, su importancia y origen Es la “acción para eliminar la causa de una no conformidad (3.16) y evitar que vuelva a ocurrir”. El concepto se aplica igualmente en el ámbito de los no cumplimientos de compliance, como se desprende inequívocamente de lo establecido en el apartado 10.2
No conformidades y acciones correctivas.
Es una definición de uso limitado en el estándar ISO 37301:2021 373 01:2021 que se circunscribe a los capítulos 5 Liderazgo , 9 Evaluación del de desempeño sempeño y 10 Mejora. Tiene especial protagonismo en el apartado 10.2 No conformidades y acciones correctivas. Reproduce el texto de la HLS, como hizo el estándar ISO 37001:2016 (definición 3.23). Sin embargo, el estándar previo ISO 19600:2014 (definición 3.35) vinculó expresamente la acció acciónn ccorrec orrectiva tiva no solo con no confo conformidad rmidades es, sino también, con , debido a la de este parámetroy no no cumplimientos de compliance definido ni establecido en la HLS (véase el utilización apartado I.5.3 Lasúltimo no conformidades co nformidades los los no cumplimientos de compliance, de este libro). La interpretación de la definición en el estándar ISO 37301:2021 sigue esta línea, no por el tenor literal de su redacción –coincidente ahora con la HLS– sino por indicación de su única no nota ta aclaratoria.
Comentarios La acción correctiva correctiva no equivale simplemente a sancionar. Aunque las capacidades de penalización son un factor de prevención general, el concepto se aplica a cualquier medida que: • Elimina el motivo que provocó provocó la no con confor formid midad ad o el no cum cumpl plimi imient entoo de com compl plian iance. ce. • Previene Previene su reiteración. En verdad, verdad, la acción correctiva c orrectiva puede consistir en una medida o varias, de naturaleza variada, siempre idóneas a tales efectos. En el apartado A.10.2 No conformi conformidades dades y acciones correctiv correctivas as del anexo A (informativo) Guía para el uso de este documento, relaciona diferentes ejemplos.
II.3.18. Auditoría La definición, su importancia y origen Es un “ proceso (3.8) sistemático e independiente para obtener las evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría”.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
94
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Su empleo se limita al capítulo 9 Evaluación del desempeño, muy especialmente en los apartados 9.2 Auditoría interna y 9.3 Revisión por la dirección. La definición es coincidente con la HLS, que también plasmaron los estándares estándares previos ISO 19600:2014 (definición 3.31) e ISO 37001:2017 (definición 3.20), aunque existen variaciones en cuanto a las notas aclaratorias introducidas por cada texto98.
Comentarios auditorí toríaa, se centran Las características de una actividad, para que sea considerada como audi en su sistematicidad, la independencia de quien realiza dicho trabajo y la documentación del proceso. Una de las notas que incluye la definición hace referencia al estándar ISO 19011:2018 de directrices para la auditoría de los sistemas de gestión, donde hallamos información útil para comprender estos parámetros. También lo indicado en el apartado 9.2 Auditoría interna resulta de utilidad para ello. Una auditor auditoría ía puede desarrollarse tanto por la propia organi organización zación como por una organización externa, siempre que reúna las características indicadas.
II.3.19. Medición La definición, su importancia y origen Es el “ proceso (3.8) para determinar un valor”. Es una definición de uso limitado, que aparece en los capítulos 5 Liderazgo, 6 Plani ficación y, especialmente en el capítulo 9 Evaluación del desempeño, donde se ubica el apartado 9.1 Seguimiento, medición, análisis y evaluación. Es la misma definición que figura en la HLS y que también emplearon los estándare estándaress previos ISO 19600:2014 (definición 3.30) e ISO 37001:2016 (definición 3.19).
98 Mientras
que el estándar ISO 37001:2016 se limitó li mitó a recoger las tres mismas notas aclaratorias de la definición de la HLS, el estándar ISO 19600:2014 no mencionaba que una auditoría interna podía ser realizada por la propia organi organizaci zación ón o una parte externa y se adentraba, sin embargo, en comentar la independencia del auditor auditor.. El estándar ISO 37301:2021 recoge el contenido de todas esas notas (tanto de HLS como del estándar previo ISO 19600:2014), convirtiéndose en la definición con más contenido no normativo (aclaratorio) en los estándares sobre compl complianc iancee publicados hasta la fecha.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
95
Comentarios Es difícil mejorar aquellos aspectos que no se miden. Es más, los resultados que arroja una medición determinan una tendencia cuando son comparados con medicioPor ello, las actividades de medición son tan importantes para un sistema nes previas. Por de gestión gestió n, que no solo quiere adaptarse a las circunstancias de la organización, sino que también aspira a mejorar continuamente (véase el apartado I.6.2.4 Principio de de mejora continua, de este libro). La medición va normalmente unida a indicadores y otros elementos que reflejan el valor o resultado de determinada acción.
II.3.20. Seguimiento La definición, su importancia y origen Es la “determinación del estado de un sistema, un proceso (3.8) o una actividad”. Esta definición se emplea en los capítulos 5 Liderazgo, 6 Planificación, 8 Operación y 9 Evaluación del desempeño. Su protagonismo en este último capítulo es especialmente relevante, donde se ubica el apartado 9.1 Seguimiento, medición, análisis y evaluación. Se trata de una definición coincidente con la que figura en la HLS y que se plasmó también los estándares previos ISO 19600:2014 (definición 3.29, curiosamente, esta definición incorporaba una nota adicional a la de la HLS, subrayando que el seguimiento seguimie nto no era una actividad puntual sino continuada. Esta nota no se incorporó en la definición del estándar ISO 37301:2021) ni tampoco se incluyó en la ISO 37001:2016 (definición 3.18).
Comentarios seguimiento to es la traducción al español del vocablo inglés “ monitori monitoring ng”, que El término seguimien suele transcribirse comúnmente con los anglicismos “monitorizar” o “monitorear". En el fondo, es mantenerse informado acerca del estatus de una determinada acción. Es una actividad que se desarrolla de forma continuada, para poder actuar con celeridad ante desviaciones indeseadas. Por tanto, desarrollar un adecuado seguimiento de procesos y actividades relacionadas con el sistema de gestión de compliance es clave para reaccionar de manera temprana y también, para adaptarlo a las circunstancias de la organiz organización ación , como un modelo “vivo” (véase el capítulo I.4 El estándar e stándar ISO ISO 37301:2021 como sistema de gestión, de este libro).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
96
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.3.21. Órgano de gobierno La definición, su importancia y origen Es la “persona o grupo de personas que tienen la última responsabilidad y autoridad en las actividades, gobierno y políticas de una organización (3.1) ante quienes la alta dirección (3.5) informa rinde cuentas”. Se emplea esta definición en los capítulos 5 Lid Lidera erazgo zgo , 8 Operación y 9 Eva Evalualua ci ción ón de dell de dese sempe mpeño ño. No obstante, se concentra su protagonismo en el indicado capítulo 5 Lid Lidera erazgo zgo , donde se encuadran los apartados 5.1.1 Órgano de gobierno y alt altaa dir direcc ección ión (dentro del apartado 5.1 Lid Lidera erazgo zgo y com comprom promiso iso ) y 5.3.1 Órgano de gob gobier ierno no y alta dir direcc ección ión (dentro del apartado 5.3 Rol Roles, es, res respons ponsabi abilid lidade adess y autoridades). No obstante, también tiene atribuciones destacadas en el capítulo 9 Evaluac Eva luación ión del des desemp empeño eño. Estasentido definición no aparece en la englobaría HLS, que emplea concepto alta dirdefinición ección en un amplio, que también al órganoel de gobiernode . Es unadirección que introdujo primero el estándar ISO 19600:2014 (definición 3.4) y que utilizó después la norma ISO 37001:2016 (definición 3.7). El estándar ISO 37301:2021 toma la definición de este último texto, si bien la formula en término de “persona o grupo de personas” en lugar de limitarse a un “grupo u órgano”.
Comentarios La definición de órg órgano ano de gob gobier ierno no es típica de los estándares de com complia pliance nce , sin proceder de la HLS. Su necesidad nace de considerar que la máxima gestión en las organ organizacio izaciones nes puede estar distribuida en más de un órgano: existiendo quienes dirigen y controlan la organi organización zación (definición de alta direcc d irección ión), concurre además un órgano superior al que informan y frente al que rinden cuentas ( órgano de go bierno ), dotado de una orientación más estratégica. En este sentido, es el máximo órgano de gestión social donde termina la jerarquía de la organ organizació izaciónn en materia 99 de gestión social . En la medida en que órgano de gobierno y alta dirección pueden ser colectivos distintos desde una perspectiva no solo funcional, sino también jurídica, el estándar ISO 37301:2021 ha mantenido la diferencia. No obstante, su capítulo 1 Objeto y campo de aplicación a plicación señala que los requisitos aplicables al órgano de ggobierno obierno aplicarán tam99 Solamente
sometido entonces a las decisiones de la junta general de partícipes, socios, accionistas o equivalentes, que no constituye órganos de gestión social, sino de representación de la propiedad.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
97
bién a la alta dirección en organizaciones carentes de esa distinción funcional (en este mismo sentido apunta la nota 1 de la definición). Normalmente, en organizaciones grandes implicará asignar los requisitos a cada colectivo según distingue el estándar, mientras que en las medianas y pequeñas es probable que se proyecten sobre una misma persona o grupo.
II.3.22. Personal La definición, su importancia y origen Son los “individuos en una relación reconocida como laboral en la legislación o práctica nacional, o en cualquier relación contractual cuya actividad dependa de la organización (3.1)". Es una definición importante, por cuanto bastantes req requis uisito itoss del estándar ISO 37301:2021 se proyectan sobre este colectivo deliberadamente amplio de personas. Aparece citada cita da en los capítulos 5 Liderazgo , 7 Apoyo y 8 Operación. En todos ellos juega un papel relevante. El término no figura en la HLS, siendo una categoría introducida por los estándares previos ISO 19600:2014 (definición 3.5 Empleado) e ISO 37001:2016 (definición Personal). No obstante, ninguna de ambas definiciones es la que ahora acoge el 3.25 Personal estándar ISO 37301:2021, que viene a realizar una fusión de sus contenidos.
Comentarios Su norma antecesora, el estándar ISO 19600:2014, empleaba el término “empleado” en lugar de “ per person sonal al ”, que era un concepto con marcada connotación laboral. De este modo, la laboralidad se convertía en un condicionante respecto a requisitos sitos . El estándar ISO 37001:2016 detectó la aplicación de ciertas prácticas o requi d etectó los inconvenientes de este enfoque, que excluían de la aplicación de ciertos requi sitoss a personas integradas en la orga sito organizac nización ión bajo otras formas jurídicas. Por eso realizó una definición eminentemente práctica de perso personal nal, abarcando a directores, directores, funcionarios, empleados o trabajadores temporales y voluntarios de la organizac organización ión. Sin embargo, esta aproximación casuística puede seguir excluyendo categorías no expresamente citadas. Debido a lo anterior, anterior, el estándar ISO 37301:2021 opta por considerar empleados a aquellos sujetos cuya actividad dependa de la organización, en el sentido en que estén sometidos a sus instrucciones y sin la autonomía propia de las terceras partes. A tales
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
98
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
efectos señala que la naturaleza del vínculo jurídico puede ser, ser, tanto una relación de trabajo (laboral) como de cualquier otro tipo (voluntariado y otras relaciones sujetas a normas especiales, o incluso, mercantiles). mercantiles). Respecto al estándar ISO 19600:2014 19600:2 014 supone unade ampliación de los amplia supuestos de aplicación de requisitos . En cualquier caso, al tratarse una definición y con marcado carácter residual, los requisi requisitos tos referidos a ella aplicarán igualmente a los integrantes del órgano de gobierno y la alta dirección100. Es la forma de asegurar que determinadas cautelas de compl compliance iance, incluidas las relativas a la incorporación o promoción de personas, indicadas en el apartado 7.2.2 Proceso de empleo, aplican a todos. Aquellos colectivos que no quedan encuadrados encuadrados en la categoría categoría de de personal, solo cabrá considerarlos como terceras partes. Proyectando actividades de control sobre ambos conjuntos, se cierra el círculo de debida diligencia sobre los sujetos susceptibles de exponer a la organización.
II.3.23. Función de compliance La definición, su importancia y origen Es la “persona o grupo de personas con responsabilidad y autoridad para la operación del sistema de gestión (3.4) del compliance (3.26)”. El estándar ISO 37301:2021 utiliza esta definición en los capítulos 5 Liderazgo y 9 Evaluación Evalu ación del desemp desempeño eño. En el primero Funciónn de compl compliance iance, primero destaca el apartado 5.3.2 Funció que indica sus actividades. Evidentemente, esta definición no procede de la HLS, encontrando sus antecedentes en el estándar ISO 19600:2014 (definición 3.6) y también en la norma ISO 37001:2016 370 01:2016 (definición 3.8) (en este último texto, en términos de “ Función de d e cumplimiento antisoborno”). El estándar ISO 37301:2021 se acerca más a esta última definición, por los motivos que se explican a continuación.
100 Nótese
que la definición de personal supone una subordinación a la organización. Los miembros
del órgano de y de la alta direc considerados, están igualmente ig ualmente sujetos d e gobie gobierno ción , ínvidamente a las decisiones derno la orga organiz nizaci ación ónd irección , emanadas a través de los órganos en los que se integran, pero que no se confunden con sus opiniones personales o en el sentido individual de voto en las decisiones orgánicas.
las decisiones orgánicas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones
99
Comentarios El estándar ISO 19600:2014 señalaba que la función de compliance es la que tenía responsabilidades en la gestión de compliance. Una definición tan corta y amplia, era susceptible de interpretaciones variadas, incluyendo la atribución de responsabilidades legales. Por Por ese motivo, el estándar ISO 37001:2014 concretó en su definición que las responsabilidades de la función se centraban en “operar” el sist sistema ema de gest gestión ión. Es la misma aproximación que adopta el estándar ISO 37301:2021, coherente con lo indicado en el apartado 5.3.2 Función de complian c ompliance ce cuando circunscribe su responsabilidad a operar el siste sistema ma de gest gestión ión de d e compli compliance ance a través del desarrollo de las actividades que indica101. No se le atribuyen capacidades decisorias, que co órganoo de gobier gobierno no rresponden a las instancias de gobierno social, especialmente al órgan di rección ón. y a la alta direcci Para que una organización disponga de función de compliance es preciso que: • Le haya encomendado encomendado la operación operación del sistema de gestión. • Disponga de la autoridad para para hacerlo. hacerlo. En ausencia de cualquiera de ambos componentes estaremos frente a un órgano o funciónn ddee ccomplian ompliance ce. En función que no puede considerarse técnicamente como funció tales casos, el órgano de gobier gobierno no y la alta direc dirección ción habrán designado un órgano o función inapropiados para acometer con éxito tareas de compliance, especialmente las relacionadas en el apartado 5.3.2 F Función unción de compliance. Son, pues, parámetros clave para legitimar una eventual traslación de responsabilidades legales por operación negligente del modelo102. A diferencia diferencia de estándares antiguos103 e incluso de algunos textos actuales, los estándares modernos de compliance quefórmula publicapermite ISO se una refieren refier en aflexibilidad la función de y compliance compliance ance”. Esta no al “oficial de compli gran orgánica, muy necesaria para facilitar la aplicación del principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporcionalidad, de este libro). Al tratarse de una “función” y no de un “órgano”, puede atribuirse a órganos ó rganos ya existentes o de nueva creación; tanto
“responsabilidad” de la funci función ón ddee ccompli ompliance ance pivota en la operación correcta del sist sistema ema gesti gestión ón y no guarda relación directa con la existencia de no confor c onformidad midades es o no cumpli c umplimient mientos os
101 La
de de complia co mpliance. nce.
responsabilidades legales por una operación negligente del sistema sis tema ddee ges gestió tiónn pueden no corresponder a la fun funció ciónn de ccomp omplia liance nce cuando no disponía del perfil ni de los condicionantes 102 Las
para desarrollar correctamente sus cometidos. 103 Los estándares AS 3806:2006 y BS 10500:2011, precursores de los estándares ISO 19600:2014 e ISO 37001:2016, respectivamente, mencionaban la figura del oficial de cum-
plimiento. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
100
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
unipersonales como colegiados. En cualquier caso, deberán concurrir los parámetros exigidos tanto por la definición como por el resto del estándar. estándar. No obstante, la única nota a la definición sugiere la asignación de una persona para la supervisión general del sistemacolegiada, . Se quiere: evitar que, por emplear a un órgano de de gestión de compliance de compliance actuación la función • Pierda Pierda visibilidad en el seno de la organización. • Se diluyan sus cometidos entre sus sus miembros, sin una dir dirección ección clara. Por consiguiente, aun cuando exista un Comité de compliance o equivalente, es recomendable que en su seno se identifique quién lo coordinará y representará.
II.3.24. Riesgo de compliance La definición, su importancia y origen Es la “probabilidad de ocurrencia y las consecuencias del no cumplimiento de com pliance plian ce (3.27) respecto a las oblig obligacion aciones es de compliance compliance (3.25) de una organ organizaci ización ón (3.1)”. Puesto que el estándar ISO 37301:2021 sigue un enfoque basado en el riesgo (véase iesgo, de este libro), se comprende el uso el apartado I.6.2.2 Enfoque basado en el rriesgo intensivo de esta definición, que aparece en los capítulos 4 Contexto de la organiza ción, 5 Liderazgo, 6 Planificación, 7 Apoyo y 8 Operación. Tiene especial relevancia lo indicando en el apartado 4.6 Evaluación de los riesgos de compliance. Al tratarse de una un a especialidad especiali dad decoincide no figura en la HLS, que se riesgo, este limita a definir riesgo . Tampoco que término la definición que recogió el estándar ISO 19600:2014 (definición 3.12). Por otra parte, el estándar ISO 37001:2016 no incorporó una definición equivalente (“riesgo de soborno”); aun siendo un concepto utilizado en su texto, cabe inferir su significado de la combinación de los términos definidos “riesgo” y “soborno”. Por consiguiente, la definición de riesgo de compliance que incorpora el estándar ISO 37301:2021 no arranca de un texto previo.
Comentarios Desde una perspectiva lógica, tendría más sentido referirse a los riesgos de incumplimiento que a los de compliance –que es cumplir con las obligaciones–. Sin embargo, el concepto de “ riesgo de complian compliance ce” está ampliamente aceptado en el ámbito profesional
y, por eso, se utiliza esta definición. Lo contrario o obligaría bligaría a referirse a la evaluación Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones 101
de riesgos de no cumplimiento de compliance y a otras muchas adaptaciones en la terminología frecuente que recoge el estándar ISO 37301:2021. La definición interpreta el riesgo de compliance como el resultado de su medición, esto es, la probabilidad de ocurrencia y las consecuencias del no cumplimien cumplimiento to ddee com compliance pliance riesgo s (referido a las obligaciones de compliance). El apartado A.4.6 Evaluación de los riesgos de compliance del anexo A (informativo) Guía para el uso de este documento, no solo habla de estos conceptos, sino también del riesgo inherente y residual. El estándar ISO 37301:2021 ha evitado deliberadamente introducir el concepto de “apetito de riesgo”, pues evocaría la posibilidad de que la organización decida qué obligaciones de compliance cumplir y cuáles no, o hasta qué grado hacerlo (véase el apartado II.4.6 II.4.6 Evaluación de los riesgos de compliance c ompliance, de este libro). Esto chocaría frontalmente con la propia definición de compliance, que explícitamente se refiere a observar “todas” las obligaciones de compliance. Por lo demás, el riesgo de compliance: • Solo se refiere a los no cumplimientos de compliance, no a las no conformidades. • Puesto que las obligaciones de complia compliance nce se componen de aquellas cuyo cumplimiento es obligatorio y también las de carácter voluntario, la posibilidad de contravenir cualquiera de ellas es susceptible de generar un riesgo encuadrable en esta definición.
II.3.25. Obligaciones de compliance La definición, su importancia y origen Son los “ requi requisito sitoss (3.14) que una organización (3.1) tiene obligatoriamente que cumplir,, así como aquellos que una organización elige voluntariamente cumplir”. cumplir En la medida que otras definiciones incorporan en su redacción el término obligacio nes de compliance y que muchos requisitos guardan relación directa con ellas, es una definición ampliamente utilizada en el estándar, en los capítulos 4 Contexto de la organización , 5 Liderazgo, 6 Planificación , 7 Apoyo y 8 Operación. Es especialmente interesante lo indicado en el apartado 4.5. Obligaciones de compliance, que supone la concreción de las mismas como parte del proceso para disponer de un sistema de gest gestión ión de compliance adecuado para cada organización. Esta definición no figura en la HLS, al ser un término muy vinculado con los sistemas de gestión de compliance. Tampoco Tampoco recurrió a ella la norma ISO 37001:2016, 37001:201 6, que se
refería a obligaciones u obligaciones legales en su acepción común. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
102
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
El origen de la definición lo hallamos en el estándar previo ISO 19600:2014, indicando que las obligaciones de com compliance pliance eran el conjunto formado tanto los “requisitos de compliance” como los “compromisos de compliance” que afectan a la organización, siendo los primeros las normas que esta debe cumplir y los segundos aquellos que elige voluntariamente cumplir. Ambos eran términos definidos en dicho estándar. El estándar ISO 37301:2021 sigue esta línea, pero incorporando directamente esta aproximación en la propia definición de obligaciones de compliance, en un ejercicio de simplificación. Al figurar conceptualmente en ella, desaparecen ahora los términos definidos “ requisitos de de complian compliance ce” y “compromisos de complian compliance ce”. El apartado A.4.5 Obligaciones de compliance del anexo A (informativo) Guía para el uso de este documento proporciona ejemplos que encajan en ambas tipologías.
Comentarios No cabe duda duda de la importanci importanciaa de esta definici definición, ón, que captura captura la acepción acepción moderna moderna del concepto de “ compl compliance iance”, que actualmente se proyecta sobre las normas que tienen carácter obligatorio, pero también sobre aquellas que las organi organizacione zacioness eligen voluntariamente cumplir. cumplir. A través de estas últimas, penetran en el compl compliance iance, entre otros, una gran cantidad de contenidos de carácter ético que trascienden los mínimos legales. En este sentido, los requis requisitos itos éticos a los que voluntariamente v oluntariamente se someten someten las organ organizacio izaciones nes constituyen una parte de sus obliga obligaciones ciones de ccompli ompliance ance. Por estar comprendidos en esta definición, el estándar ISO 37301:2021 no los cita explícitamente104. Esta concepción de compliance supera la visión tradicional que lo proyectaba p royectaba exclusiexclusi vamente sobre las normas de carácter obligado o, incluso, sobre algunas de ellas en particular (las reguladoras de actividades o mercados, por ejemplo).
II.3.26. Compliance La definición, su importancia y origen Es “el cumplimiento de todas las obligaciones de compliance (3.25) de la organización (3.1)”. Lógicamente, en una norma sobre compli compliance ance , está muy extendido el uso de esta definición, que se halla presente en la práctica totalidad de los capítulos del estándar
104 La
escasez de referencias a la ética en el estándar ISO 37301:2021 se debe a que, técnicamente, los parámetros éticos a seguir se incorporan al sistema de gestión por vía de las obliga obligaciones ciones
de complia co mpliance nce sobre las que se proyecta, especialmente las asumidas voluntariamente. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones 103
ISO 37301:2021. En ocasiones, ocasion es, es un término integrado dentro de otras definiciones (por ejemplo, función de compliance, riesgo de compliance, obligaciones de compliance, o cultura de compliance), o utilizado de manera instrumental en diferentes apartados de su texto (por ejemplo, objetivos de compliance, responsabilidades de compliance, gobierno de compl compliance iance, desempeño de compl compliance iance, evaluación de riesgos de compl compliance iance, reportes de compliance, preocupaciones de compliance, incidentes relacionados con el compliance, formación de compliance, toma de conciencia en compliance, información de compliance o indicadores de compliance). No siendo una definición defin ición de la HLS, su redacción redacci ón procede y coincide coin cide con la del estándar previo ISO 19600:2014 (definición 3.17). No se incluyó en el estándar ISO 37001:2016, aunque el vocablo se empleaba abundantemente en su cuerpo, en muchas ocasiones en su acepción coloquial.
Comentarios En el contexto de un sistema de gestión, “el cumplimiento de todas las obligaciones de compliance” no es el mero resultado del azar, azar, sino de la voluntad volunta d consciente de la orga nización. En línea con lo apuntado en la Introducción del estándar ISO 37301:2021, compliance sería el resultado de un proceso constante impulsado y mantenido por la organización. Lo contrario nos llevaría a interpretarlo como un resultado puntual o eventualmente casual, independiente de cómo se ha alcanzado. Respecto al tenor literal de la definición, nótense dos aspectos relevantes: (i)
Se refiere a las obligaciones de ccompliance ompliance que afectan a la organización , según vendrán concretadas por aplicación de las secciones 4.3 Determi y 4.5. nación del alcance del sistema delas gestión del compliance Obligaciones de compliance , comprendiendo de carácter obligatorio y las asumidas voluntariamente.
(ii) La acción de cumplir se refiere refiere a “todo” ese conjunto, sin que, por tanto, tanto, la organi organización zación pueda decidir cuáles obedecer y cuáles no, o el grado de hacerlo (véanse los apartados II.3.24 Riesgo de complianc compliancee y II.4.6 II.4.6 Evaluación de los riesgos de compliance, ambos de este libro). Podría pensarse que el término definido no cumplimiento cumpli miento de compliance significa lo contrario del que estamos tratando. Sin embargo, como se explicará más adelante, la definición de no cump cumplimie limiento nto de compl compliance iance se asocia a cualquier oblig obligación ación de compl compliance iance y no a “todas” ellas, como se indica ahora. Las definiciones de complian compliance ce y no cumpl cumplimiento imiento de complian compliance ce fueron ya características del estándar ISO 19600:2014 y vuelven a serlo ahora en el estándar ISO 37301:2021,
trascendiendo de la clasificación común co mún entre conformidad y no conformidad típica en Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
104
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
los sistemas de gestión ISO que adoptó el estándar ISO 37001:2016 (en relación con las diferencias entre los conceptos de conformidad y no conformidad, por un lado y de compliance y no cumplimiento de compliance compliance, por el otro, véase el apartado I.5.3 I.5.3 Las no conformidades y los no cumplimientos de compliance, de este libro).
II.3.27. No cumplimiento de compliance La definición, su importancia y origen Es “incumplimiento de las obligaciones de compliance (3.26)”. Es una definición de uso frecuente, que aparece en los capítulos 5 Liderazgo, 7 Apoyo, 8 Operación, 9 Evaluac Evaluación ión del desempeñ desempeñoo y 10 Mejora. Este último, especifica la reacción de la organización cuando se producen. La definición no procede de la HLS ni coincide co incide exactamente con la del estándar previo ISO 19600:2014 (definición 3.18). Se S e decía entonces que era el incumplimiento de una obligación de compliance (en singular) y añadía además una nota subrayando que podía ser un caso aislado o varios y ser el resultado o no de una no conformidad (en relación con las diferencias entre los conceptos de conformidad y no no conformidad, por un lado y compliance y no no cumplimiento de compliance, por el otro, véase el apartado conformidades nformidades y los no cumplimie cumplimientos ntos de compliance, de este libro). Estos I.5.3 Las no co matices no figuran ahora en el estándar ISO 37301:2021, aunque solo cabe interpretar interpretar la definición en ese mismo sentido. El estándar ISO 373001:2016 no incluyó esta definición. Recordemos que ni la HLS ni este último estándar diferencian entre no conformidades y no cumplimientos de co compliance mpliance, aglutinando este segundo concepto dentro del primero.
Comentarios La definición de no cumplimiento cumplimiento de compliance está vinculada con el concepto de obli gaciones de compliance, que son las resultantes de aplicar lo indicado en los apartados 4.3 Determinación del alcance alcance del sistema de gestión del compliance y 4.5 Obligaciones de compliance. En este contexto, se incluirán no solo aquellas obligaciones de compliance que la organización debe cumplir, sino también, aquellas que elige voluntariamente cumplir. El término no cumplimient cumplimientoo de complian compliance ce no es realmente el antónimo de compl compliance iance, dado que este último se refiere a “todas” las obliga obligaciones ciones de ccompli ompliance ance que afectan a la
organ org aniza izació ciónn, mientras que el primero puede darse ante el quebranto de cualquiera cualquiera de ellas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones 105
II.3.28. Cultura de compliance La definición, su importancia y origen Son los “valores, ética, creencias y conductas (3.29) que existen en una organización (3.1) y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen al compliance (3.26)”. Es una definición relevante, dada la importancia que el estándar ISO 37301:2021 otorga a las cuestiones culturales, como manifiesta claramente su Introducc Introducción ión. Se emplea en los capítulos 4 Contexto de la organización, 5 Liderazgo y 7 Apoyo. Destaca el apartado 5.1.2 Cultura de compliance, subrayando la importancia de la actitud de los líderes de la organización para promover dicha cultura. La definición no procede de la HLS, sino que viene sustancialmente heredada del estándar ISO 19600:2014 (definición 3.19), incorporando ahora en su redacción el concepto de “ conducta”, que es otro término definido. El estándar ISO 37001:2016 no utiliza la definición de cultura de compliance, aunque ocasionalmente emplea los vocablos “cultura” o “cultura de integridad”.
Comentarios Aunque la aparición del término definido cultura de compliance en el estándar ISO 37301:2021 es limitada, tiene un gran impacto en la norma. De hecho, la mayoría de textos modernos sobre com compli plianc ancee inciden en la importancia de cultivar una cultura corpo conducta uctass inapropiadas105. En líneas generales, las tendencias rativa adecuada para evitar cond en compl compliance iance tienden más a cultivar la integridad de las personas que a limitarse a su control (véase el apartado I.5.1resultan El estándar estándar ISO 37 37301:20 301:2021 21como y llaa cul cultura ddee comp compliance liance, de este libro). Normalmente, enfoques híbridos, es tura el caso del propio estándar ISO 37301:2021, que combina elementos claramente orientados a promover una cultura ética y de d e respeto a las normas, con los más clásicos basados en el control. La cultura de compliance no solo se asocia con valores o parámetros éticos sino, especialmente, a las conductas en que derivan, esto es, los comportamientos o prácticas organización ción . La que impactan en los diferentes ámbitos en que se desenvuelve la organiza inclusión del término conducta en la definición de cultura de compliance refuerza el mensaje de que los aspectos culturales no deben quedarse en la esfera teórica, sino traducirse en comportamientos correctos. 105 Así, por ejemplo, en US Sentencing Commission, Guidelines Manual, Chapter of Organi Organizati zations ons , p. 517, noviembre de 2018. El párrafo a) del apartado 8B2.1Eight-Sentencing señala que un effect eff ective ive comp complia liance nce and eth ethics ics pro program gram debe promover una cultura organizativa que facilite la
conducta ética y el cumplimiento de la Ley. Ley. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
106
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.3.29. Conducta La definición, su importancia y origen Son los “comportamientos y prácticas que repercuten en los resultados para los clientes, empleados, proveedores, mercados y comunidades”. Aunque es una definición de uso extremadamente limitado, que q ue se circunscribe al apartado 5.1.2 Cultura de compliance del estándar ISO 37301:2021, tiene una importancia capital debida a su singularidad: es la primera vez que se introduce “ conducta” como término definido en un estándar ISO sobre compliance. De acuerdo con lo anterior anterior,, no es una definición proveniente de la HLS ni de ningún estándar antecedente publicado por ISO en materia de compliance.
Comentarios Que se hable expresamente de la conducta en un estándar de co compl mplia iance nce invita a considerar aquellos factores que la condicionan. Por tanto, abre las puertas a integrar en la gestión del complia compliance nce cuestiones relacionadas con las ciencias de la conducta humana. Los textos previos de complia compliance nce ya habían dado algunos pasos procedim edimient ientos os de debida diligencia en este sentido, principalmente al hilo de los proc sobre personas llamadas a ocupar posiciones de riesg riesgoo y de las que se conoce o se podría haber conocido la inconsistencia de su bagaje conductual para asumir el rol esperado de ellos. Es una cautela también contemplada en el apartado 7.2.2 Procesoo de empleo del estándar ISO 37301:2021, pero que no figuraba en el anterior Proces estándar ISO 19600:2014. En cualquier caso, este término produce un efecto relevante en la definición de cultura de compliance, donde aparece. En este sentido, los aspectos culturales no solo son programáticos, debiendo traducirse en comportamientos o prácticas que, como tales, serán constatables. Lo contrario aboca a un concepto de cultura de compliance vago y abstracto, poco alineado con un MSS de tipo A (certificable). (certificable).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones 107
II.3.30. Tercera parte La definición, su importancia y origen Es la “persona u organismo que es independiente de la organización (3.1)”. El estándar ISO 37301:2021 utiliza ocasionalmente esta definición, con significados distintos a interpretar según el contexto, como se explicará más adelante. Se encuentra en los capítulos 4 Contexto de la organización, 7 Apoyo y 8 Operación. Es una definición que no figura en la HLS y que no empleó el estándar previo ISO 37001:20 16 (definición 3.28), con el mismo 19600:2014106. Sí lo hizo la norma ISO 37001:2016 texto que ahora adopta el estándar ISO 37301:2021. 37301:2021 .
Comentarios A primera primera vista, vista, el término término tercera parte parece sumamente amplio, dando la impresión de que su vinculación con determinados requisitos, como los de debida diligencia, los lo s convierte en exorbitantes. Sin embargo, la interpretación del término en el contexto co ntexto de cada frase, párrafo o apartado donde se ubica, termina de perfilar su sentido concreto sin margen de dudas. El estándar ISO 37301:2021 evita el concepto “socio de negocios”, que fue utilizado en la norma ISO 37001:2016 (definición 3.26) como una especificidad de tercera parte. Aunque es un vocablo de utilización frecuente en compliance, habitualmente se asocia a textos relacionados con la prevención de ilícitos penales, básicamente la corrupción y el soborno. Teniendo el estándar ISO 37301:2021 una vocación mucho más amplia y no utilizando el término “socio de negocios” en ningún lugar de su cuerpo normativo107 , se limita a referirse a terceras partes, cuyo alcance procederá p rocederá interpretar en virtud del contexto en que se utilice. De este modo, se manifiestan varios escenarios respecto respecto a su interpretación: interpretación: • Su uso en forma coloquial, como sucede en la Introducción del estándar, por ejemplo.
106 Aunque
no era un término definido en el estándar ISO 19600:2014, se hacía referencia a “terceras partes” en diferentes apartados del estándar, debiendo interpretarse en su sentido corriente. 107 El único lugar donde aparece el término “socio de negocios” en el estándar ISO 37301:2021 es en la nota que figura en la propia definición de tercera parte , recordando que todos los “socios de negocios” son terceras partes, pero que no todas las terceras partes son “socios de
negocios”. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
108
• Su empleo como término término definido sin limitar su su alcance, atribuyéndole enton enton-ces un significado amplio, refiriéndose a cualquier sujeto que no sea la propia organización o susceptible de mantener un nivel de independencia Esto sucede cuando se incluye en la definición de 3.18 Auditoría. No debe confundirse esta acepción con la definición de parte cuanto:
interesada, por
– No cualquier tercera parte, en sentido amplio, puede considerarse afectada por las cuestiones de compliance de la organización. – Las partes interesad interesadas as pueden ser externas a la organizaci organización ón o formar parte de ella (en relación con la amplitud del concepto de parte interesada y la inclusión en él de colectivos existentes dentro de la organización, véase el apartado II.3.2 Parte interesada interesada, de este libro). • Su utilización como término definido, pero limitando su aplicación a sujetos externos con los que la organización mantiene o prevé mantener algún tipo de vínculo o relación y que incluso pueden llegar a actuar actuar en su representación. representación. Es el sentido que adopta dentro de los apartados 4.1 Comprensión de la organización y de su contexto, 4.6 Evaluación de los riesgos de compliance, 7.2.3 Formación y 8.1 Planificación Plani ficación y contro controll operaci operacional onal. Esta es la acepción más frecuente en compl compliance iance, puesto que la conducta de estas terceras partes puede exponer a la organización a riesgos de compliance108. Cuando se utiliza en el anexo A (informativo) Guía para el uso de este documento, el sentido del término igualmente encaja en alguna de estas acepciones. Por tanto y en la gran mayoría de casos, no es una definición tan amplia como parece. En cualquier caso, el conjunto de las cautelas que prevé el estándar ISO 37301:2021 37301:20 21 para el personal y para determinadas terceras partes cierra el círculo de debida diligencia sobre los sujetos cuya conducta puede afectar negativamente a la organización en términos de compliance.
108 Así,
por ejemplo ejemplo,, el informe de la OCDE sobre cohecho internacional, publicado en octubre de 2015, señaló que el 75 por ciento de los casos estudiados de cohecho internacional se habían cometido realizando pagos a través de intermediarios. Esto explica los conceptos de “ busi business ness partner partn er ”, ”, en el contexto de la Foreign Corrupt Cor rupt PPracti ractices ces Ac Act t norteamericana norteamericana (US FCPA), o “ asso asso- ciated ciat ed pe person rson ”, en términos de la Bribe Bribery ry Act británica (UKBA), sobre los cuales procede aplicar cautelas para conocer el nivel de ries riesgo go que presenta la relación con ellos. La norma ISO 37001 recurrió al concepto de “socio de negocios”, muy amplio y susceptible de incluir a cualquier externo con el que se mantuviesen relaciones de negocio. Desde hace tiempo se conoce que las malas prácticas, no solo asociadas con el cohecho, sino también, con otros aspectos –como la
lesión de los Derechos Humanos–, se pueden encauzar a través de terceros. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.3 Términos y definiciones 109
II.3.31. Procedimient Procedimiento o La definición, su importancia y origen Es la “forma específica de llevar a cabo una actividad o un proceso (3.8)”. El estándar ISO 37301:2021 utiliza abundantemente esta definición en los capítulos 4 Contexto de la organización, 5 Liderazgo, 7 Apoyo y 8 Operación. En particular, particular, dentro de este último capítulo se encuadra el apartado 8.2 Establecimiento de controles y proce dimientos, donde se confirma que el término coloquial “control” encaja técnicamente en el de “ procedimiento de control”. El origen de esta definición no proviene de la HLS, sino íntegramente del estándar ISO 19600:2014 (definición 3.25). Aunque tanto la HLS como luego el estándar ISO 37001:2016 se limitan a definir proceso, la norma ISO 19600:2014 y ahora el estándar ISO 37301:2021 han querido ilustrar que los pasos para ejecutar un proceso pueden estar recogidos en uno o más procedimientos. Es una nomenclatura más concreta y cercana a la que utilizan muchas organizaciones.
Comentarios En el ámbito del compliance, el modo de llevar a cabo un proceso no es intrascendente, ya que proces procesos os mal desarrollados pueden incluso generar no cumplimient c umplimientos os de com pliance. Para Para disminuir el margen de error en la ejecución de procesos suelen dividirse en procedimientos detallados. Su existencia y correcta implantación debería disminuir la probabilidad de que una defectuosa ejecución de proce procesos sos pueda incrementar la exposición de las organizaciones a riesgos de compliance. Los proce procedimien dimientos tos a que se refiere el estándar ISO 37301:2021 deben ser contrastables, de forma que un tercero independiente que evalúe la conformidad con su contenido pueda satisfacerse de su existencia y correcta aplicación. Su apartado 8.1 Planificación y control operacional exige disponer de información documentada que acredite que los procesos se han llevado a cabo según lo planificado, lo cual afecta de lleno a llos os proce dimientos integrados en ellos. Esto excluye aplicar una acepción amplia y pu puramente ramente organizativa del término, que ampararía los procedimientos no documentados, muy problemáticos en un MSS de tipo A (certificable).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
Propósito de este capítulo La eficaci eficaciaa del sistema de gestión de compliance viene condicionada por su adecuación organizac nización ión . Por otra parte, la aplicación razonable del a las circunstancias de la orga principio de proporcionalidad (véase el apartado I.6.1.2 Princi Principio pio ddee pro proporcio porcionalinali dad, de este libro) igualmente precisa tenerlas en cuenta. La propia estructura del capítulo 4 Contexto de la organización señala la secuencia lógica para hacerlo (véase la figura 4): 4): • Comprender bien las circunstancias internas y externas que afectan a la organi zación y que determinarán las características del sistema de gestión de compliance que necesita (apartado 4.1 Comprensió Comprensiónn de la organización y de su contexto). • Conocer aquellos requisitos en materia de compliance que puedan estar dados por sus grupos de interés, incluidas las Administraciones Públicas (apartado 4.2 Comprensión de las necesidades y expectativas de las partes interesadas). • Fijar el alcance del sistema de gestió gestiónn, de modo que se conozcan sus ámbitos de proyección en cuanto a geografía, sujetos, actividades y cobertura de sus riesgos os de compliance complian ce, esto es, su perímetro técnico (apartado 4.3 principales riesg Determinación del alcance del sistema de gestión del compliance). • Establecer Establec er,, implementar, evaluar evalua r y mantener el sistema de gestión de compliance (apartado 4.4 Sistema de gestión del compliance) que, operando en clave sistémica
(interacción entre componentes), cubra todo lo anterior. anterior. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
111
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
112
Comprensión de las circunstancias internas y externas
Conocimiento de los requisitos de las partes interesadas
Pe Perímetro rímetro del del sistema sistema de gestión, en gestión, en todos los sentidos
Apartado 4.1 Comprensión de la organización y de su contexto
Apartado 4.2 Comprensión de las necesidades y expectativas de las partes interesadas
Apartado 4.3 Determinación del alcance del sistema de gestión del compliance
Evaluación de riesgos de compliance
Identificación de las obligaciones de compliance relacionadas compliance relacionadas con el perímetro
Establecimiento, implementación, evaluación, mantenimiento
Apartado 4.6 Evaluación de los riesgos de compliance
Apartado 4.5 Obligaciones de compliance
Apartado 4.4 Sistema de gestión del compliance
Figura 4. El orden de los apartados del capítulo 4 Contexto de la organización indica la secuencia lógica para definir o revisar el sistema de gestión de compliance.
compliance que afectan a la organización, que serán • Identificar las obligaciones de compliance las que guarden relación con sus principales ámbitos de riesgo, es decir, los gru109
pos de normas cuyo incumplimiento más a la organización de compliance complianceexpone apartado 4.5 Obligaciones ).
(véase el
• Desarrollar una evaluación de los riesgos de compliance compliance relativos a las obligaciones de compliance compliance comprendidas en el perímetro técnico del sistema de gestión (apartado 4.6 Evaluación de los riesgos de compliance). Existe cierta tendencia a pensar que los aspectos tratados en este capítulo afectan solamente a la etapa inicial de diseño y puesta pu esta en marcha del sistema de gestión, al ser
parte de la base de que establecer un siste sistema ma de gestió gestiónn de compli compliance ance que precise la supervisión de todas las normas que afectan a la orga organiz nizació aciónn es un objetivo inviable en un entorno 109 Se
normativo extremadamente extremadament e complejo. Por ello ello,, se habla de los “princi “principales” pales” riesgos de complia compliance nce, lo que conduce a considerar los principales bloques de obligaciones que afectan sustancialmente a una organi organizaci zación ón. Véanse los comentarios al respecto en el apartado II.4.3 Deter Determinac minación ión del del
alcance alcan ce ddelel sisistema stema de ge gestió stiónn del compl complianc iancee, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
113
materias que condicionan sus contenidos desde el inicio110. Sin embargo, el princo ntinua (véase el apartado I.6.2.4. Princi Principio pio de mejor mejoraa continua, de cipio de mejora continua este libro) obliga a revisitar todas estas cuestiones en el contexto de las diferentes modalidades de revisión que pueden producirse. En este sentido, tanto el siste ma de gesti gestión ón de compli compliance ance en su conjunto, como algunos de sus componentes sistema aisladamente considerados, pueden ser objeto de revisión tanto de forma planificada como sobrevenida: • Las revisiones planificadas son aquellas que se ejecutan, aunque no se haya producido ningún cambio en las circunstancias de la organización, como son las indicadas en los apartados 5.3.2 F Función unción de compliance, 9.2 Auditoría interna y 10.1 Mejora continua. También También podríamos considerar una revisión planificada la actualización de la evaluación de los riesgos de compliance “periódica” que iesgos de compliance, circunscrita, en tal cita el apartado 4.6 Evaluación de los rriesgos caso, a dicha materia. • Las revisiones sobrevenidas vienen motivadas por un cambio en las circunstancias internas o externas de la organización o por no conformidades o no cumplimientos cumplimientos de compliance que obligan a replantearse su impacto en el sistema de gestión para introducir en él las variaciones oportunas. Aparecen contempladas en el apartado conformidades y acciones correctivas, aunque también puede considerarse 10.2 No conformidades una revisión sobrevenida, en relación únicamente con la evaluación de riesgos de compliance, que procede impulsar “siempre que haya cambios materiales en las circunstancias o el contexto de la organización”, contemplada en el apartado 4.6 Evaluación de los riesgos de compliance.
Evolución respecto a ISO 19600:2014 Como se explicará al abordar los siguientes apartados, el estándar ISO 37301:2021 introduce variaciones relevantes respecto a su norma precedente: verdad, los aspectos que establece el capítulo 4 Contexto de la organización del estándar ISO 37301:2021 condicionan su diseño, operación y mejora mejora continua, con lo cual deben igualmente considerarse a lo largo de su vida de forma planificada. Este motivo llevó a debatir el eventual traslado de los apartados 4.5 Obligaciones de complianc compl iancee y 4.6 Evalua Evaluación ción de los riesg riesgos os de comp complia liance nce al capítulo 6 Pla Planif nifica icació ciónn, remarcando con ello su encuadre como actividades planificadas –y, por tanto, recurrentes– como también ha hecho antes algún estándar nacional (en la norma española UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con orientaci orien tación ón para su uso , que sigue la HLS, la evaluación de ries riesgos gos de compliance compl iance se indica en su 110 En
capítulo 6 Plani Planifica ficación ción , por este motivo). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
114
• Una parte de los contenidos de la norma ISO 19600:2014 se relocalizan relocalizan111 en otros apartados del estándar ISO 37301:2021, especialmente los relativos al gobierno de compliance. • Otros contenidos se reformulan y reducen reducen su extensión normativa para adecuarse a las características de un MSS de tipo A (certificable). No se pierde contenido, aunque pasa a tener la consideración de recomendación en el apartado A.4 Contexto de la organización del anexo A (informativo) Guía para el uso de este
documento.
• Se incrementa la importancia del factor cultural como elemento a tener en cuenta para comprender las necesidades reales de la organización.
II.4.1. Comprensión de la organización y de su contexto Interpretar adecuadamente las necesidades de una organización en cuanto a su sistema Interpretar de gestión de compliance implica considerar tanto sus circunstancias internas como las externas. Esta distinción ya estaba presente en la anterior norma ISO 19600:2014 y continúa ahora reflejada en el estándar ISO 37301:2021, si bien añadiendo una relación no limitativa de cuestiones a considerar, muy amplias 112 y parecidas a las que plasmó el estándar 37001:2016 (apartado 4.1), sin excesivo desarrollo en el actual anexo A.4.1 Comprensión de la organización y de su contexto. Son circunstancias internas las propias de la organización que no dependen de factores facto res externos, tales como sus estructuras organizativas y de gobierno, políticas , procesos , seis apartados que componen el capítulo 4 Contexto de la organización del estándar ISO 37301:2021 ya estaban presentes en su antecedente, la Norma ISO 19600:2014. No obstante: (i) El apartado 4.4 se titulaba Sistema de gestión de compliance y principios de buen gobierno , habiéndose ahora trasladado la parte relativa a principios al apartado 5.1.3 Gobernanza del compliance. (ii) Se reformula y simplifica el antiguo apartado 4.5 Obligacion Obligaciones es de compliance compliance , en el actual apartado 4.5 Obligaciones de compliance compliance. (iii) También se reformula y simplifica el antiguo apartado 4.6 Identificación, análisis y valoración de los riesgos de compliance, en el actual apartado 4.6 Evaluación de los riesgos de compliance. 111 Los
112 Los
factores a considerar deben interpretarse en su acepción más amplia y con carácter no limitativo. Así, por ejemplo, dentro de la “situación económica” se podría incluir la posición de dominio de la organi organizaci zación ón dentro del mercado, con las consiguientes consecuencias en materia
de defensa de la competencia. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
115
procedimientos y recursos, por ejemplo. Las circunstancias externas vienen condicionadas por el entorno en que se desenvuelve la organización, como el contexto legal o regulatorio.. Del listado de ejemplos que nos facilita el estándar, regulatorio estándar, dos de ellos merecen especial atención: • La naturaleza y el alcance de las relaciones relaciones de negocio con terceras partes, subrayando la importancia que tiene para un modelo de compliance el correcto conocimiento y gestión de las mismas, en lo que se denomina “ third party management ”113. • La actual cultura de compliance de la organización , apuntando implícitamente organizacio zaciones nes con déficits en la necesidad de mayores esfuerzos en aquellas organi esta esfera. Es, sin duda, un aspecto clave para darle una orientación apropiada al sistema de gestió gestiónn de d e complianc compliancee, que dependerá del punto de partida en el que se halle la organización 114. Este matiz no aparecía reflejado en el antiguo apartado 4.1 Comprensión de la organización y de su contexto del estándar previo ISO 19600:2014, ni tampoco en el apartado del estándar ISO 37001:2016. Es un mensaje evidente sobre la importancia de los aspectos culturales en el estándar ISO 37301:2021 y en el compliance en general (véase el apartado I.5.1 apartado I.5.1 El estándar ISO 37301:2021 y la cultura cultura de compliance, de este libro). Este apartado no indica expresamente que el análisis de las circunstancias de la organización organizaci ón conste como informació informaciónn documentada diferenciada (véanse el apartado 7.5 Inf Inform ormaci ación ón doc docume umenta ntada da, de la norma, y los apartados II.3.10 Inf Inform ormaci ación ón documen doc umentad tadaa y II.7.5 Inf Inform ormaci ación ón doc documen umentad tadaa, ambos de este libro), aunque al tratarse de un requis requisito ito del estándar cabrá inferirlo claramente de la documentación que represente el diseño o la implementación del sis sistem temaa de
ges gestió tiónn.
Department of Justice. "Criminal Division". Evaluation of Corporate Compliance Programs, Guidance Document, junio 2020. El denominado “Third Party Management ” y las prácticas de “third party due diligence” en que deriva son aspectos tratados en el apartado E de la Sección I del docu113 US
mento Is the Corporation’s Compliance Program Well Well Designed?, en la p. 7 del documento. 114 De este modo, por ejemplo, las organizaciones organizaciones que hayan tenido incidentes graves o reiterados con las autoridades (incluida la Justicia) precisarán normalmente un mayor esfuerzo de
mejora cultural. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
116
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Los factores culturales.
El sistema El sistema de gest gestión ión de de compliance compliance es es meramente instrumental para la consecución de una cultura ética y de respeto a las normas. Sin embargo, existen exi sten factores que dificultan el de establecimiento y la propagación de una cultura adecuada. V Veamos eamos algunos ellos: • Organizaciones Organizaciones intensivas intensivas en personas. Cuantas más personas confluyan en una organización organización,, más difícil será garantizar que comparten sus valores y los aplican de manera uniforme y consistente. • Organizaciones Organizaciones pluralizadas. pluralizadas. Las organizaciones organizaciones que que operan en diferentes jurisdicciones afrontan grandes diferencias culturales que dificultan el establecimiento y el correcto entendimiento de unos valores comunes. • Organizaciones Organizaciones de de crecimiento rápido. Las organizaciones organizaciones que que crecen rápidamente pueden experimentar problemas para asentar sus valores, especialmente cuando ese crecimiento procede de operaciones de fusión u absorción (crecimiento inorgánico). En estos casos, la integración de personas procedentes de entornos –organizaciones –organizaciones–– culturalmen culturalmente te diversos dificulta asentar una cultura común en el corto plazo. • Organizaciones Organizaciones sometidas sometidas a dinámicas de negocio extremadamente rápidas. Las organizaciones organizaciones que que operan en sectores que precisan de la l a adopción constante de decisiones rápidas, dificultan los procesos procesos internos internos de reflexión que acompañan la consolidación de valores. Cabe considerar estos y otros factores a la hora de valorar las necesidades de cada organización organización en en cuanto a su sistema su sistema de gestión gestión de de compliance compliance,, viendo si las actividades planificadas ponen el foco en mitigarlos.
II.4.2. Comprensión de las necesidades y expectativas de las partes interesadas Son partes interesadas intere sadas aquellas personas u organiz organizaciones aciones que pueden verse afectadas por decisiones o actividades del sis sistema tema de ges gestión tión (véase el apartado II.3.2 Parte Parte intere int eresad sadaa, de este libro). Considerando que esta definición recurre a términos amplios, uno genérico (personas) y otro cuya descripción admite múltiples formas ( orga apartado II.3.1. Organización , deeseste libro), aeslaun colec organizac nización ión , véase elextenso. tivo definitivamente Conocer sus necesidades relevante hora de establecer un siste sistema ma de gesti gestión ón de compli compliance ance que las satisfaga razonablemente. En
caso contrario, podría propiciar situaciones de no
confor conformidad midad (véanse los aparta-
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
117
co nformidad ad, ambos de este libro) e incluso dos II.3.15 Conformidad y II.3.16 No conformid de no cumplimient cump limientoo de complia compliance nce (véanse los apartados II.3.27 No cumplimient cump limientoo de de compliance complia nce y las diferencias entre confo conformidad rmidad / no confor c onformidad midad y complia compliance/no nce/no cum-
plimien to ddee ccomplian plimiento ompliance ce Las no cconformi onformidades dades se comentan en el apartado I.5.3 libro) con eventuales y los no cumpli cumplimiento mientoss de que compli compliance ance, de este requisitos requi sitos (véase el apartado II.3.14 Requi Requisito sito, de este libro) u Obligaciones de compliance compli ance (véase el comp liance ce, de este libro, así como el desarrollo apartado II.3.25 Obligaciones de complian que realiza el estándar ISO 37301:2021 en su apartado 4.5, según se comenta en el apartado II.4.5 Obligaciones de compliance, de este libro) fijadas precisamente precisamente por algunas de ellas, en especial las que son externas a la organización115. Por su amplitud e importancia, la redacción del estándar ISO 37301:2021 ha querido aclarar este universo de necesidades y expectativas a través de dos pasos consecutivos: • En primer lugar, lugar, la identificación de las partes interesadas. • En segundo lugar, lugar, la determinación de los requisitos “relevantes” que puedan establecer.. Este último matiz no estaba contemplado establecer con templado en la norma anterior ISO 19600:2014, aunque sí figura en la HLS y es tan conveniente en un MSS de tipo A (certificable). El análisis de las partes interesada interesadass es un elemento a considerar no solo para determinar d eterminar el alcance del sistema de gestión, según se indica en el apartado 4.3, sino también, en el contexto de la planificación de las labores l abores indicadas en el apartado 6.1 para asegurar, asegurar, por ejemplo, que las actividades planificadas a través del sistema de gestión d dee compl compliance iance dan cobertura a los requisitos establecidos por las partes interesadas (véase el apartado II.6.1 Acciones para abordar los riesgos y oportunidades, de este libro). Como sucedía con el apartado anterior, anterior, no se exige que este análisis conste como in formación documen documentada tada (véanse el apartado 7.5 Informaci Información ón documen documentada tada, de la norma, y los apartados II.3.10 Información documentada y II.7.5 Información documentada, ambos de este libro) diferenciada, aunque al tratarse de un requisito del estándar cabrá inferirlos con claridad de la documentación que represente el diseño o la implementación del sistema de gestión.
recordar que la definición de parte interesada da cabida a sujetos tanto externos a la organ organizac ización ión como internos. Es una distinción que remarcó el estándar ISO 37001:2016 a través de su nota única a la definición 3.3. Como se ha apuntado en el apartado II.3.2 Parte Parte interesad inter esadaa, de este libro, dedicado a comentar esta definición, el estándar ISO 37301:2021 no explicita tal matiz, aunque en la relación orientativa de par partes tes inte interesa resadas das del apartado A.4.2. Comprensión de las necesidades y expectactivas de las partes interesadas del anexo A (informativo) 115 Conviene
Guía para el uso de este documento, figuran tanto externas como internas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
118
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Diferencia entre “regula “regulador” dor” y “supervisor”.
Aunque utilizados ocasionalmen ocasionalmente te ddee m manera anera indistinta, los ttérminos érminos “re “regulador” gulador” y “supervisor” no son sinónimos. Los órganos reguladores tienen la capacidad de establecer normas, mientras que losexisten supervisores siguendesulas aplicación, pero no las crean. En algunas jurisdicciones organismos Administraciones Públicas o incluso, entidades de derecho privado (normalmente semipúblicas) que tienen atribuidos uno o ambos cometidos. Algunos requisitos requisitos “relevantes” “relevantes” se localizarán en las normas que emiten los órganos reguladores, mientras que otros constarán en las resoluciones obligatorias o prácticas uniformes esperadas. EJEMPLOS. Algunas partes interesadas.
El apartado A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas del interesadas del anexo A (informativo) Guía para el uso de este documento documento incluye algunos ejemplos de utilidad. Sin embargo, a efectos didácticos, es útil comprender que las partes interesadas, interesadas, como “persona u organización organización que que puede afectar verse afectada, o percibirse como afectada por una decisión o actividad”, pueden localizarse tanto fuera como dentro de la organización organización.. Esta distinción, que consta en la única nota de aclaración a la definición 3.3 Parte interesada interesada del estándar ISO 37001:2016, no se introdujo en el estándar ISO 37301:2021, pero viene implícitamente reconocida en los ejemplos que facilita el apartado A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas interesadas del anexo A (informativo) Guía para el uso de este documento. documento. Veamos algunos alguno s ej ejemplos emplos habituales de partes interesadas externas, interesadas externas, tanto de carácter público como privado: • Los organismos reguladores o supervisores. Una organización organización puede puede estar sometida a diversos reguladores y supervisores: es el caso, por ejemplo, de una empresa farmacéutica cotizada, que estará sometida a las indicaciones del regulador de mercado bursátil, pero también de las relacionadas con el sector salud o de los medicamentos. Emiten normas y directrices cuyo incumplimiento no solo puede derivar en sanciones, sino también, suponer la imposibilidad de operar en el mercado o desarrollar la actividad correspondiente. • Las autoridades judiciales. Sus requisitos requisitos “relevantes” “relevantes” no solo pueden venir determinados por sus sentencias, sino también, mediante de circulares, etc. • Las autoridades tributarias. La tributación constituye una faceta que afecta a la práctica totalidad de las operaciones una organización organización. Hay pocas inmediata transacciones que no Las tengan impacto tributario,dedirecto o indirecto, i ndirecto,.de manera o diferida. autoridades en este ámbito pueden igualmente fijar requisitos requisitos de de control relacionados con
el modo de calcular y gestionar la carga impositiva. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
119
• Las autoridades sociolaborales. Mantenerse al día sobre requisitos requisitos de de control que determinan las autoridades sociolaborales permite estar alineado con sus expectativas y evitar riesgos riesgos de de compliance,, especialmente en materia de cálculos de contribuciones sociocompliance laborales o de la prevención de riesgos riesgos laborales. laborales. • Otras autoridades administrativas. Aparte de las anteriores, existen otras muchas autoridades administrativas, bajo denominaciones muy variadas (“agencias”, “oficinas”, etc.) cuyo parecer y fijación de requisitos requisitos condicionan condicionan el diseño y la operación de un sistema un sistema de gestión de gestión de compliance compliance,, como pueden ser las relacionadas con la prevención de la corrupción, el medio ambiente, la seguridad física (supervisión de infraestructuras críticas, por ejemplo) y lógica lógi ca (incluyendo la protección la privacidad y de datos personal personales, es, por ejemplo), la prevención del blanqueo de capitales y la financiación del terrorismo, los medicamentos, los alimentos etc. • Los consumidores y usuarios. Tsumidores anto de forma individual como agrupados agrupad por la vvía ía especialmente asociativa, los en conconstituyen un colectivo clave aosconsiderar, la era digital donde su percepción de la organización organización se se divulga rápidamente. Asociar a la organización organización con con malas praxis puede provocar un efecto adverso advers o en el consumo de sus bienes o servicios. Es importante prestar atención a los requisitos requisitos que que puedan venir exigidos por la regulación o impulsados por plataformas asociativas de consumidores. • Otras plataformas asociativas. Las plataformas asociativas sectorial sectoriales, es, incluyendo eventualmente las que aglutinan proveedores o subcontratistas, aun sin capacidad de promulgar normas vinculantes, sí pueden emitir recomendaciones o códigos de buenas prácticas a los que adherirse. Cuando la organización organización forma forma parte de estas plataformas, atender puntualmente sus requisitos requisitos se se convierte en una actividad necesaria. • Organizaciones Organizaciones sin sin ánimo de lucro. Eventualmente, desde el llamado “Tercer Sector” se pueden llegar a plantear requisitos requisitos que que gocen del apoyo de las Administraciones Públicas o de los mercados. Algunos ejemp Algunos ejemplos los adicio adicionales nales,, en esta ocasi ocasión ón de partes interesadas internas, interesadas internas, son: • Los accionistas/inversores y sus representantes. Es una legítima aspiración de todo accionista o inversor la sostenibilidad de su inversión, esto es, mantenerla el mayor tiempo posible, respetando para ello las expectativas de los stakeholders.. Bajo esta perspectiva, existen aspectos que condicionan su voluntad holders de mantener sus vínculos con la organización organización,, normalmente relacionados con una gestión responsable. Por ello, no es infrecuente que este colectivo o sus representantes (“proxy (“proxy advisors advisors”, ”, poratención. ejemplo)Sobre determinen requisitos a requisitos a los que las organizaciones deben organizaciones deben prestar estas cuestiones, véanse también los comentarios incluidos en el apartado I.6.1.6 Principio de sosteni-
bilidad,, de este libro. bilidad Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
120
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
• Los trabajadores y sus representantes. Es habitual hallar recomendaciones de involucrar a los trabajadores o a sus representantes en la concreción de los valores de la organización organización y y determinadas políticas políticas clave, clave, incluido, por ejemplo, el Código Ético o de Conducta. Puesto que estas normas de alto nivel son importantes paraengenerar o consolidar la cultura de compliance de compliance, , parece razonable involucrar esta tarea a los afectados (trabajadores). (trabajadore s). Al margen de esto, los trabajadores, por medio de sus representantes, pueden también emitir requisitos que requisitos que impacten en el diseño o mantenimiento del sistema del sistema de gestión gestión de compliance compliance,, eventualmente localizados en la documentación soporte de la negociación colectiva. • Funciones sinérgicas. sinérgicas. Dentro de la organización organización existen existen equipos de personas, organizados en funciones, departamentos o áreas, cuya labor afecta o puede verse afectada por la propia del sistema del sistema de ggestión estión de de compliance compliance.. Aunque su nomenclatura y contenidos varían según cada organización organización,, las que típicamente implican mayor interacción son: – Asesoría Jurídica interna, principalmente en cuanto su ayuda en el seguimiento de nuevas normas y análisis de las l as consecuencias derivadas de posibles no cumplimientos de compliance. compliance. – Gestión del riesgo riesgo,, normalmente estableciendo la metodología para su medición, de forma que puedan integrarse fácilmente en el mapa general de riesgos riesgos de de la organización organización y y hacer seguimiento de ellos a través de la misma plataforma informática. – Control interno, cuando cu ando se ocupa del diseño y el establecimiento de mecanismos de control en el seno de la organización organización,, algunos de los cuales pueden proyectarse en la prevención, detección y gestión temprana de riesgos riesgos de de compliance.. De paso, se evitan tanto las lagunas como las redundancias compliance innecesarias en el control. – Auditoría Auditoría interna, interna, que revisa el entorno de control para dar aseguramiento en cuanto a su correcto funcionamiento y, por tanto, fiabilidad de la información que produce. Aunque existe la tendencia errónea a pensar que proyecta sus actividades sobre los flujos y reportes de información financiera, cada vez es más evidente su rol para garantizar igualmente la calidad de la información no financiera, incluida la de compliance compliance.. Sobre la interacción entre la función de compliance y compliance y la de auditoría auditoría interna, interna, véanse las explicaciones y los ejemplos recogidos en el apartado II.9.2 Auditoría Audi toría iinterna nterna,, de este libro. – Área de organización organización que, que, al ocuparse de diseñar y documentar los proce sos y sos y procedimientos procedimientos clave clave de la organización organización,, puede desempeñar un rol importante los referentes a compliance compliance. En ocasiones,eltambién la producciónen normativa interna (políticas),), .manteniendo (políticas árbol deordena políticas políticas de la organización organización.. Sus cometidos son claramente sinérgicos en cuanto a
las políticas políticas y y a los procedimientos procedimientos que que afectan a compliance compliance.. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
121
– Área de personas (antiguamente, Recursos Humanos), con gran potencial de involucración en aspectos de compliance compliance tales tales como la evaluación de mecanismos retributivos (para evitar que promuevan la asunción imprudente de riesgos riesgos),), el análisis de las l as consecuencias juridicolaborales de las políticas políticas y decisionesaldewhistleblower compliance,,. el compliance establecimiento de entre sanciones laborales o la protección Sobre la interacción la función de compliance y pliance y la de Personas, véanse también las explicaciones y los ejemplos recogidos en el apartado II.7.2.2 Proceso de empleo, empleo, de este libro. – Área de comunicación, con importancia en la difusión de noticias relativas a compliance compliance,, tanto dentro como fuera de la organización organización.. Sobre la interacción entre la función de compliance y compliance y la de comunicación, véanse las explicaciones y los ejemplos recogidos en el apartado II.7.4 Comunicación,, de este libro. cación – Área de tecnologías de la información y comunicación, con un rol creciente, no solo en el establecimiento de herramientas adecuadas para desarrollar actividades planificadas (declaraciones internas de conformidad con políticas políticas,, ciclos de formación online online,, establecimiento de canal interno de denuncias, etc.), sino también, para preservar la seguridad, la integridad y la confidencialidad de las informaciones de compliance compliance.. La interacción con estas y otras funciones internas no implica que se sustituyan los cometidos de compliance compliance,, pero sí que su labor es útil y sinérgica, siendo adecuado establecer sus respectivos ámbitos colaboración. A CONSIDERAR. CONSIDERAR. La falta de comunicación con funci funciones ones sinérgicas.
Es difícil que la función de compliance pueda compliance pueda desarrollar correctamente su cometido sin una interacción continuada y fluida con otras funciones sinérgicas que operan en la organización organización ( (partes partes interesadas internas) interesadas internas) incluso antes que ella. ell a. PPor or ello, desde el diseño del sistema del sistema de gestión de gestión de compliance compliance se se tendrán en cuenta esas relaciones, propiciando su encaje y funcionamiento armónico. No pocos fracasos de la función de compliance proceden compliance proceden de una deficiente planificación de su integración con otras funciones sinérgicas.
II.4.3. Determinación del alcance del sistema de gestión del compliance La orga organizac nización ión debe fijar el perímetro del sist sistema ema de gest gestión ión, circunscribiendo su ámbito de aplicación desde diferentes perspectivas que cubren, por ejemplo, lindes
geográficos (países, regiones, etc.), organizativos (entidades o unidades de negocio) Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
122
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
y personas, pero también, los bloques técnicos supervisados (los relacionados con los l os principales riesgos de compliance compliance). Cabe reflexionar sobre la concreción del perímetro técnico, que establece ahora el estándar y que no constaba en la norma previa ISO 116
19600:2014 . Recordemos que el estándar ISO 37301:2021 pretende dar cobertura a las necesidades de complia compliance nce desde una perspectiva amplia, a diferencia, por ejemplo, del estándar ISO 37001:2016, que se proyectaba sobre el ámbito del soborno. Esta holgura precisa identificar sobre qué rie riesgo sgoss –y, por tanto, sobre qué obli obligac gacione ioness de compliance compli ance– proyectará sus actividades. Una interpretación maximalista exigiría comprender todos los posibles riesg riesgos os de compliance compli ance, lo que provocaría modelos de compliance muy amplios y gravosos, grav osos, difíciles difícil es de implantar, implantar, gestionar y luego certificar. certificar. riesgos os de compliance complia nce de Un enfoque más razonable es que cubran los “principales” riesg la organi organizació zaciónn, que es la solución que adopta el estándar ISO 37301:2021 a través de su única nota interpretativa en este apartado 4.3 Deter Determinaci minación ón del alcanc alcancee del sistema de gestión del compliance complianc e. De acuerdo con ello, la razonabilidad razonabilida d del perímetro técnico del siste d e compli sistema ma de gesti gestión ón de compliance ance dependerá de que abarque los “principales” riesg riesgos os ddee compliance complia nce, lo que es una manifestación de un enfoque basado en riesgoo (véase el apartado I.6.2.2 Enfoque basad basadoo en el rriesgo iesgo, de este libro. Como el riesg riesgos “principales” cabrá entender aquellos que más exponen a la orga organizaci nización ón, aspecto que debería poder acreditarse para validar la razonabilidad del alcance del sistema siste ma de ggestió estiónn de compli compliance ance). El sistema de gestión será razonable y, y, por tanto, certificable117 , siempre que comprenda los “principales” riesgos de compliance compliance que afectan a la organización , que no son necesariamente todos los que la circundan. Aunque la organización puede recurrir a la metodología que estime conveniente para concretarlos, deberá estar en disposición de soportar la razonabilidad del alcance desde esta perspectiva, aspecto que estará soportado como informa información ción documen documentada tada, al igual que el resto de factores que perfilan el perímetro de aplicación según predica el apartado 4.3 Determinación del alcance del
sistema de gestión del compliance.
redacción del apartado 4.3 Determ Determinaci inación ón del alcan alcance ce del sis sistema tema de gest gestión ión del comp complianc liancee es prácticamente la misma tanto en el estándar ISO 37301:2021 como en la norma ISO 19600, salvo por una variación significativa en su única nota explicativa. Anteriormente, se apuntaban tanto aspectos geográficos como organizativos a modo de elementos a considerar para fijar el perímetro de aplicación del sistema de gestión. Ahora se introducen también los “principales” riesgos de compli c ompliance ance sobre los que se deben proyectar sus actividades, lo que conduce a identificar las diferentes fuentes o grupos de obligaciones de compl compliance iance de donde derivan. Serán los bloques 116 La
normativos a incluir en el perímetro técnico de supervisión. evitar confusiones o expectativas infundadas, posiblemente las entidades de certifica-
117 Para
ción limitarán su opinión al alcance del sis sistem temaa de gestió ges tiónn revisado (incluyendo su perímetro técnico), circunstancia que harán constar en su declaración de conformidad. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
123
A CONSIDERAR. CONSIDERAR. El concepto no jurídico de “pr “principales” incipales” riesgos de compliance.
El carácter internacional de los estándares ISO evita emplear conceptos legales que, inevitablemente, estarían vinculados con ordenamientos concretos o a tipologías de sistemas jurídicos. En la comunidad internacional existen tres grandes tipos de sistemas jurídicos: el continental, el anglosajón y el de Derecho islámico (Fiqh (Fiqh).). La diferencia entre ellos radica en la jerarquía que otorgan a las fuentes del Derecho. Los primeros están basados en la preeminencia de las normas que emanan de los lo s poderes legislativo y ejecutivo, con una gran capacidad de sistematizar su acervo en códigos. En los segundos, la creación del Derecho está en manos de los tribunales a través de sus sentencias, basadas en escasas normas y de contenido genérico. En los terceros, el Derecho es una conversión de las normas del Corán Corán y y de la Sunna la Sunna y, por tanto, tienen una componente esencialmente religiosa. Esta diversidad de aproximaciones precisa una redacción flexible para definir el perímetro técnico de aplicación del sistema del sistema de gestión, gestión, lo que se consigue recurriendo al concepto de “principales” riesgos de compliance para compliance para la organización organización,, que cabrá adaptar a las particularidades de cada ordenamiento y sistema jurídico. Así, en los sistemas continentales los “principales riesgos riesgos”” estarán en gran parte asociados a los diferentes bloques de normas que ordena la codificación o que fija ordenadamente la legislación. Sin embargo, esta aproximación dejará de tener sentido en sistemas anglosajones, por la subsidiariedad jerárquica de la Ley y la ausencia de un acervo normativo tan estructurado como el continental. Tampoco tendrá fácil encaje cuando el contenido normativo derive de los principales textos religiosos. Un motivo adicional para que el estándar 37301:2021 no concrete los “principales” riesgos de compliance compliance es es que ISO pueden tener su origen en normas asumidas voluntariamente, cuya configuración y extensión varía en cada caso.
A CONSIDERAR. Los “principales” riesgos de compliance y el apetito de riesgo.
Que el sist el sistema ema de gest gestión ión d dee compliance compliance se se proyecte sobre los “principales riesgos”” no significa que la organización riesgos organización ignore ignore el resto. No es, por tanto, una declaración implícita de tolerancia ante los no cumplimientos de compliance compliance relacionados con riesgos riesgos fuera fuera del perímetro técnico del siste sistema ma de gesti gestión ón.. Para más información acerca del concepto de “apetito de riesgo riesgo”, ”, véanse las explicaciones y los ejemplos que se recogen en el apartado II.4.6 Evaluación de
los riesgos de compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
124
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
La razonabilidad del perímetro del sistema de gestión de compliance: • Guardará consistencia con las circunstancias internas y externas de la organi zación que se detallan en el apartado 4.1 Comprensión de la organización y de su contexto.
requisitoss que provengan de los • Tendrá relación con el nivel de cobertura los requisito grupos de interés, según se hayan determinado a raíz del apartado 4.2 Com prensión de las necesidades y expectativas de las partes interesadas. • Siendo coherente con el siste sistema ma de gesti gestión ón d dee compli compliance ance, guardará una clara obligaciones nes de compliance compliance que señala el apartado 4.5 correspondencia con las obligacio Obligaciones de complian compliance ce, en cuanto a que están relacionadas con los “principales” riesgos de compliance compliance que exponen a la organización118 que indica este apartado.
EJEMPLO. Perímetro técnico del sistema de gestión.
El perímetro técnico del sistema del sistema de gestión gestión viene viene determinado por los grupos de obligaciones obligaciones de de compliance compliance cuyo cuyo potencial incumplimiento expone a la organización.. En un MSS de tipo A (certificable), este universo debe estar definido ganización y ser razonable. Las organizaciones organizaciones normalmente normalmente los identifican y relacionan en el sistema el sistema de gestión,, siendo la política de compliance gestión de compliance una una buena ubicación a tales efectos. Aunque tiene una orie orientació ntaciónn marcad marcadamente amente conti continental nental,, a conti continuació nuación, n, se relacionan algunos bloques frecuentes de obligaciones de compliance compliance extraídos extraídos de las Líneas Directrices de la OCDE para empresas multinacionales: • Defensa de los Derechos Humanos. • Empleo y relaciones industriales. • Protección del medio ambiente. • Lucha contra el soborno y la extorsión. • Defensa de los intereses de los consumidores. • Protección de la ciencia y la tecnología.
que el apartado 4.3 Deter Determinac minación ión del alc alcance ance del ssiste istema ma de gest gestión ión del com complia pliance nce hace referencia explícita al apartado 4.5 Obligaciones de complianc comp liancee, pero no al 4.6 Evalua Evaluación ción de los riesgos ries gos de comp complian liance ce . El motivo radica en que la indicada en el apartado 4.4 busca obtener el perímetro técnico del sistema de gestión de complian compliance ce, lo que guarda una relación directa con las obligaciones de complia compliance nce que afectan a la organiza organización ción (apartado 4.5), más que con la casuística 118 Nótese
concreta de rie riesgos sgos y su proceso de evaluación para cada uno de los bloques de obligaciones identificados como relevantes. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
125
• Defensa de la competencia. • Tributación. No se trata de una relación exhaustiva, pero sí proporciona una idea aproximada de bloques compliance, compliance , a loshan queganado se pueden sumar otrosen que, la publicación de de dicho documento, protagonismo la desde esfera internacional: • Prevención del blanqueo de capitales. • Protección de la privacidad y de los datos personal personales. es. Cabrían otros grupos de obligaciones, incluyendo aquellos que regulan el mercado o la tipología de actividades de cada organización organización,, así como los asumidos voluntariamente. El estándar ISO 37301:2021 no considera preciso que el sistema el sistema de gestión de gestión de de compliance compliance de de una organización organización se se proyecte sobre todos ellos, pero sí sobre los que puedan conllevar los “principales” riesgos riesgos de compliance compliance.. Así, por ejemplo, un bloque de obligaciones de compliance compliance “principal” para un banco es el relativo a la prevención del blanqueo de capitales, que difícilmente se entenderá que esté ausente del perímetro técnico de su sistema su sistema de ggestión estión.. Tanto es así, que sus actividades de control sobre terceras partes ( partes (procesos procesos de de terceros terceros,, en terminología ISO 37301:2021) se proyectan principalmente a clientes y se agrupan bajo denominación específica de “Customer “Customer Due Diligence” Diligence” (CDD)119. política tica de compliance y la identificación del MÁS INFORMACIÓN. La polí perímetro técnico. Acerca de la posibilidad de plasmar el perímetro técnico del sistema del sistema de gestión gestión de compliance compliance en en la política de de compliance compliance,, véanse los comentarios y los ejemplos que se exponen en el apartado II.5.2 Política de compliance, compliance, de este libro. Como he señalado antes, el alcance del sistema de gestió gestiónn d dee complian compliance ce debe estar disponible como informaci información ón do documentada cumentada (véanse el apartado 7.5 Informaci Información ón ddoo cumentada, de la norma, y los apartados II.3.10 Información documentada y II.7.5 II.7.5 Información documentada, ambos de este libro).
119 Por
ejemplo, es el concepto que utilizan el Board of Governors of the Federal Reserve System ( Federal Rese Reserve rve), la Federal Deposit Insurance Corporation (FDIC), la Financial Crimes Enforcement Network (FinCEN), la National Credit Union Administration (NCUA) y la Office of the Comptroller of the Currency (OCC). Véase su Joint State Statement ment on BBank ank Secre Secrecy cy Act Due
Diligence Diligen ce Requi Requirements rements for Cus Customers tomers W Who ho May Be Consid Considered ered Politic Politically ally Expo Exposed sed Persons , de 21 de agosto de 2020. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
126
II.4.4. Sistema de gestión de compliance Los apartados anteriores permiten configurar ahora el sistem sistemaa de gestió gestiónn para desarrollar a través de ysus actividades de identificación sistemática de obl obligac igacion iones es de. compl compliance iance dedisposiciones evaluación delaslos riesgoss de complianc riesgo comp liancee asociados con su incumplimiento. incumplimiento El estándar ISO 37301:2021 define defi ne el término “ sistema de gestión”, pero no el “ sistema de gestión del compliance” que es, simplemente, el resultado de aplicar sus requisitos. No obstante, brinda una aproximación aproximaci ón en este apartado 4.4 Sistema de gestión del compliance. Dada la importancia de los aspectos culturales y de conducta, se barajó llamarlo “ sistema de gestió gestiónn de d e conducta”, también bajo el acrónimo CMS, pero se desestimó, no tanto por falta de sentido técnico, sino por ser “ sistema de gestión de compliance” una nomenclatura ampliamente consolidada. Es una responsabilidad de la organiz organización ación desarrollar una serie de actividades en cuanto a su modelo de compliance: 1. Establecerlo, Establecerlo, para aquellas que no dispongan de él. 2. Implementarlo correctamente, cuando existe, pero no se ejecutan razonablemente las actividades que determina. 3. Evaluarlo de manera periódica, para verificar que sigue siendo adecuado a las organizac ización ión (internas y externas) y que se aplica con efica eficacia cia. circunstancias de la organ 4. Mantenerlo, para evitar que se degrade, desarrollando desarrollando las actividades que se precisen, normalmente vinculadas con las revisiones, tanto planificadas planifi cadas como sobrevenidas. 5. Mejorarlo continuamente, para que incremente su eficacia, disminuya el nivel de exposición de la organización a los riesgos de compliance compliance y aumente el umbral de exigencia en cuanto al tono ético y de respeto a las no normas rmas en el seno de la organización . Salvo alguna variación menor 120 , estas actividades de la org organi anizaci zación ón ya estaban presentes en el antiguo apartado 4.4 Sistema de gestión del compliance y principios de buen gobierno del estándar anterior ISO 19600:2014 que incluía, además, contenidos trasladados ahora a un apartado propio, el 5.1.3 Gobernanza del compliance, dotado de un título más adecuado a su naturaleza y finalidad 121.
apartado 4.4 Sistema de gestión del compl compliance iance y pprinci rincipios pios de 19600 no hacía referencia a las actividades de implementación. 120 El
121 El
buen gobie gobierno rno de norma ISO
título que empleaba la norma ISO 19600 al referirse a “principios de buen gobierno” podría confundirse con prácticas generales de buen gobierno corporativo, cuando en verdad
eran buenas prácticas para gobernar el propio sistema de gestión. Por eso, es más apropiado el título del apartado donde ahora se ubican: 5.1.3 Gobernanza del compliance . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
127
Este apartado no solo relaciona estas actividades; señala también la necesidad de cuidar los procesos y sus respectivas interacciones según determina el estándar, estándar, siendo una llamada de atención a su interpretación y aplicación sistémica (véase el capítulo II.2 Referencias este libro), como exige la HLS y que ya apuntaba la normativasen, de norma ISO 19600:2014 el mismo apartado.
sistemaa Tambi También, én, como en su norma norma anteceso antecesora, ra, el estándar estándar ISO 37301:2021 37301:2021 vincula vincula el sistem de gestión de compliance con los valores de la organización, sus objetivos, la estrategia y los riesgos de compliance compliance, pero teniendo en cuenta el contexto de la organización. Esta última novedad refuerza la singularidad de los sistemas de gestión de compliance en el sentido de que su adecuación: • No obedece a la mera concurrencia concurrencia de componentes, en clave programá programática. tica. • No es solo el resultado de su interpretación interpretación y aplicación en clave sistémica, en sentido abstracto, sino con el sentido específico que exigen las diferentes apartados de la norma. • Depende realmente realmente de la adecuación adecuación de los componentes y de sus interacciones a las circunstancias, tanto internas como externas de la organización. La razonabilidad de los valores, objetivos, estrategia y riesgos de compliance compliance de la orga nización debe evaluarse a la luz de sus circunstancias, tanto internas como externas, según se tratan en el apartado 4.1 Comprensión de la organización y de su contexto.
II.4.5. Obligaciones de compliance Conocer las obligaciones las casuísticas que afectan a la que es un hito de compliance organización para, seguidamente, concretar de riesgo pueden ocasionar suesencial incumplimiento. El orden de este apartado y en el siguiente (4.5 Obligaciones de compliance compliance y 4.6 Evaluación de los riesgos de compliance) obedece a esta lógica obvia. En relación con la tarea de identificación y posterior actualización de las obligaciones de compliance compliance, cabe considerar lo siguiente: • Las “ obligaciones de compliance compliance” son un término definido (véanse los apartados II.3.25 Obligaciones de compliance compliance y I.5.2 Las dos fuentes de obligaci obligaciones ones de com com pliance, ambos de este libro), que incluyen las que tienen carácter imperativo
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
128
(llamadas “ requirements” en ISO 19600:2014122) y las que se asumen voluntariamente (denominadas “ committments” en ISO 19600:2014, definición 3.15). obligaciones ones de compliance complianc e tendrá en cuenta Por tanto, la identificación de las obligaci 123
ambas categorías (definición 3.25) . Determi erminaci nación ón del alc alcance ance • Como se ha explicado explicado al comentar comentar el apartado apartado 4.3 Det del sistema sist ema de gesti gestión ón del compli compliance ance, aquel tiene su proyección sobre los “prin riesgos sgos ddee complian comp liance ce que exponen a la orga organiza nizació ciónn, pero no sobre su cipales” rie Determ erminac inación ión del alca alcance nce del sis sistem temaa totalidad (véanse los apartados II.4.3 Det de ges gestió tiónn ddel el com complia pliance nce y I.5.2 La Lass dos fue fuente ntess ddee obli obligac gacion iones es de complia com pliance nce , ambos de este libro). Por consiguiente, la tarea de identificación y, sobre obligacio aciones nes de complianc comp liancee se proyectará todo, la posterior actualización de las oblig sobre los grupos de obligaciones que conforman el perímetro técnico del sistema sis tema de ge gesti stión ón, perfilado por su capacidad de provocar un nivel relevante riesgo sgo . de exposición al rie
MÁS INFORMACIÓN. Obligaciones de compliance y perímetro técnico técnico del sistema de gestión.
Sobre los grupos de obligaciones que conforman el perímetro técnico del sistema del sistema de gestión, gestión, véanse las explicaciones y los ejemplos que figuran en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro. Es también interesante ver cómo la función de de compliance compliance debe debe concretar dicho perímetro, según se ha comentado con ejemplos bajo el título “ Actividades que involucran directamente a la función de compliance“, compliance“, dentro del apartado II.5.3.2 Función de compliance, compliance, también de este libro. • La tarea de identificación de las obliga obligaciones ciones de compliance compli ance debe ser “sistemática”, de manera que pueda contrastarse la razonabilidad de dicho ejercicio, especialmente en cuanto al impacto que tienen sobre las actividades de la organizació organi zaciónn.
19600:2014, definición definici ón 3.14. T También ambién las explicaciones del apartado I.5.2 Las dos fuentes fuentes de obligac ob ligaciones iones de co complia mpliance nce , de este libro. 123 Aunque el está estándar ndar ISO 3730 37301:20 1:2021 21 ya no recog recogee las l as defi definic nicione ioness d dee ““Requis Requisito ito de com com- plianc pli ancee” y “Compromiso de com compli plianc ancee”, su definición 3.25 Obligaciones de com compli plianc ancee sigue considerando que incluye las que una orga organiz nizaci ación ón debe cumplir y también aquellas que elige 122 ISO
volu ntariame voluntar iamente nte cump cumplir. lir. Vé Véanse anse los com comenta entarios rios acerc acercaa de amba ambass categ c ategoría oríass een n el apar apartado tado I.5.2 Las dos fue fuente ntess ddee oobli bligac gacion iones es de compli com plianc ancee, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
129
A CONSIDERAR. CONSIDERAR. Criticidad de ci ciertas ertas obligaciones de compliance.
El entorno que envuelve a las organizaciones organizaciones en en el siglo XXI se caracteriza por una gran complejidad normativa: • El volumen de normas aumenta vertiginosamente para estipular los avances en los órdenes social, económico, técnico y científico. • Se multiplican las autoridades con capacidad de producción de normas juríjurídicas: desde autoridades locales, autónomas o federales, las nacionales hasta aquellas plataformas internacionales con capacidades legislativas cedidas. • A la profusión de normas jurídicas se añaden normas de asunción voluntaria producidas por plataformas (nacionales o internacionales), que no disponen de capacidad legislativa, pero que emiten textos normativos en forma de recomendaciones, con gran impacto en sectores de actividad o comunidades. • El contenido de las normas se tecnifica como respuesta a los progresos sociales, económicos, tecnológicos y científicos. Por este mismo motivo, incrementa la volatilidad de sus contenidos al albur de dicha evolución. • Las sanciones económicas y los daños de reputación derivados de no cumplimientos de compliance (de compliance (de normas de carácter obligatorio o asumidas voluntariamente) se incrementa. Se aprecia una tendencia clara a engrosar el conjunto de no de no cumplimientos de compliance que compliance que alcanzan trascendencia criminal. A cau causa sa de lo ant anteri erior or,, pre preten tende derr que el sis el sistem temaa de ges gestió tiónn de de compliance compliance se se proyecte sobre la totalidad de las obligaciones derivadas del panorama anterior es una tarea poco menos que imposible. La articulación razonable de un sis un sistem temaa de ge gesti stión ón de de compliance atraviesa compliance atraviesa por identificar sistemáticamente aquellas que son críticas, esto es, las asociadas con los “principales” riesgos de compliance, compliance, según clarifica el apartado 4.3 Determinación del alcance del sistema de gestión del compliance. compliance . Se trata de asegurar su inclusión en un perímetro técnico de supervisión razonablemente definido. Este análisis sistemático de criticidad sigue, por tanto, un enfoque basado en el riesgo riesgo (véase (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro). Estos aspectos deben considerarse tanto a efectos de la identificación de nuevas obli gacioness de compliance gacione compliance como de la actualización de las previamente identificadas, para introducir en el sist sistema ema de gest gestión ión de com compli plianc ancee las variaciones precisas para la prevención, riesgos gos asociados con su incumplimiento. la detección temprana y la respuesta frente a los ries En cualquier caso, la identificación de las obligaciones de compliance forma parte de las obligaciones que asume directamente la función de complian compliance ce, en virtud de lo indicado en el apartado 5.3.2 F Función unción de compliance. El estándar ISOmentada 37301:2021 (véanse el apartado 7.5 información documentada documentada Info Informaci rmación ón docu document ada, de la exige Informaci rmación ón docu document mentada ada norma, y los apartados II.3.10 Info
y II.7.5 Inform Información ación docum documentad entadaa, ambos de este libro) acerca de las obliga obligaciones ciones de com com pliance que afectan a la organización, que cubrirá lo indicado en los puntos anteriores. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
130
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.4.6. Evaluación de los riesgos de compliance Podríamos decir que en el estándar ISO 37301:2021 existen dos niveles de evaluación de riesgos : el primero identifica los “principales” riesgos de compliance , para d e incluir después en el perímetro técnico del sistema de gestión aquellas obligaciones de compliance cuya vulneración v ulneración los pueden precipitar, precipitar, concretando finalmente las casuísticas de riesgo en cada uno de los grupos de obligaciones (véase la figura 5). 5). El primer Determinación ión del aalcance lcance del sistema de ggestión estión análisis se indica en el apartado 4.3 Determinac del compliance, mientras que el segundo se trata en el apartado 4.6 Evaluación de los riesgos de compliance. Y ambos deben figurar en calidad de información documentada (véanse el apartado 7.5 Información document documentada ada, de la norma, y los apartados II.3.10 II.3.10 Información documentada y II.7.5 Información documentada, ambos de este libro). l ibro).
MÁS INFORMACIÓN. Tarea inherente a la función de compliance.
El desarrollo de ambos ejercicios es una tarea propia de la l a función de compliance, compliance, según deriva del régimen que se explica y comenta con ejemplos bajo el título “ Actividades que iinvolucran nvolucran directamente a la función de ccompliance ompliance“, “, dentro del apartado II.5.3.2 Función de compliance, compliance, de este libro.
riesgos os de compliance complia nce en de cada uno de Este apartado aborda la evaluación de los riesg los “principales” grupos de obligacione obligacioness de compliance compliance previamente identificados. Es un proceso que atraviesa por desarrollar tres actividades consecutivamente (véase la figura 6): 6): • Identificar aquellas obligaciones de compliance en particular que, en un ejercicio racional de previsión124 , se estima que pueden generar no cumpl cumplimie imientos ntos de compliance. Pueden darse a nivel de actividades desarrolladas, productos o servicios servicios prestaprestados y otros aspectos relevantes del modo en que la organización desarrolla sus operaciones.
obligaciones de compliance obligaciones compliance son susceptibles de incumplimiento. Tal circunstancia arrojaría evaluaciones de los riesgos de compliance compliance muy poco prácticas, contemplando incluso no cumplimient cumplimientos os remotos debido a su lejanía con las actividades de la organ organización ización. Para evitar esta distorsión, es preciso realizar un ejercicio racional de previsión, esto es, considerar aquellas obli obligacio gaciones nes de compliance compliance y casuís124 Todas Todas las
ticas que, atendidas las circunstancias de la organi organización zación pudieran llegar a concurrir concurrir.. El conocimiento histórico del sector de actividad, así como de la trayectoria de la organización ayudan en este ejercicio. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
Pe Perímetro rímetro del sistema de gestión, gestión, en todos los sentidos
d
Apartado 4.3 Determinación del alcance del sistema de gestión del compliance
131
Identificación de las obligaciones de compliance compliance relacionadas con el perímetro Apartado 4.5 Obligaciones de compliance
r Evaluación de
riesgos de compliance Apartado 4.6 Evaluación de los riesgos de compliance Figura 5. La evaluación de los riesgos de compliance guarda relación con aquellas obligaciones de compliance que están comprendidas dentro del perímetro técnico del sistema de gestión ge stión.
Proceso de Proceso de evaluación de riesgos de compliance Identificación
r
Análisis
r
Valoración
Figura 6. La evaluación de los riesgos de compliance atraviesa por tres etapas consecutivas, consistentes en su identificación, análisis y valoración.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
132
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Riesgos vinculados con las actividades del personal.
Una parte de los riesgos riesgos procederán procederán de actividades que la organización organización desarrolla desarrolla a través de su personal personal.. En este sentido, procede conocer qué procesos procesos y y procedimientos de la organización dimientos de organización guardan guardan relación con dichas actividades, así como también el personal con roles, responsabilidades o autoridades relevantes en ellos. Esto permitirá aplicar sobre estas actividades y los colectivos vinculados con ellas medidas de prevención, detección y reacción temprana ante riesgos de compliance. MÁS INFORMACIÓN. Competencias de las personas vinculadas con actividades de riesgo.
Procurar unas competencias adecuadas en las personas que participan en actividades de riesgo riesgo es es una muestra de diligencia básica, así como un requisito requisito del estándar ISO 37301:2021. Sobre esta materia, véanse los comentarios y los ejemplos que se desarrollan en el apartado II.7.2 Competencia Competencia,, de este libro. Dicho apartado plantea actividades para que las personas que se vinculan con la organización organización dispongan dispongan o adquieran las competencia competenciass precisas para gestionar los riesgos riesgos que que las exponen. A CONSIDERAR. CONSIDERAR. Riesgos provenientes de terceras partes.
Preocupan especialmente los no cumplimientos de compliance que compliance que vienen inducidos o propiciados por terceros con los que se mantienen vínculos. Para una correcta evaluación de riesgos riesgos,, se tendrá en cuenta el perfil de terceras partes partes con los que se mantienen relaciones, que es una actividad implícita en el contenido del apartado 4.6 Evaluación de los riesgos de compliance y compliance y que se señala expresamente en el apartado 8.1 Planificación y control operacional. EJEMPLO. Riesgos de compliance significativos que proceden de terceras partes. partes.
Algunas malas praxis relacionadas rel acionadas con el compliance compliance se se canalizan a través de terceros.. Así, por ejemplo, el Informe de la OCDE sobre cohecho internacional del terceros año 2015125 ya señaló que tres cuartas partes de sobornos a funcionarios públicos se producen recurriendo a relaciones con terceras partes (agentes, joint-ventures joint-ventures,, etc.). Y lo mismo es predicable con otras prácticas proscritas internacionalmente, entre las que figuran las lesiones a los Derechos Humanos asociadas con ciertas malas praxis laborales.
125 Organization
for Economic Cooperation and Development (OCDE), Informe de la OCDE sobre cohecho internacional, publicado en octubre de 2015. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
133
A CONSIDERAR. CONSIDERAR. Riesgo de “contaminación” o “contagio”.
El hecho de mantener relaciones con entidades jurídicamente independientes genera la percepción errónea de que sus malas prácticas no afectarán a la organización.. Sin embargo, no siempre es así: organización • Mantener vínculos con personas relacionadas con grupos criminales puede soportar cargos de colaboración con organización criminal, de consecuencias graves. • A pesar de no estar calificadas como “organización criminal”, el mantenimantenimiento de relaciones con determinadas terceras partes puede perjudicar a la organización tanto organización tanto a efectos de reputación como legales. • El riesgo riesgo de de que la organización organización se se vea afectada por la conducta irregular de un tercero guarda normalmente relación con: (i)
El beneficio que obtiene de sus malas praxis.
(ii)
La capacidad efectiva de supervisión sobre el tercero tercero,, que vendrá habitualmente condicionada por su nivel de dependencia respecto a a organización.. organización
Por ello, como se exp explica lica con ejemplos en el apartado 8.1 Planificación y control operacional,, procede establecer controles sobre terceras partes, operacional partes, cuya intensidad dependerá del nivel de riesgo riesgo que que arrojen: • El perfil de la tercera parte, parte, per se. se. • La operación pretendida con la tercera parte. parte. No fijarse en las relaciones con terceras partes, partes, a efectos de evaluar los riesgos (de “contaminación” “contaminación” o “contagio”) que afectan a la organización organización ni ni establecer, esta blecer, por consiguiente, medidas razonables de control, puede ser interpretado como un escenario de ignorancia deliberada (“willful (“willful blindness”), blindness”), donde se evita indagar por miedo a los resultados.
MÁS INFORMACIÓN. Controles sobre terceras partes.
En relación sobre la necesidad de establecer controles sobre terceros terceros,, véanse las explicaciones que se recogen en el apartado II.8.1 Planificación y control operacional,, de este libro. operacional
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
134
• El análisis de los riesgos de compliance, donde se reflexiona acerca de su gravedad, normalmente considerando su probabilidad de ocurrencia y consecuencias estimadas.
A CONSIDERAR. CONSIDERAR. Metodología de análisis.
La propia definición de riesgo riesgo va va ligada a la incertidumbre (véase el apartado II.3.7 Riesgo Riesgo,, de este libro). Por consiguiente, el ejercicio de evaluación de riesgos riesgos es una modalidad de prognosis sobre hechos no acaecidos, pero que podrían llegar a suceder dentro de un ejercicio racional de previsión. El estándar ISO 37301:2021 opta por la metodología clásica de análisis de riesgos riesgos,, consistente en estimar la probabilidad de su materialización y las consecuencias que se derivarían en tal caso. Esto se aprecia en la propia definición 3.24 Riesgo de compliance,, asociada directamente con estos factores, así como en los comencompliance tarios que recoge el apartado A.4.6 Evaluación de los riesgos de compliance del compliance del anexo A (informativo) Guía para el uso de este documento. documento. A pes pesar ar de ser la met metodo odolog logía ía sub subyac yacent entee en el conoci conocido do están estándar dar ISO 310 31000: 00:201 20188 Gestión del riesgo. Directrices, Directrices, no es obligatorio aplicar la indicaciones de este texto por cuanto no aparece citado en ubicaciones con dimensión editorial (se menciona en el apartado A.4.6 Evaluación de los riesgos de compliance del compliance del anexo A (informativo) Guía (informativo) Guía para el uso de este documento). documento). No se trata de un olvido, sino de un guiño a organizaciones organizaciones pequeñas pequeñas y medianas a las que no cabe exigir metodologías muy elaboradas. A pesar de su amplia util utilización ización en otras esfera esferas, s, existen voces críti críticas cas respecto a esta metodología en el ámbito del compliance compliance,, considerando la singularidad que envuelve a los incidentes graves y, por tanto, la difícil estimación de ocurrencia partiendo de una secuencia histórica Tambiéndependiendo se recrimina la diversidad de posibles consecuencias anteconocida. hechos similares, de factores circunstanciales prácticamente prácti camente imposibles de prever. prever. Estos razonamientos nos acercan a un sistema complejo de previsión 126. No obstante, en ausencia de una metodología contrastada más fiable, es la más aceptada y empleada a nivel internacional. Cabe entonces interpretar su empleo dentro de la aplicación razonable de la denominada “business “ business judgement rule”, rule”, que explico al hilo de los contenidos del apartado II.9.1.4. Informes de compliance, compliance, de este libro.
126 Los
sistemas complejos son aquellos donde concurre un número elevado de variables de peso ponderado desigual, que hacen muy difícil desarrollar ejercicios fiables de pronóstico. En los
sistemas complicados, sin embargo, el número de variables es acotado o algunas condicionan sustancialmente a las restantes, incrementando la fiabilidad del pronóstico. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
135
A CONSIDERAR. CONSIDERAR. Factores de estimación de la pr probabilidad. obabilidad.
Son factores de probabilidad aquellos que ayudan a prever la ocurrencia de un suceso, por ejemplo: • El número de ocasiones con que se materializa el riesgo riesgo en en el pasado, o ha estado a punto de hacerlo. • La frecuencia en que se desarrolla la actividad en cuyo contexto puede matemate rializarse el riesgo riesgo.. • El volumen de sujetos que pueden llegar a desarrollar las conductas asociadas con el riesgo riesgo.. • El nivel de conocimiento y experiencia de la organización organización y y sus personas en la gestión de las actividades vinculadas con el riesgo riesgo.. El análisis de estos factores arroja una estimación de probabilidad, sea holística (análisis en conjunto de los factores, en una estimación global) o como el agregado tras sudado individualización (fórmulas matemáticas que ponderan un valor dey estimación a cada uno de los factores determinantes de la probabilidad arrojan así un valor numérico conjunto). A CONSIDERAR. Factores Factores de estimación del impa impacto. cto.
Son factores de impacto los que ayudan a estimar cuán graves serían las consecuencias para la organización organización,, en caso de materializarse el riesgo riesgo.. A tales efectos, suelen considerarse dos grandes categorías de daños: • Los de reputación, asociados con la erosión de la imagen de la organización organización y las consecuencias económicas que se derivan de ello. • Los en términos de sanciones, que varíanetc. en virtud de la gravedad del económicos no cumplimiento de compliance, compliance , su reiteración, Al igual que antes (análisis de probabilidad), el estudio estudio y la conclusión respecto a los mismos puede ser holístico o derivado de la modelización matemática (véase la figura 77).).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
136
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Riesgo inherente (bruto) y riesgo residual (neto).
• El riesgo riesgo inherente inherente o bruto es el que expone a la organización organización en en ausencia de toda medida de prevención, detección o reacción temprana ante los riesgos de compliance compliance. riesgo sin sin tener en cuenta ningún elemento de control. . Es decir, es el nivel de riesgo • El riesgo riesgo residual residual o neto es el que finalmente expone a la organización organización,, descontado el efecto mitigante que ocasionan las medidas de prevención, detección y reacción temprana que ha dispuesto para cubrir los objetivos objetivos de de control. De acuerdo con lo anterior, la migración de un riesgo riesgo inherente inherente elevado a uno residual inferior debería venir refrendado por la existencia de elementos de control que justifiquen tal variación, esto es: • El adecuado diseño de las medidas de prevención, detección y reacción temtemprana ante los riesgos de compliance, compliance, de manera que cubran los objetivos objetivos de de control pretendidos. • La aplicación eficaz eficaz de de dichas medidas, especialmente en términos de uniformidad (aplicación en todos los procesos procesos de de la organización organización donde donde se precisan, con independencia de su localización) y consistencia (aplicación en todos los casos según los mismos criterios determinados por la organización organización).). La traza documental de estos aspectos es la que sustenta que el tránsito de la estimación del riesgo riesgo inherente inherente al residual es plausible.
Riesgo n
Alta d a d i l i b a b o r P
Media Baja Bajo
Medio
Alto
Impacto
Figura 7. Los riesgos evaluados en términos de probabilidad de ocurrencia ecuadros impactodepueden ilustrarse gráficamentecartesianas localizándolos en losEldiferentes una matriz de coordenadas positivas. ejemplo
muestra la localización de un riesgo (n) cuya evaluación arroja un resultado alto tanto de probabilidad como de impacto. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
137
En ausencia de ese entorno de control (diseño y eficacia eficacia),), el riesgo riesgo residual residual o neto tenderá a acercarse al inherente o bruto (véase la figura 88).).
A CONSIDERAR. Riesgo residual (neto) estimado y riesgo residual (neto) contrastado.
El riesgo riesgo residual residual estimado suele derivar de un primer ejercicio de evaluación, resultando de valorar el efecto esperado esper ado de las medidas de prevención, detección y gestión temprana (controles) en relación con los objetivos objetivos de de control deseados y, por tanto, sobre su capacidad hipotética de mitigación, tanto de la probabilidad de materialización del riesgo riesgo como como de sus consecuencias. El riesgo riesgo residual residual contrastado es el que resulta del testeo de controles que señala el apartado 8.2 Establecimiento de controles y procedimientos, procedimientos, de utilidad para contrastar si la variación entre el riesgo riesgo inherente inherente y el residual estimado es plausible.
A CONSIDERAR. CONSIDERAR. Riesgo sectorial.
El riesgo riesgo sectorial sectorial es el que se observa en los operadores en un sector de actividad o mercado, ilustrando una suerte de benchmark benchmark o o media del riesgo riesgo residual residual de las organizaciones organizaciones que que operan en él.
Riesgo bruto
Alta d a d l i b a b o r P
Riesgo neto
Media
Baja
Bajo
Medio
Alto
Impacto
Cada riesgo puede evaluarse y plasmarse como inherente (riesgo Figuray8.residual bruto) (riesgo neto). La variación entre ambas magnitudes debería
venir justificada por la existencia e xistencia de controles qu quee amparen la diferencia entre e ntre ambos valores. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
138
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Algunos reguladores y supervisores recurren a este concepto para comparar el entorno de control de algunas organizaciones organizaciones respecto respecto a sus equivalentes (“peers (“peers”), ”), induciendo así una mejora continua del continua del conjunto y trasladando cierta presión a las situadas por debajo de la media sectorial. Se construye así una aproximación al riesgo riesgo neto neto medio de las empresas comparables. Bajo esta perspectiva, un riesgo riesgo sectorial sectorial bajo no significa que las l as empresas que operan en él carezcan de exposición a dicho riesgo riesgo inherente, inherente, sino que disponen de medidas eficaces para su prevención, detección y reacción temprana.
EJEMPLO. Riesgo inherente (bruto), residual (neto) y sectorial. Sabemos que el blanqueo de capitales constituye un riesgo riesgo para para cualquier entidad financiera. A partir de esta premisa, veamos tres situaciones (véase la figura 9): 9):
• Si un banco careciera de medidas para la prevención del blanqueo de capitales, ejercería una poderosa atracción para sujetos criminales deseosos de lavar sus activos. Por eso, el pronóstico de riesgo riesgo inherente inherente es elevado. • No obstante, las medidas de prevención, detección temprana y reacción frente al blanqueo de capitales permitirán a la entidad alcanzar un nivel de riesgo riesgo residual inferior al inherente. Bruto
Alta d a d i
l i b a b o r P
Neto
Media
Baja
Sector
Bajo
Medio
Alto
Impacto
Figura 9. La figura añade el riesgo sectorial, entendido como una aproximación peers) a la media del riesgo residual (riesgo neto) de los sujetos comparables ( peers
a la organización . Esto permite observar que, aunque su riesgo residual es inferior al inherente, continúa siendo superior al del sector. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
139
• No obstante, su riesgo riesgo residual residual puede continuar siendo superior al sectorial si se concluye que no dispone de un entorno de control equivalente al de sus peers.. El riesgo peers riesgo sectorial sectorial se concibe, así, como una aproximación a la media de riesgos riesgos residuales residuales de las organizaciones organizaciones que que operan en el mismo. • La valoración valoración de los rie riesgo sgoss de complia com pliance nce , donde se priorizan para dar lugar a una asignación razonable de recursos para su prevención, detección y gestión. El apartado A.4.6 Evaluación de los riesgos de compliance del anexo A (informativo) Guía para el uso de este documento se afana en aclarar que esto no significa que los riesgos con una priorización baja supongan un nivel de aceptación por organizaciónn, sino que el foco de atención se centrará en los de mayor parte de la organizació prioridad, pero sin olvidarse del resto.
A CONSIDERAR. CONSIDERAR. Riegos residuales (netos) “bajos” a mantener bajo supervisión.
Que un riesgo riesgo residual residual (neto) de compliance compliance tenga tenga una calificación (estimada o contrastada) de “bajo” no significa que pueda situarse fuera del “radar” de control de la organización organización.. De este modo, cabe distinguir entre: • Riesgos Riesgos residuales residuales (netos) calificados como “bajos” porque derivan de riesgos riesgos inherentes (brutos) igualmente bajos (en ocasiones calificados como “negligibles”). Suele ser el caso de riesgos riesgos asociados asociados con casuísticas que no guardan ninguna relación con las actividades de la organización organización.. • Riesgos residuales Riesgos residuales (netos) calificados como “bajos”, pero que derivan de riesgos inherentes riesgos inherentes (brutos) de mayor categorización, pero sobre los cuales se aplican medidas de prevención, detección y gestión (controles), que de forma estimada o contrastada permiten reducir su probabilidad de materialización y consecuencias (convirtiéndolos en riesgos riesgos residuales residuales bajos). Aunque ambos riesgos riesgos comparten comparten calificación (bajos), no procede gestionarlos del mismo modo: cabrá mantener la supervisión del entorno de control de aquellos encuadrables en la última categoría, dado que no hacerlo propiciaría el incremento en su calificación. Por ello, no suelen desaparecer de las matrices de riesgos riesgos y y controles que ayudan a monitorizar el entorno de control (aunque su valoración anual sea baja).
A CONSIDERAR. CONSIDERAR. Controles sobre riesgos inherentes (brutos) bajos. Algunas organizaciones organizaciones opinan, opinan, erróneamente, que no es necesario disponer y,
de hecho, no disponen de medios de control respecto a riesgos riesgos inherentes inherentes (brutos) bajos de compliance compliance.. En la mayoría de ocasiones, esto no es exactamente así. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
140
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
El entorno de control de las organizaciones organizaciones está está formado un entramado de controles, tanto de alto nivel como específicos. Los denominados “controles generales de alto nivel” (Entity (Entity Level Controls) Controls) aplican sobre una pluralidad de riesgos,, mientras que los “controles específicos” ( Activity riesgos Activity Level C Controls ontrols)) están ideados para algunos de ellos en particular o las actividades/procesos en que se manifiestan. Es bastante probable que las organizaciones organizaciones no no dispongan de controles específicos sobre algunos riesgos riesgos inherentes inherentes bajos (los no vinculados con sus actividades, por ejemplo). Sin embargo, continuarán disponiendo de controles de alto nivel que pueden contribuir a su detección, como los canales que se explican en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro. A CONSIDERAR. CONSIDERAR. Priorización por severidad severidad..
Las estimaciones de probabilidad e impacto son las que permiten priorizar las medidas para la prevención, detección y reacción temprana ante no cumplimientos de compliance. compliance. En un universo ideal de recursos ilimitados, este sería un ejercicio ocioso, dado que podrían emplearse para cubrir cualquier riesgo riesgo,, por insignificante que fuera. Pero Pero la escasez de recursos en la vida real exige su gestión responsable, que en compliance compliance significa significa emplearlos atendiendo al nivel de exposición al riesgo riesgo.. Estamos, nuevamente, ante una manifestación del enfoenfo que basado en el riesgo riesgo (véase (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro) que afecta a la interpretación de tantísimos requisitos requisitos del del estándar ISO 37301:2021. No hacerlo, supondría dedicar recursos a tareas que no los merecen, lo que constituiría per se un se un riesgo riesgo de de malversación. Tras el análi análisis sis de los los riesgos riesgos de compliance, compliance, en términos de probabilidad y de sus consecuencias, la organización organización los los priorizará para disponer así de un escalado priorizado de referentes de atención. Para ello, algunas organizaciones organizaciones recurren recurren al concepto de “severidad”, el resultado de agregar probabilidad e impacto paraque cadaesriesgo de compliance. compliance . las estimaciones de A CONSIDERAR. Apetito Apetito de riesgo en compliance.
Una organización organización puede puede barajar el riesgo riesgo de de diseñar y comercializar productos o servicios que no gocen de aceptación en el mercado mer cado y terminen causándole un quebranto económico o de imagen. Saber hasta dónde está dispuesta a llegar una organización organización forma forma parte de su apetito de riesgo riesgo.. Sin embargo, las organizaciones organizaciones no no pueden plantearse desarrollar productos o servicios que vulneren las normas (ni las impuestas ni las asumidas voluntariamente). Por este motivo, el estándar ISO 37301:2021 pone mucho cuidado en no utilizar este concepto, que podría interpretarse como la posibilidad de que la organización decida organización decida qué normas quiere cumplir y cuáles no, o el grado en
que puede hacerlo (véase el apartado II.3.7 Riesgo Riesgo,, de este libro). En diferentes momentos de la elaboración del estándar se debatió la introducción del Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
141
concepto, rechazándose por el motivo indicado. El concepto de apetito de riesgo combina riesgo combina mal con la propia definición de Compliance Compliance (que (que se refiere expresamente a observar “todas” las obligaciones de compliance de compliance,, véase el apartado II.3.6 Objetivo Objetivo,, de este libro), así como con los valores asumidos y difundidos mediante códigos éticos o políticas políticas d dee compliance compliance,, incluyendo la tolerancia cero a los no cumplimientos de compliance. compliance. Sin perjuicio de lo anterior anterior,, el apartado A.4.6 Evaluación de los riesgos de compliance del pliance del anexo A (informativo) Guía para el uso de este documento sugiere documento sugiere comparar el nivel de riesgo riesgo que que está dispuesta a asumir la organización organización con con el nivel de riesgo riesgo fijado fijado en la política de compliance de compliance en en su ámbito. ámbit o. TTal al vez la organización organización disponga de alguna política política o o de criterios generales sobre gestión de riesgos riesgos que que fijen umbrales de apetito de riesgo riesgo,, pero en materia de compliance compliance regirá regirá lo que indique la política política de de compliance compliance,, cuyo contenido será necesariamente restrictivo por los motivos motivo s indicados en el párrafo anterior anterior.. Una organización organización no no puede tolerar los no cumplimientos de compliance como compliance como un mal necesario en el desarrollo de sus actividades, ni tan siquiera excusándose en que serán puntuales o inmateriales. No puede hacerlo porque porqu e ningún sujeto de derecho puede decidir unilateralmente el cumplimiento de las normas o de los compromisos que le afectan. Esto explica también por qué la propia definición de compliance compliance (véase (véase el apartado II.3.26 Compliance Compliance,, de este libro) se refiera expresamente a satisfacer “todas” las obligaciones de compliance. Cuestión distinta es que las organizaciones organizaciones se se planteen operar en geografías o sectores con alta exposición a algunos riesgos de compliance. compliance. Pero esta determinación no implica aceptar su materialización y es solo razonable cuando se disponen de medios robustos para la prevención, detección y reacción temprana de no cumplimientos de compliance127 .
127 Se
trata de una reflexión que surgirá de la aplicación de lo establecido en el capítulo 4 Contexto de la organización, del estándar ISO 37301:2021. En algunos casos, se puede llegar a concluir que algunas de las circunstancias internas de la organ organizac ización ión (su nivel de recursos, por ejemplo) no le permiten dotarse de un sist d e compl sistema ema de gesti gestión ón de complianc iancee que les permita operar con seguridad razonable en entornos de ries riesgo go (circunstancias externas). En tal caso, deberán
evitar aquellas operaciones, geografías o demás factores de ries riesgo go para los que no disponen de un sist sistema ema ddee ges gestión tión de compl complianc iancee adecuado. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
142
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. Obligaciones Obligaciones de compliance en conflicto y activismo de las organizaciones.
Puesto que las organizaciones organizaciones no no pueden seleccionar las obligaciones de compliance que pliance que deben acatar acatar,, el el sist sistema ema de gest gestión ión procurará procurará el cumplimiento de todas ellas. Sin embargo, en un entorno complejo pueden darse contradicciones entre normas jurídicas (especialmente cuando se opera a nivel internacional). Además, Además, ciertas leyes locales pueden contrariar los valores de las organizaciones organizaciones,, de los que igualmente derivan obligaciones de compliance para compliance para ellas (por ejemplo, en materia de derechos y libertades de las personas). Cuando resulta imposible conciliar obligaciones de compliance de compliance de contenido contradictorio, las organizaciones organizaciones pueden pueden verse compelidas a realizar una elección, gestionando ese conflicto para minimizar sus consecuencias. No se trata de una opción de apetito de riesgo riesgo,, pues, en verdad, las organizaciones organizaciones no no promueven ese conflicto, sino que les viene dado y no pueden evitarlo, gestionándolo del mejor modo posible para minimizar sus consecuencias. En cualquier caso, dado que cualquiera que sea su elección provocará un riesgo riesgo,, como tal debe tratarse, normalmente a través de una gestión transparente (comunicación a sus partes interesadas)) y debidamente fundamentada. Esos matices son importantes a la interesadas l a hora de distinguir la gestión de conflictos entre normas o incluso el activismo –basado en valores– de opciones simplemente oportunistas que buscan el beneficio a corto plazo derivado del no cumplimiento de compliance. compliance. En relación con el ejercicio de evaluación de riesgos, el estándar ISO 37301:2021 no exige emplear una metodología concreta, consciente de la diversidad de las organiza ciones y sus circunstancias. No obstante, el apartado A.4.6 Evaluación de los riesgos de compliance del anexo A (informativo) Guía para el uso de este documento cita la mecánica clásica de identificación, análisis y posterior valoración de riesgos, en términos de probabilidad e impacto, tan típica de ISO 31000:2018 Gestión del riesgo. Directrices, referenciando refere nciando dicho estándar a título de simple recomendación.
compliance nce debe ejecutarse de manera El ejercicio de evaluación de los riesgos de complia planificada128, cada cierto tiempo, aunque no existan motivos aparentes para ello, o cuando se produce un cambio relevante en las circunstancias internas o externas de la organización. 128 Es
preciso desarrollar el ejercicio de evaluación de riesgos de riesgos de manera manera planificada para poder aplicar correctamente el enfoque basado en el riesgo que inviste al estándar ISO 37301:2021. Sobre los efectos de este ejercicio en las actividades a planificar y desarrollar por la organización , véase el apartado I.6.2.2 Enfoque basad basadoo eenn el riesgo , de este libro. Es una práctica habitual actualizar
anualmente el ejercicio de evaluación de riesgos de compliance compliance (revisión planificada), o incluso antes, cuando concurren cambios en las circunstancias de la organización (revisión sobrevenida). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
143
A CONSIDE CONSIDERAR. RAR. Reevaluac Reevaluación ión de riesgos y revisión del sistema de g gestión estión.
La evaluación de los riesgos de compliance es compliance es una pieza clave del sistema del sistema de gestión de gestión de compliance compliance,, en cuanto sigue un enfoque basado en el riesgo riesgo (véase (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro). Por este motivo, es importante que esté actualizado según dispone el apartado 4.6 Evaluación de los riesgos de compliance. No obstante, la evaluación de los riesgos de de compliance compliance constituye constituye una actividad dentro del sistema del sistema de gesti gestión ón,, que también procede revisar en su conjunto de forma planificada, según indica el apartado 10.1 Mejora continua. continua. En la búsqueda de sinergias, tendrá sentido desarrollar las reevaluaciones de riesgos de de compliance de compliance de forma coordinada con las revisiones más generales del sistema del sistema de gestión en gestión en su conjunto
A CO CONS NSID IDERA ERAR. R. Inf Inform ormaci ación ón de cal calida idad d a través través de la lass per person sonas as ade adecua cuadas das.. Los ejercicios de evaluación de los riesgos de compliance buscarán compliance buscarán obtener información de calidad para fundamentar un juicio de pronóstico (probabilidad e impacto). Para ello, con gran probabilidad será necesario que la función de compliance mantenga compliance mantenga sesiones de trabajo y entrevistas con personas que conocen bien la organización organización,, sus procesos procesos y y su cultura:
• El órgano de gobierno y gobierno y la alta dirección. dirección. • Las funciones corporativas que disponen de una visión transversal de la organización y nización y conocen tanto su operativa como su entorno de control (finanzas, asesoría jurídica interna, fiscalidad, gestión de riesgos riesgos,, control interno, auditoría auditoría interna, recursos humanos, tecnologías de la información, comunicación y relaciones públicas, etc.). • Los responsables de la gestión operativa de la organización organización (responsables (responsables de líneas de negocio, por ejemplo). Este apartado indica también la evaluación de los riesgos provenientes de actividades externalizadas o desarrolladas por terceras partes, que encaja con el concepto anglosajón129 de “third party management ” o “third party due diligence”. Los procesos –de
ejemplo, US Department of Justice-Criminal Division. Eval Evaluati uation on of Corp Corporat oratee Com pliance plia nce Progra Programs, ms, Guida Guidance nce Docume Document nt , junio 2020. El denominado “ Third Party Management ” y las prácticas de “third party due diligence ” en que deriva son aspectos tratados en el apartado 129 Por
E de la sección I del documento Is p. 7 del mismo.
the Corpo Corporati ration’s on’s Compl Compliance iance Progra Program mW Well ell Designed? Desi gned? , en la
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
144
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
riesgo– que involucran a terceras partes deben identificarse, analizarse y valorarse (véase la figura 10). 10).
A CONSIDERAR. CONSIDERAR. Riesgo de “contagio” y control sobre terceras partes. Dependiendo de las circunstancias, las relaciones con terceras partes pueden afectar a la organización organización,, no solo desde una perspectiva de reputación, sino también, legalmente. Las cautelas en la contratación y promoción de per person sonal al establecidas dentro del Proceso so de empleo, junto con la evaluación de ries riesgos gos inducidos por apartado 7.2.2 Proce terceras partes que indica este mismo apartado, cierran el círculo de actividades de debida diligencia sobre sujetos susceptibles de exponer a la orga organizac nización ión a ries riesgos gos de complia comp liance nce y sobre cuyo perfil o actividad procede ejercer un nivel razonable (véase el apartado I.6.1.2 Princi Principio pio de propor proporcionali cionalidad dad, de este libro) de control y 11). seguimiento segui miento (véase la figura 11). Clientes
r
Colaboradores
r
Organización
r
r Colaboradores
Cadena de suministro
Figura 10. El riesgo de “contaminación” o “contagio” puede estar inducido por los vínculos de la organización con terceras partes, incluyendo sus clientes, las entidades con las que mantiene vínculos de colaboración o por su cadena de suministro.
Interna
Sobre el personal
Apartado 7.2.2 Proceso de empleo
Externa
Sobre las terceras las terceras partes
Apartado 4.6 Evaluación de los riesgos de compliance
Debida diligencia
Figura 11. Ejerciendo la debida diligencia sobre los dos colectivos susceptibles
de amenazar a la organización (su personal o las terceras partes con las que mantiene vínculos) se cierra el círculo de control en esta materia. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
145
procesos sos de debida diligencia A CONSIDERAR. Etapas comune comuness en los proce interna y externa. Frecuentemente, las organizaciones organizaciones fijan fijan sus requisitos requisitos de de debida diligencia para el personal personal y y para terceras partes en partes en procedimientos procedimientos separados. separados. A pesar de ello, siguen una estructura esencial parecida, que atraviesa por tres actividades básicas consecutivas: • La adecuada selección del personal personal o o de terceras partes. partes. La mejor cautela que puede observar una organización organización comprometida comprometida con la ética y el cumplimiento de las normas es evitar vincularse con sujetos (personal (personal o o terceras partes) partes) de los que se conozca o podría haberse conocido que su perfil no era el adecuado para asumir las obligaciones de compliance que compliance que les afectan. • La formalización jurídica del vínculo con el personal personal o o las terceras partes, partes, incorporando las cautelas contractuales precisas en relación con las obligaciones de compliance de compliance que que deben asumir. • El seguimiento El seguimiento de de la relación que se mantiene con el personal personal o o las terceras partes,, para satisfacerse de que su perfil no ha variado negativamente desde partes la evaluación inicial que justificó vincularse jurídicamente con ellos y que han observado aquellas cautelas contractuales acordadas. Son actividades sucesivas, de forma que el establecimiento de cautelas contractuales, por ejemplo, solo tiene sentido tras haber superado satisfactoriamente la evaluación del sujeto (véase la figura 12 12).).
do cumentada que exige el estándar ISO 37301:2021 no se limita al La información documentada compliance, sino también, a las medidas adoptaejercicio de evaluación de riesgos de compliance das en relación con los riesgos identificados, es decir, las medidas dispuestas para su prevención, detección y reacción temprana.
Procesos de Procesos de debida diligencia Selección
r
Formalización
r
Seguimiento
Figura 12. Los procesos de debida diligencia, tanto los referidos al personal como a las terceras partes con las que se mantienen vínculos, atraviesan por
tres hitos básicos consecutivos: una adecuada selección, la formalización de la relación con las cautelas contractuales oportunas y su seguimient seguimientoo. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
146
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. La ev evaluación aluación de los riesgos de compliance y la matriz de riesgos y controles.
El ejercicio de evaluación de los riesgos riesgos de de compliance compliance atraviesa atraviesa por su identificación, análisis y valoración. De ello resulta una priorización priorizaci ón que ayuda a asignar recursos para su prevención, detección y reacción temprana. Del ejercicio de evaluación de los riesgos riesgos de de compliance compliance cabe cabe inferir aquellas actividades yy,, por tanto, procesos procesos que que están asociados con los riesgos riesgos.. Véanse las explicaciones acerca de la introducción de controles dentro del apartado II.8.1 II.8.1 Planificación Planificación y control operacional, operacional, de este libro. Las denominadas matrices de riesgos riesgos y y controles son tablas donde figuran los riesgos que riesgos que exponen a la organización organización –normalmente –normalmente priorizados– y los controles que la organización organización proyecta proyecta sobre ellos para prevenir su materialización (controles preventivos), para detectar su ocurrencia (controles detectivos) y, en cualquier caso, reaccionar del mejor modo posible para mitigar sus efectos. En un sistema de gestión de gestión de compliance compliance transversal transversal (que proyecta la supervisión sobre diferentes bloques de obligaciones de compliance) compliance) serán proclives a producir tanto evaluaciones de riesgos riesgos como como matrices de riesgos riesgos y y controles para cada uno de los grupos de obligaciones de de compliance compliance,, dentro del perímetro técnico de supervisión del modelo, según se explica en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro. Estas matrices son las que permiten valorar la razonabilidad de la reducción de los riesgos riesgos inherentes inherentes a residuales. A partir de la información que recogen, cabe: • Analizar el diseño de los controles para valorar su adecuación para la cobertura del riesgo riesgo sobre sobre el que se proyectan y satisfagan los objetivos objetivos de de control (que no sean fácilmente sorteables, que cubran la totalidad de casuísticas por las que se puede materializar el riesgo riesgo,, etc.). • Valorar si semodo). aplican de forma uniforme (en toda la organización organización)) y consistente (del mismo Este análisis permite concluir sobre su eficacia eficacia y y corroborar la razonabilidad de la diferencia entre riesgos riesgos inherentes inherentes y residuales. En cuanto al establecimiento de controles de compliance compliance,, véanse las explicaciones contenidas en el apartado II.8.2 Establecimiento de controles y procedimientos, procedimientos, de este libro. EJEMPLO. Políticas, procedimientos y controles.
En términos técnicos, tanto las políticas políticas como como los procedimientos procedimientos pueden pueden albergar diferentes controles. Así, por ejemplo, una política política sobre sobre obsequios y atenciones, además de establecer los criterios para su permisibilidad o prohibición, puede comprender:
• Controles preventivos, en forma, por ejemplo, de solicitud de aprobación prepre via, cuando el obsequio supera una determinada cuantía, cuando va dirigido Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.4 Contexto de la organización
147
a un determinado perfil de destinatario (persona especialmente expuesta, por ejemplo) o cuando se realiza en momentos comprometidos. • Controles detectivos consistentes, por ejemplo, en declarar todos los obsequios realizados o recibidos en un repositorio confidencial de la organización organización.. En este ejemplo simplificado, una política política incorpora incorpora dos tipos de controles. En la matriz de riesgos riesgos y y controles será preciso identificar los controles a este nivel si se quiere evaluar o auditar su correcta utilización (realización de tests para comprobar su aplicación).
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo
Propósito de este capítulo Desde cualquier perspectiva, es muy difícil que un modelo de compliance opere efi cazmente sin la involucración real de los máximos responsables de la organizac organización ión. De ahí la importancia del llamado “ tone at the top”130, que después se ha denominado “tone from the top” en un esfuerzo por no limitarlo a la cúpula directiva y remarcar la necesidad de que permeabilice desde allí a toda la organización. Como subraya la Introducción al estándar ISO 37301:2021, su compromiso juega un papel clave en el mantenimiento de una adecuada cultura corporativa, que comienza con la fijación y difusión de valores claros, que estarán secundados por p or sus propias conductas (véanse el apartado I.5.1 El estándar ISO 37301:2021 y la cultura de compliance y el capítulo II.0 Introducción, de este libro). El capítulo 5 Liderazgo establece los colectivos que están llamados a ejercer dicho compromiso visible, que son el órgano de gobierno y la alta dirección. No obstante, se fijan igualmente los roles, las responsabilidades y las autoridades, no solo de dichas instancias, sino también, de la propia función de compliance, la del management y y la del personal, en general.
130 Noción
ya presente en COSO I, en 1992.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
149
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
150
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Es interesante destacar que, siguiendo la línea que marcó el estándar ISO 19600:2014 y a diferencia de estándares nacionales precedentes131, se evita establecer la figura del “oficial de cumplimiento” –que evoca a un órgano unipersonal–, recurriendo al concepto de “función”. Esta fórmula admite gran flexibilidad organizativa, permitiendo designar tanto órganos unipersonales como colegiados y ampara también la creación de órganos ad hoc h oc o recurrir a otros preexistentes. Desde una perspectiva práctica, bastantes de estas opciones facilitan aglutinar perfiles variados, pero sinérgicos en compliance. La existencia de una política de compliance132 aplicable en toda la organización, es una manifestación de liderazgo comprometido con la cultura ética y, por ello, se trata igualmente en este capítulo. Plasma la voluntad de la organización en el ámbito del compliance y determina un marco que le permite fijar sus objetivos en esta materia para progresar progres ar en ella.
Evolución respecto a ISO 19600:2014 El capítulo 5 Liderazgo se divide en tres apartados principales, que son coincidentes en cuanto a las materias tratadas, a las recogidas en el anterior estándar ISO IS O 19600:2014. No obstante, existen algunos cambios menores relativos a la reorganización y la reformulación de contenidos, para mejorar su estructura y ceñirlos a las necesidades de un MSS de tipo A (certificable). Destaca la inclusión de los apartados 5.1.2 e 5.1.3 dedicados a la Cultura de compliance y a la Gobernanza del compliance, respectivamente. Como se explica a continuación, no son materias nuevas, pero ahora se ubican mejor en este apartado por su conexión con el liderazgo e incrementan, de paso, su protagonismo.
131 El
estándar australiano AS 3806:2006, antecesor nacional del estándar ISO 19600:2014 sobre programas de compl complianc iancee, recurría a la figura del oficial de cumplimiento, como también lo hizo después el estándar británico BS 10500:2011 sobre sistemas de gestión antisoborno, antecesor del estándar ISO 37001:2016. 132 En líneas generales, la existencia de un documento a modo de política es una exigencia común en los sistemas de gestión de ISO. Sin embargo, para los sistemas de gestión sobre compliance, este documento adquiere una relevancia destacable, dejando de ser un componente diluido dentro del
resto que conforman el sistema de gestión, para adquirir cierto protagonismo. Esto obedece a la importancia que otorgan los textos de compliance a fijar y a difundir los parámetros de conducta que serán luego objeto de supervisión y control. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 151
II.5.1. Liderazgo y compromiso El liderazgo y el compromiso corresponden principalmente al órgano de gobierno y a la alta dirección. El apartado 5.1 Liderazgo y compromiso recoge las prácticas en que se compromiso traduce esta llamada, dedicándole especialmente el apartado 5.1.1 Órgano de gobierno y alta alta direcc dirección ión. Además, incorpora dos apartados muy relacionados: 5.1.2 Cultura de compliance y 5.1.3 Gobernanza del compliance. Las materias establecidas en estos dos apartados estaban ubicadas en localizaciones diversas133 en el anterior estándar ISO 19600:2014, lo que dificultaba asociarlas con un liderazgo efectivo.
II.5.1.1. Órgano de gobierno y alta dirección El apartado 5.1.1 Órgano de gobierno y alta dirección es un mandato a las instancias de decisión más elevadas de la organizaci organización ón. Antes de analizar la relación de actividades que muestran un liderazgo comprometido con el compl complianc iancee, conviene señalar la profusa utilización del verbo “asegurar” (“ ensure”), que se contrapone a otras formas verbales verba les que no conllevan conllevan el mismo mismo nivel de responsab responsabilida ilidad. d. Así, por ejemplo ejemplo,, cuando Función unción de com compliance pliance relaciona sus actividades, su empleo es mucho el apartado 5.3.2 F más limitado, debido a que el marco de sus cometidos co metidos se limita a la “opera “operación” ción” del sistema de gestión de compliance. Sin embargo, el órgano de gobierno y la alta dirección, en su calidad de últimas instancias decisorias, sí están en disposición de “asegurar” determinadas prácticas, dada su posición residual de garante. Los aspectos que trata este apartado ya se contemplaban en el apartado 5.1 Com promiso y liderazgo del anterior estándar ISO 19600:2014, aunque sufren ahora una reformulación y parte de sus contenidos (ejemplos) se trasladan ahora al apartado
de compliance del anexo A (informativo) Guía para el uso de este documento docume ntoCultura . Se espera que el órgano de gobierno y de la alta dirección: • Establecer una polít política ica de compliance compliance y los objetivos que derivan de ella, asegurando su alineación con la dirección estratégica de la organización, de modo que sean
A.5.1.2. A.5.1 .2.
discursos conexos. contenidos relativo relativoss a la cultura de compliance se localizaban en el apartado 7.3.2.3 Cultura de compliance compliance del estándar ISO 19600:2014, que incluía una serie de ejemplos e indicaciones propias de un sistema de gestión no certificable (MSS de Tipo B), pero de difícil encaje en uno certificable (MSS de Tipo A). Por eso, no solo experimentan una reubicación, sino también, un proceso de simplificación de contenidos y remisión de buena parte al apartado A.5.1.2 Cultura de compliance del 133 Los
anexo A (informativo) Guía para uso de este documento del estándar ISO 37301:2021. En cuanto a la parte de gobierno de compliance, se localizaba en el apartado 4.4 Sistema de gestión del compliance y principios de buen gobierno del estándar ISO 19600:2014. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
152
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Como se explicará más adelante, aunque dicha política puede contener algunos objetivos estratégicos de alto nivel (compromiso con co n el cumplimiento de las normas y valores que afectan a la organizac organización ión, por ejemplo), conforma realmente el marco para la fijación de los objetivos que se abordan en el apartado 6.2 Objetivos de compliance y planificación para lograrlos.
MÁS INFORMACIÓN. Aprobación de la política de compliance.
Sobre la aprobación formal de la política de compliance compliance,, véanse las explicaciones, así como el ejemplo que figura en el apartado II.5.2 Política de compliance, compliance, de este libro.
MÁS INFORMACIÓN. Objetivos de compliance.
En relación con el como marcotácticos de fijación de objetivos objetivos de compliance y compliance y los objetivos objetivos, tanto estratégicos derivados de él, de véanse las explicaciones, así, como el ejemplo que figura en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro. • Integrar los requisitos de compliance dentro de los procesos de negocio conformando una unidad que impida desarrollar los unos sin los otros. En ocasiones, gestiónn de compliance constituyen un entorno paralelo los requisitos del sistema de gestió a la operativa ordinaria de la organ organizaci ización ón, de modo que pueden concluirse operaciones o transacciones sin la seguridad de haber satisfecho las cautelas de compliance. Cuando ambas esferas están integradas, se gana en eficacia, puesto que se dificulta o imposibilita desarrollar actividades de riesgo sin haber gestionado antes los aspectos oportunos de compliance. Aunque el apartado Aunque apartado 5.3.2 F Función unción de complia compliance nce le atribuye la obligación de velar por esta integración, realizando las propuestas o sugerencias convenientes, son gobiernoo y la alta direcció direcciónn los que disponen de la capacidad realmente el órgano de gobiern para convertirlas en realidad.
MÁS INFORMACIÓN. Integración de los requisitos de compliance en los procesos corrientes.
Sobre la integración de los requisitos requisitos de de compliance compliance como como parte de los procesos procesos y procedimientos procedimientos habituales habituales de negocio (véase el apartado II.5.1.1 Órgano de
gobierno y alta dirección, dirección, así como los comentarios y el ejemplo que figura en el apartado II.5.3.2 Función de compliance, compliance, de este libro). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 153
• Facilitar recursos recursos que precise el sistema de gestión de compliance, que estará vinculado a las actividades necesarias para su establecimiento, implementación, mantenimiento y mejora contin continua ua (véase el apartado II.7.1 Recurs Recursos os, de este libro, ya que es interesante señalar que en este apartado se establece, de forma general, la obligación de la organizaci organización ón para facilitar recursos, mientras que 5.1.1 Órgano de gobierno y alta dirección concreta que es una obligación última del órgano de gobierno y de la alta dirección).
MÁS INFORMACIÓN. Recursos de compliance.
En relación con los recursos puestos a disposición de la función de de compliance compliance,, su categorización y tratamiento presupuestario, véanse las explicaciones, así como los ejemplos que figuran en el apartado II.7.1 Recursos Recursos,, de este libro. • Comunicar la importancia que tiene el sistema de gestión de compliance y el cumplimiento sus requis . Es un aspecto contenido se desarrolla requisitos Comunicación –no muchodemás– en elitos apartado (véase elcuyo apartado II.7.4normativo , de este libro, ya que es interesante señalar que en este apartado se establece, de forma general, la obligación de la organización de comunicar interna y externamente compli plianc ancee, mientras que el apartado 5.1.1 Órgano de gobierno cuestiones relativas a com y alta alta direcció direcciónn concreta que es una obligación última del órgano de gobi gobierno erno y de la alta dirección comunicar la importancia del sistema de gestión de compliance y de dar cumplimiento a sus requisitos).
MÁS INFORMACIÓN. Comunicaciones de compliance.
Sobre la diferente tipología de comunicaciones de compliance compliance,, véanse las explicaciones, así como los ejemplos que figuran en el apartado II.7.4 Comunicación Comunicación,, de este libro. • Asegurarse de que el sistema de gestión de compliance alcanza los resultados pretendidos, lo cual obliga a realizar un seguimiento de los indicadores fijados para medir el el nivel de consecución de los objetivos previamente acordados, según se indica en el apartado 6.2 Objetivos de compliance y planificación para lograrlos. Normalmente supondrá recibir y analizar la información que arrojan los indicadores –especialmente de forma comparativa con periodos precedentes– en los informes de compliance que terminan siendo revisados por la dirección134, según establece el apartado 9.3 Revisión por la dirección. 134 Cuando
el apartado 9.3 Revisión por la
dirección establece esta actividad relativa a los informes
de compliance, incluye expresam expresamente ente al órgano de gobierno y a la alta dirección . Es, pues, una acepción más amplia de este término no definido que la empleada en el apartado 5.3.3 Dirección, que se proyecta a colectivos subordinados a las máximas instancias de gestión social. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
154
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
MÁS INFORMACIÓN. Seguimiento del sistema de gestión de compliance.
Sobre los informes de compliance compliance,, su vinculación con los indicadores, tipología y periodicidad, véanse los comentarios que figuran en el apartado II.9.1.4 Informes de compliance y compliance y,, especialmente, en el apartado II.9.3 Revisión por la dirección dirección y sus ejemplos, ambos de este libro. • Dirigir y apoyar a las personas que contribuyen a la efic ef icac acia ia del sist si stem emaa de gesti ge stión ón de co compl mplia ianc ncee. Es interesante señalar que esta obligación no se agota en brindar apoyo visible a la fun funció ciónn de compl co mplian iance ce , sino a cualquier efica icacia cia , incluidos colectivos persona que contribuya a su ef colecti vos dentro y fuera de organ ganiza izacición. ón. la or
MÁS INFORMACIÓN. Comunicaciones de apoyo explícito a sujetos en particular. Sobre la diferente tipología de comunicaciones de compliance compliance,, incluidas las que suponen muestras de apoyo a determinados sujetos, véanse las explicaciones, así como los ejemplos que figuran en el apartado II.7.4 Comunicación Comunicación,, de este libro. • Promover la mejora continua del sistema de gestión de compliance, progresando así la cultura de compliance en la organización y las conductas que se derivan de ella.
MÁS INFORMACIÓN. Mejora más allá de los mínimos legales exigibles.
En relación con la mejora del sist sistema ema de gest gestión ión de compliance compliance,, entendida como sobrepasar las exigencias mínimas legales l egales de aplicación en búsqueda de la excelencia, véanse las explicaciones del apartado II.10.1 II.10.1 Mejora Mejora continua, continua, de este libro. • Mostrar apoyo a las personas que desarrollan tareas tareas gerenciales en el seno de la organización (directivos, mandos intermedios) cuando llevan a cabo labores de compliance en el contexto de sus actividades.
A CONSIDERAR. CONSIDERAR. El llamado “tone at the middle”.
Existe el entendimiento generalizado de que el nivel de compromiso del equipo
de dirección respecto a mantener una conducta ética y alineada con las normas es esencial para el correcto funcionamiento del sistema del sistema de gestión gestión d dee compliance compliance.. Sin embargo, ese “tone “tone at the top” top” es insuficiente si no llega a todas las personas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 155
de la organización organización y y algunas desempeñan un rol importante impor tante en esa “cadena de transmisión”. De este modo, el nivel de creencia en el compliance compliance terminará terminará llegando a todos los estratos jerárquicos de la organización organización si si los directivos y mandos intermedios asumen ese rol. Haciendo propio ese nivel de compromiso, también lo trasladarán a sus equipos y contribuirán a generalizar la cultura de de compliance.. Para ello, son relevantes las labores de coaching compliance coaching que que desarrollan el órgano de gobierno y gobierno y la alta dirección respecto dirección respecto a tales colectivos. MÁS INFORMACIÓN. Comunicaciones de apoyo explícito a sujetos en particular.
Sobre la diferente tipología de comunicaciones de compliance compliance,, incluidas las que guardan relación con las muestras de apoyo a determinados sujetos, suj etos, véanse las explicaciones, así como los ejemplos que figuran f iguran en el apartado II.7.4 Comunicación,, de este libro. cación Este apartado también contempla una relación de acciones de índole más general, que enmarcan a las l as anteriores:
organizac nización ión . El sist sistema ema de ges gestión tión de com• Fijar y actualizar los valores de la orga pliancee está vinculado con el establecimiento o el mantenimiento de una ade plianc cuada cultura corporativa, como señala la propia Introd Introducció ucciónn del estándar135 y desarrolla en su apartado 5.1.2 Cultura de compliance. A tales efectos, fijar y mantener actualizados los valores de la org organiz anizació aciónn constituye una tarea clave para promover determinados parámetros parámetros de cond conducta ucta y controlarlos, evitando así la inseguridad y la dispersión que provocaría guiarse por criterios de moralidad individual. Estos valores, que normalmente derivan de una visión de la orga organizac nización ión , permeabilizarán al resto de polí política ticass y palancas conductuales, de manera que exista un marco de comportamientos coherente y bien definido. Por tanto, son un pilar fundamental en la creación o culturaa ddee ccompli ompliance ance , tal como aparece definida en el consolidación consolidaci ón de una cultur estándar (véase la figura 13). 13).
V Valores alores
r
Cultura
r
Conductas
Figura 13. Cadena básica para la generación de una cultura que se traduce en conductas.
primer párrafo de la Introducción hace hincapié en la importancia de la cultura de compliance. Véanse los comentarios al respecto en el capítulo II.0 Introducción, de este libro. 135 El
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
156
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
EJEMPLO. Plasmación de los valores de la organización.
Los valores de las organizaciones organizaciones suelen suelen estar recogidos en un documento de alto nivel con nomenclatura diversa. Normalmente, se constatan en códigos éticos o de conducta que reflejan la visión o la misión de la organización organización y y los valores que se derivan de ella. Estos textos, cualquiera que sea su denominación, recogen los compromisos de la organización organización en en diversos ámbitos y, por tanto, los parámetros de conducta conducta que espera de las personas que se vinculan con ella, así como los que no está dispuesta a tolerar. tolerar. La redacción de estos textos no suele ser extensa ni compleja, con el objeto de que su lectura resulte asequible a cualquier persona. No obstante, su contenido no es meramente programático, sino claramente obligacional: los valores de la organización organización y y los comportamientos deseados que derivan de ellos no son una declaración de intenciones, sino un mandato explícito a las personas con las que se vincula. La aprobación, la difusión (interna ydel externa), asíindicado como la(fijación aplicaciónformulación, práctica de la estos textos constituyen evidencias requisito y actualización de valores). A CONSIDER CONSIDERAR. AR. El ccódigo ódigo ético como pilar del sistema normativo interno.
Por cuanto determinan los valores de la organización organización,, el código ético, el de conducta y otros textos equiparables no son una simple política política más, más, sino la más relevante y cuyo contenido debiera investir el resto de la producción normativa, condicionando, en cualquier caso, su interpretación. Del mismo modo que los ordenamientos jurídicos vienen encabezados por una carta magna, fundacional o constitucional, que enmarca los valores por los que cabrá interpretar y desarrollar el resto de normas jurídicas, el conjunto de políticas internas políticas internas de una organización organización también también debería generarse e interpretarse al amparo de un texto de valores. Desde esta perspectiva, los códigos éticos, de conducta y equivalentes desarrollan un cometido relevante para encabezar, interpretar y ordenar el resto de políticas políticas y y procedimientos procedimientos internos, internos, que no deberían contravenir su contenido. Esto dota de coherencia lógica al conjunto, al mismo tiempo que facilita ordenar las políticas políticas internas internas en una estructura lógica de “árbol”, encabezado por el código ético o de conducta. • Asegurar que se desarrollan las políticas, procesos y procedimientos que son necesarios para alcanzar los objetivos de compliance. Existe una relación evidente con el apartado 6.2 Objetivos de compliance y planificación para lograrlos, pues de nada
sirve fijarlos si no se realizan esfuerzos para su consecución. Formará Formará parte de las actividades de revisión que se contemplan en el apartado 9.3 Revisión por la dirección. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 157
A CONSIDERAR. CONSIDERAR. El árbol de políticas en las organizaciones.
La producción normativa interna debería seguir una estructura lógica, partiendo de las indicaciones más generales a las más concretas. Ya se ha señalado anteriormente que los códigos éticos, los de conducta y los textos equiparables desempeñan un rol importante en la vertebración de un sistema de políticas políticas,, encabezándolo encabezá ndolo y evitando inconsistencias en la producción e interpretación de las normas derivadas. Esta aproximación termina generando un entramado ordenado de políticas políticas con con estructura lógica de árbol. Del árbol de políticas políticas de de una organización organización no no todas guardan relación con el compliance.. Pueden existir textos de marcado carácter técnico (instrucciones de compliance producción) o algunas vinculadas con las obligaciones de de compliance compliance que que no están dentro del perímetro de supervisión del sistema del sistema de ge gestión stión,, por no constituir las “principales” fuentes de riesgo riesgo que que exige el apartado 4.3 Determinación del alcance del sistema de gestión del compliance. compliance. No obstante, sí que una parte relevante de las políticas políticas internas internas de las organizaciones (en ciones (en el sentido amplio del término) versan sobre aspectos de compliance compliance,, como sugiere este mismo apartado y ratifica el 5.3.2 Función de de compliance compliance,, incluyendo su elaboración dentro del grupo de actividades que precisan su implicación directa. Sin embargo, ni el estándar ISO 37301:2021 ni los estándares precedentes ISO 19600:2014 e ISO 37001:2016 exigen expresamente que la función de compliance mantenga compliance mantenga un árbol de políticas políticas de de compliance compliance ordenado ordenado (debidamente estructurado), aunque es una práctica frecuente y muy próxima a su rol de generación de ciertas normas (véase la figura 14). 14).
Código ético
Política general Política general de compliance
Política de Política de compliance antisoborno
Política de Política de compliance en privacidad
Política general Política general de uso de activos
Política de Política de compliance n
Política general Política general n
Figura 14. Un árbol de políticas ordenado sigue una estructura jerárquica y lógica predefinida. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
158
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
EJEMPLO. Políticas y procedimientos.
Las políticas políticas internas internas de las organizaciones organizaciones fijan fijan su voluntad y directrices generales de conducta conducta en en determinadas materias, mientras que el detalle detall e de cómo ejecutar esos parámetros conductuales viene indicado mediante procedimientos.. Así, por ejemplo, la política tos política sobre sobre obsequios y atenciones establecerá los parámetros de su admisibilidad, mientras que el procedimiento procedimiento establecerá establecerá los pasos a seguir para gestionar esas iniciativas (solicitud de autorización previa según cuantía al órgano interno pertinente a través del formulario establecido al efecto, etc.). En cuanto son textos que plasman la voluntad de las organizaciones organizaciones en en determinadas facetas, las políticas políticas suelen suelen ser objeto de aprobación por instancias i nstancias de gestión social superiores, incluyendo el órgano de gobierno y gobierno y la alta dirección dirección (como sucede con la política de compliance de compliance).). Sin embargo, se suele delegar la aprobación de los procedimientos procedimientos a a otros órganos técnicos. Aunque es muy recurren común alaotras disti distinción nción entre políticas políticas y y procedimientos procedimientos, , algunas organizaciones recurren organizaciones denominaciones e incluso categorías intermedias entre ambos conceptos. EN BUSCA DE LA EXCELENCIA. Normas globales.
Una organización organización que que opere en múltiples países se verá afectada por obligaciones de diferentes ordenamientos jurídicos. Tal circunstancia le dificultará la emisión de normas internas capaces de cumplir con todos sus requisitos requisitos,, que, en ocasiones, no solo son diversos sino eventualmente, contradictorios. A pesar de ello, las organizaciones organizaciones continúan continúan precisando difundir sus pautas de conducta conducta a nivel global. Para cubrir este inconveniente se recurren a políticas políticas globales globales de alto nivel, con contenidos generales contradictorios cualquier regulación nacional. A estos textos sedifícilmente adjuntan entonces anexoscon o apéndices con las particularidades de cada jurisdicción en donde operan. Las políticas políticas y y los procedimientos procedimientos así así diseñados permiten fijar y difundir un núcleo común de contenidos y ofrecer guías adicionales de proyección local.
EN BUSCA DE LA EXCELENCIA. Norma de normas.
Una producción normativa ordenada precisa normalmente un procedimiento que establezca: • Tipología de normas (políticas (políticas,, procedimientos, nacionales, globales, etc.). • Quién puede impulsar la creación de una norma.
• Quién valora la oportunidad/necesidad de la norma. • Quién prepara la redacción inicial de la norma Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 159
• Qué estructura debe seguir el contenido de la norma. • Quién revisa la norma. • Quién aprueba la norma. • Quién publica y difunde la norma. • Quién imparte formación sobre la norma. • Quién archiva la norma y cómo se garantiza su accesibilidad. Estos son los contenidos habituales de una “norma de normas” que ordena el proceso de proceso de producción normativa, que evita la multiplicación innecesaria de los textos y la adecuada coordina coordinación ción o supervisión del árbol de políticas políticas.. Ayuda también a mantener el adecuado control de la información documentada que documentada que se explica en los apartados II.3.10 Información documentada y, documentada y, sobre todo, en II.7.5 Información documentada, documentada, de este libro.
MÁS INFORMACIÓN. Actividades de seguimiento.
Ni el sistema el sistema de gestión de gestión de compliance compliance ni ni las políticas políticas,, los procesos procesos y y los procedimientos que dimientos que comprende conforman una finalidad en sí mismos, siendo herramientas orientadas a la consecución de los objetivos objetivos de de compliance compliance y, y, en última instancia, al mantenimiento de la cultura de compliance. compliance. Sobre los diferentes objetivos objetivos de de compliance compliance,, véanse las explicaciones y los ejemplos del apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro. En relación con el modo de seguir de seguir el el nivel de consecución de los objetivos,, véanse los comentarios y los ejemplos que figuran en los apartados objetivos II.9.1.3 Desarrollo de indicadores, indicadores II.9.1.4 Informes de este compliance compliance y particu lar el apartado II.9.3 Revisión por la, dirección, dirección , todos de libro. y,, en particular • Asegurar que se mantienen informados puntualmente puntualmen te sobre temas de compl compliance iance, incluyendo situaciones de no cumpl cumplimie imientos ntos de comp complian liance ce y las decisiones o acciones a adoptar para remediarlas. Mantenerse actualizado en los aspectos clave de la gestión social no es solo un derecho, sino una obligación de los máximos responsables de las organi organizacio zaciones nes. En bastantes textos legales, esta obligación trasciende de la mera recepción de documentos y se adentra en la necesidad de analizar su contenido y plantear cuestiones para comprender dutyy of adecuadamente las informaciones recibidas, que se conoce como “ dut II.9.3 enquiry enqu iry ”. Bajo esta perspectiva cabe interpretar también el apartado II.9.3
Revisión Revis ión por la dir direcció ecciónn.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
160
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
EN BUSCA DE LA EXCELENCIA. Formatos de fácil asimilación.
Tanto el órgano de gobierno como gobierno como la alta dirección reciben dirección reciben documentos de naturaleza muy variada, que deben analizar cuidadosamente para adoptar decisiones de manera informada. Aunque el nivel de formación de los administradores sociales se ha incrementado en las últimas décadas, en grandes organizaciones organizaciones difícilmente pueden alcanzar el criterio experto de la multitud de áreas técnicas que les son reportadas. En este contexto, es de utilidad práctica: • Evitar que los informes al órgano de gobierno y gobierno y alta dirección utilicen dirección utilicen nomenclatura técnica solo asequible a algunos pocos (especialistas). Dado que el perfil de administradores y máximos directivos es variado, será mejor emplear términos de conocimiento general. • Recurrir a formatos sumarios donde, facilitando una información completa, se haga hincapié en los aspectos relevantes donde se precisa actuar actuar.. Subrayar Subrayar,, si es preciso, las cuestiones sobre las que los órganos receptores de la información deberían pronunciarse o decidir. • Acompañar los informes técnicos con explicaciones presenciales por parte de los responsables de su elaboración, de modo que puedan ilustrarlos con ejemplos y trasladar incluso inclu so sus opiniones. Sobre este particular par ticular,, véanse también los comentarios en el apartado II.9.3 Revisión por la dirección, dirección, de este libro. • Dejar margen de tiempo para el debate interno y las preguntas. Desde luego, estas sugerencias son trasladables a la función de de compliance compliance en en la medida que informa a la dirección, según se comenta en el apartado II.9.3 Revisión por la dirección, dirección, de este libro. Al respecto, r especto, es interesante también visitar las explicaciones de los apartados II.5.1.3 Gobernanza del compliance y compliance y II.5.3.2 Función de compliance, compliance, especialmente –en esta última– el apartado dedicado a los “ Aspectos que incumben a la organización”. organización”. • En general, asegurar que se mantiene el compromiso compromiso de complia compliance nce y, en particular, que las no conformidad confo rmidades es y no cumplimientos cumpli mientos ddee complia compliance nce se gestionan adecuadamente. Constituye una evidencia de buen liderazgo la reacción rá Principio pio de pro proporcio porcionalidad nalidad , de pida, proporcional (véase el apartado I.6.1.2 Princi este libro) y siempre dentro de la legalidad (sobre el principio de sumisión a Ley, véase el apartado I.6.2.1 Princi Principio pio de subord subordinaci inación ón a Ley, de este libro) ante conduc conductas tas contrarias a las pautas establecidas en el marco del siste sistema ma de gestión (esta sería, en esencia, la noción de no conformidad. Véanse comentarios n o confo conformidad rmidades es y lo loss no cu cumplimien mplimientos tos de de adicionales en el apartado I.5.3 Las no
compliance complia nce, de este libro) o que contravengan abiertamente las obliga obligacione cioness de
compliance complia nce (esta sería, en esencia, la noción de no cumplimiento de compliance. Véanse comentarios adicionales en el apartado I.5.3 Las no confo conformid rmidades ades y los no cumpli cumplimient mientos os de comp complianc liancee, de este libro). Este cometido enlaza con Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 161
complianc liancee cuando exige uno de los contenidos del apartado 5.2 Política de comp obligaciones ciones de compliance complia nce y de señalar las consecuencias de no cumplir con las obliga políticas icas , proce procesos sos y proce procedimie dimientos ntos establecidos al efecto. Recordemos que las polít el establecimiento de esta polí – es también un requisito polític a –de complia pliance nce y expresamente encomendado altica órgano órga no com de gobie gobierno rno la alta dire direcció cciónn, en este mismo apartado.
A CONSIDERAR. CONSIDERAR. Punto de especial interés para llas as autoridades.
Es interesante conocer que bastantes autoridades nacionales136, evalúan la reacción del órgano de gobierno y gobierno y de la alta dirección frente dirección frente a irregularidades de compliance previas, compliance previas, como indicador, indicador, no solo de su nivel de compromiso con una gestión ética y respetuosa con las normas, sino también, de eficacia eficacia del del propio modelo de compliance compliance.. MÁS INFORMACIÓN. Advertir de las consecuencias de las no conformidades y los no cumplimientos de compliance y reaccionar frente a ellas.
Acerca del lugar donde advertir de las consecuencias derivadas de las no conformidades y formidades y no cumplimientos de de compliance compliance,, consúltense las explicaciones y los ejemplos que figuran en el apartado II.5.2 Política de compliance, compliance, de este libro. Sobre la reacción ante tales situaciones, véanse también los comentarios y los ejemplos del apartado II.10.2 No conformidades y acciones correctivas, correctivas, de este libro. MÁS INFORMACIÓN. Incidentes perseverantes.
Son incidentes perseverantes aquellos que se reproducen a pesar de haberse proyectado y ejecutado planes de acción para erradicarlos. Pueden denotar la incapacidad del sistema del sistema de gestión gestión para para remediar determinado tipo de situaciones, en ocasiones por falta de un adecuado análisis de sus causas raíz. Sobre este particular, véanse también las explicaciones que figuran en los apartados II.9.3 Revisión por la dirección dirección y y II.10.2 No conformidades y acciones correctivas correctivas,, ambos de este libro.
136
Por ejemplo, USDocument Department of Justice-Criminal Division. Evaluation CorporateACompliance Programs, Guidance , junio 2020. Véanse los comentarios en losofapartados y C de la
Sección II del documento Is the Corporation’s Compliance Program Adequately Resourced aand nd Em powered to Function Effectively?, así como el apartado C de la Sección III del documento Does the Corporation’s Compliance Program Work in Practice?. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
162
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
compliance ance se incluyen en las descripciones • Asegurar que las responsabilidades de compli de los puestos o posiciones. Es importante que las personas vinculadas con la organización sepan que velar por el cumplimiento de los requisitos del sistema de es algo que les afecta individualmente. En gestión y las obligaciones de compliance compliance puede ser erróneamente ocasiones, el establecimiento de la función de compliance percibida como la traslación del deber de diligencia en cuanto a su observancia. En verdad, generar o mantener una cultura de compliance es una responsabilidad compartida por todas las personas de la organización, cada una en el ámbito de sus cometidos. Para Para evitar equívocos, en la documentación que recoge el ámbito de competencias y actividades esperadas de los diferentes puestos y categorías profesionales, cabrá incluir las correspondientes en materia de compliance. Estas son, como mínimo, las que figuran en el apartado 5.3 Roles, responsabilidades y autoridades, que deberían quedar de algún modo reflejadas en los documentos organizativos correspondientes.
EJEMPLO. Lugares donde plasmar las responsabilidades de compliance por puestos o categorías.
Existen diversos documentos organizativos que pueden reflejar las responsabilidades de compliance compliance de de las diferentes posiciones y categorías dentro de la organización.. En ocasiones, se dispone de manuales de descripción funcional organización o de posiciones (“ Job Descriptio Des criptionn Manua Manuall”), de uso frecuente, para circunscribir los roles de los diferentes puestos y también es de utilidad en los procesos procesos de selección de candidatos a los mismos. En otras ocasiones, documentos más técnicos, como los mapas de procesos procesos,, también incluyen este tipo de descripciones. Pueden ser un buen ubicar sus, siempre respectivos responsabilidades y autoridades ensoporte materiadonde de compliance compliance, queroles, sean conocidos y generalmente accesibles. Sobre los mapas de procesos procesos,, véase el apartado II.3.8 Proceso Proceso,, así como las explicaciones y los ejemplos que figuran bajo el título “ Activ Actividades idades que involuc involucran ran iindirect ndirectamente amente a la funció funciónn de compliance”” del apartado II.5.3.2 Función de compliance, pliance compliance, así como en el apartado II.8.1 Planificación y control operacional, operacional, ambas de este libro. En cualquier caso, la propia política de compliance compliance puede puede ser un buen emplazamiento para establecer y comunicar los roles por grandes bloques de categorías, coincidentes en esencia con las que describen los diferentes apartados dentro del propio apartado 5.3 Roles, responsabilidades y autoridades. autoridades . No olvidemos que uno de los requisitos requisitos de de dicha política política es es exigir el cumplimiento de las obligaciones obligaciones de de compliance compliance que que afectan a la organización organización y y esta meta
precisa ahondar el modo de lograrlo a partir de los diferentes cometidos y competencias del personal personal.. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 163
MÁS INFORMACIÓN. Política de compliance
En relación con la política de de compliance compliance como como soporte de los roles, responsabilidades y autoridades en materia de compliance compliance,, véanse las explicaciones que figuran en el apartado II.5.2 Política de compliance, compliance, de este libro. • Designar la función de compliance compliance, lo que significa atribuir los roles y responsabilidades que constan en el apartado 5.3.2 Función Función de compliance a: (i) Un órgano ad hoc o preexistente en la propia organización. (ii) Un órgano unipersonal o colegiado. En cualquier caso, será preciso que esté dotado de las capacidades para desarrollar sus cometidos con independencia.
EJEMPLO. Designación formal a la función de compliance. El acto de designación del órgano que asumirá la función de de compliance compliance es es una formalidad relevante, así como la atribución al mismo del grado de independencia y autonomía que precisa para el desarrollo eficaz eficaz de de sus competencias. Son aspectos que acreditan requisitos requisitos importantes importantes del siste del sistema ma de gesti gestión ón de compliance.. compliance
A CONSIDERAR. CONSIDERAR. Documentación de acuerdos.
Puesto que la operativa de los órganos de gestión social más elevados elevado s suele quedar sometida a las formalidades legales exigidas por la normativa de aplicación, la designación de la función de de compliance compliance precisará precisará tenerlas en cuenta. Con frecuencia, esto supone la celebración y documentación formal de un acuerdo del órgano correspondiente (órgano (órgano de gobierno o gobierno o alta dirección) dirección) donde: • Se aprueba la política de compliance compliance.. • Se aprueban los documentos de naturaleza orgánica que determinan el alcance del sistema del sistema de gestión gestión,, la dependencia tanto funcional como jerárquica y las competencias de la función de de compliance compliance.. • Se designa el órgano que asumirá el rol de función de de compliance compliance.. • Se indica que dicho órgano ó rgano ocupa una posición destacada dentro del organi or gani-grama, reportando directamente al órgano de gobierno y gobierno y a la alta dirección, dirección, sin que otras funciones dispongan de capacidad de dirigir sus actuaciones.
• Se atribuyen a dicho órgano las capacidades de actuación directas, dentro del ámbito de sus competencias, sin necesidad de ser mandatada específicamente para ello. También se permite el acceso a las personas, documentos Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
164
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
e informaciones de la organización organización que que precise para el correcto desempeño de sus cometidos. Se hace un llamamiento a las personas de la organización organización para que colaboren con la función de de compliance compliance y y le faciliten de manera inmediata las informaciones y documentos que precise en el ámbito de su rol, responsabilidad y autoridad. MÁS INFORMACIÓN. Función de compliance.
Sobre la tipología de los órganos que pueden dar forma a la función de de compliance,, su designación y competencias, véanse también las explicaciones y pliance los ejemplos que se recogen en el apartado II.5.3.2 Función de de compliance compliance,, de este libro. • Asegurar que se establece, como mínimo, un mecanismo para plantear inquietudes, en línea con las exigencias del apartado 8.3 Plan Plantea teamie miento nto de inquietud inqui etudes es.
MÁS INFORMACIÓN. Planteamiento de inquietudes.
En relación con los mecanismos para el planteamiento de inquietudes, inquiet udes, véanse las explicaciones y los ejemplos que se desarrollan en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.
II.5.1.2. Cultura de compliance La primera frase en la Introducción al estándar ISO 37301:2021 subraya la importancia del establecimiento y la mejora de una adecuada cultura organizativa, como ya hizo su antecesor ISO 19600:2014. No obstante, se aprecia el incremento del peso específico de los aspectos culturales y conductuales por cuanto: • Ahora se ubican en el apartado 5.1 Liderazgo y co compromiso mpromiso, mientras que el aparap artado equivalente en el anterior estándar ISO 19600:2014 1 9600:2014 estaba tratado en el apartado 7.3.2.3 Cultura de compliance, diluido en los contenidos del apartado 7.3 Toma de conciencia y, por tanto, en un contexto muy discreto. • El actual actual apartado apartado 5.1.2 Cultura de compliance aumenta su desarrollo con tres párrafos, que van dirigidos a colectivos diferentes. El primero, es relativo al desarrollo, el mantenimiento promoción la cult que afecta a toda la orga estáderelacionado la fijación cultura ura con de com complia pliance nce , organizac nización ión . yEllasegundo,
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 165
conduc ducta ta comunes (valores), que afecta al órg órgano ano de de unos parámetros de con gobi go bier erno no y alt altaa dire di recc cció iónn, en línea con lo establecido en el apartado 5.1.1 Órgano de gobierno y alta dirección. El tercero está enfocado a promover y dar apoyo a comportamientos alineados con compli dirigido a la plianc ancee ydelvallamado dirección,137 en general, encajando bien con la com promoción “tone at the t he midd middle le”138.
MÁS INFORMACIÓN. El llamado “ tone at the middle”.
El denominado “tone “tone at the middle” middle” está igualmente comentado en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de este libro.
organización ación, el estándar ISO 37301:2021 A pesar de la importancia importancia de la cultura cultura de la organiz no establece abiertamente su medición, dadas las diferentes aproximaciones metodológicas que pueden emplearse al respecto139. No obstante, es una actividad implícita en el apartado 9.1.3 Desarrollo de indicadores, en un doble sentido: • En cuanto se incluyen dentro de los ob obje jetitivo voss de co compl mplia ianc ncee aspectos culturales, procederá establecer indicadores que permitan med medir ir su su grado de consecución.
término “ management ” no se encuentra definido y se utiliza en su acepción coloquial, abarcando a cualquier cargo que tenga encomendadas responsabilidades de gestión y que no solo incluye al órgano de gobierno y la alta dirección, sino también, a otros cargos directivos o intermedios en la jerarquía jerarqu ía organizativa organizativa.. 138 Existe la tendencia a pensar que impulsar el tono ético es cuestión que atañe exclusivamente a la cúpula directiva, que juega un rol relevante para el establecimiento y el mantenimiento de una adecuada cultura coroperativa. De esta apreciación surgen los términos “tone at the top” o “tone from the top ”. Sin embargo, desempeñan un rol capital el resto de directivos y cargos intermedios en la traslación de este compromiso a todos los niveles de la organización. A partir de su interacción directa con otros encargados de la gestión operativa, están en disposición de trasladar y reforzar la importancia de una cultura ética y alineada con el cumplimiento de las normas. Sin su intervención activa, existe el riesgo de la rotura de esta cadena de transmisión, de modo que el compromiso con el compliance no se comunique bien en toda la organización , especialmente si directivos y cargos intermedios muestran una conducta indolente o incluso, crítica. De ahí la importancia de que impulsen o motiven los comportamientos adecuados. 139 Ya en el año 2007, el profesor Muel Kaptein mostraba su modelo para medir y testear la cultura ética de las organizaciones ( Developing Developing and Testing a Measure for the Ethical Culture of Organizations: The Corporate Ethical Virtues Model). Algunos años más tarde (2013), DeBode, Armenakis, Field y 137 El
Walker W alker publicar publicaron on u un n mo modelo delo mejorado para).medir la 2019, cu cultura lturaelde llas as organizaciones Assessing publicó Ethical Ethical Organizational Culture: Refinement of a Scale El año Institut of Internal ( Auditors
su Guía práctica para auditar la cultura de las organizaciones , con un enfoque basado en los riesgos. Estas fórmulas demuestran que medir la cultura de las organizaciones es posible, aunque no existe una metodología generalmente aceptada al respecto. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
166
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
• Con independencia de lo anterior, anterior, dada la criticidad de una adecuada cultura de compliance complian ce para el correcto desempeño del sistema de gestión, procede igualmente seguir su su evolución. El apartado A.5.1.2 Cultura de compliance del anexo A (informativo) Guía para el uso de este documento, ilustra una serie de evidencias que permiten sacar conclusiones concl usiones acerca de la existencia de una correcta cultura de comp compliance liance, siguiendo así una aproximación indiciaria. Para evitar dificultades prácticas, la exigencia al órgano de gobierno direc ción no es abstracta, concretándose en la fijación de unos parámetros de y alta dirección conducta claros que faciliten desarrollar conductas alineadas con el compliance .
A CONSIDERAR. CONSIDERAR . Evalu Evaluación ación in indiciaria diciaria de la cultura de compliance.
La aproximación indiciaria consiste en concluir sobre la existencia de la cultura de compliance de compliance a partir de diferentes elementos constatables empíricamente, cuya concurrencia permite inducir racionalmente la l a existencia de una voluntad e intencionalidad en el establecimiento, el mantenimiento o la mejora de la cultura organizativa. Cuantos más elementos concurren, mayor es la certidumbre en cuanto a la adecuada cultura de la organización organización.. El apartado A.5.1.2 Cultura de compliance del compliance del anexo A (informativo) Guía para el uso de este documento documento,, desarrolla una aproximación indiciaria al listar una relación enunciativa de evidenc evidencias ias que permiten concluir sobre la existencia de una adecuada cultura corporativa. A CONSIDERAR. CONSIDERAR. Evaluac Evaluación ión de lla a cultura de compliance sobre la base de opiniones.
La existencia de una adecuada cultura de de compliance compliance puede puede también evaluarse a partir de las diferentes Esta mecánica parte de la base de opiniones considerarvertidas que, si por la mayor partecolectivos. de los sujetos que mantienen vínculos con la organización organización corroboran corroboran su adecuada cultura, es muy probable que efectivamente exista. Y el nivel de probabilidad se incrementa cuantas más opiniones se tengan en consideración y más variado sea su perfil de los sujetos que las emitan. En líneas generales, estas metodologías se basan en: • La elaboración de cuestionarios que planteen cuestiones clave para constatar la existencia de una efectiva cultura de compliance. compliance. • La selección de una muestra estadísticamente relevante, no solo por categorías del personal personal,, sino también fuera de ella (clientes, proveedores e incluso competidores, cuando es posible). • El empleo de una técnica de recopilación de información y análisis de datos que garantice la confidencialidad y la razonabilidad de las conclusiones, en
cuanto a la extrapolación del resultado de la muestra como conclusión válida para la organización organización en en su conjunto. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 167
II.5.1.3 Gobernanza del compliance A diferencia del apartado anterior, que, como hemos visto, se dirigía a varios colectivos, el presente incluye un mandato expreso ex preso y exclusivo a las máximas instancias de la gestión social: el órgano de gobi gobierno erno y la alta direcci di rección ón. Los aspectos clave para el compliancee les incumben especialmente y evidencian su liderazgo. Esto gobierno de complianc explica que estos contenidos, ya recogidos en el anterior estándar ISO 19600:2014, 19 600:2014, hayan migrado del antiguo apartado 4.4. Sistema de gestión de complia compliance nce y princi princi- pios de buen bue n gobier gobierno no (dirigido a “la organi organizació zaciónn”, sin especificar destinatarios) y se ubiquen ahora en un apartado propio, dentro de 5.1 Liderazgo y compromiso. El apartado 5.1.3 Gobernanza del compliance aborda aspectos relevantes para un adecuado gobierno del sistema de gestión de compliance. Por tanto, no hemos de buscar en él recomendaciones generales de buen gobierno corporativo, sino tres requisitos concretos: • Acceso directo al órg órgano ano de gob gobier ierno no. Dada la relevancia de los aspectos de compliance para el buen gobierno de las organizaciones, es lógico pensar que la función de compliance compliance tenga garantizado un acceso rápido y fluido a los máximos órganos de gestión social. Cuanto más alejada se encuentre de ellos, más difícil será informar y reaccionar con celeridad si es necesario. Por otra parte, desde la perspectiva de los propios órganos de gobierno, es importante recorda recordarr que mantenerse bien informados y supervisar el entorno de control no es solo un derecho,, sino también una derecho u na obligación en muchos ordenamientos jurídicos. El acceso al órgan órganoo ddee ggobier obierno no puede ser inmediato (dependencia funcional directa), pero también mediato, a través de una comisión delegada 140 que 141
tengamotivo encomendadas funciones de supervisión vinculadas el compliance Por de especialidad, la función de compliance compliance puedecon entonces terminar. reportando al más alto órgano de gobierno a través de dicha comisión.
140 Es
importante señalar la diferencia técnica entre “comisión” y “comité”, diferenciación en ocasiones confusa por la traducción inadecuada del término anglosajón “ committee ”. Una comisión delegada del consejo está formada por administradores sociales (consejeros), con especial dedicación a determinadas materias. Tal circunstancia no sucede en los “comités”, en cuyo seno se pueden integrar a otros perfiles que no ostenten la cualidad de administradores sociales. Cuando el estándar se refiere al informe directo al órgano de gobierno, puede entenderse cumplido a través de alguna de sus “comisiones” específicas (normalmente la de auditoría), puesto que forman parte del Consejo de administración, circunstancia circunstancia que podría no concurrir en caso de reportar o depender funcionalmente de un “comité”, que podría no equivaler a un acceso directo al órgano de gobierno.
141 Existe una marcada tendencia a atribuir a
la comisión de auditoría la supervisión del entorno de control, no solo sobre la información financiera y los informes derivados, sino también, sobre la no financiera, incluyendo materias dentro del alcance del sistema de gestión de compliance. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
168
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Modelos de gobierno corporati corporativo vo monistas y duales.
En muchos países, la cúspide jerárquica de una organización organización concluye concluye en su órgano de gobierno. gobierno. Son los llamados “modelos monistas” donde existe un órgano máximo de gobierno al que confluyen necesariamente el resto de órganos sociales. Otros países, como es el caso de Alemania y Francia, optan por modelos de naturaleza dual, especialmente para determinado tipo de organizaciones organizaciones,, donde la “cúspide” jerárquica no termina en un solo sol o órgano, sino en dos: uno de gestión y el otro de vigilancia. A diferencia de los modelos monistas, dicho órgano de vigilancia no está supeditado al máximo órgano de gobierno, gobierno, sino que ocupa el mismo nivel jerárquico y actúa como “contrapoder”, evitando las capacidades de gestión omnímodas que, de otro modo, corresponderían al máximo y único órgano de gobierno social. gobierno social. Con frecuencia forman parte de este órgano de supervisión –paralelo al de gobierno– ciertos grupos de interés de la organización organización,, incluyendo los representantes trabajadores. En los modelos monistas, está claro que la función de de compliance compliance terminará terminará dependiendo funcionalmente y reportando al único órgano de gobierno, gobierno, mientras en los modelos dualistas acabará haciéndolo a ambos, paralelamente. El acceso al órgano de gobierno por parte de la función de compliance compliance no solo significa fijar esa línea de información directa, sino también, organizar la elevación de informes periódicos y la eventual participación en sus reuniones (así se indica en la nota 1 de dicho apartado, que no estaba presente en el apartado 4.4 Sistema de gestión del compliance y principios de buen gobierno del estándar ISO 19600). Desde luego, no se pretende promover que la función de compliance compliance se convierta, por la vía de hecho142, en partícipe natural dey las reuniones dellos , pero sírelevantes. que tenga Como la po órgano de gobierno sibilidad de informar explicar ante él aspectos que considere se explica al tratar el apartado 5.1.1 Órgano de gobierno y alta dirección, mantenerse informado es una obligación que atañe a estas instancias y, por tanto, deben poner los medios para darle debido cumplimiento.
142 Puesto
que los requisitos del estándar deben interpretarse dentro del marco legal aplicable a la
organización
, no puede o condicionar la composición de los –como órganoselde gobierno que fije el derecho positivo. Porimponer consiguiente, cabe interpretar este requisito resto de los requisi-
tos de un estándar privado– de acuerdo con lo establecido por el marco de regulación aplicable al tipo de entidad. Véanse los comentarios adicionales que figuran en el apartado I.6.2.1 Principio de de subordinación a Ley, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 169
MAS INFORMACIÓN. “Duty of enquiry ””..
En relación con la diligencia de los administradores sociales y, en particular, el llamado “duty “duty of enquiry”, enquiry”, véanse las explicaciones que se recogen en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de este libro. • Independencia de la funci función ón de compliance compli ance . En algunos países se habla de la importancia de la autonomía y de la independencia de la función de compliance compliance como elementos característicos diferenciados. La autonomía guarda mayor relación con las capacidades operativas de la función, de modo que puedan desempeñarse proactivamente sin necesidad de mandatos o autorizaciones continuas; mientras que la independencia está más vinculada a la neutralidad de juicio, de modo que no se vea conculcado co nculcado su recto proceder por presiones funciónn de compliance complia nce puede ser de diferente índole. Desde esta perspectiva, la funció autónoma, elementos. pero no independiente y viceversa. Su eficacia precisa de ambos
EJEMPLO. Independencia, pero falta de autonomía.
La función de de compliance compliance puede puede ocupar una posición jerárquica destacada, dependiendo funcional y jerárquicamente de un órgano de gobierno que gobierno que integre un grupo nutrido de perfiles perfi les independientes. Es una garantía de que su proceder no se verá condicionado por intereses de otras funciones, áreas o colectivos, eventualmente distintos de los de compliance compliance.. Sin embargo, si su actuación está supeditada a obtener autorización previa (sea porque precisa ser mandatada, o porque necesita que le sean dispensados recursos para cada una de sus actuaciones, por ejemplo), carecerá de autonomía. EJEMPLO. Autonomía, pero falta de independencia.
La función de de compliance compliance puede puede disponer de facultades explícitas para desarrollar sus cometidos (acceso a las informaciones y a las personas que precise por motivo del ejercicio de sus competencias) e incluso un presupuesto bien dimensionado y de libre disposición (supeditado a la rendición de cuentas. Sobre este particular, véanse los comentarios en el apartado I.6.1.5 Principio de responsabilidad, responsabilidad, de este libro), pero depende jerárquica y funcionalmente funcional mente de un área o función con unos marcados intereses económicos en el corto plazo.
Tal circunstancia puede privar de emitir su opinión a dicho órgano superior, cuando es contraria a un interés i nterés cortoplacista, e incluso, temer represalias en caso de hacerlo. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
170
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
El antiguo estándar ISO 19600:2014 hacía referencia tanto a la autonomía como a la independencia de la función de compliance143, mientras que el estándar ISO 37301:2021 solo se refiere a la independencia, pero como concepto amplio que engloba al anterior. Aunque el contenido de este apartado parece referirse a aspectos vinculados con la neutralidad en la toma de decisiones 144 (independencia), el apartado A.5.1.3 La gobernanza del compliance del anexo A (informativo) Guía para el uso de este documento cita, como ejemplos, aspectos claramente encuadrables como factores de autonomía. • Autoridad y competencia de la funci función ón de compliance compl iance que, nuevamente, son aspectos que dependen del órgano de gobierno y la alta dirección : la autoridad, ubicando a la función de compliance complianc e en un lugar apropiado del organigrama, dotándole de capacidades para desarrollar su cometido y otorgándole legitimidad de forma visible; la competencia, asegurando el perfil adecuado de los integrantes de dicha función, en términos de formación y experiencia, de modo que puedan hacer buen uso de su autoridad (véase la figura 15 15). ). Acceso directo directo al órgano de gobierno
Gobernanza del compliance
Independencia (comprende autonomía)
Autoridad y competencia
Lasgarantizar claves detres un adecuado gobierno en materia deacompliance Figura 15. atraviesan por aspectos fundamentales respecto la función de compliance: acceso directo al órgano de gobierno, independencia (incluyendo autonomía) y asegurar que dispone de la autoridad y competencias precisas para ejercer su rol.
la redacción del antiguo apartado 4.4 Sistema de gestión del compliance y principios de buen gobie gobierno rno solo se refería a la “independencia” (al igual que el actual apartado 5.1.3 Gober nanza del compliance ), el antiguo apartado 5.2.1 Generalidades Generalidades (dentro del apartado 5.2 Política de compliance complia nce) sugería mencionar en ella el grado de autonomía e independencia de dicha función. 143 Aunque
144
Así parece inferirse, a primera vista, del redactado de la nota 2 de este apartado, que no estaba
presente en el apartado 4.4 Sistema de gestión del complia compliance nce y princ principios ipios de buen ggobierno obierno del estándar ISO 19600:2014. Sin embargo, el apartado A.5.1.3 La gobenanza del compliance del anexo A (informativo) Guía para el uso de este documento incluye ejemplos claramente vinculados con la libertad operativa (autonomía), tales como comunicarse con cualquier persona o persona de la organ organización ización. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 171
No cabe duda que estos aspectos aspectos de gobierno otorgan unas capacidades capacidades notables notables a la función de compliance compliance que deberá ejercer con prudencia, atendiendo a los principios que informan el estándar ISO 37301:2021 y muy especialmente al de responsabilidad en su acepción de rendición de cuentas (véase el apartado I.6.1.5 Principio de de responsabilidad, de este libro).
II.5.2. Política de compliance Aunque la política de compliance es uno de los elementos que componen el sistema de gestión, en los textos sobre compliance adquiere una dimensión especialmente relevante145. Guías internacionales de amplia difusión subrayan el rol de las políticas y procedimientos como pilares de un programa de compliance146. Por ello, como he señalado anteriormente (véase el apartado II.5.1.1 Órgano de de gobierno y alta dirección, de este libro), su establecimiento es un mandato explícito a los máximos órganos de gestión social. Por otra parte, tanto la promoción como la represión repres ión de determinadas conductas, pueden interpretarse como actos caprichosos o arbitrarios en ausencia del establecimiento previo de ciertos patrones conductuales, claros y bien comunicados.
145 Son
numerosos los textos internacionales que se refieren a la necesidad de normas internas que plasmen la voluntad de la organiz organización ación en la lucha contra conductas ilícitas y establezcan los parámetros de conducta esperados. Así, por ejemplo, la Guía de buenas prácticas para los controles Recomendaci ón OCDE internos, la deontología y la conformidad, que se localizan en el anexo II de la Recomendación para fortalecer la lucha contra el cohecho, c ohecho, de 26 de noviembre de 2009, establece la necesidad de “una política interna claramente formulada y visible por la que se prohíbe la corrupción transnacional” (numeral 2 de su apartado A). En los estándares ISO sobre complia compliance nce, la necesidad de una políti política ca forma además parte de los condicionantes de la HLS. distinción entre políticas y el resto de procedimientos se aprecia claramente en textos reconocidos a nivel internacional. La Reso Resource urce Guide to the US Foreign Corr Corrupt upt Prac Practice ticess Act publicada publicada por el Department of Justice and the Enforcement Division of the US Securities and Exchange Commission, el 14 de noviembre de 2012, hace referencia, no solo al Código de Conducta, sino también, a las políti políticas cas de compliance (apartado Corporate Compliance Program en su p. 57). Lo mismo sucede en la Guidance about procedures which relevant comercial organisations can put into place to prevent persons associated with them from bribing (Section 9 of the Bribery A Act, ct, 2010), publicada por el Ministry of Justice británico en marzo de 2011, cuando señala que el término “ procedures ” 146 La
engloba tanto las políticas como los procedimientos , en sentido estricto, para darles cumplimiento. El indicado término “ procedures ”, en la interpretación extendida que realiza el documento, sería equivalente a los “ standards and and procedur procedures es” que se citan en el Guidelines Manual de la US Sentencing Commission , vinculados al establecimiento de parámetros conductuales. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
172
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
compli ance resume y aglutina los contenidos que antes El apartado 5.2 Política de compliance aparecían indicados en los apartados 5.2.1 Generalidades y 5.2.2 Desarrollo del antiguo estándar ISO 19600:2014. En este proceso de racionalización y adecuación a un entorno certificable, una parte de su texto pasa a ubicarse en el apartado A.5.2 Política Política de compliance compliance del anexo A (informativo) Guía para el uso de este documento. Se privan así de contenido normativo algunas indicaciones indicaciones que, siendo buenas prácticas, podían tener difícil encaje como exigencias en un MSS de tipo A (certificable) como, por ejemplo, someter la política a consultas con los trabajadores. La polít política ica indicada en este apartado enmarca la voluntad y el compromiso de la organizaci orga nización ón con el compli compliance ance . Es un documento que denota su intencionalidad, manifestada a través sus máximas instancias de gestión social: por este motivo, su fijación constituye un mandato directo al órgano de gobierno y la alta dirección.
EJEMPLO. Aprobación formal de la política de compliance La operativa de los órganos de gestión social más elevados suele someterse a determinadas formalidades legales, para dejar constancia constanc ia de las decisiones adoptadas. La aprobación o la modificación de la política de de compliance compliance precisarán haberlas contemplado, lo que normalmente dará lugar a la formalización de un acuerdo del órgano de gobierno en gobierno en tal sentido, que quedará reflejado en acta correspondiente dentro de los libros y los registros oficiales de la organización organización..
MÁS INFORMACIÓN. Formalización de los pilares esenciales del sistema de gestión.
En relación con la formalización, no solo de la política de de compliance compliance sino sino de otros elementos clave que conforman el sistema el sistema de gestión y gestión y muestran el compromiso del órgano de gobierno y gobierno y de la alta dirección en dirección en esta esfera, véanse los comentarios y los ejemplos que figuran en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro.
compliance atendiendo a: Este apartado explica la política de compliance • Cuestiones a considerar por el órgano de d e gobi gobierno erno y alta dirección dire cción a la hora de formularla y aprobarla.
formularla y aprobarla. • Aspectos que condicionan su contenido. • Materias relacionadas relacionadas con su custodia y comunicación. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 173
Aspectos a considerar por el órgano de gobierno y la alta dirección • Como consecuencia de la aplicación de lo establecido en el capítulo 4 Contexto de la organización (véase el capítulo II.4 Contexto de la organización, de este libro) del estándar ISO 37301:2021, e igualmente relacionado con una correcta aplicación del principio de proporcionalidad (consúltese el apartado proporcionalidad cionalidad, de este libro) y un enfoque basado en el I.6.1.2 Principio de propor riesgo (consúltese el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro), la política de compliance debería ser apropiada al objeto de la organización.
política ica ceñida a sus A CONSIDERAR. Cada organización necesita una polít circunstancias. Aunquee el cont Aunqu contenid enidoo de la política de compliance compliance está está establecido en el estándar ISO 37301:2021, su adaptación concreta a las circunstancias internas y externas de cada organización organización dará dará lugar a textos muy variados. Así, tanto el nivel de desarrollo de los contenidos como la forma de expresarlos pueden ser sustancialmente distintos entre organizaciones organizaciones,, a pesar de que todos los documentos cubran los requisitos requisitos contemplados contemplados en el apartado 5.2 Política de compliance.. compliance A CONSIDERAR. CONSIDERAR. El idioma y el lenguaje de las políticas.
La existencia de políticas políticas –incluida –incluida la de compliance compliance–– en las organizaciones organizaciones no no constituye un requisito puramente formal, sino que busca difundir con claridad la voluntad de la organización organización y y los patrones de conducta conducta derivados derivados de ella. La mera existencia de políticas políticas es es completamente estéril, si no son conocidas y respetadas por sus destinatarios. En ocasiones, esto no sucede por diversos motivos, incluyendo su redacción en un idioma o lenguaje alejados al del lector medio. Es un error frecuente redactar políticas políticas complejas, complejas, repletas de tecnicismos, si sus destinatarios no están preparados para leerlas y comprenderlas correctamente. En ocasiones, estas dinámicas se generan con el afán de ofrecer una imagen profesional ante las autoridades o el público en general. Las Administraciones Públicas son cada vez más más críticas con documentos complejos que interpretan distantes a sus usuarios y, por tanto, ineficaces.
A CONSIDERAR. CONSIDERAR. El tiempo verbal de la política. La política de compliance compliance –como –como la mayor parte de políticas políticas en en las organizaciones–– no son meras declaraciones de intenciones o programas de actuación ciones futura, sino textos con dimensión normativa desde el momento de su aprobación Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
174
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
y difusión. Por tanto, su articulado no suele abusar de tiempos verbales futuros (“la organización organización designará…”, designará…”, “se establecerán los cometidos de…”, etc.), empleando los presentes (“la organización organización designa…”, designa…”, “se establece…”, etc.). • La política de compliance debe configurar un marco apropiado para la determinación de los objetivos de compliance de la organización. Algunas declaraciones comtípicas de estos documentos (la tolerancia cero a los no cumplimientos de com pliance , por ejemplo) suelen interpretarse como objetivos de complian compliance ce. En verdad, más bien conforman el marco marco para su su establecimiento, establecimiento, que el estándar ISO 37301:2021 configura como una de las actividades a planificar, en el apartado 6.2 Objetivos de compliance y planificación para lograrlos, del capítulo 6 Planificación. En líneas generales, este marco para la fijación de objetivos obj etivos estará determinado por declaraciones de la voluntad de la organiz organización ación dotadas de estabilidad espaciotemporal147, que permitirán fijar periódicamente objetivos sin necesidad de modificar constantemente la política de compliance compliance148.
A CONSIDERAR. CONSIDERAR. Política de compliance y objetivos de compliance.
Al igual que las organizaciones organizaciones preparan preparan sus objetivos objetivos comerciales, comerciales, financieros, etc. (normalmente, con periodicidad anual y dentro de la planificación presupuestaria que antecede a cada ejercicio social), también es razonable pensar en la necesidad de fijar igualmente los objetivos objetivos de de compliance compliance:: así lo determina el apartado 6.2 Objetivos de compliance y planificación para lograrlos,, del estándar ISO 37301:2021. Sin embargo, el establecimiento de estos los objetivos,, tanto estratégicos como tácticos u operativos, debe situarse dentro objetivos del marco que determina la política de de compliance compliance.. Figurarán en ella aspectos fundamentales, dotados de la estabilidad espaciotemporal, como pueden ser la tolerancia a los noética cumplimientos dea compliance compliance, la búsqueda de la excelencia encero una cultura y de respetode las normas,, etc.
147 La estabilidad espacial se refiere a disminuir la necesidad de modificar el contenido de los
documentos en virtud de las geografías en donde vaya a aplicarse. La temporal se refiere a disminuir la necesidad de modificar dicho contenido en periodos cortos de tiempo. Es aconsejable que los documentos estratégicos o generales de compliance , como esta política, garanticen una estabilidad suficiente que permita asentar sus contenidos. Por el contrario, otros documentos derivados sí precisan de su variación frecuente para adaptarse a circunstancias concretas conc retas del entorno y tiempo, dentro del marco estratégico o general previamente definido. 148 Puesto que los objetivos que indica el apartado 6.2 Objetivos de compliance y y planificación planifica ción para han de ser medibles y objeto de seguimiento, su nivel de concreción es mayor que las
lograrlos declaraciones estratégicas que fija la política de compliance compliance como marco interpretativo general. Estos objetivos detallados evolucionarán con el transcurso del tiempo para adaptarse a las necesidades de la organización y reducir en lo posible el riesgo residual en los diferentes ámbitos de proyección del sistema de gestión de compliance . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 175
MÁS INFORMACIÓN. Objetivos de compliance estratégicos y tácticos u operativos.
En relación, tanto con el marco de fijación de objetivos objetivos de de compliance compliance como como con los objetivos objetivos estratégicos, estratégicos, tácticos u operativos que se derivan de él, véanse las explicaciones del apartado II.6.2 Objetivos de compliance y planificación para lograrlos,, de este libro. lograrlos • Las obl obliga igacicione oness de compli co mplianc ancee incluyen, tanto las que la or organ ganiza izació ciónn debe cumplir como aquellas otras que elige voluntariamente cumplir149. La polític políticaa organización ción con observar estos de compliance establecerá el compromiso de la organiza dos conjuntos. Con independencia de esta manifestación general, se hará referencia refer encia especial a las vinculadas v inculadas con los “principales” “ principales” ries riesgos gos de compliance compli ance, según determina el apartado 4.3. Determinación del alcance del sistema de gestión del compliance co mpliance 150.
A CONS CONSIDER IDERAR. AR. Con Concrec creción ión de las obligaciones de compliance en la política de compliance.
El apartado 4.3. Determinación del alcance del sistema de gestión del compliance comp liance apunta que debe proyectarse sobre los “principales” riesgos riesgos de de compliance compliance que que afronta la organización organización,, que no son necesariamente todos. Puesto que la política de compliance compliance plasmará plasmará el compromiso de la organización organización con con el cumplimiento de las obligaciones de compliance, compliance, es un buen lugar para concretarlas, en el contexto de la delimitación el alcance del sistema del sistema de ge gestión stión (y (y,, por consiguiente, consigu iente, de la política de de compliance compliance),), incluyendo su perímetro técnico. De este modo, la política de de compliance compliance puede puede contener una declaración general acerca del compromiso dearespetar todas las obligaciones las y obligaciones de comde pliance que pliance que resulten de aplicación la organización organización y sus actividades; pero también, una concreción de aquellas sobre las que se proyecta el sist el sistema ema ddee gestión,, por su nivel de criticidad –capacidad de conformar riesgos gestión riesgos “princi “principales”–. Puesto que tanto los “principales” riesgos riesgos como como las obligaciones de
diferencia de su precedente ISO 19600:2014, el estándar ISO 37301:2021 no define “Com pliance requirement requiremen t ” y “Compliance committment ”, ”, aunque mantiene esta diferencia conceptual concept ual en la definición de “Compliance obligation”. Sobre esta materia, véanse los comentarios en el apartado II.3.25 Obligaciones de compliance complia nce, así como los que figuran en el apartado I.5.2 Las dos fuentes fuentes 149 A
de obligacione obli gacioness de ccomplianc ompliancee, ambos de este libro. 150 Por
tanto, se incluye la determinación de los grupos de obligaciones obligaci ones que provocan una mayor exposición a riesgo s de compli compliance ance . Sobre este particular, véanse los comentarios en el apartado II.4.3 Determinación del alcance de dell sistema de gestión del co compliance mpliance, de este libro. li bro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
176
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
compliance vinculadas con ellos pueden agruparse por materias, es posible compliance vinculadas hacer referencia a los bloques concretos que delimitan el perímetro técnico del siste del sistema ma de gesti gestión ón.. Así, por ejemplo, son grupos comunes los referentes a la prevención de conductas penales (de la corrupción o del blanqueo de capitales, en particular), la defensa de la privacidad (incluyendo la protección de datos personal personales), es), la defensa de la competencia, la regulación específica del sector o actividad, etc. sistem temaa de ges gestió tiónn de compliance. MÁS INFORMACIÓN. Perímetro técnico del sis En relación con el perímetro técnico del sistema del sistema de gestión gestión d dee compliance compliance,, véanse las explicaciones y los ejemplos que se incluyen en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro.
• Puesto el siste de d ecircunstancias sino dinámico, sistema de gesti gestión compliance compli ance nodeeslaestático, debe serque capaz de ma adaptarse aónlas organización organiza ción y mejorar continuamente. La política de compliance hará referencia a este proceso, alineado con las exigencias del capítulo 10 Mejora.
EJEMPLO. Revisiones planificadas y sobrevenidas.
El sistema El sistema de gestión de gestión de compliance compliance y y la política de compliance compliance como como elemento destacado en su seno, deben ceñirse a las circunstancias de cada organización organización.. Como se explica al inicio del apartado II.4 Contexto de la organización, organización, de este libro, el modo habitual de hacerlo es considerando dos tipos de revisiones: • Las planificadas, que se desarrollan sistemáticamente cada cierto tiempo, aunaun que no se haya producido ningún cambio en la organización organización o o en su entorno. • Las sobrevenidas, que se llevan a cabo cuando se produce un cambio en las circunstancias internas o externas de la organización organización,, o cuando se produce un incidente en materia de compliance compliance.. La política de compliance compliance apunta apunta la importancia de mejorar continuamente el sistemaa de gestió sistem gestiónn y puede hacer referencia a este tipo de revisiones o a los documentos donde se establezcan. gestión estión. MAS INFORMACIÓN. Mejora continua y revisiones del sistema de g Acerca de la lass rrevisiones evisiones tanto planificada planificadass co como mo ssobrevenidas obrevenidas del del sistema sistema de
gestión dee compliance gestión d compliance,, véanse los comentarios y los ejemplos contenidos al inicio del apartado II.4 Contexto de la organización y organización y que se reproducen en el apartado II.5.3.2 Función de de compliance compliance,, ambos de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 177
Condicionantes de su contenido • La polí política tica de compliance guarda consistencia con el conjunto de valores val ores y patrones de conducta de la organi organización zación, incluyendo los que se citan en los apartados 4.4 Sistema de gestión del compliance y 5.1.2 Cultura de compliance. Esto produce una alineación natural del contenido de la pol polític íticaa de com compli plianc ancee con los valores, obj objetiv etivos os y estrategia de la organización, como también exige el estándar en el apartado 5.1.1 Órgano de gobierno y alta dirección del estándar ISO 37301:2021. • Igualmente, la política de compliance debe contener una llamada general al cum obligaciones ciones de compliance compliance. El estándar no precisa los destinatarios plimiento de las obliga de este mandato, que serán, por tanto, el personal y aquellas terceras partes a las que se pueda exigir el cumplimiento con sus contenidos.
MÁS INFORMACIÓN. Ámbito de aplicación de la política de compliance.
El de la política dese compliance guardará compliance guardará consistencia del sistema del sistema dealcance gestión dentro gestión dentro del cual integra. Por consiguiente, véansecon las el explicaciones y los ejemplos que se incluyen en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro. Los principios que se indican en el apartado 5.1.3 Gobernanza del compliance estarán presentes en la política de compliance. Por tanto, dejará claro que: • La función de compliance compliance disfruta de acceso directo al órgano de gobierno. • Está dotada de independencia independencia para desarrollar desarrollar su cometido. cometido. • Goza, además, de la autoridad y facultades neces necesarias arias a tales efectos.
MÁS INFORMACIÓN. Designación y empoderamiento de la función de compliance.
En relación con los aspectos clave de gobierno que deben quedar reflejados en la política de compliance compliance,, véanse los comentarios y los ejemplos recogidos en el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro. Igualmente, en cuanto a la designación formal de la función de de compliance compliance y y cómo dichos factores quedan reflejados en las formalidades asociadas con ese acto, véanse los comentarios y los ejemplos del apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, también de este libro. • La pol polítítica ica de co compl mplian iance ce , como documento que plasma la voluntad de la
organizació organi zaciónn, podría interpretarse como wishf wishful ul thinking si no se establecie
ran medidas organizativas que asegurasen su efectiva aplicación. Por ello, es habitual en compli compliance ance que toda norma con mandatos (incluidos parámetros conductuales conduc tuales) indique también el órgano que vela para darles aplicación. En Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
178
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
políticaa de compli compliance ance hará referencia a la funció funciónn de compliance compli ance este sentido, la polític y la describirá. A CONSIDERAR. Descripción de la función de compliance en la política de compliance.
Que la política de compliance compliance haga haga referencia a la función de de compliance compliance,, no significa que realice un establecimien establecimiento to exhaustivo de la misma, aspecto más propio de otros documentos organizativos. Sin embargo, es importante que el destinatario de la política política adquiera adquiera conciencia de su existencia mediante una descripción que bien puede consistir en explicar su composición, dependencia, cometido esencial y localización.
EN BUSCA DE LA EXCELENCIA. Acceso a informaciones, personas y documentos.
Dentro de la descripción de la función de de compliance compliance,, puede indicarse que los destinatarios de la política política tienen tienen el deber de colaborar con ella, facilitando inmediatamente las informaciones, los documentos o el acceso a las personas que precise con motivo del ejercicio de sus cometidos. Aunque este mandato puede igualmente recogerse en otros lugares (por ejemplo, en el acuerdo del órgano de gobierno designando gobierno designando la función de compliance), compliance), su plasmación en la política política contribuye a su conocimiento general. • Fijar la voluntad de la organización y los parámetros conductuales es necesario, pero Procede Procede señalar las de medidas organizativas adoptadas, así comono lassuficiente. consecuencias que se derivan no observar las obligaciones de com com pliance o las políticas, los procesos y los procedimientos relacionados con ellos. Es decir,, se señalarán las decir l as consecuencias que produce, tanto un no cumplimiento de compliance como una no conformidad (véase la distinción en el apartado I.5.3 Las no conformidades y los no cumpl cumplimientos imientos de comp compliance liance, de este libro). l ibro). Aunque podría pensarse que es un aviso dirigido al personal , en verdad, la política de compliance puede estar a disposición de terceras partes, según señala este mismo apartado más adelante. En la medida que puede resultar exigible a ambos colectivos, conviene también recoger las consecuencias que derivadas para estos dos grupos de destinatarios.
EJEMPLO. Elenco de medidas disciplinarias para el personal.
La política de compliance compliance puede puede hacer referencia al marco jurídico-laboral de aplicación, comprendiendo no solo normas legales, sino también, las disposiciones Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 179
específicas derivadas de la negociación colectiva. Aplicará ante no conformidades conformidades como no cumplimientos de de compliance compliance.. Cuando el marco jurídico-laboral lo permite, la organización organización puede puede plantearse disponer de un capítulo especial o desarrollar el régimen sancionador en materia de compliance compliance.. No obstante, en ordenamientos jurídicos que brindan al Derecho laboral un marcado carácter tuitivo respecto a los derechos de los trabajadores, puede resultar complejo implementar regímenes sancionadores ad hoc. hoc. Con independencia de lo anterior, es importante que el personal personal adquiera adquiera conciencia de que también puede ser objeto de acciones de carácter civil o incluso penal, en virtud de la naturaleza de sus no cumplimientos de de compliance compliance (incluso (incluso de medidas de carácter administrativo en entidades sujetas total o parcialmente a Derecho público).
A CONSIDERAR. CONSIDERAR. Modelos de incentivos y correctivos. La política de compliance compliance debe debe reflejar las “consecuencias” de no observar las obligaciones de compliance o compliance o las políticas políticas,, los procesos procesos y y los procedimientos procedimientos establecidos a tales efectos. Aunque Au nque se asocia este requisito requisito con con la determinac determinación ión de un régimen sancionador, en verdad las “consecuencias” pueden ser de índole variada, incluidas las que no tienen necesariamente naturaleza sancionadora en términos laborales y que van desde la reducción o la privación de ventajas otorgadas voluntariamente por la organización organización y y las no consolidadas (bonus ( bonus re retributivo por encima de los parámetros legales exigibles), hasta la obligatoriedad de asistir a ciclos de formación adicionales o formar parte de un programa de mentoring,, por ejemplo. mentoring
Aunq Aunque ue este apar apartado tado del de está estándar ndar ISO 3730 37301:20 1:2021 21cumplimientos hace refe referenc rencia ia acomlas “consecuencias” “consecuencias ” derivadas no conformidades conformidades y y no de de pliance,, también cabe reflexionar sobre la conveniencia de otorgar incentivos pliance para aquellas personas o colectivos que muestren conductas ejemplares, haciéndolos acreedores de beneficios no interpretables en clave de discriminación hacia otros colectivos. EJEMPLO. Elenco de medidas disciplinarias para terceras partes.
En la medida en que la política de compliance compliance puede puede ser de aplicación a terceras partes, también debería contemplar las consecuencias que pueden darse para ellos ante casos de no conformidades o conformidades o no cumplimientos de de compliance compliance..
No serán de carácter jurídico-laboral sino civil o mercantil (eventualmente, de carácter administrativo, en caso de organizaciones organizaciones total total o parcialmente sujetas de Derecho público). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
180
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Principio de vinculación míni mínima. ma.
El principio de vinculación mínima declara que nadie puede quedar vinculado por el contenido de un documento respecto al cual no ha manifestado su consentimiento. La política de de compliance compliance es es una norma privada de la organización organización y, por tanto, su efectividad legal frente a terceras partes se ve afectada por este principio. En el caso de que su contenido pretenda exigirse a terceros, conviene reflexionar sobre el modo en que manifestarán su voluntad de acatar sus contenidos. Normalmente, esto se consigue haciendo pública la política (en la página web externa de la organización organización,, por ejemplo) e introduciendo en las cláusulas contractuales con mención explícita al deber de observar los mismos o valores análogos a los publicitados en dicho documento, asumiendo las consecuencias de no hacerlo (la suspensión o incluso, i ncluso, la terminación de la relación contractual). Es una solución que también se aplica a otros textos susceptibles de afectar a terceras partes,, incluyendo el propio código ético o de conducta de la organización partes organización.. Sobre el modo práctico de aplicar el principio de transparencia (en relación con esta materia, véanse comentarios en el apartado I.6.1.4 Principio transparencia transparencia, de este libro) quelosreconoce el estándar ISO 37301:2021 en estedeámbito; véanse, los comentarios y los ejemplos contenidos bajo el titular “Condicionantes “ Condicionantes de su contenido”” más adelante, en este mismo apartado. contenido • De un tiempo a esta esta parte se ha visto la importancia de incentivar el uso de cacanales para el planteamiento de inquietudes e irregularidades, así como de dotar de un estatuto de protección a sus usuarios de buena fe. La “ Directiva europea de protección protección al de denunci nunciante ante”151 es buena prueba de ello. ell o. El antiguo estándar ISO política ica 19600:2014 no se refería a esta materia como contenido necesario en la polít de complian compliance ce, como sí lo hace ahora el estándar ISO 37301:2021, además de establecer unas indicaciones básicas en su apartado 8.3 Plant eamiento to de inq inquieuietudes. Por tanto, la política de complia compliance nce hará mención Planteamien expresa y motivará este tipo de comunicaciones, prohibiendo cualquier forma de represalia.
MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.
En relación con los canales dispuestos por la organización organización para para el planteamiento de inquietudes (que incluyen los que son conocidos comúnmente como “canales de denuncia”), así como sobre el estatuto de protección al denunciante de buena fe, véanse los comentarios y los ejemplos que se recogen en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.
151 Directiva
(UE) 2019/1937 del Parlamen Parlamento to Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 181
• La política de compliance es un elemento importante del sistema de gestión, yy,, por po r eso, no solo debe constar escrita y como información documentada (véanse los comentarios al concepto de Información documentada en el apartado II.3.10. II.3.10. Información documentada, de este libro. También los comentarios al apartado 7.5 Información documentada del estándar ISO 37301:2021 que figuran, bajo este mismo título, en el apartado II.7.5 Información documentad documentadaa, de este libro), sino estar redactada en un lenguaje asequible a sus destinatarios (tanto para el personal como a eventuales terceras partes). No es solo una cuestión de idioma, sino también, de redacción. Recordemos que el personal se debe adherir a las políticas de compliance que le afecten (véanse los comentarios que se recogen en el apartado II.5.3.4 Personal Personal, de este libro).
EN BUSCA DE LA EXCELENCIA. Soporte que facilite la comprensión de los mensajes escritos.
La mejor política política,, incluyendo la general acerca de compliance compliance,, no es la más extensa, sino la que se comprende mejor y facilita su cumplimiento. Esto supone adecuar el idioma y el lenguaje a los destinatarios, así como recurrir a técnicas que faciliten su entendimiento como ejemplos, gráficos, citas y otros recursos. Como en la mayoría de aspectos del compliance compliance,, el fondo prima sobre la forma.
• Los contenidos de la política de compliance no constituyen un mero requisi requisito to formal, sino que deben implementarse y hacerse cumplir. Además de explicitar la ante es y no conf ormidad conformidad cumplimientos de compliance su reacción contenidoinmediata será objeto de no desarrollo en otros documentos internos y formará, parte de las actividades de gestión o supervisión de otros sujetos. Cuanto está dicho en la política de compliance debería venir refrendado por evidencias que acrediten su aplicación práctica.
A CONSIDERAR. CONSIDERAR. Punto de especial interés para llas as autoridades.
Disponer de un siste un sistema ma de gest gestión ión de compliance compliance no no constituye un requisito un requisito jurídico-formal del que deriven per se consecuencias se consecuencias legales provechosas para la organización organización.. Estas solo acontecen cuando de su aplicación práctica, se constata la voluntad de la organización organización por por establecer o mantener una cultura ética
y de respeto a las normas. Como consecuencia de acreditar tal circunstancia, se pueden derivar ventajas legales para la organización organización,, como son la mitigación de su responsabilidad legal o incluso, su exoneración, según disponga el marco jurídico de aplicación. En relación con esto, las autoridades de algunos países Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
182
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
publican directrices para evaluar el nivel de aplicación práctico de los modelos de compliance152. Por consiguiente, la organización organización tiene tiene que estar en disposición de acreditar la aplicación de tendrán cuanto está indicado en su política de compliance compliance. . La mayoría deefectiva requisitos tendrán requisitos la forma de información documentada documentada, , lo que facilitará su prueba dentro y fuera de juicio. MÁS INFORMACIÓN. Importancia de la información documentada a efectos de prueba.
Una gran parte del desarrollo de los contenidos de lo establecido en la política de compliance compliance dará dará lugar a evidencias soportadas en calidad de información documentada.. Véanse los comentarios a dicho concepto en el apartado II.3.10 documentada Información documentada, documentada, de este libro. También los comentarios al apartado 7.5 Información documentada del documentada del estándar ISO 37301:2021, que figuran en el apartado II.7.5 Información documentada documentada,, de este libro. Igualmente, y a efectos prácticos, puede consultarse el anexo I Información documentada, documentada, de este libro.
Materias relacionadas con su custodia y comunicación • La política de compliance estará a disposición de quien pueda precisar conocerla en calidad de información documentada (véanse los comentarios al concepto de Información documentada en el apartado II.3.10 Información documentada d ocumentada, de este libro y también, los comentarios al apartado 7.5 Información documentada del estándar ISO 37301:2021, que figuran en el apartado II.7.5 Información Información documentada , de este libro).
EJEMPLO. Un documento perfectamente trazable.
Como otros muchos documentos a los que el estándar ISO 37301:2021 exige la condición de información documentada, documentada, la política de compliance compliance debe debe ser un documento del cual se pueda conocer fácilmente su versión vigente, tener garantías de que su contenido no ha sido alterado, así como la trazabilidad de los cambios producidos en el mismo.
Department of Justice-Criminal Division. Evaluation of Cor Corporate porate Compliance Programs, Gui dance Docume Document, nt, junio 2020. Véanse, en particular particular,, los contenidos de la Sección II Is the Corpora Corporation tion’s’s Compliance Program Adequately Resourced and Empowered to Function Effectively? y también de la Sección III Does the Corporation’s Compliance Program Work Work in Practice? 152 US
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 183
MÁS INFORMACIÓN. Cajetín con información esencial de las normas.
En relación con las informaciones que permiten identificar un documento en calidad de información documentada, véanse las explicaciones y los l os ejemplos que se exponen en el apartado II.7.5.2 Creación y actualización de la información documentada,, de este libro. Allí figura la configuración esencial del cajetín que documentada suelen incorporar muchas organizaciones organizaciones a a sus normas (políticas (políticas y y procedimientos) para su fácil identificación. • La polít política ica de compli compliance ance se comunicará dentro de la orga organizaci nización ón, de modo que el personal pueda adquirir conciencia de su existencia y conocer, conocer, no solo el compromiso de la organización con el compliance , sino las medidas organizativas establecidas para darle eficacia y su marco conductual, de derechos y de obligaciones.
EJEMPLO. El “ welcome pack ”. ”. Es una medida habitual facilitar a las nuevas incorporaciones un conjunto de documentos relevantes de la organización organización,, entre los cuales figura su código ético o de conducta y otras políticas políticas clave clave (la política de compliance compliance,, por ejemplo). Un procedimiento análogo se emplea respecto a personas que promocionan a posiciones donde es importante que adquieran conciencia de determinadas políticas en políticas en particular.
MÁS INFORMACIÓN. Entrega o puesta a disposición de documentos en el proceso de empleo.
En relación con la entrega o puesta a disposición de documentos –incluidas políticas clave– ticas clave– en el proceso proceso de de incorporación de personal personal,, véanse las explicaciones que figuran en el apartado II.7.2.2 Proceso de empleo, empleo, de este libro. EN BUSCA DE LA EXCELENCIA. Documentación previa a iniciar la relación laboral.
Aunque alguna algunass organizaciones organizaciones entregan entregan el llamado “welcome “welcome pack” pack” dentro de los primeros días en que se incorpora la persona a la organización organización,, una vez formalizado su vínculo jurídico con la misma (habitualmente de naturaleza laboral), puede ser oportuno hacer entrega de estos documentos antes de dicho momento. Aunque muchos ordenamientos reconocen las capacidades jurídicas
de los empleadores para facilitar e imponer directrices internas de trabajo, no debemos olvidar que algunas de ellas, especialmente las relacionadas con compliance,, tienen una dimensión ética o moral que no tiene por qué coincidir compliance necesariamente con la del candidato. Parece razonable facilitarle antes el marco Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
184
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
de valores de la organización organización y y las principales políticas políticas en en que deriva, de modo que pueda facilitar su consentimiento consentimien to a vincularse con la organización organización de de manera informada. Si alguno de los textos contiene información confidencial o secreta, será entonces razonable diferir su entrega a un momento posterior posterior.. EJEMPLO. Declaraciones de conformidad.
Las políticas políticas internas internas de las organizaciones organizaciones fijan fijan parámetros de conducta que conviene recordar cada cierto tiempo. En ocasiones, la entrega del “welcome “ welcome pack”” lleva aparejada la firma de un “recibí” por parte de sus receptores. Tampack bién es frecuente que se encuentren accesibles en alguna localización común (en la intranet de la organización organización,, por ejemplo). Sin embargo, estas medidas no garantizan que vayan a recordarse. Las declaraciones de conformidad son procesos procesos que que se repiten periódicamente, a través de los cuales los destinatarios de determinadas políticas políticas y y procedimientos procedimientos clave declaran el conocimiento de las mismas. Sobre estas declaraciones cabe señalar: • Pueden cursarse por medios tradicionales (firma en soporte papel) pero también a través de medios telemáticos, siempre que se garantice que todos los destinatarios di ponen de posibilidad de acceso y la trazabilidad de los firmantes. • Cuando se cursan de manera telemática, es provechoso y poco costoso adjuntar un enlace a la política política cuya cuya declaración de conformidad se solicita, de forma que el destinatario pueda consultarla. • No son necesariamente iguales para todo el personal personal,, dado que las políticas que ticas que les afectan pueden no ser coincidentes. Con gran probabilidad, existirá unaético parteo común en estaspor declaraciones de conformidad al código de conducta, ejemplo) y otra parte distinta(referente en virtud de las políticas políticas que, que, por motivo de especialidad, afectan a diferentes grupos de destinatarios. • La periodicidad de las declaraciones de conformidad es variable, en virtud del índice de rotación del personal personal.. Pero se considera una buena práctica ejecutarlas, como mínimo, de manera anual. Dependiendo del riesgo riesgo en en el sector de actividad, pueden establecerse ciclos de conformidad más cortos para generar con ello un estado continuo de alerta y conciencia general. • En líneas generales, bastantes ordenamie ordenamientos ntos jurídicos no reconocen como infracción laboral sancionable la falta de conformidad formal del personal personal con algunas políticas políticas,, que no vienen obligadas por la legislación o las auto-
ridades. Sin embargo, desde la perspectiva de compliance compliance es es muy interesante el seguimiento el seguimiento de de las personas no han manifestado su conformidad respecto a las políticas políticas que que les afectan, para valorar hasta qué punto esto supone un riesgo y riesgo y sugerir las acciones correctivas oportunas. correctivas oportunas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 185
• Al destinatario de la declaración de conformidad se le pueden solicitar varios niveles acumulativos de conocimiento de la política o políticas políticas:: (i) Que ssee le ha he hecho cho eentrega ntrega de la misma o que se eencuentra ncuentra a su disposición.
(ii) Que ha leído su contenido y está conforme con él. (iii) Que se compromete a observar su contenido. (iv) Que, en caso de duda o cuando detecte no conformidades o conformidades o no cumplimientos de de compliance compliance relativos relativos a la misma, lo comunicará inmediatamente a través de los medios puestos a su disposición, incluyendo el canal para el planteamiento de inquietudes. En relación con este último mecanismo, véanse los cometarios y ejemplos contenidos en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.
MÁS INFORMACIÓN. Obligación del personal de adherirse a las políticas de compliance. En relación de la obligación del personal personal de de adherirse a las obligaciones de de compliance,, así como a los procesos compliance procesos,, políticas políticas y y procedimientos procedimientos relacionados relacionados con ellas, véanse las explicaciones que figuran en los apartados II.5.3.4. Personal Personal y y II.7.2.2 Proceso de empleo, empleo, ambos de este libro.
MÁS INFORMACIÓN. Política de compliance, ciclos de formación y acciones de concienciación.
La existencia de la política de compliance compliance,, junto con otras políticas políticas y y procedimientos clave dimientos clave de la organización organización,, debe ser objeto de difusión y refresco a través de los ciclos de formación y las acciones para la toma de conciencia que establece el estándar ISO 37301:2021. En relación con ambas materias, véanse los comentarios en los apartados II.7.2.3 Formación Formación y y II.7.3 Toma de conciencia,, ambos de este libro. conciencia • La política de compliance, estará a disposición de terceros, en la medida que el vínculo con ellos así lo aconseje o precise.
EJEMPLO. Publicidad externa.
El principio de transparencia (en relación con esta materia, véanse los comentarios en el apartado I.6.1.4 apartado I.6.1.4 Principio de transparencia, transparencia, de este libro) es uno
de los que el estándar ISO 37301:2021 cita expresamente. Normalmente, las actitudes contrarias a la cultura de de compliance compliance se se desenvuelven en la opacidad, o pacidad, mientras que las correctas se transmiten abiertamente a las partes interesadas. interesadas. Esto no significa que toda la información sobre compliance compliance deba deba publicitarse, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
186
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
pero sí la que no revista carácter confidencial y refuerce el compromiso con el mantenimiento de conductas éticas y alineadas con las normas. En este contexto se entiende la conveniencia de que la política de compliance compliance no esté con a disposición del personal personal, sino también, de terceras partes Estasolamente política,, junto política otros documentos que ,evidencian el buen gobiernopartes. de la. organización,, puede encuadrarse en la página web externa de la organización organización organización.. Es más, en la medida que su contenido resulte de aplicación a terceras partes, partes, puede hacerse referencia a la misma en las eventuales cláusulas contractuales acordadas con ellas. Sobre este particular, véanse los comentarios relativos al principio de vinculación mínima contenidos en el titular anterior “Condicionantes de su contenido”, contenido”, dentro de este mismo apartado. EN BUSCA DE LA EXCELENCIA. Intranet y página web externa.
Las organizaciones organizaciones comprometidas comprometidas con una gestión responsable publicitan aquellas políticas políticas que que traslucen sus valores, no solo dentro de la organización organización,, sino también, fuera de ella. Forma parte del principio de transparencia citado anteriormente (véase el apartado I.6.1.4 Principio de transparencia, transparencia, de este libro). A nivel interno, constituye constit uye una buena práctica disponer de una página web dedicada a compliance compliance,, con una serie de contenidos esenciales: • Descripción de los cometidos de la función de de compliance compliance y y los documentos donde se localizan. Se hace especial mención a la obligación de colaborar con ella. • Identificación del responsable o los responsables de la función de compliance, compliance, con indicación de su ubicación y el modo de ponerse en contacto directo con ellos. • Descripción de las responsabilidades de compliance compliance para para las personas de la organización y organización y los documentos donde se localizan. • Árbol de políticas políticas y y procedimientos procedimientos esenciales esenciales de compliance compliance,, brindando acceso al contenido de los mismos para consultas. • Información sobre el canal para el planteamiento de inquietudes y acceso al mismo. Los sites corporativos Los sites corporativos tanto internos como externos, son también un buen lugar para difundir las comunicaciones de compliance compliance,, según se explica con ejemplos en el apartado II.7.4 Comunicación Comunicación,, de este libro. A nivel externo, normalmente no es preciso ddifundir ifundir la totalidad de políticas políticas,, procedimientos y cedimientos y demás informaciones o comunicaciones de compliance compliance,, pero sobre
la base de la página websuprimiendo interna (en la intranet) seexcesivamente puede construir fácilmente externa, básicamente contenidos técnicos (por ejemplo, políticas políticas y y procedimientos procedimientos muy muy específicos), e información confidencial (véanse las figuras 16 16,, 17 17 y y 18 18).). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 187
Documento descriptivo del sistema de gestión
Política general de compliance
1. Introducción 2. Objeto 3. Campo de aplicación 4. Compromiso con el el compliance compliance 4.1. Órgano de gobierno 4.2. Alta dirección 4.3. Dirección 4.4. Todo el personal el personal 5. Función de compliance 5.1. Roles esenciales 5.2. Dependencia y composición 5.3. Gobierno de compliance 6. Consecuencias derivadas de los no cumplimientos de compliance 7. Planteamiento de inquietudes 8. Revisión y actualización
1. 2. 3. 4.
Objeto y campo de aplicación Términos y definiciones Contexto de la organización Roles y responsabilidades generales 4.1. Órgano de gobierno 4.3. Alta dirección 4.4. Dirección 4.5. Personal
5. La función La función de compliance 5.1. Dependencia funcional y jerárquica 5.2. Roles 5.3. Informes de compliance 6. Evaluación de riesgos 7. Planificación de objetivos objetivos,, actividades y recursos 7.1. Fijación de objetivos 7.2. Determinación de actividades planificadas 7.3. Asignación de recursos 7.4. Formación y toma de conciencia 8. Procesos de Procesos de debida diligencia 9. Planteamiento Planteamiento de de inquietudes e investigaciones 10. Supervisión de Supervisión de entidades participadas 11. Reacción Reacción ante ante no conformidades y no cumplimientos 12. Revisiones y auditoría auditoría del del sistema de gestión
Figura 16. Dos ejemplos de índices de contenidos básicos tanto de la política
de compliance como del documento que describe el resto de elementos del sistema de gestión ge stión, que dotan de eficacia a su contenido.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
188
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Puesta en contexto respecto a documentos superiores (código ético) y de la estrategia de la organización. organización Aprobación por el órgano .de gobierno y carácter obligatorio
Responsabilidades de compliance que compliance que afectan al órgano de gobierno gobierno Responsabilidades de de compliance que compliance que afectan a la alta dirección dirección Responsabilidades de de compliance que compliance que afectan a la dirección
Política general de compliance
1.
Introducción
2.
Objeto
3.
Campo de aplicación
4.
Compromiso con el el compliance compliance
4.1. Órgano de gobierno
Volunt Voluntad ad de la la organización de organización de observar las obligaciones complliance complliance, , quede se traslada a todas las personas que personas que se vinculan con ella Ámbito Ámb ito de aaplic plicaci ación ón territorial, destinatarios del documento y perímetro técnico: grupos técnico: grupos de obligaciones de compliance asociadas con los “principales”
Definición del marco para la fijación de los objetivos de compliance
4.2. Alta dirección 4.3. Dirección Responsabilidades de compliance que compliance que afectan a todo el personal el personal Consecuencias que se Consecuencias derivan tanto de los los no cumplimientos de compliance como de las no las no conformidades Referencia al canal para el planteamiento de inquietudes, con referencia básica a la documentación que regula de su empleo y la que regula el proceso de investigación. Referencia básica al estatuto de protección al denunciante
4.4. Todo el el personal personal 5.
Compliance afecta a todas las personas que se vinculan
con la organización
Función de compliance
5.1. Roles esenciales
Declaraciones periódicas de conformidad
5.2. Dependencia y composición 5.3. Gobierno de compliance 6.
Consecuencias derivadas de los
7.
no cumplimientos de compliance Planteamiento de inquietudes
8.
Revisión y actualización Régimen de revisión, actualización y difusión del documento o sus variaciones
Roles esenciales. Referencia al al sistema sistema de gestión que gestión que opera Dependencia funcional y jerárquica. Composición orgánica Acceso dire Acceso directo cto al órgano de gobierno, gobierno, independencia (incluyendo autonomía), autoridad y facultades
c ompliance, con Figura 17. Ejemplo de contenido esencial de la política de compliance indicaciones de contenido.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 189
Circunstancias internas, externas y condicionantes de las partes las partes interesadas
Regulación de los cometidos específicos en materia de compliance Cometidos del órgano de gobierno Cometidos alta dirección Cometidos de la dirección Cometidos del personal Metodología de identificación de los principales riesgos de compliance y compliance y de evaluación de las casuísticas de riego para cada grupo. Periodicidad Procesos (separados) para el planteamiento de inquietudes y para regular las investigaciones internas Procesos de supervisión a entidades participadas, controladas y no controladas Régimen de revisiones planificadas y sobrevenidas del sistema del sistema de gestión. Regulación de su auditoría auditoría interna
Documento descriptivo del sistema de gestión
1. 2. 3. 4. 4.1. 4.3. 4.4. 4.5. 5. 5.1. 5.2. 5.3. 6. 7. 7.1. 7.2. 7.3. 7.4. 8. 9. 10. 11. 12.
Objeto y campo de aplicación Términos y definiciones Contexto de la organización Roles y responsabilidades generales Órgano de gobierno Alta dirección Dirección Personal La función de compliance La función Dependencia funcional y jerárquica Roles Informes de compliance Evaluación de riesgos Planificación de objetivos objetivos,, actividades y recursos Fijación de objetivos Determinación de actividades planificadas Asignación de recursos Formación y toma de conciencia Procesos de debida diligencia Planteamiento de inquietudes e investigaciones Supervisión de entidades participadas Reacción ante no conformidades y no cumplimientos Revisiones y auditoría del del sistema sistema de gestión
Finalidad del sistema del sistema de gestión y gestión y ámbito de aplicación, incluyendo su perímetro técnico Definiciones de uso frecuente (recomendable uso definiciones ISO) Regulación detallada de la función de compliance Dependencia funcional (en grupos es frecuente que sea a la función corporativa) y jerárquica
Atribuciones Atribucion es y e competencias, directas indirectas Regulación de la cadena de información de compliance Procesos de Procesos de determinación de objetivos,, actividades y objetivos recursos Regulación de la formación planificada, de inducción y actividades de concienciación Procesos de debida diligencia interna y externa Régimen de acciones correctivas tanto para el personal como personal como a terceras partes
Figura 18. Ejemplo del índice de un documento que recoge el contenido esencial del estándar ISO 37301:2021, sea porque desarrolla directamente sus
requisitos, o por referenciar otros documentos que lo hacen. De la ejecución de su contenido se derivarán otros documentos, tales como la evaluación de riesgos, el documento de objetivos, el presupuesto de compliance, el soporte de las actividades de formación, etc. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
190
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.5.3. Roles, responsabilidades y autoridades Este apartado establece los papeles que desempeñan en materia de compliance las diferentes posiciones en la organización: el órgano de gobierno y alta dirección, la función de compliance, la dirección y el personal. Obviamente, es una nomenclatura n omenclatura estándar que cabrá trasladar a las categorías equivalentes en cada caso real. Bajo esta clasificación subyace el entendimiento de que el compliance afecta a todas las personas, funciones y jerarquías en la organiz organización ación , aunque de manera distinta según sus capacidades. Siguiendo el enfoque de tres líneas153, podría decirse que estos apartados abordan principalmente los cometidos de la primera y la segunda, mientras que los de la tercera aparecen indicados en el apartado 9.2 Auditoría interna. Aunque no se precisa que esta atribución atrib ución de roles, responsabil respons abilidade idadess y autoridaautor ida información mación docume documentada ntada (véanse los comentarios al concepto de des conste como infor Información Inform ación docume documentada ntada en el apartado II.3.10 Infor Información mación documen documentada tada, de este libro. También También los comentarios come ntarios al apartado apart ado 7.5 Información documentada del estándar Información mación do documentad cumentadaa, con ISO 37301:2021, que figuran en el apartado II.7.5 Infor el mismo título, de este libro), debe inferirse claramente de la documentación de la orga organiza nización ción . Puede hallarse reflejada en documentos organizativos frecuentes como los manuales de descripción de puestos o funciones, que se suelen elaborar con otros propósitos. También pueden encontrarse en los propios documentos que representan representa n el siste sistema ma de gesti gestión ón de compli compliance ance. En cualquier caso, es clave que las personas en la org organiz anizaci ación ón conozcan qué expectativas de comp complian liance ce les afectan, qué roles juegan respecto a ellas y quién dispone de capacidad para gestionarlas.
A CONS CONSIDER IDERAR. AR. Loc Localiz alizació ación n de los role roless y las res respon ponsab sabilid ilidades ades de compliance. Los objetivos objetivos que que persigue un sistema un sistema de gestión gestión de de compliance compliance incumben incumben al personal de personal de la organización organización e e incluso a ciertas terceras partes. partes. Por consiguiente, los diferentes colectivos –especialmente dentro de la organización organización,, en forma de categorías o puestos– desempeñan roles y asumen responsabilidades relevantes en materia de compliance compliance,, como se explicará en los apartados siguientes. siguient es. Pueden quedar reflejadas en documentos organizativos de uso interno (“job (“job descriptions”), descriptions”), aunque la política de compliance compliance es es también un buen lugar para hacer referencia general a ellos, beneficiándose así de su amplia difusión.
153
El antiguo “t res líneas “tres defensa” fue acogido(BCBS), por el Institute Internal Auditors (IIA), COSO,modelo COSO, el Basel de Committee onde Banking Supervision así comoofotras instituciones de supervisión y regulación del sistema financiero en el mundo. En julio de 2020 fue objeto de revisión por parte del Institute of Internal Auditors, incrementando la relevancia de los roles correspondientes al órgano de gobierno . Su denominación pasó a ser ser,, simplemente, de “tres líneas”. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 191
MÁS INFORMACIÓN. La política de compliance y los roles, responsabilidades y autoridades.
Sobre la posibilidad de recurrir a la política de compliance compliance para para reflejar el marco general de roles, responsabilidades y autoridades sobre compliance compliance,, puede consultarse el contenido y los ejemplos que figuran en el apartado II.5.3.1 Órgano de gobierno y alta dirección, dirección, de este libro. Este apartado se encuentra dividido en cuatro partes, cada una un a de las cuales aborda las citadas instancias en la organiz organización ación. En el anterior estándar ISO 19600:2014 también estaban tratadas154, junto con dos apartados adicionales de carácter genérico genérico,, más propios de un MSS de tipo B (no certificable)155. A diferencia también de la norma antecesora, ahora se ha obviado referirse a las “responsabilidades” de las posiciones señaladas en el título de cada apartado, en la medida que esta literalidad inducía a confusión. Como se explicará a continuación, el estándar ISO 37301:2021 hace un uso muy cuidado de los términos, especialmente al detallar la funci función ón de comp complianc liancee, para evitar atribuirle responsabilidades ponsabilida des (eventualmente legales) que no tiene capaci capacidad dad legal o fáctica de asumir asumir..
II.5.3.1. Órgano de gobierno y alta dirección governing rning Ni la HLS ni otros estándares estánd ares ISO sobre sistemas sistem as de gestión gestió n definen defin en “ gove body” (a diferencia de "top management " que sí consta en la HLS), siendo un término necesario en el ámbito del complia compliance nce y, y, por tanto, def definido inido en los l os siste sistemas mas de gestión sobre esta materia156. Dependiendo del ordenamiento jurídico nacional (véanse los lo s comentarios en el apartado I.6.2.1 Princi Principio pio de su subordin bordinación ación a LLey ey, de este libro) y 154 La
única diferencia radica en sustituir el concepto de “empleados” por el de “personal” y en evitar el uso “responsabilidades” en los títulos de los apartados dedicados a cada instancia: órgano de gobierno y alta dirección direcc ión, función de compliance compliance , management y y personal . estándar ISO 19600:2014 incluía los apartados iniciales 5.3.1 Generalidades y 5.3.2 Asigna ción de responsabilidades responsabilidad es de compliance en la organización, cuya orientación y contenido resumido se localiza ahora en el apartado A.5.3 Roles, responsabilidades responsabi lidades y autoridades del anexo A (informativo) Guía para el uso de este documento del estándar ISO 37301:2021. No obstante, una parte de los contenidos del antiguo apartado 5.3.1 Generalidades (ISO 19600:2014) se pueden localizar ahora en el apartado 5.3.1 Órgano de gobierno y alta dirección (ISO 37301:2021), al tratarse de cometidos correspondientes a dichas instancias de gobierno en la organización . 155 El
156
Encontramos esta definición en; los estándares 19600:2014 (3.4en ); ISO Órgano de gobierno 37001:2016 (3.7 Órgano de gobierno y ahora tambiénISO en ISO 37301:2021, su apartado 3.21 Órgano de gobie gobierno rno. Véanse los comentarios a esta definición en el apartado II.3.21 Órgano de gobierno, de este libro. En aquellos estándares donde no se encuentra expresamente definido, forma parte del concepto de “ alta dirección dirección”, que sí forma parte de los términos concretados en la HLS, 3.5 Alta dirección dirección. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
192
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
organizaciónn, pueden existir diferencias entre las competencias de la dimensión de la organizació competenci as órgano ano de gobi gobierno erno y alta dire direcci cción ón). Sin embargo, en atribuidas a ambas figuras ( órg organizacion organi zaciones es medianas o pequeñas suelen coincidir en una sola instancia. Corresponde al órgano de gobierno y alta dirección la atribución de roles, responsabili compliance, en dades y autoridades en materias relevantes, incluyendo a la función de compliance los términos indicados en el apartado anterior. anterior. En particular, particular, cuidará de distribuirlos estión de compliance se adecúe a los requisi requisitos tos del estándar y para que el sistema de ggestión se les informe sobre su desempeño, según desarrollan los apartados 9.1.4 Informes de compliance y, especialmente, 9.3 Revisión por la dirección. Esta obligación del órgano de gobierno y de la alta dirección se completa con la exigen compliance vele para que se produzca tal asignación de roles, cia de que la función de compliance responsabilidades y autoridades en materia de compliance, según estipula el apartado Función de compliance compliance, del estándar ISO 37301:2021. 5.3.2 Función
MÁS INFORMACIÓN. Relación de la función de compliance con la asignación de roles, responsabilidades y autoridades de compliance.
La asignación de roles, responsabilidades y autoridades en materia de compliance es pliance es una exigencia que afecta directamente al órgano de gobierno y gobierno y a la alta dirección. dirección. Ahora bien, la función de de compliance compliance debe debe velar para que se realice e informar acerca de ello. Véanse los comentarios al respecto dentro del título “ Actividades que involucran directamente a la función de compliance” compliance ” del apartado II.5.3.2 Función de compliance, compliance, de este libro. En particular, el órgano de gobierno debe asegurarse de que el desempeño de la alta dire cciónn es también direcció objetivos ivos de medido conforme al nivel de consecución de los objet compliance y que se ejerce sobre él una supervisión en cuanto a los cometidos que le compliance ce. Como se desarrollará a continuación, afectan, según el sistema de gestión de de complian se trata de una evaluación y supervisión en cascada 157, pues la alta dirección debe hacer lo propio sobre el personal. Los cometidos de la alta dirección se concretan en: • Facilitar los recursos para establecer o mejorar el sistema de gestión de compliance según también establece el apartado 7.1 Recursos.
157 Esta
mecánica de evaluación sucesiva o en cascada no estaba presente en el estándar ISO 19600:2014. Aunque sí contemplaba la evaluación de la alta direc dirección ción por parte del órgano de gobierno, no se preveía lo propio respecto al personal por parte de la alta dirección direcci ón. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 193
MÁS INFORMACIÓN. Recursos materiales e inmateriales.
Sobre los diferentes recursos que deben ponerse a disposición de la función de de compliance,, incluyendo el tiempo y el equipo humano necesario para desempeñar compliance razonablemente sus cometidos, véanse las explicaciones y los ejemplos que se expone en el apartado II.7.1 Recursos Recursos,, de este libro. • Asegurar sistemas sistemas efectivos de información en materia materia de compliance, especialgobierno no y alta direcc dirección ión y velar por que se mente los destinados al órgano de gobier ejecuten correctamente, en línea con lo indicado en los apartados 9.1.4 Informes de compliance y 9.3 Revisión por la dirección.
A CONSIDERAR CONSIDERAR.. Dispon Disponer er de inform información ación no es un derecho, derech o, sino una obligación.
Los administradores de sociedades no solo disponen del derecho a disponer de información, sino la obligación de requerirla, preguntar por ella o interrogar sobre su contenido, cuando les plantea dudas. Es una aproximación alineada con las prácticas de buen gobierno corporativo que se están generalizando a nivel internacional. En relación con la diligencia de los administradores sociales y, en particular, el llamado “duty “duty of enquiry”, enquiry”, véanse las explicaciones y los ejemplos que qu e se recogen en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro. MÁS INFORMACIÓN. Reportes operativos de compliance.
Sobre los informes de compliance compliance,, incluyendo tanto los operativos como las memorias anuales, así como la eventual incorporación de sus contenidos en otros informes externos, véanse las explicaciones y los ejemplos que se exponen en los apartados II.9.1.4 Informes de compliance y compliance y II.9.3 Revisión por la dirección, dirección, ambos de este libro. • Asegurar que los objetivos estratégicos y operativos generales de la organización obligaciones ciones de compliance compli ance que le afectan, en línea con están alineados con las obliga lo establecido en el apartado 6.2 Objetivos de compliance y planificación para lograrlos lograr los.
MÁS INFORMACIÓN. Objetivos de compliance.
En relación contácticos el marco objetivos de compliance y y los las objetivos tanto objetivos tanto estratégicos como quedeseobjetivos derivan de delcompliance mismo, véanse explicaciones, así como el ejemplo que figura en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
194
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
conformidades y no • Fijar Fijar mecanismos de atribución atribución de responsabilidades responsabilidades ante no conformidades cumplimientos de compliance compliance, incluyendo acciones disciplinarias158. Es una consecuencia derivada del principio de responsabilidad (véase el apartado I.6.1.5 I.6.1.5 Principio de responsabilidad, de este libro). MÁS INFORMACIÓN. Modelos de incentivos y correctivos.
Una línea de pensamiento aboga por estipular en los sistem los sistemas as de gestió gestiónn de compliance únicamente compliance únicamente acciones acciones disciplinarias, disciplinarias, dado que el cumplimiento de las obligaciones de compliance compliance constituye, constituye, per se, se, una conducta esperable que no cabría “retribuir” o “premiar”. “premiar ”. En esta misma línea, bastantes normas legales sobre compliance compliance –especialmente –especialmente las de naturaleza penal– se refieren exclusivamente a esta vertiente punitiva o sancionadora. En cualquier caso, véanse los comentarios y los ejemplos de medidas incentivadoras que se recogen bajo el título “Condicionantes “Condicionantes de su contenido” contenido” en el apartado II.5.2 Política de de compliance,, de este libro. pliance • Asegurar que se considera el desempeño desempeño en materia materia de compliance en el proceso personal al, lo que afecta no solo al momento de su incorporación, de evaluación del person como prevé el apartado 7.2.2 Proceso de empleo, sino también, a la evaluación periódica de desempeño, contemplada en el apartado 5.3.1 Órgano de gobierno y alta dirección.
MÁS INFORMACIÓN. Procedimiento de debida diligencia interna.
Acerca Ace rca de las cau cautel telas as de compliance compliance al al seleccionar e incorporar personal personal para la organización organización (procedimiento (procedimiento de debidaendiligencia interna), véanse las explicaciones y los ejemplos que se exponen el apartado II.7.2.2 Proceso de empleo, empleo, de este libro.
MÁS INFORMACIÓN. Evaluación y supervisión en cascada.
Sobre el mecanismo de evaluación y supervisión en cascada que fija el estándar ISO 37301:2021 para diferentes colectivos dentro de la organización organización,, véanse las explicaciones vertidas anteriormente, en este mismo apartado de la obra.
158 La
redacción del anterior estándar ISO 19600:2014 era ambigua, limitándose a apuntar –como cometido del órgano de gobierno gobier no y alta dirección direcc ión– que los comportamientos de incumplimiento se gestionarían adecuadamente. El estándar ISO 37301:2021 se refiere ahora a un mecanismo de atribución de responsabilidades y cita expresamente acciones disciplinarias. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 195
II.5.3.2. Función de compliance compliance tiene encomendada la operación del sistema de gest gestión ión de comLa función de compliance . Por Por aplicación del principio princi pio de subordinación a Ley (véase el apartado I.6.2.1 I.6.2.1 pliance Principio de subordinación a Ley , , de este libro), el estándar ISO 37301:2021 no puede imponer un órgano societario que, per se, disponga de capacidades y responsabilidades no amparadas por el ordenamiento jurídico de aplicación. La redacción de este apartado está influida por ello y evita emplear términos que inviten a la l a confusión159. compliance es responsable de “operar” Ya desde su comienzo indica que la función de compliance el sistema de gestión, que contrasta con el anterior texto del estándar ISO 19600:2014 que directamente se refería a las “responsabilidades” de la función.
compliance ce supone dos niveles distintos Operar el sistema de gestión de complian distinto s de compromiso: • Uno mayor, mayor, que se corresponde con actividades que involucran directamente a la función de compliance. Su correcto cumplimiento reside en sus propias habilidades y competencias. • Otro menor, menor, que se corresponde con actividades actividades donde la función de compliance compliance se involucra indirectamente en la medida que no asume su ejecución, manteniéndose alerta de que otros sí lo hacen. Son actividades a impulsar por otras instancias en la organización, donde la función de compliance compliance vierte sus mejores esfuerzos para cuidar de que se ejecuten, pero de cuyo resultado no puede responsabilizarse. Por otra parte, en aras a la eficacia de la función de compliance compliance, este apartado indica que la organización le procure legitimidad para desarrollar correctamente correctamente sus cometidos, en línea con lo establecido en el apartado 5.1.3
Gobernanza del compliance.
En cualquier caso, el listado de actividades que plantea el estándar ISO 37301:2021 es enunciativo enunciativ o y no limitativo. También También conviene convi ene recordar que la existencia de la función de compliance compliance y el desarrollo de sus actividades no exime al personal de la organización compliance160. de conocer y cumplir las obligaciones de compliance
el proceso de redacción del estándar se evitó utilizar el término “ ensure” referido a la función de compliance compliance , por cuanto su posición no le brinda la capacidad de asegurar decisiones. Sin embargo, vemos que se utiliza este término en el apartado 5.3.1 Órgano de gobierno y alta dirección , 159 En
puesto son instancias dotadas legalmente de las capacidades de gestión social más elevadas. 160 Esteque apartado introduce una nota aclaratoria en tal sentido. Aunque no es contenido normativo, está alineado con la filosofía del estándar y con lo que aparece expresamente indicado en los apartados 5.1.1 Órgano de gobierno y alta dirección , 5.1.2 Cultura de compliance, 5.2 Política de compliance y 5.3.4 Personal, entre otros. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
196
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Actividades que involucran directamente a la función de compliance • La func función ión de comp complian liance ce impulsará la identificación de las obl obligaci igaciones ones de comp complian liance ce que afectan a la organi organización zación. En este contexto y dentro de un sistem sistemaa de gestión compliance161, normalmente recurrirá al que cubra diferentes grupos de riesgos de compliance criterio experto de los responsables de la gestión y supervisión de los mismos.
A CONSIDERAR. CONSIDERAR. Los dos niveles de análisis de riesgos de compliance.
El estándar ISO 37301:2021 ayuda al diseño, la implementación i mplementación y la evaluación de sis de sistema temass de ges gestió tiónn de compliance compliance de de amplio espectro, esto es, los que proyectan sus actividades sobre los “principales” riesgos riesgos de de compliance compliance que que amenazan a la organización,, según clarifica el apartado 4.3 Determinación del alcance del sistema organización de gestión del compliance. compliance. Un primer ejercicio consiste en identificar cuáles son esos riesgos “principales” riesgos “principales” críticos para la organización organización y, y,(por por ejemplo, consiguiente, los grupos de obligaciones de ocompliance de compliance vinculados vinculados con ellos prevención del soborno, protección de la libre competencia, protección prot ección de la privacidad, prevención del blanqueo de capitales, prevención de daños al medio ambiente, etc.). Se determina así el perímetro técnico de supervisión sobre el que proyecta sus actividades el sistem el sistemaa de gest gestión ión de de compliance compliance.. Al respecto, véanse también las explicaciones y los ejemplos en los apartados II.4.3 Determinación del alcance del sistema de gestión del compliance y compliance y II.4.5 Obligaciones de compliance, compliance, ambos de este libro. Hecho lo anterior, entra en juego la mecánica del apartado 4.6 Evaluación de los riesgos de compliance, compliance, para identificar, analizar y valorar las casuísticas de riesgo asociadas riesgo asociadas a cada uno de los grupos de obligaciones de compliance dentro compliance dentro del perímetro técnico de supervisión. MÁS INFORMACIÓN. Identificación de los “principales” riesgos de compliance.
Sobre el ejercicio de identificación de los principales riesgos riesgos de de compliance compliance que que afronta una organización organización y y los grupos de obligaciones de de compliance compliance vinculadas vinculadas con ellos, véanse los cometarios y ejemplos que se incluyen en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro.
161 Ocasionalmente
y en sistemas jurídicos continentales, en forma de bloques de obligaciones reguladas en los diferentes códigos o grupos de normas. Sobre esta materia, véanse también los comentarios que figuran en el apartado II.4.3 Determinación del aalcance lcance del ssistema istema de ges gestión tión ddelel compliance , de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 197
MÁS INFORMACIÓN. Evaluación de los riesgos de compliance.
Sobre la mecánica de evaluación de los riesgos riesgos de de compliance compliance,, para cada uno de los grupos de obligaciones identifi véanse nes y los ejemplos que recogepreviamente el apartadoidentificados, II.4.6 cados, Evaluación de las los explicacioriesgos de compliance,, de este libro. compliance • La función de compliance compliance se ocupará de la evaluación de riesgo riesgoss de compliance compliance , siguiendo lo establecido en el apartado 4.6 Evaluació Evaluaciónn de llos os riesgos de complian compliance ce. Por consiguiente, aunque proceda involucrar a un criterio experto ajeno a la propia función para desarrollar este ejercicio, ejercicio, ejecutarlo es su responsabilidad, recurriendo,, si es preciso, al asesoramiento externo. recurriendo
MÁS INFORMACIÓN. Conceptos fundamentales fundamentales en la evaluación de riesgos. Sobre la metodología y conceptos básicos para la evaluación de los riesgos de de compliance,, véanse las explicaciones y los ejemplos que se recogen en el apartado compliance II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro.
compliance velará por la alineación entre el sistema de ge gestión stión de • La función de compliance complian comp liance ce y los objet objetivos ivos de comp complian liance ce. De otro modo, las actividades a desarrollar y las estructuras dispuestas para ello pueden ser inútiles para alcanzarlos.
A CONSIDERAR. CONSIDERAR. Fijación de los objetivos de compliance. La fijación de los objetivos objetivos de de compliance compliance no no consta como un rol de la función de compliance de compliance,, dado que su aprobación corresponde al órgano de gobierno y gobierno y la alta dirección (aunque dirección (aunque la función de de compliance compliance pueda pueda realizar propuestas). Sin embargo, sí debe preocuparse de que el sistema el sistema de gestión de gestión de compliance compliance sea sea capaz de progresar hacia ellos, fijando indicadores, midiendo midiendo lo lo que efectivamen efectivamente te ocurre y siguiendo y siguiendo los los resultados. En relación con ello, véanse las explicaciones y los ejemplos en el apartado II.9.1.3 Desarrollo de indicadores, indicadores, de este libro.
MÁS INFORMACIÓN. Objetivos de compliance.
En relación con la labor de la fijación de de los compliance objetivos d objetivos dee, compliance compliance, siempre dentroy del marco que determina política compliance, véanse las ,explicaciones los ejemplos que se recogen en los apartados II.6.2 Objetivos Objetivos de de compliance y planificación para lograrlos, lograrlos, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
198
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
• El estándar ISO 37301:2021 fija tres actividades consecutivas que incumben función ón de compliance compli ance y que recogen en su secuencia lógica: segui seguimiento miento a la funci gestión stión de compliance, lo que conlleva impulsar el del desempeño del sistema de ge establecimiento de indicadores; análisis de los datos resultantes, de modo que se pueda evaluar dicho desempeño, efectuando las correcciones precisas; y, finalmente, establecimiento del mecanismo de reporte que permita informar de ello y documentar el proceso. Estas obligaciones directas de la función de compliance compliance enlazan, pues, con lo indicado en el apartado 9.1.3 Desarro Desarrollo llo ddee ind indicadore icadoress, así como en el apartado 9.1.4 Informes de compliance y también en el apartado 9.3 Revisión por la dirección. También También con lo establecido en los apartados 9.1.5 Mantenimiento Mantenimien to ddee regist registros ros y 7.5 Información documentada, cuando corresponda.
MÁS INFORMACIÓN. Indicadores e informes de compliance.
En relación con el desarrollo de indicadores y indicadores y su plasmación en los informes de compliance, compliance , véanse los, comentarios y losde ejemplos en los II.9.1.3 Desarrollo de indicadores, indicadores II.9.1.4 Informes compliance compliance y y apartados II.9.3 Revisión por la dirección, dirección, todos de este libro. • La función de compliance compliance también se ocupa de que el sistema de gestión g estión de com pliance sea revisado periódicamente. Este apartado se refiere a sus revisiones “planificadas” (a intervalos predefinidos), predefinidos), mientras que el apartado 10.2 No conformidades y ac acciones ciones correctivas, estipula las “sobrevenidas” (a raíz de cambios en las circunstancias de la organi organización zación o de incidentes). En cualquier caso, ambas revisiones contribuyen a la mejora continua continua del sistema de gestión, guiándose por lo establecido en el apartado 10.1 Mejora continua.
A CONSIDERAR. CONSIDERAR. Seguimiento vs. revisión del sistema de gestión.
Forma parte de los cometidos de “operación” “op eración” del del sist sistema ema de gest gestión ión de compliance compliance el seguimiento el seguimiento de de sus actividades yy,, en definitiva, de su desempeño desempeño.. Es una labor cotidiana cuyos resultados se reportan según lo establecido en el apartado 9.1.4 Informes de compliance. compliance. Al margen de esta actividad continua, las revisiones del sistema de d e gestión gestión se se realizan de forma planificada o sobrevenida, incluyendo las que se desarrollan en el contexto de la auditoría auditoría interna. interna. MÁS INFORMACIÓN. Tipos de revisiones del sistema de gestión de compliance.
Los diferentes de revisiones del sistema ma gestión ión de de compliance compliance vienen vienenVéanse explicados al iniciotipos del apartado II.4 del siste Contexto dede la gest organización organización, , de este libro. también los comentarios y los ejemplos en los apartados II.9.2 II.9.2 Auditoría Auditoría interna interna y II.10.2 No conformidades y acciones correctivas, correctivas, ambos también de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 199
compliance se ocupará también del establecimiento de mecanismos • La función de compliance a través de los cuales pueden comunicarse y gestionarse inquietudes en materia de compliance, al amparo de lo que prescribe el apartado 8.3 Planteamiento de comunicació n ya existen en la organización inquietudes. Cuando estos canales de comunicación y están siendo gestionados por otras funciones, este requis requisito ito supone, como mínimo, mantenerse informado de sus actuaciones. whistleblowing lines”. A CONSIDERAR. CONSIDERAR. Planteamiento de inquietudes y “ whistleblowing Los procedimientos y mecanismos para el planteamiento de inquietudes a que se refiere el estándar ISO 37301:2021 incluyen, pero no se limitan a los denominados canales internos de denuncia (“whistleblowing (“whistleblowing lines”). lines”). Por tanto, admiten una variedad conceptual y tecnológica abierta a desarrollos futuros. Por otra parte, el apartado 8.3 Planteamient Planteamientoo de inquietudes inquietudes recurre recurre al singular (“un proceso proceso…”) …”) por cuanto, como requisito requisito,, es el mínimo exigible a una organización organización.. Sin embargo, esto no impide la coexistencia de diferentes procesos procesos o o canales a esos mismos efectos. gestión ión de canales A CONSIDERAR. ISO 37001:2021 sobre sistemas de gest para el planteamiento de inquietudes. El Comité Técnico de ISO/TC 309, dentro del que se encuadra el Grupo de trabajo WG 4 que ha desarrollado el estándar ISO 37301:2021, también acoge al Grupo de trabajo WG 3, que ha impulsado y redactado la primera norma ISO sobre sistemas de gestión de canales para el planteamiento de inquietudes, el estándar ISO 37002. Es positivo atender a su contenido, al ser una norma moderna y con amplio reconocimien r econocimiento to en la comunidad internacion internacional. al. Ahora bien, a efectos del estándar ISO 37301:2021, su cumplimiento no es preceptivo (no figura citada en el capítulo 2 Referencias normativas) normativas) y se trata, además, de un MSS de tipo B (de directrices, no certificable). MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.
Acerca de las cara Acerca caracter cterístic ísticas as y los ejem ejemplos plos sobre los cana canales les para el plan planteam teamient ientoo de inquietudes, incluido el eventual estatuto de protección al denunciante de buena fe que enmarca la Directiva Dir ectiva Europea 2019/1937 del Parlamento Europeo y del Consejo, véase el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.
complianc e debe ocuparse de que el persona personall tenga acceso a los • La función de compliance recursos sobre compliance , sus políticas, procesos y procedimie procedimientos ntos. El uso de las
tecnologías de la información y la comunicación permite realizar este ejercicio por vía electrónica, recurriendo normalmente a la intranet corporativa. Es una solución extendida y razonable cuando el personal dispone de recursos informáticos para acceder a su contenido. co ntenido. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
200
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
MÁS INFORMACIÓN. La intranet corporativa como lugar de puesta a disposición de información clave de compliance.
En relación con los una también eventualen página web en intranet véanse corporativa, así como los contenidos que cabría de u bicar ubicar la página weblaexterna, las explicaciones y los ejemplos que figuran bajo el título “Materias “Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Polític Políticaa de compliance compliance,, de este libro. A CONSIDERAR. CONSIDERAR. Las políticas, los procesos y los procedimientos de compliance.
No es mejor el sistema el sistema de gestión dotado gestión dotado de más políticas políticas,, procesos procesos y y procedimientos de mientos de compliance compliance,, sino aquel que dispone de los verdaderamente precisos, adecuados y que se cumplen correctamente. Para ello, es interesante considerar algunos relativos al idioma y, de el lenguaje apartadoaspectos II.5.2 II.5.2 Política Política de compliance, compliance este libro.que se han explicado en el Lejos de tener un efecto positivo, la proliferación indiscriminada de políticas políticas,, procesos y procesos y procedimientos procedimientos alimenta alimenta la confusión y la incertidumbre en el seno de las organizaciones organizaciones,, mermando la eficacia eficacia del del sistema sistema de gestión. gestión. EN BUSCA DE LA EXCELENC EXCELENCIA. IA. Documentos de ayuda sobre las políticas.
En un entorno normativo complejo, puede resultar difícil redactar políticas políticas,, procesos y cesos y procedimientos simples y fácilmente comprensibles. Este es un fenómeno frecuente en los mercados regulados. Cuando no es posible simplificar sumarios su contenido, es”), positivo resumir susademás mensajes clave distribuyendo documentos (“flyers”), (“flyers que señalarán, de la localización de las políticas políticas correspondientes, correspondientes, los canales dispuestos para recibir asesoramiento o aclarar dudas en relación con ellas, e incluso, trasladar sospechas de contravención. • La función de compliance compliance prestará asesoramiento a la organización en materias de compliance. Esto significa estar abierto a recibir consultas de las personas vinculadas con ella, pero también a actuar proactivamente mediante su participación en foros decisorios de la organización, según se explica más adelante.
MÁS INFORMACIÓN. Visibilidad ante los órganos decisorios.
En relación con la comunicación comunicación fluida de la función de de compliance compliance con con las instancias decisorias dentro de la organización organización,, véanse también los comentarios y los ejemplos que se recogen en el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 201
Actividades que involucran indirectamente a la función de compliance • La func función ión ddee comp complian liance ce velará para que se asignen las responsabilidades de com pliance en el seno de la organización. Esto significa vigilar que en los distintos documentos organizativos (manuales de descripción de puestos, funciones, etc.), compli plianc ancee que afectan a constan los roles, las responsabilidades y las autoridades de com los diferentes puestos en la org organi anizac zación ión. En su defecto, también puede reflejarse en la propia documentación de comp complian liance ce (en la polí política tica de comp complian liance ce, por ejemplo).
MÁS INFORMACIÓN. Roles, responsabilidades y autoridades.
Como se explica en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro, constituye un cometido de estas altas instancias de gestión social proceder a la asignación de roles, responsabilidades y autoridades en materia de compliance. compliance obstante, la función de compliance de compliance vela vela porque asignación se produzca. No y, eventualmente, informa de las incidencias en el tal desarrollo de este proceso proceso en en el contexto, por ejemplo, de lo explicado en el apartado II.9.1.4 Informes de compliance, compliance, de este libro. En cuanto al lugar donde establecer estos roles, responsabilidades y autoridades, véanse los comentarios y los ejemplos recogidos en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, así como lo indicado bajo el título “ Aspectos a con siderar por el órgano de gobierno y la alta dirección dirección”” del apartado II.5.2 Política de compliance de compliance,, de este libro. • Aunque el apartado 5.1.1 Órgano de gobierno y alta dirección del estándar ISO 37301:2021 asigna a dichas instancias la responsabilidad de integrar el sistema de gestión de compliance dentro de los procesos de negocio de la organización, la función de compliance compliance velará igualmente para que las obligaciones de compliance compliance se encuentren reflejadas e integradas en ellos. Se quiere evitar que el sist sistema ema de gest gestión ión de compliance forme un entramado paralelo que permita ejecutar actividades sin dar cobertura a los requisitos de compliance que les afectan.
A CONSIDERAR. CONSIDERAR. Procesos de negocio y procesos de compliance.
Puesto que no hay otra forma de desarrollar actividades que, cumpliendo con las normas, mantengan una conducta ética y alineada con las mismas es per se un se un proceso ordinario proceso ordinario de negocio (véase el apartado I.6.1.6 Principio de sostenibilidad,, de este libro). Bajo esta perspectiva, es artificial diferenciar entre procesos dad procesos o o
intereses y procesos procesos o intereses de abre compliance, compliance , dado que no pueden disociarsedelosnegocio unos de los otros. oLo contrario la posibilidad de desarrollar actividades ilegales, lo cual, no solo atenta contra la política de compliance compliance,, sino también, contra los objetivos objetivos que que se derivan de su marco. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
202
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
MÁS INFORMACIÓN. Integración de los requisitos de compliance.
Como se explica en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de esterequisitos libro, es una labor de estas altasde instancias de gestión social laNo integración los de compliance dentro compliance dentro los procesos procesos de de negocio. obstante,de la función de de compliance compliance vela vela para que tal integración se produzca y eventualmente informe de las incidencias en el desarrollo de esta actividad al amparo, por ejemplo, de lo explicado en el apartado II.9.1.4 Informes de compliance, compliance, de este libro. Véanse Véa nse los come comentari ntarios os y los ejem ejemplos plos que allí se reco recogen gen,, así como los que figur figuran an en el apartado II.8.1 Planificación y control operacional, operacional, también de este libro. procesos esos EJEMPLO. Integración de los requisitos de compliance en los proc ordinarios de negocio. Se tomará, por ejemplo, un proceso proceso simplificado simplificado de homologación de proveedores. Se de vannegocio a ver lasy ladiferentes etapasenpor atraviesa de el procedimiento procedimiento ordinario incorporación él la deque los requisitos requisitos de compliance.. compliance Normalmente, dicho procedimiento procedimiento de de homologación atraviesa por contrastar y documentar algunos aspectos básicos: • Que el proveedor existe como entidad legalmente constituida. • Que el proveedor lleva operando tiempo suficiente en el mercado como para garantizar la continuidad del suministro de sus bienes o servicios. • Que el proveedor dispone de las competencias técnicas para ofrecer la calidad requerida en cuanto a los productos o servicios a contratar. • Que el proveedor muestra solvencia económica suficiente como garantizar la continuidad de sus suministros. • Que el proveedor no presenta vínculos con personas de la organización organización rela relacionadas con el proceso proceso de de su contratación (conflicto de intereses). A estos requisitos requisitos,, frecuentes para la homologación de proveedores, cabría añadir algunos adicionales en materia de compliance compliance:: • Que el proveedor no se encuentra incluido en algún listado nacional o inter nacional de sujetos embargados o perseguidos por la justicia. Igualmente, que no presenta noticias negativas en medios de comunicación que hagan dudar de su alineación con los valores que defiende la organización organización.. • Que sus propietarios últimos últi mos están identificados y que ni ellos ni sus familiares f amiliares cercanos guardan están vinculados con funcionarios públicos u otras personas
públicamente expuestas respecto a las que deban adoptarse cautelas especiales. Una vez homologados los proveedores, procederá formalizar la relación r elación con ellos, introduciendo las cautelas contractuales oportunas en cuanto a su compromiso con la conducta ética y el respeto de las l as normas. En relación con las tres tr es etapas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 203
básicas en materia de evaluación de terceras partes (selección, partes (selección, formalización y seguimiento), véanse los comentarios y los ejemplos comprendidos en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. La integración de procedimientos procedimientos ordinarios ordinarios de negocio con los los de compliance compliance no no solo significa que se desarrollen ambos, sino, además, lo harán de manera coordinada. Es el único modo de garantizar la imposibilidad i mposibilidad de concluir la trtransacción ansacción (en este ejemplo, la homologación del proveedor) sin haber cubierto tanto los requisitos requisitos d dee negocio como los de compliance compliance.. Las organizaciones organizaciones que que los mantienen separados incurren en el riesgo riesgo de de finalizar los procesos procesos de de “negocio” –homologando al proveedor– sin haber concluido satisfactoriamente los de compliance compliance.. MÁS INFORMACIÓN. Procedimientos de debida diligencia.
Una buena parte de las cautelas de compliance compliance guardan guardan relación con los procedimientos de mientos de debida diligencia interna (los que se proyectan sobre las personas que se incorporan o promueven en la organización organización)) y externa (las terceras partes con partes con los que la organización organización quiere quiere vincularse). En relación con ambos aspectos, véanse las explicaciones y los ejemplos contenidos en los apartados II.7.2.2 Proceso de empleo y empleo y II.8.1 Planificación y control operacional, operacional, ambos de este libro. A CONSIDERAR. CONSIDERAR. Utilidad de los “mapa “mapass de procesos”.
Los llamados “mapas de procesos procesos”” son la plasmación gráfica, normalmente en forma de flujograma, de los procesos procesos por por los cuales la organización organización desarrolla desarrolla sus actividades (compras, ventas, planificación y ejecución presupuestaria, control de tesorería y pagos, etc.). Ayudan a visualizar y comprender los hitos por los que atraviesan dichas actividades, así como los roles, r oles, las responsabilidades y las autoridades de las personas, las funciones o las áreas que intervienen en ellas. Constituyen una herramienta de utilidad para analizar las debilidades de algunos procesos en procesos en términos de su eficiencia, de su eficacia eficacia y y de su control. En la esfera del compliance compliance,, facilitan incorporar sus requisitos requisitos dentro dentro de los flujos de actividad asociados a los procesos procesos ordinarios. ordinarios. Sobre la utilidad de los mapas de procesos procesos véase véase el apartado II.3.8 Proceso Proceso,, así como las explicaciones y los ejemplos que figuran bajo el título “ Actividades “ Actividades que involucran indirectamente a la función de compliance” compliance” del apartado II.5.3.2 Función de compliance y compliance y el apartado II.8.1 Planificación y control operacional, operacional, todos de este libro.
funci nción ón de compl complian iance ce velará por impulsar las actividades formativas que permitan • La fu al perso personal nal abordar los riesg riesgos os de complian compliance ce a los que está expuesto por motivos de su ocupación, en línea que con que indica el apartado 7.2.3 Forma Formación ción. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
204
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
MÁS INFORMACIÓN. Actividades de formación.
Las actividades de formación son especialmente importantes como apoyo al mantenimiento una adecuada culturaII.7.2.3 corporativa. Véanse comentarios y los ejemplos al de respecto en el apartado Formación, Formación , delos este libro. • La funci función ón de compliance compliance también se preocupará de que se establezcan indicadores con los que medir el desempeño de las diferentes actividades en el contexto del sistema de ggestión estión. No se configura como una obligación directa, en tanto en cuanto son actividades que pueden desarrollarse por otras áreas, departamentos o funciones.
EJEMPLO. Algunas actividades de formación.
Es posiblepero que de algunas de formación, normalmente sobre cuestiones técnicas, algúnactividades modo vinculadas con el compliance compliance, , sean desarrolladas por equipos en otras áreas de la organización organización.. En tales casos, al conocer su criticidad, la función de de compliance compliance velará velará por que quienes las impulsan, fijen indicadores para medir su ejecución y aprovechamiento, aprovechamiento, siguiendo siguiendo entonces entonces los resultados que arrojen.
MÁS INFORMACIÓN. Indicadores e informes de compliance.
En relación con el desarrollo de indicadores y indicadores y su plasmación en los informes de compliance compliance,, véanse los comentarios y los ejemplos en los apartados II.9.1.3 Desarrollo de indicadores, indicadores, II.9.1.4 Informes de compliance y compliance y II.9.3 Revisión por la dirección, dirección, todos de este libro.
Aspectos que incumben a la organización Existe una serie de elementos clave para dotar a la función de compliance compliance de la operatividad necesaria. Son aspectos que corresponde proveer a la organización, si bien su ejercicio por parte de dicha función está sujeto a los principios que informan el estándar ISO 37301:2021, en especial, el de responsabilidad 162.
relación con este particular, véanse los comentarios en el apartado I.6.1.5 Principio ponsabilidad ponsabilid ad, de este libro. 162 En
de res-
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 205
Corresponde a la organización: • Que la funció funciónn de compliance compliance disponga de la capacidad de informar y participar en las instancias y posiciones senior que que tengan atribuidas facultades deliberatorias o incluso, decisorias, pudiendo así prestar asesoramiento y actuar de manera preventiva.
A CONSIDERAR. Participación en otros foros decisorios.
En el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro, se comenta la importancia de que dicha función tenga acceso directo y fluido con las instancias de gestión social. Sin embargo, el apartado II.5.3.2 Función de de compliance compliance va va más allá y exige que la organización organización asegure asegure su acceso a las instancias senior instancias senior de decisión, lo cual incluye, pero no se circunscribe necesariamente al órgano de gobierno y gobierno y a la alta dirección. dirección. EJEMPLO. Foros internos de debate y decisión.
Comités de inversiones, comités de gobernanza de producto (que valoran y siguen la secuencia que transcurre desde su creación hasta su comercialización), comités de investigación, comités de prospección de mercados y expansión, comités de ciberseguridad, etc. • Que la función de compliance compliance pueda acceder a todos los niveles de la organizaci organización ón, tanto desde una perspectiva funcional como geográfica.
A CONSIDERAR. CONSIDERAR. La movilidad de la función de compliance. En organizaciones organizaciones grandes, grandes, especialmente con múltiples emplazamientos físicos incluso en diferentes países, es importante que la función de de compliance compliance disponga de la capacidad para desplazarse y acceder de diferentes perfiles de personas. Es uno de los factores de autonomía, junto con otros que se han comentado como ejemplos en el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro.
Las diferencias culturales dificultan el asentamiento de una cultura común que ayude a observar correctamente los valores de la organización organización,, así como de las políticas y políticas y procedimientos procedimientos que que se derivan de ellos. La capacidad para realizar visitas y entrevistarse con personas de diferentes rangos y ocupaciones ayuda a
contrastar uniformidad y puede la consistencia su entendimiento aplicación. El presupuestolade compliance puede compliance contemplarenpartidas dedicadas ay ejecutar visitas o comprobaciones in situ de situ de forma planificada. Véanse también los comentarios y los ejemplos al respecto en el apartado II.7.1 Recursos Recursos,, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
206
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
función ión de complianc comp liancee tenga acceso al pers personal onal y documentación que • Que la func precise con motivo de sus competencias. Aunque afecta a la organización en su conjunto, dar eficacia a este requisito es algo que incumbe especialmente a las altas instancias de gestión social, según se establece en el apartado 5.1.1 Órgano de gobierno y alta dirección. A CONSIDERAR. CONSIDERAR. Acceso a todo el personal.
Es interesante subrayar que este apartado precisa que la organización organización brinde brinde a la función de de compliance compliance acceso acceso al personal personal,, concepto que, como se ha explicado (en relación con la amplitud del concepto de personal personal,, véanse los comentarios recogidos en el apartado II.3.22 Personal Personal,, de este libro), tiene una notable amplitud. Por tanto, no se está circunscribiendo su actuación a la l a dirección o a los mandos, sino al conjunto de personal personal.. Normalmente, las solicitudes de información y documentación se canalizarán a través de los diferentes responsables. Pero el estándar ISO 37301:2021 abre la posibilidad de dirigirse a cualquier sujeto encuadrable como personal personal si, si, por ejemplo, se sospecha que sus superiores obstruirán librar informaciones o documentos. MÁS INFORMACIÓN. Acceso a personas, informaciones y documentos.
En relación con el acceso de la función de de compliance compliance a a las personas, informaciones y documentos que precise con motivo del ejercicio de sus competencias, véanse también los cometarios cometari os y ejemplos que se recogen en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de este libro.
función ión de compliance compliance asesoramiento sobre el marco normativo, • Que se se brinde a la func las regulaciones y los estándares. Se trata de que pueda conocer e interpretar compliance que derivan del mismo. correctamente las obligaciones de compliance EJEMPLO. Procurar asesoramiento interno y externo. Considerando el volumen y la complejidad normativa, disponer de un buen asesoramiento acerca de las obligaciones de compliance es compliance es clave para darles correcto cumplimiento. A tales efectos, el estándar ISO 37301:2021 plantea abiertamente esta actividad que, tanto puede canalizarse interna como externamente, o mediante una combinación de ambas opciones.
El asesoramiento internoalprocederá instancias de dentro de la de propia organi- zación zación, , Como se explicó abordar ladeinteracción la función de compliance compliance con los grupos de interés interno en el apartado II.4.2 Comprensión de las necesidades y expectativas de las partes interesadas, interesadas , de este libro. En particular, el soporte por parte de la Asesoría Jurídica interna puede ser clave, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 207
especialmente cuando el perfil de las personas que ocupan posiciones de compliance no compliance no es jurídico. Con independencia de lo l o anterior anterior,, la organización organización también también debe procurar asesoramiento externo a la función la función de compliance. compliance. MÁS INFORMACIÓN. Recursos.
Sobre el asesoramiento interno o externo como partida a contemplar en el presupuesto de compliance compliance,, véanse las explicaciones y los ejemplos comprendidos en el apartado II.7.1 Recursos Recursos,, de este libro.
II.5.3.3. Dirección La dirección (“ man ”) no es un término definido en el estándar ISO 37301:2021, manage agemen ment t ”) como tampoco en los precedentes163. Sin embargo, es un concepto que se utiliza en ellos (directivos relevantes o “ relevant management ”) ”) para referirse a los cargos dotados de capacidad de mando, subordinados al órgano de gobierno y a la alta dirección. No obstante, el apartado 9.3 Revisión por la dirección hace un uso más amplio de este término no definido, incluyendo a los efectos de su estipulación al órgano de gobierno y a la alta dirección. Este apartado es una reformulación y resumen del antiguo apartado 5.3.5 Respon sabilidades sabili dades de la direc dirección ción del estándar previo ISO 19600:2014. Hace referencia a comportamientos que afectan a la dirección, siempre dentro del contexto de los roles que tenga encomendada en cada caso concreto: • Se espera de la dirección que no solo coopere con la función de compliance compliance, sino que también anime a hacerlo al resto del personal. Es más, también que asegure que el personal a su cargo164 observe las obligaciones de compliance compliance que le afectan, así como las políticas, los procesos y los procedimientos establecidos con tal fin por la organización. En cualquier caso, participará activamente en la resolución de
término "Dirección" ( Management ) no forma parte de la HLS y no está definido en los estándares ISO 19600:2014 ni ISO 37001:2016. Sin embargo, ambos se refieren ocasionalmente al “ management ”. ”. Además, el estándar ISO 19600:2014 disponía del apartado 5.3.5 Responsabilidades de la dirección direcc ión, equivalente al analizado en este apartado respecto al estándar ISO 37301:2021. 163 El
164 Lógicamente,
esta referencia al personal a su cargo conlleva que la propia Dirección observe las obligaciones de compliance que le afectan, así como las políticas , los procesos y los procedimiento procedimientoss establecidos para ello por la organización . En cualquier caso, es también una obligación que le viene dada por el carácter general de lo dispuesto en el apartado 5.3.4 Personal, que aplica al amplio conjunto que cubre este término definido. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
208
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
compliancee cuando así sea requerida. Esto incluye incidentes y cuestiones de complianc también participar en accion acciones es correc correctivas tivas (eventual diseño e implementación práctica). • En sus labores diarias, procurará identificar los riesgos de compliance compliance relativos a las operaciones en las que interviene, comunicándolos a las instancias que compliance. correspondan, incluida obviamente a la función de compliance • Procurará integrar las obligaciones de compliance compliance dentro de las propias prácticas operativas de la organización que afecten a su ámbito de actuación, de manera que se facilite su cumplimiento.
MÁS INFORMACIÓN. Integración de los requisitos de compliance.
En el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro, se explica que corresponde a dichas instancias procurar la integración de los requisitos requisitos de compliance compliance dentro dentro de los procesos procesos ordinarios ordinarios de negocio. Es una labor que concierne a las máximas instancias de gestión social, soci al, pero por la que debe velar la función de de compliance compliance,, según se ilustra con ejemplos en el título t ítulo “ Actividades que involucran indirectamente a la función de compliance” compliance” del apartado II.5.3.2 Función de compliance, compliance, de este libro. La dirección debe coadyuvar a dicha intei ntegración, formando parte de sus obligaciones. • Atenderá a los ciclos de formación sobre sobre complia compliance nce y dará soporte a los mismos. Procurará, Procurará, además, que q ue el personal a su cargo esté al corriente de las obligacio nes de compliance compliance que les afectan y les tutelará para que completen las acciones formativas que mejoren su nivel de competencia y cubran los req requisi uisitos tos de capacitación precisos.
A CONSIDERAR. CONSIDERAR. La formación como necesidad.
La formación en materia de compliance compliance no no es una opción, sino una necesidad. De hecho, como se señala en el apartado II.5.3.4 Personal Personal,, de este libro, la asistencia debería ser obligatoria normalmente para el colectivo que sea requerido a ello. Como igualmente se explica con ejemplos en el apartado II.7.2.3 Formación Formación,, de este libro, la falta de formación equivale a una deficiente capacitación para
abordar los riesgos riesgos d dee compliance compliance.. Por consiguiente, atender a los ciclos de formación e impulsar que también lo hagan los equipos a su cargo es una labor indispensable de la dirección.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 209
EN BUSCA DE LA EXCELENCIA. El liderazgo desde el ejemplo en la formación.
La no solo atiende a la formación e incentiva queEsotros lo que hagan, sinodirección que también puede participar activamente en estospara ciclos. sabido los mensajes de compliance compliance,, emitidos por personal personal no no adscrito a la función, pueden causar un mayor impacto en los destinatarios por diferentes razones: proximidad, legitimidad, lenguaje lenguaj e empleado, etc. Por consiguiente, que la dirección asuma un rol participativo en los ciclos de formación de compliance compliance añade añade valor y frescura a esta actividad. Sin perjuicio de lo anterior y considerando la diversidad y complejidad normativa, suele aconsejarse que esta actividad sea supervisada por la función de de compliance compliance,, previniendo mensajes confusos o, simplemente, desacertados.
MÁS INFORMACIÓN. Formación. En cuanto a la obligación del personal personal de de participar en los ciclos de formación, véanse las explicaciones del apartado II.5.3.4 Personal Personal,, de este libro. Acerca de las actividades formativas, formativ as, véanse las explicaciones y los ejemplos que se recogen en el apartado II.7.2.3 Formación Formación,, de este libro. • Alentará a las personas a su cargo cargo a comunicar inquietudes, inquietudes, dándoles el apoyo que precisen y evitando que sean objeto de represalias por ello.
MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.
Los canales para eltradicionales planteamiento de inquietudes pueden ser diversos, incluyendo mecanismos y también, medios informáticos. Normalmente, las organizaciones organizaciones utilizan utilizan diferentes canales de comunicación interna de forma simultánea, a efectos de favorecer el traslado de dudas, inquietudes o denuncias. En relación con esta materia, véanse las explicaciones y los ejemplos que se recogen en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
210
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
II.5.3.4. Personal Este apartado es prácticamente coincidente con el apartado 5.3.6 Responsabilidad de del antiguo estándar ISO 19600:2014. Se tratan aspectos que afectan a los empleados todo sujeto encuadrable bajo la definición de personal que, no olvidemos, abarca cualquier tipo de relación contractual que qu e lo haga dependiente de la organización (véase el apartado II.3.22 Personal Personal, de este libro). Visto así, las materias de este apartado aplican igualmente al órgano de gobierno, a la alta dirección y a la dirección, así como al resto de personas integradas en la organización, incluida la propia función de compliance compliance: • Además de adherirse a las obl obligac igacione ioness de complia compliance nce que afectan a la orga organiza nización ción, el personall debe también hacerlo respecto a las pol persona políti íticas cas, los pro proceso cesoss y los proc procedim edimient ientos os establecidos al efecto165. Esto supone comprometerse a seguir unos parámetros legales y éticos que no son abstractos, sino que derivan de este marco.
MÁS INFORMACIÓN. Declaraciones periódicas de conformidad. El proceso proceso de de adhesión a las políticas políticas de de compliance compliance se se encuadra dentro de los procedimientos periódicos procedimientos periódicos de declaración de conformidad, que se explican con ejemplos bajo el título “Materias “Materias relacionadas con su custodia y comunicación” comunicación ” dentro del apartado II.5.2 Polític Políticaa de compliance compliance,, de este libro.
A CONSIDERAR. CONSIDERAR. Niveles de conformidad.
En relación con los procesos procesos de de declaración de conformidad dirigidos al personal,, pueden plantearse varios alcances progresivos, a evaluar dependiendo del nal marco jurídico de aplicación. • Que las políticas políticas (expresamente (expresamente indicadas) han sido puestas a su disposición. • Que las políticas políticas (expresamente (expresamente indicadas) han sido puestas a su disposición y se ha adquirido conocimiento de su contenido. • Que las políticas políticas (expresamente (expresamente indicadas) han sido puestas a su disposición, se ha adquirido conocimiento de su contenido y se está de acuerdo con él, manifestando que se ha cumplido con el mismo y comprometiéndose a continuar haciéndolo.
165 Esta
mención es nueva en ISO 37301:2021, en la medida que en el estándar ISO 19600:2014
solo se hacía referencia a la adhesión a las . No obstante, el antiguo texto compliance incluía un apartado, ahora desaparecido, obligaciones que atribuíade como responsabilidad de los empleados de hacer uso de los recursos accesibles en el contexto del sistema de gestión de compliance . Dentro de esos recursos cabía entender las polít políticas icas , los proces procesos os y los proce procedimie dimientos ntos encuadrados en dicho sistema de gestión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.5 Liderazgo 211
• Que las políticas políticas (expresamente (expresamente indicadas) han sido puestas a su disposición, se ha adquirido conocimiento de su contenido, se está de acuerdo con él, manifestando que se ha cumplido con el mismo y comprometiéndose a continuar haciéndolo también, manifestando aeltravés compromiso de comunicar infracciones de las yque tenga conocimiento de los canales internos las de comunicación establecidos al efecto. • Comunicar inquietudes en materia de com complia pliance nce o irregularidades. Es un compromiso para la utilización de los procesos a que se refiere el apartado 8.3 Planteamiento de inquietudes.
MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.
Acerca de las cara Acerca caracter cterístic ísticas as y los ejem ejemplos plos sobre los cana canales les para el plan planteam teamient ientoo de inquietudes, incluido el eventual estatuto de protección al denunciante de buena fe que enmarca la Directiva Europea 2019/1937 del Parlamento EuEu ropeo y del Consejo, véase el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro. A CONSIDERAR. CONSIDERAR. Canales abiertos a terceras partes.
Los canales abiertos a terceras partes, partes, esto es, aquellos que permiten cursar comunicaciones, no solo del personal personal,, sino también, de terceros terceros,, son especialmente eficaces para la gestión de compliance compliance.. Una parte notable de comunicaciones extremadamente detalladas de irregularidades procede de exempleados o incluso, de competidores, circunstancia que contribuye a su rápida investigación y conclusión. • El personal debe también participar en las actividades de formación que le afecten, que seguirán los parámetros establecidos en el apartado 7.2.3 For mación maci ón.
MÁS INFORMACIÓN. Formación del personal.
Sobre las modalidades formativas, véanse las explicaciones y los ejemplos que figuran en el apartado II.7.2.3 Formación Formación,, de este libro.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.6
Planificación
Propósito de este capítulo compliance ce no es simplemente un resultado, El estándar ISO 37301:2021 enfatiza que complian sino un proceso. Así se refleja tanto en su Introducción como en la propia definición 3.26 Compliance/Cumplimiento. En términos de buen gobierno, el cumplimiento de compliance no debe ser casual, sino obedecer a una voluntad delibelas obligaciones de compliance rada de hacerlo. Para Para trascender de meras manifestaciones programáticas se precisa planificar las actividades necesarias para conseguirlo. Es a través de su planificación y posterior ejecución donde la organización refleja su voluntad y plena conciencia de observar las obligaciones de compliance que le afectan.
Evolución respecto a ISO 19600:2014 Este capítulo aborda dichas actividades esenciales a través de dos apartados, coincidentes con las ya presentes en el estándar previo ISO 19600:2014.
II.6.1. Acciones para abordar los riesgos y
oportunidades A diferencia diferencia del antiguo antiguo estándar ISO 19600:2014, cuyo título se circunscribía circunscribía a las acciones para “afrontar riegos”, el actual apartado 6.1 Acciones para abordar los riesgos y oportu opo rtunid nidade adess del estándar ISO 37301:2021 incluye también el término “oportunidades “oportunidades”, ”, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
213
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
214
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
subrayando así que las labores de gestión de riesgos entrañan siempre la posibilidad de mejorar el sistema de gestión, en línea con lo que postula el capítulo 10 Mejora. En general, las actividades planificadas deben ser acordes con las necesidades que derivan de las circunstancias internas y externas de la organización, así como de los requisitos que puedan provenir de las partes interesadas (en relación con los colectivos que integran el concepto de “ partes interesad interesadas as” y sus requisit requisitos os, véase el apartado II.3.2 Parte Parte interesada, dedicado a tal definición, de este libro). Como se ha explicado en el apartado I.6.1.2 Principio de proporcionalidad, de este libro, libro, estos elementos tienen un fuerte impacto a la hora de aplicar razonablemente el principio de proporcionalidad. Evaluar la armonía del sistema de gestión –en general–, así como la naturaleza y la extensión de sus actividades planificadas pl anificadas precisa revisitar los resultados de lo exigido en los apartados 4.1 Comprensión de la organización y de su contexto y 4.2 Comprensión . Solo teniendo estos factores en de las necesidades y expectativas de las partes interesadas consideración, la organización puede confiar en la adecuación del sistema de ge gestión stión
compliance que le afectan, detectando a de compliance para satisfacer las obligaciones de compliance tiempo no conformidades y no cumplimientos de compliance compliance, previniendo o reduciendo sus consecuencias y mejorando continuamente. Además del anterior anter ior marco interpretativ interp retativo o general, genera l, este apartado apart ado detalla detal la aspectos aspec tos concretos a considerar a la hora de planificar las actividades propias del sistema de gestión de compliance: • Las actividades planificadas deben guardar guardar relación con los objeti objetivos vos de comtratan en el, de apartado siguiente II.6.2 Objetivos pliance , que de compliance y planificaci planificación ón se para lograrlos este libro. Debe concurrir una correlación obv iay obvia objetivos tivos pretendidos y la idoneidad de las actividades planificadas entre los obje para lograrlos.
MÁS INFORMACIÓN. Actividades planificadas y enfoque basado en el riesgo.
Aunque una parte de las actividades planificadas pueden ser de índole general y no responder a una necesidad concreta (la formación recurrente acerca del código ético o de conducta, a pesar de que no se hayan observado vulneraciones a su contenido), otra parte sí que debería estar enfocada a disminuir el nivel
de exposición a los riesgos riesgos de de compliance compliance que que amenacen a la organización organización.. Sobre este particular, particular, véanse las explicaciones y llos os ejemplos que se inclu incluyen yen en el capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión y gestión y I.6.2.2 Enfoque basado en el riesgo, riesgo, ambos de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.6 Planificación
215
obliga igacio ciones nes de compli complianc ancee iden• Las actividades planificadas guardan guardan relaci relación ón con las obl tificadas de acuerdo con el apartado 4.5 Obligaciones de complian compliance ce. Aunque parece requisito isito subraya la relación entre las actividades planificadas y una obviedad, este requ el core del comp complian liance ce, esto es, atender las obli obligacio gaciones nes de comp complian liance ce: las primeras se proyectan sobre las segundas, siendo colateral cualquier otra cobertura adicional. EJEMPLO. Planificación de actividades no directamente relacionadas con compliance.
Un sistema de gestión Un sistema gestión de de compliance compliance puede puede utilizarse para cubrir otras necesidades adicionales que no guarden estricta relación con las obligaciones las obligaciones de de compliance.. Sin embargo, esto no le debe restar foco ni recursos para el núcleo compliance de actividades que contempla el estándar ISO 37301:2021. Así, por ejemplo, se pueden planificar actividades para la prevención, detección y reacción ante otros riesgos distintos riesgos distintos de los de compliance compliance (invertir (invertir en productos financieros, detectar el internopor o evitar el lanzamiento de productos o serviciosson sinmás aceptación enfraude el mercado, ejemplo). Aunque estas y otras actividades propias de otros modelos de supervisión y control, eventualmente pueden hallarse en la órbita del sistema del sistema de gestión gestión de de compliance compliance por por motivos puntuales de conveniencia. La planificación y el desarrollo de dichas actividades no pueden mermar los esfuerzos en compliance compliance ni ni servir de excusa para justificar una supervisión deficiente de sus cometidos fundamentales. • Las actividades planificadas planificadas también guardan relación relación con el resultado de la evaluación de riesgos indicada en el apartado 4.6 Evaluación de los riesgos de com pliance. Puesto que el sistema de gestión de compliance sigue un enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro), tanto los objetivos de compliance como la planificación de actividades a desarrollar se ven fuertemente condicionadas por los resultados de la evaluación de riesgos. No se comprenderá el establecimiento de objetivos ni la planificación de actividades disociadas del resultado de dicho ejercicio, en el sentido de que no sean apropiadas para disminuir el nivel de exposición de la organización.
MÁS INFORMACIÓN. Actividades planificadas y evaluación de riesgos de compliance.
Puesto que el sistema el sistema de gestión de gestión de compliance compliance sigue sigue un enfoque basado en el riesgo,, según se explica en el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo riesgo, de este libro, reviste una importancia capital, no solo la adecuación de la evaluación
de riesgos, riesgos , explicada y comentada conlibro, ejemplos encoherencia el apartadodeII.4.6 Evaluación de los riesgos de compliance, compliance , de este sino la las actividades planificadas con el resultado de dicho ejercicio, contribuyendo a disminuir el riesgo riesgo residual de la organización organización.. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
216
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
De acuerdo con lo anterior, la organización establecerá las actividades a planificar,, viendo cómo incorporarlas en los procesos del sistema de gestión y el modo ficar de medir su eficacia.
MÁS INFORMACIÓN. Integración de los requisitos de compliance en los procesos ordinarios de la organización.
Sobre la integración de los requisitos requisitos de de compliance compliance como como parte de los procesos procesos y y procedimientos habituales de negocio, véanse las explicaciones en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, así como los comentarios y el ejemplo que figura en el apartado II.5.3.2 Función de de compliance compliance.. Véanse igualmente las explicaciones del apartado II.8.1 Planificación y control operacional, operacional, todos de este libro. MÁS INFORMACIÓN. Medición de eficacia e informes de compliance.
Acerca establecimiento nto ddee in indicadores dicadores la eevaluación valuación ydel desempeño del del sistemadel de establecimie gestión gestión de de compliance compliance, , véansepara las explicaciones losdesempeño ejemplos que se recogen en el apartado II.9.1.3 Desarrollo de indicadores, indicadores, de este libro. En relación con la traslación de su resultado en los informes i nformes de compliance compliance,, véanse las explicaciones y los ejemplos que figuran en el apartado II.9.1.4 Informes de compliance,, también de este libro. compliance
II.6.2. Objetivos de compliance y planificación para lograrlos Para progresar, las organiz organizaciones aciones se fijan objetiv objetivos os en diferentes esferas y la de compli compliance ance no es una excepción. Del mismo modo que existen objetivos para la generación de ingresos (planes comerciales, de expansión, etc.), también cabe establecer los objeti vos de compliance. Este paralelismo ayuda a comprender su correcto planteamiento y utilidad, como se explica a continuación. Los objetivos de compliance no son una formulación ambigua, sino una concreción del marco previamente establecido por la organización a través de su política de com pliance, como bien se deduce del apartado 5.2 Política Política de compliance (en relación a la política de compliance como marco de referencia referencia para el establecimiento de objetivos, Política de compliance, de este libro). Del mismo modo que los véase el apartado II.5.2 Política lo s
objetivos comerciales “vender más” o “vender mejor” resultan excesivamente vagos, los objetivos de compliance tales como la “tolerancia cero a los no cumplimientos cumplimientos de com com pliance” y “mejora de la l a cultura ética y del respeto a las normas”, resultan igualmente imprecisos. Pueden conformar un marco razonable de refere referencia ncia para determinarlos después (el primer requisito y más obvio es que los objetivos están alineados con Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.6 Planificación
217
el marco que determina la política de compliance), pero difícilmente reunirán todos los requisitos exigidos en este apartado: que sean medibles (cuando sea posible), que tomen en consideración los requisitos que afectan a la organización, que puedan ser objeto de seguimiento, que puedan ser comunicados y eventualmente actualizados.
EJEMPLO. Marco de determinación de objetivos y objetivos concretos.
El marco estratégico “vender más” dará lugar a objetivos objetivos potencialmente potencialmente distribuidos en diferentes funciones y niveles. Así, al equipo comercial se le puede transmitir “vender más artículos de esta categoría en estas geografías”, mientras que al equipo de marketing marketing se se le trasladará “desarrollar campañas específicas sobre tales productos con especial intensidad en estas geografías” y así sucesivamente en las diferentes áreas de la organización organización.. En compliance compliance procede procede desarrollar un planteamiento análogo, con una capilaridad equivalente. Del modo que los objetivos comerciales sino que compliance. Como a unamismo estrategia circunstancial, tampoco lo sonnolosson decaprichosos, se obedecen explicaba respecto al apartado anterior anterio r, la determinación de objetivos es una actividad planificada que tiene en consideración: (i)
políticaa Lo exigido por el marco general para su fijación que contempla la polític de compliance.
obligacione cioness de compliance compli ance y los ries riesgos gos –de no (ii) Otros factores como las obliga conformidad confo rmidad es y no cumplimi cumplimientos entos de compliance complia nce– aparejados con ellas. Siguiendo un enfoque basado en el rie riesgo sgo (véase el apartado I.6.2.2 I.6.2.2 Enfoque basado en el riesgo, de este libro), los objetivos deberían procurar la disminución del nivel de exposición a los riesgos de compliance compliance de la organización, pero no de una manera arbitraria, sino coherente con los resultados del ejercicio de evaluación de riesgos. Puesto que el ejercicio de evaluación de rie riesgos sgos debe desarrollarse periódicamente, también la fijación de objetivos para reducirlos. Del mismo modo que los objetivos comerciales evolucionan según las circunstancias y, por eso, no son siempre los mismos; igual sucede con los de compliance, según varían el contexto de la organización o sus riesgos. A diferencia de la política de compliance y otras políticas de alto nivel, que procuran una estabilidad espaciotemporal (en relación con la estabilidad espaciotemporal de ciertos documentos, véase el apartado II.5.2 Política Política de compliance, de este libro), la fijación y documentación de objetivos de compliance opera de manera circunstancial, adaptándose así a las necesidades de cada ámbito y momento.
Dependiendo de su naturaleza, los objet objetivos ivos de compliance pueden ser estratégicos o tácticos u operativos. Esta distinción permite aumentar su nivel de concreción, ayudando a planificar actividades y establecer indicadores para su seguimie seguimiento nto y la medición de su eficacia. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
218
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
EJEMPLO. Marco de objetivos de compliance en la política de compliance.
Como se explica en el apartado II.5.2 Política de de compliance compliance,, de este libro, la política política de de compliance compliance incorpora incorpora el marco para constituye la determinación de los objetivos objetivos de compliance compliance. . De este modo, dicha política constituye política un documento dotado de estabilidad espaciotemporal (en relación con la estabilidad espaciotemporal de ciertos documentos, véase el apartado II.5.2 Política de de compliance compliance,, de este libro), mientras que el ejercicio de fijación de objetivos objetivos será será circunstancial, esto es, vendrá condicionado por las necesidades variables que se manifiestan del ejercicio periódico de evaluación de los riesgos riesgos de de compliance compliance.. V Veamos eamos algunas declaraciones de valores susceptibles de constituir un marco de fijación de objetivos objetivos:: • Tolerancia cero a los no cumplimientos de de compliance compliance.. • Mantenimiento de una cultura ética y de respeto a las normas. • Incremento de los umbrales de exigencia de la organización organización en en materia de compliance,, por encima de los mínimos exigidos por la normativa de aplicación. compliance • Colaboración activa con las partes interesadas, interesadas, incluidas expresamente las autoridades, en materia de compliance compliance.. Liderazgo e impulso en este ámbito. • Traslado a las comunidades de los valores de compliance compliance,, para su difusión incluso fuera de la organización organización.. La política política de de compliance compliance la la aprueba el órgano de gobierno y gobierno y la alta dirección, dirección, lo que significa que tiene una marcada naturaleza estratégica.
EJEMPLO. Objetivos estratégicos de compliance, dentro del marco fijado en la política de compliance.
Imaginemos que el ejercicio de evaluación de los riesgos riesgos de de compliance compliance de de una organización muestra organización muestra un nivel de riesgo riesgo elevado elevado en cuanto a las operaciones que se llevan a cabo en determinada jurisdicción, por la posibilidad de infringir normas sobre defensa de la competencia. Esta situación sit uación amenaza el marco general fijado en la política de compliance compliance,, que establece tolerancia cero a los no cumplimientos de de compliance compliance.. Derivado de lo anterior anterior,, entre los objetivos objetivos “estratégicos” “estratégicos” de compliance compliance corres correspondientes a ese periodo (el ejercicio social, por ejemplo), se contará reducir el
nivel de exposición a esos potenciales no cumplimientos de de compliance compliance en en las operaciones que se llevan a cabo en la jurisdicción bajo sospecha, en materia específica de defensa de la competencia. Esto no significa que este objetivo objetivo vaya vaya a trasladarse a la política de de compliance compliance,, pues se agotará una vez ejecutadas exitosamente las actividades para su mitigaEste documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.6 Planificación
219
ción. Constará en el documento de objetivos objetivos del del periodo y se mantendrá en él y en los siguientes mientras no se haya cubierto satisfactoriamente. Tampoco significa que no puedan establecerse otros objetivos objetivos igualmente igualmente estratégicos, no vinculados necesariamente con los resultados del ejercicio de evaluación de riesgos riesgos de de compliance compliance.. Así, por ejemplo, puede también contemplarse la reducción del nivel de exposición a esos mismos no cumplimientos de de compliance en compliance en todas las jurisdicciones donde opera la organización organización.. Pero lo que verdaderamente permite operar al modelo de compliance compliance en en clave sistémica es su capacidad para proyectarse en lo más relevante para ella, siguiendo un enfoque basado en el riesgo riesgo (véanse (véanse el apartado I.6.2.2 Enfoque basado en el riesgo,, de este libro). riesgo EJEMPLO. Objetivos estratégicos de compliance, concretados en objetivos tácticos u operativos.
Siguiendo con el ejemplo anterior, el objetivo objetivo estratégico estratégico derivará en objetivos objetivos tácticos u operativos, a pequeña escala. Por ejemplo: • Impartir formación ad hoc en hoc en materia de defensa de la competencia al personal personal directivo y a los mandos comerciales en la jurisdicción bajo sospecha. • Desarrollar actividades de concienciación sobre defensa de la competencia, especialmente enfocadas al colectivo comercial en general. • Asignar responsabilidades locales específicas en materia de seguimiento de seguimiento del del nivel de desarrollo y éxito de las medidas de formación y concienciación sobre defensa de la competencia. • en Realizar averiguaciones situcompetencia. sobre el nivel de cumplimiento de la normativa materia de defensa dein lasitu sobre • Mejorar el asesoramiento jurídico jur ídico local en materia de defensa de la competencia. Vemos que de un solo objetivo Vemos objetivo estratégico estratégico han derivado cinco objetivos objetivos tácticos. tácticos. A contin continuación, uación, se explica cómo se traduce traducenn eenn aactivid ctividades ades planif planificadas icadas que permitirán establecer indicadores de seguimiento de seguimiento y y condicionarán el presupuesto de compliance compliance.. EJEMPLO. Transformación de objetivos en actividades planificadas y gestión presupuestaria.
A cont continua inuación ción,, se verán los objetivos objetivos tácticos tácticos transformados en actividades concretas, que forman parte de la planificación del ejercicio: • Selección y contratación de formadores locales y recursos de formación online online.. Diseño de los ciclos de formación ad hoc y hoc y su ejecución. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
220
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
• Selección y contratación de un proveedor con experiencia en el desarrollo de material de concienciación sobre la base de los contenidos formativos for mativos previamente diseñados. Ejecución de las campañas en forma de cartelería, vídeos en lugares comunes de descanso en la organización organización y y material ad hoc ( hoc (flyers flyers,, fichas e incluso, merchandising merchandising).). • Identificación y designación formal del responsable de realizar un seguimiento de las acciones anteriores, valoración de su nivel de seguimiento de seguimiento y y aprovechamiento e información sobre ello a la función de de compliance compliance.. Comunicación formal de la asignación de ese rol al personal personal local, local, mediante carta del presidente otorgando importancia a la materia y al nombramiento. • Desarrollo un simulacro de “dawn “ dawn raid” raid” en las oficinas sitas en la jurisdicción bajo sospecha. Conexión de una plataforma informática de investigación forense a los equipos locales en búsqueda de términos sospechosos. Selección y contratación de un proveedor externo a tales efectos, ejecutando el servicio. • Selección y contratación de una firma jurídica jurí dica de prestigio para prestar asease soramiento de la calidad a la dirección local en materia de defensa de la competencia. En relación con cada actividad planificada se precisará prever los recursos que se precisan (internos y externos) para su ejecución y fijar indicadores de seguimiento.
A CONSIDERAR. CONSIDERAR. Desarrollo de indicad indicadores. ores.
Para medir el el nivel de eficacia eficacia de de las actividades acordadas para cubrir los objetivos de objetivos de compliance compliance (tanto (tanto generales como vinculados con los resultados del ejercicio de evaluación de riesgos riesgos de compliance compliance),), procede desarrollar indicadores. El estándar ISO 37301:2021, en su anexo A.9.1.3 Desarrollo de indicadores, indicadores, ofrece diferentes ejemplos y distingue entre indicadores de actividad, reactivos y predictivos. Sobre esta materia y clasificación, clasifi cación, véanse las explicaciones y los ejemplos que contiene el apartado II.9.1.3 Desarrollo de indicadores,, de este libro. indicadores
A CONSIDERAR. CONSIDERAR. Disminución del riesgo de compliance.
El ejemplo aanterior cómo una el conjunto de objetivos objetivos de de compliance compliance no no solo contribuye generarilustra y mantener cultura ética y de respecto a las normas, sino que disminuyen el riesgo riesgo residual residual que expone a la organización organización.. No son objetivos objetivos de naturaleza general o abstracta, sino con un motivo y orientación concretos. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.6 Planificación
221
A CONSIDERAR. CONSIDERAR. A efect efectos os de certificac certificación, ión, los requisitos ISO 37301:2021 no constituyen objetivos.
La obtención de una declaración de conformidad respecto a lostodos requisitos exirequisitos exigidos por el estándar ISO 37301:2021 precisa que se hallen presentes en el modelo evaluado. Carencias en alguno de sus requisitos requisitos pueden pueden impedir la emisión de una certificación por parte de un tercero independiente, aunque existan medidas previstas para cubrirlas en forma de objetivos objetivos.. Así, por ejemplo, la ausencia de una política de compliance compliance no no puede suplirse por la existencia del objetivo “elaborar objetivo “elaborar una política de compliance compliance”. ”. El detalle en los objetivos de compliance: • Permite concretar concretar las actividades a planificar para alcanzarlos, señalando los hitos precisos y sus responsables, según apunta el apartado 6.1 Acciones para abordar los riesgos y oportunidades. • Facilita el establecimiento de indicadores para medir el desempeño de las acti vidades planificadas, no solo en cuanto a su grado de desarrollo, desarrollo, sino sino también al nivel de eficacia conseguido, en línea con lo dispuesto en el apartado 9.1.3 Desarrollo de indicadores. • Ayuda a la gestión presupuestaria en cuanto a determinación de los recursos que se precisarán para cubrir las actividades vinculadas con los l os objetivos fijados, conforme el apartado 7.1 Recursos. Los objetivos de compliance constarán como información documentada (véanse los co Información mentarios al concepto de Información documentada en el apartado II.3.10 Información documentada docume ntada, de este libro. También los comentarios al apartado 7.5 Inform Información ación documentada del estándar ISO 37301:2021, que figuran, con este mismo título, en el apartado II.7.5 Información documentada, de este libro).
II.6.3. Planificación de los cambios La introducción de cambios en el sistema de gestión de compliance se llevará a cabo de forma planificada. Para ello, no solo se definirá su propósito sino también los aspectos relacionados del diseño y efectividad del sistema, los recursos que se precisan para
introducirlos o la reasignación de responsabilidades y autoridades para ejecutarlos. Esta mecánica es aplicable a cualquier cambio que se pretenda introducir en el sistema de gestión de compliance, incluyendo los asociados con su normal evolución (véase el apartado II.10.1 Mejora continua, de este libro). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
222
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
sistemaa de gestión, también se tenEn cuanto a los cambios que proceda introducir en el sistem drán en cuenta sus potenciales consecuencias: los requi requisitos sitos que establecen los diferentes apartados del estándar ISO 37301:2021 se encuentran interconectados, de modo que la variación en alguno de ellos desencadenará consecuencias en otros. Por ello, antes de introducir cambios, conviene prever sus efectos sobre los requisi requisitos tos conexos. EJEMPLO. Reacción en cadena.
A raíz de un incidente de compliance compliance,, una organización organización constata constata su exposición a un riesgo de compliance que compliance que no ha sido adecuadamente identificado ni tratado tr atado en su sistema su sistema de ggestión estión.. A partir de este hallazgo se genera una reacción en cadena, susceptible de afectar a múltiples componentes del sistema. Ve Veamos amos los más inmediatos: • Recomposición del ejercicio de evaluación de los riesgos riesgos de de compliance compliance de de acuerdo con eldehallazgo por tanto, de la priorización el tratamiento riesgos y riesgos yy, medidas dereconsideración control. Es una materia tratada enen el apartado II.4.6 Evaluación de los riesgos de compliance compliance, de este libro. • Análisis e introducción de eventuales variaciones en el árbol de políticas políticas de de compliance,, de modo que comprenda políticas compliance políticas y y procedimientos procedimientos que que determinen parámetros de conducta conducta adecuados adecuados para el tratamiento del riesgo riesgo.. Es una materia tratada en el apartado II.5.2 Polític Políticaa de compliance compliance,, de este libro. • Reflexión crítica sobre los controles que se proyectan para mitigar ese riesgo riesgo,, en términos de su prevención, detección y gestión temprana. Reformulación de la matriz de riesgos riesgos y y controles. Es una materia tratada en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. • Eventuales cambios en los objetivos objetivos de de compliance compliance,, con las variaciones que suponen a efectos de actividades planificadas, recursos necesarios para su ejecución y diseño de indicadores para medir su nivel de consecución. Es una materia tratada en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro. • Variaciones en las actividades de seguimien de seguimiento to y y auditoría del del sistema sistema de gestión, gestión, de forma que brinden confort sobre el control del nuevo riesgo riesgo.. Es una materia principalmente tratada en el apartado II.9.2 II.9.2 Auditoría Auditoría interna, interna, de este libro. • Cambio en los informes de compliance compliance,, derivados de la identificación y el seguimiento del seguimiento del nuevo riesgo riesgo.. Es una materia tratada en los apartados II.9.1.4
Informes de compliance y compliance y II.9.3 Revisión por la dirección, dirección, ambos de este libro. • Modificaciones en los ciclos de formación formaci ón para que los colectivos afectados por el riesgo riesgo dispongan dispongan de capacitación para afrontarlo y eventual lanzamiento de campañas de concienciación. Es una materia tratada en los apartados II.7.2.3 Formación y Formación y II.7.3 Toma de conciencia, conciencia, ambos de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.6 Planificación
223
• Comunicaciones internas y externas relacionadas con el riesgo riesgo y y las actividades puestas en marcha relativas al mismo, incluyendo las dirigidas a las partes interesadas (que interesadas (que comprenden a las autoridades). Es una materia tratada tr atada en el apartado II.7.4 Comunicación, Comunicación de este libro. Este ejemplo no solo ilustra la ,variedad de componentes afectados afectados por una situación sobrevenida, sino también, cómo cada uno de ellos guarda relación con los demás. No son acciones individuales, sino que deben observar una coherencia de conjunto.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7
Apoyo
Propósito de este capítulo El correcto desarrollo de las actividades planificadas para disponer de un sistema de gestión acorde con el estándar ISO 37301:2021 precisa disponer de ciertos elementos clave de apoyo, sin los cuales difícilmente se alineará con el sentido de la norma. Su calificación como elementos de “apoyo” puede alimentar una imagen de accesoriedad que no se corresponde con la realidad, pues son factores fundamentales a considerar en forma de requ requisit isitos os. De hecho, como se infiere de la Intro Introducci ducción ón del estándar (véanse los apartados I.5.1 El estándar ISO 37301:2021 la cultura II.0 Introducción , de este libro), establecer o mantener unaycultura cultu ra éticadey compliance de respeto ya las normas es una finalidad trascendente del compliance, que guarda estrecha relación con las actividades tanto de formación como de toma de conciencia establecidas en este capítulo166. Por ello, el término “apoyo” que proviene de la HLS se aproxima más a su acepción de “puntal” que a la de simple “ayuda”.
finalidad trascendente de un modelo de compliance es el establecimiento, mantenimiento o mejora de una cultura ética étic a y de respeto a las normas. Para ello, es importante desarrollar actividades formativas y de toma de conciencia. Esta aproximación, que algunos denominan de “ integridad” se 166 La
contrapone a la aproximación clásica basada en el “ control”. Parte de considerar que los controles tienen límites inherentes que difícilmente se pueden soslayar, arrojando mejores resultados las acciones que cultivan la integridad de los sujetos. Los enfoques de las normas ISO son híbridos, pues junto con las actividades de mejora de la integridad (formación y toma de conciencia tratadas en el capítulo 7 Apoyo, por ejemplo) se reconoce la necesidad de fijar controles (en el capítulo 8 Operación, por ejemplo). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
225
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
226
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Los elementos tratados en el capítulo 7 Apoyo del estándar ISO 37301:2021 que afianzan el sistema de gestión son: • La asignación de recursos recursos para el sistema de gestión. • Procurar las competencias de las personas de la orga organizac nización ión en materia de compliance. • Cultivar la toma toma de conciencia sobre compliance en quienes se vinculan con la organización. • Desarrollar labores labores de comunicación en materia materia de compliance dentro y fuera de la organización. • Mantener información documentada de los elementos clave del sistema de gestión, incluyendo, pero no limitándose a los requisitos que demanda el propio estándar.
Evolución respecto a ISO 19600:2014 Dichos aspectos se tratan en cada una de los cinco apartados en los que está dividido el capítulo 7 Apoyo del estándar ISO 37301:2021, coincidentes en esencia con los que contemplada el anterior estándar ISO 19600:2014, 1 9600:2014, pero resumidos y adaptados al nivel de concreción que precisa un MSS de tipo A (certificable).
II.7.1. Recursos El establecimiento y la implementación de un sistema de gestión de compliance precisa recursos y corresponde a la organización determinarlos y facilitarlos. El estándar ISO 37301:2021 recurre al término “recursos”, que es deliberadamente amplio, incluyendo los materiales y humanos. Cabrá prever partidas presupuestarias para cubrir el coste de las actividades planificadas, pues son importantes para la consecución con secución de los objetivos de compliance.
A CONSIDERAR. CONSIDERAR. Partidas presupuestar presupuestarias. ias.
El concepto “recursos” es deliberadamente amplio y suele asociarse con la gestión presupuestaria. A efectos de conocer los gastos e inversiones que precisa la función de de compliance compliance,, cabe prever tres grandes capítulos:
• Partidas dirigidas al mantenimiento ordinario del sistema del sistema de gestión. gestión. • Partidas directamente relacionadas con la ejecución de las actividades planificadas. • Partidas para gastos o inversiones imprevistas. i mprevistas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo
227
EJEMPLO. Partidas para al mantenimiento ordinario del sistem sistema a de gestió gestión n. Mantener la operatividad del sist del sistema ema de gest gestión ión precisa precisa gastos e inversiones, como: • Revisión anual del sistema del sistema de gestión gestión de de compliance compliance,, incluyendo el ejercicio de reevaluación de riesgos riesgos.. • Auditoría Auditoría interna interna del sistema del sistema de gestión de gestión de compliance compliance.. • Asesoramiento externo recurrente en materia de compliance compliance.. gestión, si la organización organización así • Certificación del sistema del sistema de gestión, así lo decide. • Suscripciones a bases de datos de integridad, como elemento de apoyo a los procedimientos procedimie ntos de debida diligencia. • Suscripciones a servicios de actualización normativa, jurisprudencial y doctrinal. • Diseño y desarrollo de los planes de formación general en materias de compliance, tanto online pliance, online como como presenciales. • Formación externa recurrente para la función de de compliance compliance.. • Otros servicios recurrentes.
EJEMPLO. Partidas específicas. objetivos d compliance variarán Las partidas específicas vinculadas con los objetivos de e compliance variarán según cuáles se fijen para cada periodo. Serán gastos e inversiones relacionados con las actividades para reducir riesgos riesgos concretos concretos que exponen a la organización organización,, según el resultado del último ejercicio de evaluación llevado a cabo. Véanse ejemplos de actividades planificadas a presupuestar presupuestar vinculadas con los objetivos de objetivos de compliance compliance,, en las explicaciones y los ejemplos que desarrollo en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro.
EJEMPLO. Imprevistos. Lamentablemente, la experiencia demuestra que los gastos y las inversiones imLamentablemente, previstas son más frecuentes de lo esperado. Cuando determinados conceptos adquieren recurrencia, dejarán de ser imprevistos para constituir una partida presupuestaria de mantenimiento ordinario, dimensionada dimensionada según la traza histórica. Así, por ejemplo:
• Investigaciones. • Asesoramiento externo ad hoc, hoc, incluyendo informes específicos. • Desarrollos informáticos.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
228
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Repercusión interna de costes.
Las partidas relacionadas con la carga salarial del personal personal de de compliance compliance,, junto con otros gastos (ocupación, en etc.), otros pueden gastos comunes, cargosa repercutidos internamente por participación otras funciones, también llegar integrarse en el presupuesto de compliance compliance.. Aunque este apartado dirige el mandato mandato a la organización, el rol del órgano de gobierno dirección ción es capital para su fijación y puesta a disposición. El anterior y de la alta direc estándar ISO 19600:2014, en su apartado análogo, indicaba expresamente que la dirección, en general, debería determinar determin ar y proporcionar el despliegue de los recursos necesarios para el sistema de gestión de compliance167 . Esta referencia desaparece en este apartado del estándar ISO 37301:2021, al figurar ya contemplada como requisito en el apartado 5.3.1 Órgano de gobierno y alta dirección. Sin perjuicio de lo anterior anterio r, para la determinación de los recursos precisos cabe escuchar a la propia función de compliance compliance, como principal conocedora de sus necesidades. Por Por otra parte, la estimación de un presupuesto no implica que dejen de cubrirse costes no presupuestados, cuando son necesarios. No en vano el apartado se titula “recursos” y no simplemente “presupuesto”.
A CONSIDERAR. CONSIDERAR. El “tiempo” como recurso.
Entre los recursos que precisa el sistema el sistema de gestión de gestión de compliance compliance para para operar correctamente está el tiempo de dedicación dedicació n de las personas que integran la función de compliance de compliance.. Aunque no es una materia que los l os textos de compliance compliance aborden aborden explícitamente, la falta de tiempo del personal personal adscrito adscrito a compliance compliance equivale equivale a una carencia de recursos humanos, que es uno de los conceptos expresamente citados en el apartado A.7.1 Recursos Recursos del del anexo A (informativo) Guía para el uso de este documento, documento, del estándar ISO 37301:2021. Los recursos destinados a complia compliance nce deben administrarse bajo los principios que informan el estándar ISO 37301:2021, en especial el de responsabilidad (véase el apartado I.6.1.5 Principio de responsabilidad, de este libro).
el apartado 7.1 Recur Recursos sos del anterior estándar ISO 19600:2014 se refería a la alta dirección direcci ón, también hacía un llamamiento a cualquier otra instancia directiva, con la finalidad de prevenir cualquier tipo de traba administrativa interna en la liberación de recursos. 167 Aunque
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 229
A CONSIDERAR. CONSIDERAR. Rendición de cuentas.
La dotación de recursos para el sistema el sistema de gestión de gestión de compliance compliance que que administrará la función de compliance de compliance según según presupuestari presupuestarias, as, node un cheque en blanco. Al tratarse de recursos dedirectrices la organización organización, , la función dees compliance compliance adquiere un deber de diligencia en su gestión frente a quien se los ha proporcionado (la organización organización,, a través de sus órganos decisorios, según lo indicado en el apartado 5.3.1 Órgano de gobierno y alta dirección), dirección), lo que significa que: • La función de de compliance compliance debe debe rendir cuentas sobre la aplicación de los recursos puestos a su disposición, al órgano de que dependa funcionalmente y, en última instancia, al órgano de gobierno y gobierno y a la alta dirección. dirección. Un marco adecuado para hacerlo son los informes a la dirección, según se explica en el apartado II.9.3 Revisión por la dirección, dirección, de este libro. • La correcta utilización del presupuesto de compliance compliance puede puede ser auditado internamente, o incluso, por terceros externos. Desde luego, ambos aspectos son absolutamente corrientes en cualquier otra función en el seno de la organización organización..
II.7.2. Competencia Competencia es un término definido que guarda relación con los conocimientos y habilidades que se precisan para conseguir los resultados previstos. El apartado 7.2 Competencia no se limita a establecer los conocimientos que la org organi anizac zación ión debe procurar a determinadas personas con el fin de que puedan abordar los riesgos de complianc compliancee que les afectan. A diferencia del antiguo estándar ISO 19600:2014, que circunscribía su explicación al marco general y a la formación, el estándar ISO 37301:2021 aborda también el proceso de incorporación o promoción del personal. En cualquier caso, el concepto general de “ competencia” no se refiere exclusivamente a la formación, sino también, a la experiencia exigible a las personas que desempeñan determinados roles. No es una reflexión reflexión intrascendente, intrascendente, puesto que el correcto correcto desempeño desempeño de los roles roles de compliance, tanto en el fondo como en la forma, precisan experiencia, siendo esta una cualidad especialmente valorada en los procesos de búsqueda de talento.
II.7.2.1. Generalidades
Aunque la redacción Aunque redacción del apartado apartado 7.2.1 7.2.1 Generalidades en el estándar ISO 37301:2021 parece similar a la de su antecesor ISO 19600:2014, 1 9600:2014, existe una gran diferencia entre ambos textos: ahora, se aplica a las “ personas” que están bajo control de la organiza ción y no sobre los “ empleados” a los que se refería el estándar previo. Recordemos Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
230
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
que el concepto de “ empleado” implicaba entonces un vínculo jurídico-laboral con la organización organizació n (definición 3.5 de ISO 19600:2014). Por tanto, las medidas generales que plantea este apartado resultan de aplicación a cualquier persona que preste sus servicios bajo el control de la organ organizació ización n, con independencia de la naturaleza jurídica de su vínculo. Evidentemente, esto supone su proyección frente a terceras partes, en la medida que pueda ejercitarse control control sobre ellas.
A CO CONS NSID IDER ERAR AR.. Asi Asime metr tría ía en la lass ca capa paci cida dade dess de ac actu tuac ació ión n so sobr bree “p “per erso sona nas” s”.. Las organizaciones organizaciones deben deben procurar que las personas que se vinculan con ellas riesgos dispongan de las competencias precisas para afrontar exitosamente los riesgos que las exponen. Ahora bien, no disponen de la misma capacidad para procurar esta capacitación de todos los sujetos. Así, por ejemplo, las posibilidades son mayores con el personal personal,, dadas las capacidades de dirección y supervisión del mismo. Sin embargo, el apartado 7.2.1 Generalidades Generalidades se se refiere a “personas”, lo que abre la puerta a procurar y supervisar las competencias de terceras partes. partes. En tales casos, esa capacidad variará dependiendo de la relación con ellas: por ejemplo, la posibilidad de actuar sobre un proveedor es normalmente mayor que sobre un cliente, siendo ambos, terceras partes. partes.
A CONSIDERAR. Capacidad Capacidad de direc dirección ción y dependencia económica. Algunos siste Algunos sistemas mas jurídico jurídicoss trazan trazan cier ciertos tos límites límites sobre sobre las capa capacidad cidades es de direcció dirección n o supervisión de las actividades de terceras partes, partes, sobrepasados los cuales se desencadenan consecuencias legales, normalmente normalmente en forma de adquisición de responsabilidades. Los ejemplos más comunes son: • Los del ámbito laboral: instruir y supervisar al personal personal de de terceras partes puede partes puede terminar provocando que la organización organización absorba absorba legalmente su relación laboral. • Los vinculados con el derecho de la competencia: sobrepasa sobrepasados dos determinados porcentajes de dependencia económica respecto a la organización organización,, esta puede asumir determinadas obligaciones obligaciones legales de las entidades dependientes.
MÁS INFORMACIÓN. “Contagio” de responsabilidades responsabilidades.. Cuanto mayor sea la capacidad de supervisión que se pueden ejercer sobre una tercera parte, parte, mayores son las probabilidades de que sus eventuales malas praxis ocasionen daños de reputación o incluso, traspasen responsabilidades legales a la
organización por organización por falta de supervisión. Sobre esta materia, véanse las explicaciones y los ejemplos que se desarrollan en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. En relación con la necesidad de establecer controles sobre las transacciones con terceras partes, partes, véanse igualmente las explicaciones recogidas el apartado II.8.1 Planificación y control operacional, operacional, también de este libro.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 231
La organización debe conocer las competencias en materia de compliance que precisan las personas que trabajan bajo su control, asegurándose de que disponen de ellas por haber recibido educación o formación, así como de la experiencia precisa. Les facilitará estos elementos de apoyo si lo precisan, valorando la eficacia de las actividades desarrolladas. Mantendrá informac información ión document documentada ada sobre todo ello (véanse los comentarios al concepto de información documentada en el apartado II.3.10 Información Información documentada docume ntada, de este libro. También los comentarios al apartado 7.5 Inform Información ación documentada del estándar ISO 37301:2021, 37301:2021 , que figuran, bajo este mismo título, en el apartado II.7.5 Información documentada, de este libro).
II.7.2.2. Proceso de empleo La anterior norma ISO 19600:2014 no hacía referencia a esta cuestión, pero sí lo hace el estándar ISO 37001:2016 dentro de su apartado 7.2 Competencia. Podríamos decir que el círculo de debida diligencia en compliance se cierra manteniendo control (véase la figura 19): 19): • Sobre las personas que se incorporan o promocionan promocionan en el seno de la organiza ción. A este conjunto aplican los procedimientos de debida diligencia interna genéricos del apartado 7.2.1 Generalidades, como los específicos de este apartado, que se refieren al “ personal” y no al concepto con cepto más amplio de “personas”. • Sobre las terceras partes con las que se vincula o pretende vincularse la organiza ción. A este conjunto aplican también las generalidades establecidas en el apartado 7.2.1 Generalidades, pero especialmente las medidas de debida diligencia externa tratados en el apartado 4.6 Evaluación de los riesgos ri esgos de compliance. Esta actividad se conoce comúnmente como “third party management ” o “third party due diligence” en los entornos anglosajones168.
Interna
Sobre el personal
Apartado 7.2.2 Proceso de empleo
Externa
Sobre las terceras las terceras partes
Apartado 4.6 Evaluación de los riesgos de compliance
Debida diligencia
colectivos ctivos susceptibles Figura 19. Al ejercer debida diligencia sobre los dos cole de amenazar a la organización (su personal o las terceras partes con las que
mantiene vínculos) se cierra el círculo de control en esta materia. este particular véanse, por ejemplo, las directrices sobre “ Third party management ” del apartado E en de la Sección I del documento de directrices Evaluati Evaluation on of Corpora Corporate te Complian Compliance ce Programs (updated (updat ed June 2020) del US Department of Justice-Criminal Division. 168 Sobre
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
232
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
procesos sos de debida diligencia A CONSIDERAR. Etapas comune comuness en los proce interna y externa. Frecuentemente, organizaciones fijan fijan requisitos de requisitos de separados. debida diligencia para el personal y personal y paralaslasorganizaciones terceras partes en partes en sus procedimientos A pesar de ello, siguen una estructura esencial parecida, que atraviesa por tres actividades básicas consecutivas (véase la figura 20 20): ): • La adecuada evaluación del personal personal o o de terceros. La mejor cautela que puede observar una organización organización comprometida comprometida con la ética y el cumplimiento de las normas es evitar vincularse con sujetos (personal ( personal o terceras partes) partes) cuyo bagaje o perfil cuestionen su capacidad para cumplir las obligaciones de compliance de compliance que que les afectan o no se muestren alineados con su cultura de compliance. compliance. • La formalización jurídica del vínculo con el personal personal o o las terceras partes, partes, incorporando las cautelas contractuales precisas en relación con las obligaciones de compliance que compliance que deben asumir. • El seguimiento El seguimiento de de la relación que se mantiene con el personal personal o o las terceras partes,, para satisfacerse de que su perfil no ha variado negativamente desde partes la evaluación inicial que justificó vincularse jurídicamente con ellos y que han cumplido aquellas cautelas contractuales acordadas. Son actividades sucesivas, de forma que el establecimiento de cautelas contractuales, por ejemplo, solo tiene sentido tras haber superado satisfactoriamente la evaluación del sujeto. A CO CONS NSID IDER ERAR AR.. De Debi bida da di dililige genc ncia ia in inte tern rna a en in incor corpo pora raci cione oness y pr prom omoc ocio iones nes..
Los procedimientos procedimientos generales generales de debida diligencia interna aplicarán, tanto a nuevas incorporaciones como a promociones para nuevas posiciones que así lo precisen.
Proceso de Proceso de debida diligencia Selección
Formalización
Seguimiento
r
r
Figura 20. Los procesos de debida diligencia referidos tanto al personal como terceras partes con las que se pretenden mantener vínculos, atraviesan por tres hitos básicos consecutivos: una adecuada selección, la formalización de la relación con las cautelas contractuales oportunas y su seguimiento. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 233
procedimientos entos de debida diligencia interna, la organizaci organización ón debe En relación con los procedimi establecer las condiciones que precisa el personal para cumplir, no solo con las obli compliance (, políticas sino también, los elementos en el sistema gaciones de gestión dede compliance , procesoscon y procedimie procedimientos ntos).establecidos Para ello precisará conocer el nivel de exposición a riesgos de compliance compliance que entrañan los roles que van a desarrollar. Evidentemente, aplicando el principio de proporcionalidad (véanse el apartado I.6.1.2 Principi Principioo de proporci proporcionalidad onalidad, de este libro) y siguiendo un enfoque basado riesgo esgo, de este libro), las en el riesgo (véase el apartado I.6.2.2 Enfoque basado en eell ri condiciones exigibles para la contratación o promoción de personal serán más severas cuanto más expuesta a riesgos de compliance se halle la posición a cubrir.
A CONSIDERAR. CONSIDERAR. Actividades expuestas a riesgos de compliance.
El conocimiento de las posiciones o de los roles asociados a riesgos riesgos d dee compliance compliance puede derivar del propio ejercicio de evaluación de riesgos riesgos,, ayudando a: • Delimitar los procesos procesos y y procedimientos procedimientos de de negocio asociados con esas actividades. • Identificar los roles expuestos a esos riesgos riesgos.. • Comprobar si las medidas dispuestas por la organización organización para para la prevención, detección y reacción temprana de esos riesgos riesgos son son suficientes y eficaces eficaces.. La identificación de los sujetos con roles, rol es, responsabilidades y autoridades en actividades de riesgo riesgo permite permite fijar y seguir y seguir requisitos requisitos en en cuanto a sus competencias (por ejemplo, formación y experiencia mínima requeridas) 169. MÁS INFORMACIÓN. Evaluación de los riesgos de compliance y personas expuestas.
Sobre este particular, véanse las explicaciones y los ejemplos que figuran en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. Igualmente, en un periodo razonable desde su incorporación, se debe facilitar al per sonal la política de compliance, entregándole una copia (soporte físico) o facilitándole el acceso (soporte online) y formación sobre la misma.
169 En
tal caso, posiblemente pasarán a constituir un requisito de información documentada. Véanse los comentarios al respecto en el apartado II.7.5 Información documentada , de este libro, así como el anexo I Información documentada docume ntada. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
234
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
MÁS INFORMACIÓN. Puesta a disposición de la política de compliance y otros documentos clave.
En relación con la puesta a disposición de la política de de compliance compliance y y otros documentos clave, en lo que habitualmente se conoce como “welcome “welcome pack”, pack”, véanse los comentarios y los ejemplos que desarrollo bajo el título “Materias “ Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Política de compliance de compliance,, de este libro.
MÁS INFORMACIÓN. Declaraciones de conformidad del personal sobre políticas clave.
Sobre los procedimientos procedimientos de de declaración formal de la conformidad del personal personal con documentos clave de la organización organización,, incluyendo eventualmente la política de compliance compliance,, véanse los comentarios y los ejemplos recogidos bajo el título “Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Política de de compliance compliance,, de este libro. Siendo coherente con lo establecido en el apartado 5.2 Política de compliance compliance 170, la organización organizaci ón aplicará medidas disciplinarias a quienes incumplan las obligacione obligacioness de compliance compli ance, así como las polític políticas as, procesos o procedi procedimientos mientos establecidos al efecto, es decir, conformidades y no cumplimientos de compliance compliance la organización debe reaccionar ante no conformidad (véase el apartado I.5.3 Las no conformidades y los no cumplimientos de compliance, de este libro). Es especialmente importante recordar que este requisito: • Tendrá las limitaciones intrínsecas de aplicar el principio de subordinación a Ley (véase el apartado I.6.2.1 Principio de subordinación a Ley, de este libro). • También estará limitado por el estatuto de protección protección a denunciantes de buena fe171, según lo indicado en el apartado 8.3 Planteamiento de inquietudes.
170 Sobre
la política de compliance , en general y acerca de su indicación de las consecuencias de in-
cumplir las obligaciones de y procedimie al efecto, d e compliance , o las políticas , procesos procedimientos ntosli establecidos véanse los comentarios en el apartado II.5.2 Política de compliance compliance , de este libro. bro. 171 Merece la pena considerar los contenidos de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 235
MÁS INFORMACIÓN. Acciones correctivas e incentivos.
Acerca del régimen disciplinario, así como de incentivos a los comportamientos alineados con“Condicionantes los objetivos objetivos de compliance compliance, , véanse las explicaciones los ejemplos bajo el título “Condicionantes de su contenido” contenido ” dentro del apartadoyII.5.2 Política de compliance de compliance,, de este libro. A CONSIDERAR. CONSIDERAR. Punto de especial interés para llas as autoridades.
Es interesante saber que bastantes autoridades nacionales 172, evalúan la reacción del órgano de gobierno y gobierno y de la alta dirección frente dirección frente a irregularidade irregularidadess de compliance previas, compliance previas, como indicador, indicador, no solo de su nivel de compromiso con una gestión ética y respetuosa con las normas, sino también, de eficacia eficacia del del propio modelo de compliance compliance.. MÁS INFORMACIÓN. Importancia de la información documentada a efectos de prueba.
Acreditar las medidas adoptada adoptadass ante los no cumplimientos de de compliance compliance,, incluyendo las que afectan al personal personal y y a terceras partes, partes, corrobora el compromiso de la organización organización y y de su equipo de gestión en materia de compliance compliance.. Sobre este particular, véanse las explicaciones en los apartados II.3.10 Información documentada,, II.7.5 Información documentada y documentada documentada y anexo I Información documentada,, de este libro. tada En el proceso de contratación y promoción de los empleados, dependiendo del nivel de exposición de su posición, se desarrollarán procedimientos de debida diligencia para valorar si su perfil es coherente co herente con los roles de compliance que asumirán. Se trata de evitar incorporar en procesos de riesgo de compliance de la organización a personas de las que se conozca o podría haberse conocido que sus antecedentes no avalan su adecuación para desempeñar sus cometidos173.
172 Por
ejemplo, US Department of Justice-Criminal Di ejemplo, Division. vision. Evaluation of Corporate Compliance
Programs, Guidance Guida nce Document , junio 2020. Véanse los comentarios en los apartados A y C de la Sección II del documento Is the Corporation’s C orporation’s Compli Compliance ance Program Adequately Re Resourced sourced and Em powered to t o Function Effecti Effectively? vely?, así como el apartado C de la Sección III del documento Does the Corporation’s Compliance Program Work in Practice?. 173 Así lo señalan, por ejemplo, la US Sentencing Commission, Guidelines Manual, Chapter Eight “Sentencing of Organizations, 1 de noviembre de 2016. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
236
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. Las formas más rápidas de destruir una buena cultura corporativa.
En esencia, existen dos modos de enterrar rápidamente una buena cultura corporativa: • Incorporando a la organización organización personas personas cuyos antecedentes no avalan su idoneidad para el cargo a ocupar, desde una perspectiva de compliance compliance.. Cuando no solo se mantienen, sino que promocionan o se les recompensa dentro de la organización organización,, desmotivan al personal personal alineado alineado con la cultura de compliance. compliance. El peor caso se produce cuando se reproducen conductas inadecuadas del pasado –en empleadores anteriores– que, además, son premiadas en la organización organización actual. actual. • En ocasiones, las organizaciones organizaciones no no incorporan perfiles nocivos, pero los generan sobre la base de políticas políticas de de incentivos retributivos que inducen conductas contrarias a los objetivos objetivos de de compliance compliance.. Lamentablemente, los objetivos objetivos comerciales muy agresivos constituyen un ejemplo común. Como se expone en el apartado II.5.3.1 Órgano de gobierno y alta dirección, dirección, de este libro, el órgano de gobierno debe gobierno debe asegurarse de que el desempeño de la alta dirección es dirección es también medido conforme al nivel de consecución de los objetivos objetivos de compliance compliance.. Se trata de una evaluación y supervisión en cascada, pues la alta dirección debe dirección debe hacer lo propio sobre el resto del personal personal..
II.7.2.3. Formación
La Introducción del estándar ISO 37301:2021 remarca la importancia de la cultura de compliance compliance como factor de éxito de las organizaciones. En este sentido, su apartado 5.1.2 Cultura de compliance abunda en que la organ organizac ización ión debe promover una adecuada cultura a través del ejemplo respecto a unos valores de exigencia general. De hecho, el apartado 5.1.1 Órgano de gobierno y alta dirección subraya que es responsabilidad del órgano de gobierno establecer y mantener ese conjunto conju nto de valores. Asentada la relevancia del liderazgo l iderazgo desde el ejemplo, ej emplo, no cabe duda d uda de que qu e la formación es una palanca importante para la difusión de los valores de la organización
y el mantenimiento de la cultura de compliance compliance. Se encontraba también estipulada en la anterior norma ISO 19600:2014, pero el estándar ISO 37301:2021 resume sus contenidos y traslada otra parte al apartado A.7.2.3 Formación Formación del anexo A (informativo) Guía para el uso de este documento, siguiendo la dinámica observada en los apartados previos. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 237
Aunque este apartado impone requisitos a la organización (en general), no debemos olvidar que, según reza el apartado 5.3.2 F Función unción de compliance, la formación es una 174
de las actividades que corresponde promover a dicha función . Como ya sucedía en el estándar ISO 19600:2014, también ahora el apartado 7.2.3 Formación Formación se ubica dentro del apartado 7.2 Competencia. Por consiguiente, una persona no formada es una persona no capacitada para afrontar las situaciones de riesgo que le afectan en la organización. Para Para evitar el olvido de los contenidos formativos, o que por causa de rotación o promoción exista personal en activo no capacitado, las actividades formativas se deben desarrollar periódicamente. De este entendimiento derivan las tres consecuencias que indica este apartado: • La formación no es una exigencia exigencia generalizada, sino que solo af afecta ecta al personal cuyas tareas están expuestas a riesgos de compliance compliance. Por consiguiente, consiguiente, no todo el debe recibir formación aquellasPor posiciones que personal compliance participan en procesos vinculadosdecon riesgos de, sino estasolo naturaleza. este mismo motivo, tampoco los contenidos formativos deben ser iguales para todos, sino que estarán adaptados a los roles y situaciones que afectan a cada colectivo, siguiendo así un enfoque basado en el riesgo (en relación con el significado y relevancia de este particular, véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro).
174 Impulsar
las actividades de formación correspondientes es una actividad activi dad que el apartado 5.3.2 Función de compliance compliance del estándar ISO 37301:2021 atribuye a la misma. Se trata de una actividad act ividad que se comenta bajo el título Actividades que involucran indi indirectamente rectamente a la función de compl compliance iance” del apartado II.5.3.2 Función de complian comp liance ce, de este libro. Esto significa que, aunque impulse dichas actividades: (i) En muchas ocasiones corresponde organizarlas e impartirlas a otros sujetos, departamentos,
áreas o funciones de la organización . (ii) No puede garantizar la asistencia y el aprovechamiento de las mismas, que dependerá el esfuerzo de sus distinatarios, sus competencias previas y actitudes. (iii) Son el órgano de gob gobierno ierno y la alta direcc dirección ión las instancias que juegan un rol trascendente en el establecimieno de los valores de la organiz organización ación y la consolidación de la cultura de de compliance compli ance. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
238
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
EJEMPLO. Estructura razonable de los contenidos formativos.
En líneas generales, los contenidos formativos de compliance compliance (véase (véase la figura 21 21): ): • Señalan cuáles son las obligaciones de compliance que compliance que afectan a la organi zación,, de forma que sus destinatarios adquieran conocimiento, no solo de zación su contenido, sino del modo de comportarse ante circunstancias que puedan producir su incumplimiento. En este sentido, se indican los parámetros de conducta,, tanto deseados como no tolerados por la organización conducta organización.. Sí incluirán ejemplos de casos o situaciones que ilustren estas explicaciones, robusteciendo su componente práctico y utilidad real. Puede tratarse de ejemplos sectoriales o de experiencias vividas en la propia organización organización.. • Relacionan los elementos de ayuda para comprender el contenido de las obligaciones de compliance y compliance y lo que se espera del personal personal,, en términos de políticas,, procesos políticas procesos o o procedimientos procedimientos vinculados vinculados con los riesgos de compliance. compliance. Se indica su localización a efectos de consulta. • Apuntan las consecuencias derivadas de no observar tanto las obligaciones de compliance ( (no compliance no cumplimientos de de compliance compliance)) como los requisitos requisitos del del sistema sistema de gestión dispuestos gestión dispuestos para facilitar su cumplimiento (no (no conformidades). conformidades). Se explicitan las eventuales consecuencias de diferente naturaleza ante tales casos (laboral, administrativa, mercantil, civil o incluso, penal). • Subrayan la existencia de un sistema un sistema de gestión gestión de de compliance compliance operado operado por la función de de compliance compliance,, sus competencias y tanto la identidad como la localización de sus responsables. Inciden en su disponibilidad para consultas y las consecuencias que pueden derivarse ante la adopción de decisiones de riesgo riesgo sin asesorarse previamente.
Contenido formativo
Obligaciones de compliance
Casos y ejemplos
Elementos de ayuda
Políticas, procesos Políticas, procesos,, procedimientos,, etc. procedimientos
Consecuencias de los no cumplimientos de compliance y de las no conformidades Elementos organizativos
Sistema de gestión de compliance y función de compliance
Posibilidades de consulta
Planteamiento de inquietudes
Figura 21. Contenido formativo básico. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 239
• Señalan, finalmente, los canales a través de los cuales se pueden realizar consultas, plantear comentarios e incluso, denunciar posibles irregularidades. Se explican sus características y, en todo caso, el estatuto de protección a los comunicantes de buena fe. Algunas de estas ideas pueden emplearse también en ciclos de formación para terceras partes, partes, siempre que no conculquen su autonomía.
A CONSIDERAR. CONSIDERAR. La formación es selectiva.
Aunque algunas organizaciones organizaciones planean planean ciclos de formación en compliance compliance de de contenido común para todo su personal personal,, en verdad: • No todo el personal personal precisa precisa formación en compliance compliance.. • Ni la formación en compliance compliance es es la misma para el personal personal que que la necesita. En aplicación del principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporcionalidad, proporcionalidad, de este libro) y para organizaciones organizaciones pequeñas pequeñas y medianas, pueden ser razonables enfoques generales. Sin embargo, a medida que se incrementa la complejidad de la organización organización –en –en términos de riesgos de compliance–– es razonable plantear la formación de manera selectiva. compliance • Por un lado, se identifican las obligaciones de compliance compliance dentro dentro del perímetro técnico del sistema del sistema de gestión y gestión y las casuísticas con capacidad de producir escenarios de riesgo de compliance. compliance. • A continuación, se identifican los procesos procesos que que se ven afectados por las casuísticas de riesgo riesgo.. • Para Para finalizar, se identific identifican an los colectivos potenci potencialmente almente afectados por lo loss riesgos de compliance identificados compliance identificados anteriormente. Serán normalmente posiciones con roles relevantes en los procesos procesos afectados afectados por dichos riesgos riesgos.. Se obtiene así una matriz de formación, que permite asociar los riesgos riesgos de de compliance con pliance con las categorías o grupos del personal personal afectados afectados por ellos, diseñando así ciclos de formación adaptados.
MÁS INFORMACIÓN. Casuísticas de riesgo y colectivos afectados.
casu casuísticas ísticas de de evaluación riesgo como riesgo comodelosriesgos colectivos afectados .deberían conocerse aTanto partirlasdel ejercicio de compliance. compliance Sobre esta materia en particular, particular, véanse las explicaciones y los ejemplos en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
240
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
• Considerando que una persona persona no formada equivale equivale a una persona no capacicapacitada para afrontar los riesgos de su posición, la organización debe asegurarse del aprovechamiento deselos ciclos de formación. Por tanto, impulsar gracias la formación es insuficiente si no mide el nivel de conocimientos adquiridos a ella.
A CONSIDERAR. CONSIDERAR. Asistencia vs. aprovechamiento.
Los listados de asistentes proporcionan información de las personas que han realizado la formación, pero no acerca del nivel de aprovechamiento. Un modo habitual de medirlo es mediante exámenes sobre las materias impartidas. A CONSIDERAR. CONSIDERAR. Indicadores de activid actividad ad y reactivos o de eficacia.
Las evidencias sobre el nivel de asistencia a los ciclos de formación permiten desarrollar indicadores de actividad (se demuestra la realización de la actividad activi dad planificada). Pero no demuestran que haya sido eficaz eficaz.. Los resultados de las pruebas realizadas tras la formación sí constituyen indicadores de eficacia eficacia (o (o reactivos), que unidos con otros indicadores de la misma naturaleza (el descenso de las incidencias relacionadas con las materias impartidas, por ejemplo) brindan una idea de la eficacia eficacia de de esta acción planificada. Sobre los indicadores de compliance compliance,, véanse las explicaciones del apartado II.9.1.3 Desarrollo de indicadores, indicadores, aunque también del apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, ambos de este libro.
A CONSIDERAR. Obligatoriedad Obligatoriedad d dee la formación. Puesto que las personas no formadas son personas no capacitadas para afrontar los riesgos de compliance que compliance que les afectan, la organización organización debe debe plantearse qué ciclos de formación deben ser obligatorios, respetando siempre lo establecido en el marco jurídico laboral. Para determinado tipo de actividades y materias, tal formación puede ser una exigencia legal, lo que justifica todavía más su obligatoriedad.
A CONSIDE CONSIDERAR. RAR. Observac Observaciones, iones, dudas y pr preguntas eguntas durante la formación.
Los asistentes a los ciclos de formación pueden formular observaciones o plantear dudas o preguntas en relación con las materias tr atadas. tratadas. Este tipodedepreocupación comentarios constituyen una fuente de información para identificar aspectos (incluyendo eventuales malas praxis), componentes del del sistema sistema de gestión gestión que que no se comprenden (políticas (políticas complejas complejas o mal comunicadas) así como cualquier cualqui er otro déficit. Por eso, los comentarios durante la formación están contemplados Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 241
en el apartado 9.1.2 Fuentes 9.1.2 Fuentes de opinión sobre el desempeño del compliance y compliance y pueden también constituir información reportable según reza el apartado 9.1.4 Informes de compliance, compliance, ambas del estándar ISO 37301:2021. EN BUSCA DE LA EXCELENCIA. Formación certificada.
Las partes interesadas, interesadas, incluidas las autoridades correspondientes, pueden tener dudas acerca de la calidad de los ciclos de formación impulsados impul sados y desarrollados internamente por las organizaciones organizaciones.. En algunos sectores se valora positivamente la formación certificada por terceras partes, partes, de modo que un tercero independiente se ocupa de diseñar, impartir y evaluar el aprovechamiento de los ciclos de formación. Esto traslada mayor confianza al mercado.
EN BUSCA DE LA EXCELENCIA. Pruebas redundantes. Puesto que debe medirse el aprovechamiento de la formación, normalmente se prepararán pruebas a completar por los convocados tras recibir las sesiones correspondientes. Algunas organizaciones organizaciones desarrollan desarrollan pruebas antes y después de los ciclos de formación, para así medir mejor la adquisición de conocimientos por su impartición. • Puesto que las obligaciones de compliance evolucionan, también deben variar los contenidos formativos, de forma que se adapten a las circunstancias de la organización organi zación , con la lógica que determina el apartado 4.1 Comprensión de la organización y de su contexto.
A CONSIDERAR. CONSIDERAR. Revisión de los contenidos formativos.
Los contenidos formativos no deberían mantenerse inalterados con el paso del tiempo. Debido a la rapidez y al número de cambios en las obligaciones obligaciones d dee compliance,, es raro que no se produzcan cambios, no solo en las compliance l as circunstancias externas de la organización organización (en (en entorno normativo, por ejemplo), sino también, en las internas (cambios estructurales, nuevas actividades, etc.). Tales Tales novedades deberían considerarse en los contenidos formativos. El personal personal agradece agradece que se señalen expresamente los cambios respecto a las l as sesiones formativas previas en lugar de limitarse a reiterar sus contenidos.
EN BUSCA DE LA EXCELENCIA. Aprender de la experiencia.
Es positivo aprovechar las sesiones formativas planificadas o convocar sesiones ah hoc para hoc para analizar incidentes o casi-incidentes reales de compliance compliance que que hayan afectado a la organización organización o o al sector, para extraer lecciones de ellas. Son Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
242
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
actividades muy enriquecedoras, que pueden proyectarse sobre colectivos especiales de riesgo riesgo o o que se hayan visto involucrados i nvolucrados en las experiencias narradas. Sobre los casi-incidentes, véanse también las explicaciones y los ejemplos en los apartados II.9.3 Revisión por la dirección y dirección y II.10.2 No conformidades y acciones correctivas,, ambos de este libro. correctivas
A CONSIDERAR. CONSIDERAR. Periodicidad de la form formación. ación.
El estándar ISO 37301:2021 señala que "la organización organización debe debe proporcionar formación al personal personal pertinente pertinente de forma regular”, pero no concreta una periodicidad exacta. Aunque existen varios factores que condicionan la periodicidad, como la rotación del personal personal o o la criticidad de los contenidos formativos, se suele considerar razonable la formación planificada anual.
EN BUSCA DE LA EXCELENCIA. Formación de inducción.
Si la única formación en compliance compliance es es de naturaleza planificada, no disfrutarán disfrutar án de ella las personas que se hayan incorporado o promocionado en la organización tras ción tras su impartición. Sabiendo que una persona no formada equivale a una persona no capacitada, tal circunstancia obligaría a posponer su involucración involucració n en los procesos procesos d dee riesgo riesgo hasta hasta la celebración de la siguiente formación planificada. Esto no entraña un problema para las organizaciones organizaciones que que la imparten con una periodicidad inferior al año, pero sí lo suele ser para el resto. Para soslayar este inconveniente, algunas organizaciones organizaciones se se plantean ciclos de formación ejecutivos de corta duración, personal personalizados izados y centrados en aspectos clave, que se imparten regularmente a pequeños grupos grupo s de personas que, por los motivos indicados, no pudieron disfrutar de los contenidos planificados. Aplicarán las cautelas ordinarias en cuanto a asistencia y aprovechamiento.
EN BUSCA DE LA EXCELENCIA. Formación promovida a raíz de indicadores predictivos.
Cuando las organizaciones organizaciones disponen disponen de indicadores de compliance compliance predictivos, predictivos, pueden plantearse ciclos de formación ad hoc si hoc si concurren circunstancias que lo aconsejan. Por ejemplo:
• han Indicadores predictivos externos:tipo en eldesector dondedeopera la organización organización se se materializado determinado incidentes compliance. compliance . Junto con otras medidas preventivas, posiblemente sea el momento de plantear pl antear sesiones formativas ad hoc para hoc para fortalecer el nivel de concienciación y la alerta sobre estas materias. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 243
• Indicadores predictivos internos: se ha observado un incremento estadísticam estadísticamente ente destacable de consultas en la intranet corporativa sobre determinadas políticas políticas relacionadas con el compliance compliance.. Tal Tal vez sea el momento de plantear una formación ad hoc sobre hoc sobre los contenidos de la política política,, eventualmente proyectada a los colectivos de donde surgen las consultas. Sobre los diferentes tipos de indicadores (de actividad, de eficacia eficacia y y predictivos), véanse también los comentarios en el apartado II.9.1.3 Desarrollo de indicadores, indicadores, de este libro. EN BUSCA DE LA EXCELENCIA. Periodos formativos individuales.
Mediante herramientas informáticas es posible realizar seguimiento y trazabilidad individualizada de la formación (on-line ( on-line),), de manera que se recuerde y ejecute para cada empleado en virtud de sus circunstancias (en el momento de su incorporación o promoción, por ejemplo). partir momento, pueden computar plazos para su repetición periódica Aque, pordeloese tanto, serían distintos para cada empleado. Esta mecánica evita que existan empleados no formados, a la espera de realizar formaciones grupales o por periodos. Señalaba anteriormente que las actividades de formación siguen un enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro). La consecuencia lógica, ló gica, también indicada en este apartado, es que no solo se proyectarán sobre el personal que participa en proc procesos esos expuestos a riesg riesgos os de complian compliance ce, sino también, sobre terceras partes cuya relación con la organización es susceptible de exponerla. Esta era una cuestión no tratada en el apartado equivalente del estándar ISO 19600:2014, que solo se proyectaba sobre los empleados. Existen riesgos de compliance compliance –tanto de trasmisión de responsabilidades legales como de daños en la reputación– que pueden venir inducidos por terceras partes con las que se mantienen vínculos; de ahí la importancia de los procedimientos de debida diligencia de proyección externa que contempla el apartado 8.1 Planificación y control operaciona opera cionall. Dado que las terceras partes pueden exponer a las organ organizacio izaciones nes, igualmente cabe proyectar actividades formativas sobre ellas.
A CONSIDERAR. Prioridad sobre terceras partes que entrañan riesgos de compliance.
Al igual que los ciclos de formación destinados al personal personal,, aquellos que se proyectan sobre terceras partes deben hacerlo especialmente sobre las que presentan riesgos de riesgos de compliance compliance,, de acuerdo con el resultado del ejercicio de evaluación de riesgos de compliance, compliance, que se explica con ejemplos en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
244
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
MÁS INFORMACIÓN. Actividades formativas sobre terceras partes y efectos jurídicos derivados.
Dependiendo de su enfoque y de las circunstancias, las acciones formativas destinadas a terceras partes pueden partes pueden ser interpretadas como un indicio de que, en verdad, forman parte de la organización organización,, con las consecuencias jurídicas que se derivan de ello. Este puede ser el caso cuando: • La formación es obligatoria, de modo que algunos terceros terceros deben deben realizarla para mantener su vínculo con la organización organización.. • La formación incluye referencia a políticas políticas,, procesos procesos y y procedimientos de la organización,, con contenidos y un nivel de detalle análogo al que utiliza para organización su personal personal.. Este tipo de circunstancias puede comprometer la independencia de las terceras partes y partes y desencadenar consecuencias legales para la organización organización.. Sobre este particular, véanse las explicaciones y los ejemplos que recoge reco ge el apartado II.7.2.1 Generalidades,, de este libro. Generalidades Impartir formación a terceras partes es una decisión delicada. En ocasiones, no es posible posib le obligarles a ello y, en otros casos, puede ser considerado una invasión a su autonomía empresarial. empresar ial. Consciente de esta problemática, el estándar ISO 37301:2021 establece las actividades de formación, pero también, las de concienciación con cienciación con terceras partes, brindando la flexibilidad de ambas opciones. Los registros relativos a la formación deben mantenerse como información documentada (véase el apartado II.3.10 Información documentada, de este libro, y también los lo s comentarios al apartado 7.5 Información documentada del estándar ISO 37301:2021, que figuran, de este libro).bajo este mismo título, en el apartado II.7.5 Información documentada,
II.7.3. Toma de conciencia Las actividades de concienciación se encuadran en el apartado 7.3 Toma de co concienc nciencia ia del estándar ISO 37301:2021, distinto del apartado 7.2 Competencia, que es donde se ubica la formación. Esta separación separació n subraya la diferencia conceptual entre unas activi-
dades y otras: mientras que la formación es una forma de capacitación para afrontar las situaciones que afectan a sus destinatarios, la compliance concienciación un estado general de de riesgo conocimiento sobre aspectos básicos de y de induce vigilancia ante su contravención. De este modo, cualquier persona, tanto dentro como fuera de la organización, conocerá el marco esencial de compliance de la organización y sabrá cómo comportarse ante situaciones que la amenacen. Esta distinción conceptual con ceptual no Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 245
es tan evidente en el estándar ISO 37001:2016, que trata conjuntamente la formación y la concienciación (apartado 7.3 Toma de conciencia y formación. Es un apartado separado del 7.2 Competencia, que no aborda esta materia).
A CONSIDERAR. CONSIDERAR. Dificultad en la evaluac evaluación ión de su aprovechamiento.
A diferencia de las actividades de formación, las de concienciación no van necesariamente dirigidas a colectivos concretos, sino a una pluralidad plur alidad anónima de destinatarios. En este caso, la aplicación del enfoque basado en el riesgo riesgo (véase (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro) pivota más sobre las materias difundidas que en la especificidad de sus destinatarios 175. Por estos motivos, habitualmente no dan lugar a listados de asistentes ni evidencias de aprovechamiento. Aunque es difícil di fícil medir su su desempeño desempeño,, puede vincularse a indicadores de actividad (el mero lanzamiento de campañas, por relacionados ejemplo) y también eficacia eficacia (comprobación de la disminución de incidentes con la de campaña). Pero su relación causa-efecto es más difícil de constatar y de medir que que en los de formación selectivos. EN BUSCA DE LA EXCELENCIA, Materiales para la toma de conciencia dirigidos al personal.
Existe pluralidad de materiales que pueden dar soporte a campañas de concienciación eficaces eficaces,, la mayoría de los cuales no requiere grandes desembolsos económicos. Es erróneo pensar que las actividades de formación y de toma de conciencia son patrimonio de las grandes organizaciones organizaciones,, pues también las pequeñas y las medianas recurren a ellas aplicando el principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporcionalidad, proporcionalidad, de este libro). Veamos algu algunos nos ejemp ejemplos los de mater material iales es que puede puedenn sopor soportar tar campa campañas ñas de concienciación eficaces eficaces:: • Preparación y colocación de cartelería con mensajes de compliance compliance en en lugares visibles de acceso común en la organización organización (salas (salas de descanso, comedores, coffeee points, points, salas de reuniones, pasillos, etc.). • Elaboración de vídeos y proyección de los l os mismos en los monitores de lugares l ugares visibles de acceso común en la organización organización (salas (salas de descanso, comedores, coffeee points, points, salas de reuniones, monitores de ascensores, monitores en los
medios colectivos de transportes de la organización organización,, etc.). 175 Pueden
planificarse actividades selectivas de toma de conciencia, por ejemplo, localizando cartelería ad hoc en ciertos emplazamientos de la organización , en los que únicamente concurren ciertos colectivos. No obstante, la trazabilidad de su aprovechamiento es limitada. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
246
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
• Preparación de frases con citas o mensajes de compliance compliance,, a elaborar mediante letras transferibles ubicables en las paredes de emplazamientos de uso profesional común (salas de juntas, salas de reuniones, pasillos, etc.). • Elaboración de mensajes y consejos de compliance compliance,, a proyectar como salvapantallas en los monitores de la organización organización,, cuando están desatendidos. • Elaboración de merchandising merchandising con con mensajes de compliance compliance,, como calendarios, mugs,, lápices y bolígrafos, stick-notes mugs bolígrafos, stick-notes,, etc. • Elaboración y difusión de elementos físicos de ayuda, tales como flyers flyers o o fichas refrescando el contenido esencial de políticas políticas y y procedimientos procedimientos de de compliance compliance,, recordando su ubicación en la intranet y señalando canales de atención ante dudas de su contenido. • Publicación de artículos en los medios de comunicación corporativos (revistas internas), con noticias sobre compliance compliance que que afectan a la organización organización,, comunicaciones sobre novedades o logros conseguidos. • Lanzamiento de concursos internos para promover mejoras en compliance compliance (mejora de políticas políticas,, procesos procesos o o procedimientos procedimientos,, por ejemplo) o de reconocimiento de las conductas más alineadas con los objetivos objetivos de de compliance compliance,, en el último periodo. Algunas de estas ideas puede Algunas puedenn emple emplearse arse tambié tambiénn para campa campañas ñas de concie conciencia ncia-ción dirigidas a terceras partes, partes, siempre que no conculquen su autonomía legal. El estándar ISO 37301:2021 resume los contenidos del antecedente ISO 19600:2014 y traslada una buena parte de ellos a los apartados A.7.3 Toma de cconcie onciencia ncia y A.5.1.2 ambas del de anexo A (informativo) Cultura compliance Guía para el uso de este docu mento , endelínea con la, naturaleza un MSS de tipo A (certificable). Dejando de lado estas adaptaciones, este apartado continúa siguiendo el mismo enfoque de su norma antecesora, al proyectarse sobre las personas que trabajen bajo el control de la organización. No recurre al concepto de “ personal” deliberadamente, para enfatizar que las actividades para la toma de conciencia tienen un perímetro natural de aplicación mucho más amplio, proyectándose tanto a individuos encuadrables bajo baj o esa categoría como a “terceras partes”.
EJEMPLO. Actividades de toma de conciencia dirigidas a terceras partes.
Las actividades de toma de conciencia dirigidas a terceras partes no partes no suelen presentar la problemática asociada a las acciones formativas for mativas que se han explicado en el apartado anterior de este libro. Su finalidad esencial suele ser: • Dar a conocer a los terceros terceros los los valores de la organización organización y y la falta de tolerancia a las conductas que los amenacen. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 247
• Cubrir las obligaciones obligaciones de de compliance compliance que que les incumben. Si procede, explicar cómo figuran establecidas en la relación jurídica que les vincula con la organización y nización y las consecuencias de no observarlas. • Dar a conocer mecanismos de control interno que las terceras partes pueden partes pueden desarrollar en sus organizaciones organizaciones,, en el caso de que carezcan de ellos. Todo ello recogiendo los contenidos básicos que relaciona el estándar ISO 37301:2021 y que se explican más adelante. EN BUSCA DE LA EXCELENCIA. Ayudar a la difusión del compliance en terceras partes.
Algunas organizaciones organizaciones desarrollan desarrollan ciclos de concienciación a sus proveedores acerca de la importancia y los contenidos cont enidos esenciales de los modelos de compliance compliance,, de forma que adquieran conciencia sobre su utilidad y se planteen dotarse de ellos. En ocasiones, estas iniciativas se desarrollan junto con plataformas sectoriales que impulsan las buenas prácticas sobre gobierno corporativo y la mejora de la competitividad. El estándar ISO 37301:2021 plantea contenidos básicos de las actividades de toma de conciencia. De acuerdo con ellos, sus destinatarios (sean personal o terceras partes) deberían terminar conociendo: • La existencia y el contenido esencial de la política de compliance . Esto llevará normalmente aparejada su puesta a disposición.
MÁS INFORMACIÓN. Contenido de la política de compliance. Acercaa del conte Acerc contenido nido que el están estándar dar ISO 37301 37301:2021 :2021 exige a la política de de compliance,, véase el apartado II.5.2 Política de pliance de compliance compliance,, de este libro, que divide su contenido en tres grupos: “ Aspectos a considerar por el órgano de gobierno y la alta dirección”, dirección”, “Condicionantes “Condicionantes de su contenido” contenido” y “Materias “Materias relacionadas con su custodia y comunicación”. comunicación”. • Cómo impactan los contenidos de la política de compliance y las obligaciones de compliance en su rol concreto con la organización.
EJEMPLO. Concreción de mensajes.
Los destinatarios de las actividades de toma de conciencia no deberían percibirlas como un cúmulo de mensajes cargados de buenas intenciones, sino como cuestiones que afectan a su rol respecto a la organización organización y y sobre las que debe mantenerse alerta. Así, por ejemplo, la tolerancia cero a los no cumplimientos de de Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
248
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
compliance declarada en la política de compliance compliance declarada compliance puede puede vincularse, en casos de subcontratistas de obra, a que se vigilará especialmente y no se permitirá que infrinjan, entre otras, las obligaciones relacionadas en cuanto a seguridad e higiene en el trabajo. • La importancia que tiene tiene su conducta para la eficacia del sistema de gestión de compliance de la organización. Se trata de evitar que las actividades de toma de conciencia se consideren alejadas de su actividad o incumbencia. • Los beneficios que acarrea acarrea un desempeño de compliance mejorado.
EJEMPLO. Beneficios de un buen desempeño de compliance.
Evidenciar conductas conductas ejemplares ejemplares o mejorar las que se habían estado observando puede reportar ventajas, tanto para el personal personal como como para terceras partes. Para el personal personal pueden pueden fijarse mejoras en términos salariales salari ales o de capacidades de promoción a determinadas posiciones, respetando el marco jurídico laboral aplicable. Para terceras partes, partes, una mejora en su puntuación en los procesos procesos de contratación u otros beneficios que sean legítimos conforme a la normativa administrativa o mercantil176. • Las consecuencias de no cumplir con aquellos requisitos del sistema de ggestión estión de compliance que les afecten, advirtiendo de la reacción que puede presentar la organización ante tales supuestos, en línea con lo también establecido en el apartado 5.2 Pol Política ítica de compliance.
A CONSIDERAR. CONSIDERAR. Consecuencias legales.
Las consecuencias derivadas de las no conformidades y conformidades y los no cumplimientos de de compliance pueden compliance pueden tener alcance legal, en el ámbito laboral, administrativo, civil e incluso, penal. Es importante que los destinatarios de la política de de compliance compliance y y de las actividades de formación y concienciación adquieran conocimiento conocimi ento de ello.
176 Conviene
recordar siempre que todos los requisitos o recomendaciones del estándar ISO 37301:2021 deben estar amparados por el marco legal de aplicación, sin necesidad de que se reitere este condicionante de manera continua. Sobre este particular, véanse los comentarios en el apartado I.6.2.1 Principio de subordinac subordinación ión a Ley , de este libro. li bro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 249
MÁS INFORMACIÓN. Incentivos y correctivos.
En relación con el régimen sancionador asociado con vulneraciones de la política de compliance compliance,, véanse las explicaciones y los comentarios que figuran bajo el título “Condicionantes “Condicionantes de su contenido” contenido” dentro el apartado II.5.2 Política de de compliance,, de este libro. Desde una perspectiva más amplia, véanse también las compliance explicaciones y los ejemplos en materia de incentivos i ncentivos y correctivos que aparecen en el apartado II.5.3.1 Órgano de gobierno y alta dirección, dirección, también de este libro. • Los medios o herramientas puestos a disposición para que puedan trasladar organización zación , en línea con lo establecido en el apartado 8.3 inquietudes a la organi Planteamiento de inquietudes.
MÁS INFORMACIÓN. Planteamiento de inquietudes.
En relación con los mecanismos para el planteamiento de inquietudes, véanse las explicaciones y los ejemplos del apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro. • La trascendencia que tiene todo lo anterior, anterior, no como conjunto de prácticas aisladas, cultur turaa de com compli plianc ancee. La toma de consino como factores determinantes de una cul ciencia será plenamente efe efecti ctiva va cuando sus destinatarios destinatarios interioricen la importancia de mantener una cult cultura ura de com complia pliance nce, no solo por obligación y en cuanto a su relación concreta con la orga organiz nizació aciónn, sino para ellos mismos y sus relaciones.
MÁS INFORMACIÓN. Medición del nivel de cultura de compliance.
Acerca de la cultura de compliance y compliance y su forma de medición medición (indiciaria (indiciaria o basada en el agregado de opiniones), véanse las explicaciones del apartado II.5.1.2 Cultura de compliance, compliance, de este libro.
II.7.4. Comunicació Comunicación n El principio de transparencia (véase el apartado I.6.1.4 Principio de transparencia, de
este libro) guarda especial relación con lo indicado en el apartado 7.4 Comunicación del ISO 37301:2021. El normal desarrollo de las actividades planificadas en elestándar sistema de gestión de compliance conlleva realizar comunicaciones tanto internas como externas a la organización. Como se explicará más adelante, existen numerosos aspectos a comunicar en ambas esferas, hasta tal punto que su ausencia es sospechosa en cuanto a la funcionalidad del sistema de gestión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
250
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
El estándar ISO 37301:2021 establece de manera conjunta las comunicaciones internas y externas, en lugar de segregar su tratamiento, como hizo antes el estándar 19600:2014. parteahora de esos coapartado contenidos, ntenidos,A.7.4 más propios de un MSS de Tipo B (no certificable), seUna ubican en el Comunicación del anexo A (informativo) Guía para el uso de este documento. En materia de complia compliance nce, la organiz organización ación debe reflexionar sobre los aspectos relevantes a comunicar, concluyendo qué informaciones o hechos deberán comunicarse, cuándo deberá hacerse, así como a quién irán dirigidas y de qué manera. Este guion básico es el mismo, tanto para las comunicaciones internas como para las externas.
A CONSIDERAR. CONSIDERAR. Cómo comunicar. Rompiendo barr barreras. eras.
Es fundamental que las actividades de compliance compliance lleguen lleguen a sus destinatarios. No es solo cuestión de facilitarles materiales en forma de acciones formativas o de concienciación, etc., sino también, de hacerlo en los idiomas adecuados, utilizando un lenguaje y un vocabulario que faciliten su comprensión. La mejor comunicación no es siempre la más técnica, sino la que se comprende mejor. En relación con el modo de mejorar el entendimiento de los documentos de compliance,, véanse también las explicaciones y los ejemplos que figuran bajo compliance el título “Condicionantes “Condicionantes de su contenido” contenido” dentro del apartado II.5.2 Política de compliance,, de este libro. compliance Adicionalmente, se espera de las organizaciones organizaciones que que ayuden a la integración de personas discapacitadas, lo que implica mejorar las opciones de accesibilidad a las diferentes actividades y comunicaciones.
A CONSIDERAR. CONSIDERAR. Departamentos de comunicac comunicación ión o equivalentes.
Las actividades de comunicación en materia de compliance compliance,, tanto internas como externas, suelen constituir un ámbito de colaboración con los departamentos internos de relaciones institucionales, relaciones con inversores, comunicación y equivalentes. Sobre las interacciones con estos equipos, véanse las explicaciones y los ejemplos que se desarrollan en el apartado II.4.2 Comprensión de las necesidades y expectativas de las partes interesadas, interesadas, de este libro.
EJEMPLO. Algunas comunicaciones internas.
A continuación, continu ación, se muestran al algunos gunos ejemplos de comuni comunicaciones caciones internas de naturaleza general: • Comunicado de designación de los miembros de la función de de compliance compliance,, sus competencias y la obligatoriedad de colaborar con ellos. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 251
• Comunicado de nuevas incorporaciones o sustituciones sustituciones en el equipo de compliance compliance.. • Comunicado sobre los objetivos objetivos d dee compliance compliance.. Qué se espera de las personas que se vinculan a la organización organización en en cuanto a los mismos. • Comunicado del lanzamiento nuevas políticas políticas,, procesos procesos o o procedimientos procedimientos,, de aplicación general. • Comunicado informando del resultado de la aplicación de determinados controles, señalando objetivos objetivos conseguidos conseguidos y aspectos a mejorar (cuando son conclusiones de incumbencia general). • Comunicado del resultado de auditoría auditoríass de compliance compliance,, señalando logros y aspectos de mejora (cuando son resultados de incumbencia general). • Comunicado de logros de compliance compliance de de interés general, especialmente cuando hayan supuesto evitar o minimizar daños económicos o de reputación. • Comunicado de nuevos requisitos requisitos de de compliance compliance que que afectan al personal personal o o a terceras partes. partes. • Comunicado de ciclos de formación, obligatorios y voluntarios. • Comunicado de incidentes de compliance compliance con con repercusión mediática, tanto de competidores como eventualmente propios, facilitando información que ayude a su gestión. Otras comunicaciones también internas, pero destinadas a colectivos específicos son: • Comunicado sobre aquellos objetivos objetivos de de compliance compliance tácticos tácticos u operativos, que afectan a determinados colectivos en parti particular cular.. • Comunicado del lanzamiento de nuevas políticas políticas,, procesos procesos o o procedimientos procedimientos que afectan solo a determinados destinatarios. • Comunicado informando del resultado result ado de la aplicación de determinados concontroles, señalando objetivos objetivos conseguidos conseguidos y aspectos a mejorar (cuando aplican a un colectivo acotado). • Comunicado del resultado de auditoría auditoríass relacionadas con compliance compliance,, señalando logros y aspectos de mejora (cuando son resultados que afecten exclusivamente a un determinado colectivo). • Comunicado de nuevos requisitos requisitos de de compliance compliance que que afectan exclusivamente
a ciertos colectivos, actividades o procesos procesos.. • Comunicado de los ciclos de formación, obligatorios y voluntarios, dirigidos a colectivos específicos. • Comunicación de incidentes de compliance compliance que que no afectan a toda la organización,, sino solo a determinadas áreas, unidades de negocio o funciones. nización Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
252
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
Finalmente se muestran algunos ejemplos de comunicaciones de compliance compliance relacionadas con la cadena interna de información, en línea con lo indicado en el capítulo 9 Evaluación del desempeño: desempeño: • Reportes operativos de compliance compliance.. • Memorias anuales de compliance compliance.. • Documentos o informes ad hoc de hoc de compliance compliance.. • Resultado o recomendaciones de las auditoría auditoríass relacionadas con compliance compliance.. Normalmente, esta información o documentación estará anexada a cualquiera de las comunicaciones anteriores.
EJEMPLO. Algunas comunicaciones externas.
Algunos casos de comunicaciones externas frecuentes son: son: • Comunicados dirigidos a medios, de forma voluntaria o como reacción frente a comunicados previos o incidentes de compliance compliance.. • Comunicados obligatorios o voluntarios dirigidos a las partes interesadas, interesadas, especialmente a las autoridades regulatorias o de supervisión. • Comunicaciones que se añaden obligatoriamente a la cadena de información info rmación externa (estados de información no financiera, por ejemplo), o voluntariamente como información adicional que ayuda a interpretar la gestión de la organización organización..
A CONSIDERAR. CONSIDERAR. Reiteración de comunicaci comunicaciones. ones. Reiterar determinadas comunicaciones puede ser una actividad saludable: obligatoriedad de la formación, existencia de determinada política política o o procedimiento procedimiento,, necesidad de consultar a la función de de compliance compliance ante ante dudas en su materia, etc. En ocasiones, aspectos que fueron correctamente comunicados se olvidan por el transcurso del tiempo o debido a la rotación del personal personal..
A CONSIDERAR. CONSIDERAR. Soporte explícito a di directivos, rectivos, mandos intermedios y al personal.
Es una buena práctica que el órgano de gobierno y gobierno y la alta dirección acompañen dirección acompañen y den soporte a directivos y mandos intermedios en cuestiones relacionadas r elacionadas con el compliance compliance.. Este tipo de soporte explícito, no solo hace visible su compromiso con impulsar una cultura de compliance, compliance, sino que refuerza la eficacia eficacia de de las comunicaciones. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 253
EN BUSCA DE LA EXCELENCIA. Soporte explícito a la función de compliance.
Algunas Algu nas organizaciones organizaciones incrementan incrementan el empoderamiento y la legitimidad de la función de de compliance compliance,, poniendo en valor sus cometidos y logros mediante comunicaciones internas. Así, por ejemplo, se puede difundir internamente la consecución de un certificado o sello de la calidad en materia de compliance compliance,, la mención o el otorgamiento de premios o menciones externas a la función de de compliance,, méritos obtenidos por cualquiera de sus miembros (obtención de compliance cualificaciones, etc.), su participación en cursos o eventos destacados, la contribución de la función de de compliance compliance para para solventar algún incidente relevante, etc. EN BUSCA DE LA EXCELENCIA. Los sites internos y externos de compliance a efectos de comunicaciones.
El uso dede sites tecnologías la información permite que las organizaciones organizaciones dis dis- pongan delas sites internos internos ydeexternos donde figura la información de compliance compliance y donde también se pueden publicitar comunicaciones relacionadas con esta materia. En relación con los contenidos de una eventual página web en la intranet corporativa, así como los que cabría ubicar u bicar también en la página web externa, véanse las explicaciones y los ejemplos que figuran bajo el título “Materias “Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Política de de compliance compliance,, de este libro. Un aspecto novedoso que introduce el estándar ISO 37301:2021 es la n necesidad ecesidad de tener en cuenta aspectos de diversidad y barreras que puedan afectar a la comunicación. Este requisito implica considerar múltiples cuestiones prácticas susceptibles de erosionar la eficacia de las comunicaciones. Los procesos de comunicación, tanto interna como externa, deben formar parte de la cultura de la organización, sus objetivos y obligaciones. Es un modo de impulsar los principios de buen gobierno (véase el apartado I.6.1.1 Principio de buen gobierno, de este libro) y transparencia (véase el apartado I.6.1.4 Principio de ttransparencia ransparencia, de este libro) del estándar ISO 37301:2021. No se quiere asociar compliance con la opacidad o la ocultación de incidentes por vergüenza. Sin embargo, embargo, para que este enfoque no se convierta en un ejercicio prematuro prematuro o irresponsable, es preciso que la organización
reflexione previamente sobre qué, cuándo, a quién y cómo cursar tales comunicaciones. También T en esta est a línea, la organización debe asegurar que la información comunicada esambién coherente con la tratada en el sistema de gestión de compliance y que es fiable. Estos últimos aspectos implican establecer medidas para garantizar que la información de compliance no se omite, altera o corrompe en el transcurso hacia su comunicación (interior o exterior). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
254
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Fiabilidad de la infor información mación no financiera.
Cada vez más reguladores inciden en la importancia de que las organizaciones organizaciones no solo aseguren la calidad de la información financiera, sino también, de la no financiera (incluyendo aspectos de compliance compliance).). A tales efectos, suele recomenr ecomendarse que los controles desarrollados por los departamentos de auditoría auditoría interna interna se proyecten sobre ambas esferas para ofrecer aseguramiento de la fiabilidad de las informaciones clave que se manejan en la organización organización..
EJEMPLO. Revisión de información relativa a compliance utilizada por otras funciones.
Algunas funciones de la organización organización pueden pueden precisar incorporar informaciones de compliance compliance en en los informes internos o externos que elaboran. Las funciones sinérgicas que figuran con ejemplos en el apartado II.4.2 Comprensión de las necesidades y expectativas de las partes interesadas, interesadas, de este libro, son un ejemplo de algunas que pueden precisar tales informaciones. El principio de transparencia que contempla el estándar ISO 37301:2021 abogaría por compartir la información de compliance compliance internamente, internamente, salvo cuando existan motivos fundados para no hacerlo (confidencialidad, por ejemplo). Sin perjuicio de lo anterior anterior,, no deberían comunicarse datos o informaciones de compliance compliance que que no hayan sido supervisados por la función de de compliance compliance.. En cuanto a las l as comunicaciones internas, es importante que lleguen a los diferentes niveles de de la organiza quetrasladar se brindeinquietudes, al personal laen posibilidad el sistema organización ción y yde de gestión compliance línea con de lo mejorar establecido en el apartado 8.3 Planteamiento de inquietudes.
EJEMPLO. Sesiones de trabajo (Workshops y Forum groups).
Con ocasión de explicar novedades o incidentes que afectan a grupos de personas, es interesante plantear sesiones de trabajo (“Workshops (“ Workshops”) ”) o de debate (“ (“Forum Forum groups”), groups”), donde tengan ocasión de trasladar sus opiniones y sugerencias de mejora. Son buenos entornos para dedicar un tiempo a las “lecciones “ lecciones aprendidas”, esto es, analizar o compartir las causas raíz de los lo s incidentes de
aprendidas , esto es, analizar o compartir las causas raíz de los lo s incidentes de compliance,, aspectos que no han funcionado correctamente, acciones correccompliance tivas que se derivaron, etc. No solo se abre un espacio de comunicación, sino tivas que también, una vía para obtener información relevante, en línea con las explicaciones y los comentarios del apartado II.9.1.2 Fuentes de opinión sobre el desempeño del compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 255
MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.
En relación con los canales dispuestos por la organización organización para para el planteamiento de inquietudes (que incluyen, pero no se limitan a los conocidos comúnmente como “canales de denuncia”), véanse los comentarios y los ejemplos que se recogen en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro. En cuanto a las comunicaciones externas, el estándar ISO 37301:2021 señala también como novedad su eventual enlace con los procesos de comunicación ya existentes en la organización y a la necesidad de hacer referencia a la cultura de compliance, así como los objetivos de compliance y obligaciones.
A CONSIDERAR. CONSIDERAR. Coordinación en la elabora elaboración ción de informes externos.
Cadaque vez trascienda son más frecuentes fr ecuentes exigencias legales acerca deorganizaciones publicitar información los datoslaseconomicofinancieros de las organizaciones. . En muchas ocasiones, disponer de información contable no permite conocer bien la calidad de la gestión, precisándose información adicional que valoran las partes interesadas.. Por este motivo, tanto la normativa como los órganos reguladores interesadas y supervisores tienden a establecer requisitos requisitos de de comunicación pública de información no financiera, en gran medida vinculada con el compliance compliance.. Puesto que estas nuevas informaciones se añaden al proceso proceso interno interno de recolección y consolidación de datos que ya se estaban ejecutando desde otras áreas (principalmente sobre materias financieras), es importante impulsar una interacción fluida con la función de de compliance compliance que que garantice la calidad de los datos que se harán públicos y evite la desconexión entre flujos de informaciones. No debería hacerse público ningún dato o información de compliance compliance que que no haya supervisado la función de de compliance compliance.. La org organi anizac zación ión mantendrá sus comunicaciones como inf inform ormaci ación ón doc docume umenta ntada da (véanse los comentarios al concepto de Información documentada en el apartado II.3.10 Información documentada. de este libro. También También los comentarios al apartado 7.5 Información documentada del estándar ISO 37301:2021, que figuran, bajo este mismo título, en el apartado II.7.5 Información documentada, de este libro).
II.7.5. Información documentada compliance iance es una cuestión de fondo, Generar o mantener una cultura de compl fon do, no de formas. Siendo este el objetivo trascendente de todo modelo de compl compliance iance, podría conseguirse descuidando evidencias documentales. Sin embargo, embargo, este escenario plantearía problemas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
256
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
organizac ización ión sufrir apuros a la hora de demosde prueba ante terceras partes, pudiendo la organ trar su cuidado al respecto. respecto. Por eso, eso, no es extraño que algunos textos legales vinculen el el mantenimiento de ciertas evidencias por documentales. El estándar ISO compliance compl iance conarticula 37301:2021 un MSS de tipo A (certificable), lo que mantener documentación acerca del sistem sistemaa de gestión constituye un factor importante de cara a la revisión por parte de un tercero independiente. Cabe recordar que uno de los principios que invisten todo trabajo de revisión o auditoría es el de escepticismo profesional, que obliga a poner en duda cualquier manifestación que no venga refrendada documentalmente.
Información documentada d ocumentada es un concepto definido dentro del capítulo 3 Términos y definiciones del estándar ISO 37301:2021 (véase el apartado II.3.10 Información do cumentada, de este libro). Este apartado 7.5 Información documentada documentada desarrolla sus características que, no olvidemos, aplican sobre (esta distinción proviene de la nota 2 a la definición 3.10 Información documentada): • “El sistema de gestión (3.4), incluidos los procesos (3.8) relacionados. • La información creada creada para que la organización opere (documentación). • La evidencia de los resultados resultados alcanzados (registros)”. (registros)”. Como sucede también en otros apartados, el estándar ISO 37301:2021 recoge los contenidos de su antecesor ISO 19600:2014, aunque localiza algunos de ellos en el comúnmente apartado A.7.5 Información documentada del anexo A (informativo) Guía para el uso de este documento, al tratarse más bien de ejemplos que ilustran la aplicación práctica de los conceptos. Por lo demás, su estructura general y contenidos son esencialmente coincidentes.
II.7.5.1. Generalidades La organización debe mantener información documentada sobre aquellos requisitos que Información señala el estándar ISO 37301:2021. 37 301:2021. Figuran relacionados en el anexo I Información documentada, de este libro.
A CONSIDERAR. CONSIDERAR. Repositorio clave de evidencia evidencias. s. Al margen margen ddee que sea preciso disponer de eellas llas pa para ra obten obtener er una declaración de conformidad por parte de un tercero independiente (certificación), los requisitos requisitos d dee
información documentada que documentada que exige el estándar ISO 37301:2021 son también un modo de asegurarse de que la organización organización dispone dispone de un repositorio de calidad con evidencias de su diligencia en materia de compliance compliance.. Por consiguiente, más allá de su utilidad a efectos de certificación, certif icación, debe interpretarse la necesidad de información documentada como documentada como una salvaguarda para la organización organización ante ante situaciones que cuestionen su gestión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 257
A CO CONS NSID IDER ERAR AR.. La información documentada no es un simple requisito formal.
La información documentada acredita documentada acredita que la organización organización ha ha observado los requisitos del requisitos del estándar ISO 37301:2021 y, sobre todo, ha desarrollado las actividades asociadas con los mismos. A CON CONSIDE SIDERAR. RAR. La rela relación ción de información documentada disponible como primera aproximación.
Un modo rápido de comprobar el nivel de proximidad de un sistema un sistema de gestión gestión respecto al estándar ISO 37301:2021 consiste en validar la concurrencia de la información documentada que requiere. De esta manera, un listado con los requi sitos de sitos de información información documentada conforma documentada conforma un guion guio n de utilidad para observar, en una primera aproximación, si el sistema el sistema de gestión a gestión a analizar dispone de un marco documental aparentemente robusto. Por eso, no es extraño que algunas entidades de certificación soliciten esta información antes de comprometerse a desarrollar sus servicios de evaluación de la conformidad. Véase el anexo I Información documentada, documentada, de este libro. Junto con los requisitos requisitos de información documentada que se señalan en cada apartado del estándar ISO 37301:2021, cabrá añadir aquellos otros que el propio sistema de gestión de cada organización haya incorporado.
A CO CONSI NSIDER DERAR. AR. Información documentada necesaria, más allá del estándar.
Cuando la organización se organización seen autoimpone requisitos adicionales adicionales a los fijados por el estándar ISO 37301:2021 materia derequisitos información documentada, no cumplirlos compromete la evaluación de conformidad del sistema del sistema de ge gestión stión,, puesto que su existencia, características y adecuado mantenimiento pasan a ser obligatorios, en virtud de lo establecido en el apartado 7.5 Información documentada. documentada.
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
258
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
información ción document documentada ada, variará en aplicación En cuanto al nivel de detalle de la informa del principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporciona177
, de este libro), que viene implícitamente reconocido en este apartado . Por lidad consiguiente, no es raro observar grandes diferencias de informa información ción documenta documentada da entre organizaciones, aunque siempre deberá reflejar razonablemente los requisitos de donde trae causa178.
II.7.5.2. Creación y actualización de la información documentada Cualquier evidencia no reviste automáticamente la calificación de información docu mentada. Para que se adecúe al concepto, debe estar claramente identificada, utilizar un soporte adecuado e incorporar constancia de su revisión y aprobación.
EJEMPLO, Cajetín con información esencial.
Muchos documentos organizativos, incluidas especialmente las políticas políticas y y los procedimientos,, incorporan un cuadro con información esencial acerca del texto. procedimientos Son contenidos típicos de este tipo de cajetines los siguientes datos: • Identificación de la norma, esto es, el nombre de la política política o o procedimiento procedimiento.. • Naturaleza y alcance de la norma: política política o o procedimiento procedimiento,, global o local. • Versión de la norma. • Fecha y órgano de aprobación de la norma. Suelen aparecer los cargos y las firmas de los miembros del órgano responsable de su aprobación como evidencia de su validez. • Fecha de aplicación, a partir de la cual es obligado el contenido de la norma. Habitualmente coincide con la fecha de aprobación. • Norma de cobertura: apartado del código ético o de conducta de donde deriva, o de la norma nor ma superior superior,, en caso de existi existirr textos intermedios. 177 La
nota única de este apartado hace referencia a las grandes variaciones en los contenidos de la información documentada doc umentada en virtud de factores muy habituales en la aplicación del principio de
proporcionalidad; por ejemplo: el tamaño de la organización y a su tipo de actividades, procesos , productos y servicios, la complejidad de procesos e interacciones, la competencia de las personas vinculadas con la organización, etc. 178 Aun rigiendo el principio de proporcionalidad, organizacione organizacioness pequeñas pueden experimentar problemas a la hora de reflejar documentalmente algunos requisitos, circunstancia a considerar por el auditor para apuntar una no conformidad conformi dad en su ejercicio de evaluación de la conformidad. Véanse también los comentarios en el apartado I.6.1.2 Principio de proporcionalidad prop orcionalidad , de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
II.7 Apoyo 259
• Normas que sustituye o deroga, en el caso de que deje sin efecto textos antiantiguos. Puede derogar solo una parte del contenido de otros textos, aunque no es una técnica que favorezca un árbol de políticas políticas ordenado. ordenado. • Normas relacionadas, incluyendo otras que pueden ser útiles a efectos interpretativos o que son necesarias para su aplicación, o textos que desarrollan sus contenidos. • Unidad de negocio a la que afecta. Normalmente Nor malmente aplicarán a toda la organización,, pero es posible que sean normas destinadas a cuestiones de compliance ción compliance específicas de ciertas unidades de negocio. • Personal Personal al al que afecta, que en normas de amplio espectro será todo el de la organización,, pero que puede estar limitado al personal organización personal de de alguna unidad de negocio, a ciertas categorías profesionales, etc. • Responsable principal de la norma, que será el área, la unidad o la función que debe cuidar por su aplicación y a la que cabe plantear dudas o cuestiones acerca de su contenido. Es importante que este cajetín quede unido o asociado con la norma, ya sea en formato físico o electrónico. Algunas organizaciones organizaciones reproducen reproducen en todas las páginas de sus normas internas (en su cabecera, por ejemplo) algunas de sus informaciones relevantes, como el título del documento, su número de versión y su fecha de emisión o aprobación. No cumplen los requisitos requisitos de de identificación aquellos documentos soportados únicamente en hojas sueltas o ficheros informáticos que generen dudas sobre el origen y la naturaleza del texto.
II.7.5.3. Control de la información documentada La inf inform ormaci ación ón doc docum ument entada ada debe estar bajo control, de manera que sea localizable, pueda ser empleada cuando se precise y esté protegida para evitar su pérdida o que se corrompa. El control de informac información ión documentad documentadaa supone darle la distribución y permitir los accesos legítimos, garantizar su almacenamiento y preservación, mantener el control de cambios, de forma que solo puedan introducirlos las personas autorizadas y un adecuado mantenimiento y custodia. Constituye también un modo de proteger la compliance. El capítulo 9 Evaluación del desempeño se labor que desarrolla la función de compliance refiere a la información documentada que refleja el rendimiento del sistema de gestión y cuya alteración se quiere evitar incluso cuando es obra de los órganos reportados179.
el contenido de los informes de comp complian liance ce supone una contravención directa a la independencia de la función que se le reconoce en el apartado 5.1.3 Gobernanza del compliance y que se explica más detalladamente en el apartado A.5.1.3 La gobernanza del complianc compliancee del anexo A (informativo) Guía para el uso de este documento. Sobre este particular, véanse las explicaciones que recoge el apartado II.5.1.3 Gobernanza del compliance, de este libro. li bro. 179 Alterar
Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
260
Guía práctica de compliance compliance según según la Norma ISO 37301:2021
A CONSIDERAR. CONSIDERAR. Transparencia y confidenci confidencialidad. alidad.
Aunquee el estánd Aunqu estándar ar ISO 3730 37301:2021 1:2021 ci cite te el princip principio io de transp transparenc arencia ia (véas (véasee el I.6.1.4de Principio de transparencia, transparencia , de este libro), no significa que alosconsuldatos eapartado informaciones compliance puedan compliance puedan comunicarse o abrirse li bremente libremente tas, en especial cuando contienen información confidencial, incluyendo, pero no limitándose, a datos personal personales es o que pueden afectar a la intimidad de las personas. A causa causa de lloo an anterio teriorr, eenn compliance compliance rige rige el axioma “need “need to know ”, ”, esto es, solo deberían facilitarse el acceso a datos e informaciones de compliance compliance a a aquellos sujetos que los precisen y que estén legitimados para recibirlos. En algunos casos, puede ser el personal personal en en su conjunto (es el caso de la política de compliance compliance,, por ejemplo), pero, en otros supuestos, el acceso puede estar restringido (es el caso, por ejemplo, del documento que recoja la evaluación evalu ación de riesgos de de compliance compliance,, las investigaciones o los informes de compliance compliance).). Los datos e informaciones relacionadas con los canales para el planteamiento de inquietudes son también ejemplos muy evidentes de información sensible en extremo y eventualmente protegida por Ley. Por consiguiente, se trata de garantizar que solo acceden a los datos e informaciones de compliance compliance quienes quienes lo necesitan realmente y disponen de la legitimidad (autorización) pertinente, sin que esta puesta a disposición pueda suponer la pérdida de trazabilidad (conocer quién accede a ella) y atentar contra su integridad (por la eventual alteración de su contenido, corrupción del fichero, fi chero, etc.). Por aplicación del principio de subordinación a Ley (véase el apartado I.6.2.1 Principio de subordinación a Ley, Ley, de este libro), la información infor mación documentada debería considerar las medidas de protección tanto físicas como lógicas exigidas por el marco jurídico vigente. Es una circunstancia a tener especialmente en cuenta en materia de protección de datos personal personales. es. Es muy interesante la desaparición de la mención del estándar ISO 19600:2014 según la cual la información document documentada ada podría ser preparada para que tuviese la calificación de asesoramiento legal y disfrutase del “ legal privilege”. Era, sin duda, una reflexión inquietante habida cuenta que: (i)
La norma no vinculaba el compliance con la defensa jurídica de la orga nización ni con cualquier otro cometido que precisara de privilegio180.
(ii) No parecía parecía coherente coherente con un entorno colaborativo con las autoridades, autoridades, alineado con la filosofía de los estándares sobre sobre compliance.
