Guia Practica Compliance 37301

September 13, 2022 | Author: Anonymous | Category: N/A
Share Embed Donate


Short Description

Download Guia Practica Compliance 37301...

Description

 

Guía práctica de compliance según la Norma Norma ISO 37301:2021 37301:2021 Alain Casanovas Ysla

Este documento ha sido adquirido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance según la Norma ISO 37301:2021

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance según la Norma ISO 37301:2021

 Alain Casanovas Ysla

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Título: Guía práctica de compliance según la Norma ISO 37301:2021. PDF  Autor: Alain Casanovas Ysla Ysla

© AENOR Internacional, S.A.U., 2021 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR Internacional, S.A.U. S.A.U. ISBN: 978-84-17891-38-1 Edita: AENOR Internacional, S.A.U. Maqueta: Block Comunicaciones Diseño de cubierta: AENOR Internacional, S.A.U. S.A.U.

Nota:

AENOR Internacional, S.A.U. no se hace responsable de las opiniones expresadas por el autor en esta obra.

Génova, 6. 28004 Madrid Tel.: 914 326 036 • [email protected] [email protected]   • www.aenor.com Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Dedicado a la comunidad de compliance

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Índice

Presentación   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

Prólogo  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17  Abreviaturas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Parte I Historia y características del estándar ISO 37301:2021 I.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

I.1.1. El estándar AS 3806:2006 3806:2006   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.1.2. El estándar ISO 19600:2014 19600:2014   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.2. La HLS de ISO  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.3. El proceso de normalizaci normalización ón del estándar ISO 37301:2021 . . . . . . . . . . . .  sistema de gestión. . . . . . . . . . . . . . . . I.4. El estándar ISO 37301:20 37301:2021 como I.4.1. De los programas de21 compliance a compliance  a los sistemas los sistemas de gestión  gestión  . . . . . . . . . I.4.2. La normalización internacional en materia de compliance   tiende a los sistemas los sistemas de gestión  gestión  . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.4.3. El estándar ISO 37301:2021 37301:2021   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.5. Singularidades Singularidades del estándar ISO 3 37301:202 7301:2021 1. . . . . . . . . . . . . . . . . . . . . . I.5.1. El estándar IS ISO O 37301:2021 y la cultura de compliance  compliance . . . . . . . . . . . I.5.2. Las dos fuentes de obligaciones de compliance . . . . . . . . . . . . . . . . . . I.5.3. Las no conformidades y conformidades y los no cumplimientos de compliance  compliance  . . . . . . . . I.6. Principios rectores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1. Principios explícitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.1. Principio ddee buen gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.2. Principio de proporcionalidad . . . . . . . . . . . . . . . . . . . . . . . . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

9

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

25 25 26 27 31 33 33 34 35 37 37 40 42 45 45 46 46

 

10

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

I.6.1.3. Principio de integridad  integridad  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.4. Principio de transparencia  transparencia  . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.5. Principio de responsabilidad  responsabilidad  . . . . . . . . . . . . . . . . . . . . . . . . I.6.1.6. Principio de sostenibilidad  sostenibilidad  . . . . . . . . . . . . . . . . . . . . . . . . . .

49 50 50 51

I.6.2. Principios implícitos  implícitos  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.6.2.1. Principio de subordinación a LLey ey   . . . . . . . . . . . . . . . . . . . . . I.6.2.2. Enfoque basad basadoo en el riesgo riesgo   . . . . . . . . . . . . . . . . . . . . . . . . I.6.2.3. Principio de seguridad razonable razonable   . . . . . . . . . . . . . . . . . . . . . I.6.2.4. Principio de mejora continua  continua  . . . . . . . . . . . . . . . . . . . . . . . .

52 52 53 58 60

Parte II Comentarios al contenido del estándar ISO 37301:2021 II.0. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

65

II.1. Objeto y campo de aplicación  aplicación  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 II.2. Referencias normativas  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 II.3. Términos y definiciones definiciones  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

II.3.1. Organización  Organización  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.2. Parte interesada  interesada  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.3. Alta dirección  dirección  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.4. Sistema de gestión  gestión  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.5. Política  Política  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.6. Objetivo  Objetivo  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.7. Riesgo  Riesgo  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.8. Proceso  Proceso  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.9. Competencia  Competencia  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.10. Información documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.11. Desempeño  Desempeño  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.12. Mejora continua  continua  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.13. Eficacia  Eficacia  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.14. Requisito  Requisito  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.15. Conformidad  Conformidad  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.16. No conformidad  conformidad  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.17. Acción correctiva  correctiva  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.18. Auditoría  Auditoría  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.19. Medición  Medición  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.20. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.21. Órgano de gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

75 78 79 80 82 84 85 86 87 87 88 89 90 90 91 92 93 93 94 95 96

 

Índice

II.3.22. II.3.23. II.3.24. II.3.25.

 

11

Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Función de compliance compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Riesgo de compliance compliance .  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Obligaciones de compliance compliance .  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

II.3.26. Compliance Compliance   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.27. No cumplimiento de compliance de compliance   . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.28. Cultura de compliance compliance   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.29. Conducta  Conducta  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.30. Tercera parte  parte  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.3.31. Procedimiento  Procedimiento  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.4. Contexto de la organización  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.4.1. Comprensión de la organización organización y  y de su contexto . contexto . . . . . . . . . . . . . . . II.4.2. Comprensión de las necesidades y expectativas   de las partes interesadas  interesadas  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.4.3. II.4.4. II.4.5. II.4.6.

102 104 105 106 107 109 111 114 116

Determinación del  de alcance del del sistema  sistema gestión compliance  Sistema de gestión de gestión compliance  compliance   . . . .de. .gestión del . . . . . del . . . compliance . . . . . . . . .  .. .. .. Obligaciones de compliance . compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Evaluación de los riesgos de compliance  compliance  . . . . . . . . . . . . . . . . . . . . . II.5. Liderazgo  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.1. Liderazgo y compromiso  compromiso  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.1.1. Órgano de gobierno y gobierno y alta dirección  dirección  . . . . . . . . . . . . . . . . . II.5.1.2. Cultura de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.1.3. Gobernanza del compliance. compliance . . . . . . . . . . . . . . . . . . . . . . . . II.5.2. Política Política de  de compliance compliance   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

112216 127 130 149 151 151 164 167 171

II.5.3. Roles, responsab responsabilidades y autoridades autoridades    . . . . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. II.5.3.1. Órganoilidades de gobierno y gobierno  y alta dirección II.5.3.2. Función de compliance  compliance  . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.3.3. Dirección  Dirección  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.5.3.4. Personal Personal  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.6. Planificación  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.6.1. Acciones para aabordar bordar los riesgos y oportunidades oportunidades .  . . . . . . . . . . . . . . II.6.2. Objetivos Objetivos de  de compliance compliance y  y planificación para lograrlos . lograrlos . . . . . . . . . . . II.6.3. Planificación de los cambios cambios   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7. Apoyo  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.1. Recursos  Recursos  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.2. Competencia Competencia   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.2.1. Generalidades  Generalidades  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

119910 195 207 210 213 213 216 221 225 226 229 229

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

12

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.7.2.2. Proceso de empleo  empleo  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.2.3. Formación  Formación  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.3. Toma de conciencia  conciencia  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.4. Comunicación  Comunicación  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

231 236 244 249

II.7.5. Información documentada. documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.5.1. Generalidades  Generalidades  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.7.5.2. Creación y ac actualización tualización de la información documentada  documentada  . . II.7.5.3. Control de la información documentada . documentada . . . . . . . . . . . . . . . II.8. Operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.8.1. Planificación y control operacional operacional   . . . . . . . . . . . . . . . . . . . . . . . . . II.8.2. Establecimiento de controles y procedimientos procedimientos   . . . . . . . . . . . . . . . . . II.8.3. Planteamiento de inquietudes  inquietudes  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.8.4. Procesos Procesos de  de investigación  investigación  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.9. Evaluación del desempeño desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

255 256 258 259 261 262 265 267 277 283

II.9.1. Seguimiento, Seguimiento , medición medición,, análisis evaluación II.9.1.1. Generalidades  Generalidades   . . . . . y. .evaluación  . . . . . . .  . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. II.9.1.2. Fuentes de opinión sobre el desempeño desempeño del  del compliance compliance   . . . II.9.1.3. Desarrollo de indicadores  indicadores  . . . . . . . . . . . . . . . . . . . . . . . . . II.9.1.4. Informes de compliance compliance   . . . . . . . . . . . . . . . . . . . . . . . . . . II.9.1.5. Mantenimiento de registros  registros  . . . . . . . . . . . . . . . . . . . . . . . . II.9.2. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.9.3. Revisión ppor or la dirección dirección .  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.10. Mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.10.1. Mejora continua  continua  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II.10.2. No conformidades y conformidades y acciones correctivas  correctivas  . . . . . . . . . . . . . . . . . . . .

228844 287 289 290 293 293 300 311 312 313

 Anexo I. Información documentada documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319  Anexo II. Preguntas Preguntas frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Sobre el autor  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Presentación

Los principios sobre los que se fundamenta la credibilidad y confianza de la actividad de normalización: la transparencia, el consenso, la imparcialidad, apertura diversidad, han evidenciado en estos últimos años su enorme potencial lapara aportary soluciones a los grandes temas que preocupan a la sociedad y a las empresas para llegar a crear normas en disciplinas como la ética, la responsabilidad social, la gobernanza y el compliance. La normalización da respuesta eficaz a los grandes desafíos de las organizaciones. La normalización posibilita que las partes interesadas pongan en común sus necesidades y sus conocimientos para ofrecer soluciones técnicas (las normas) que ayudan a lograr un mundo más seguro, desarrollado y sostenible; sostenib le; y es por ello, que terminará estando presente en cualquier ámbito en el e l que se detecte la necesidad de llev llevar ar a cabo una ordenación o de establecer un lenguaje común. El compliance irrumpe en el mundo de la normalización internacional en el año 2013 en el que, desde la Organización Internacional de Normalización (ISO), dando respuesta a las necesidades del mercado, se decide empezar a trabajar en una norma que pueda convertirse en referente referente internacional para las organizaciones a la hora de  compliancee y cómo gestionar los riesgos de cumplimiento a los entender qué es el  complianc que se enfrentan. España, a través de la Asociación Española de Normalización, UNE, y del ahora órgano técnico CTN 165/SC3 Sistemas de gestión del cumplimiento y sistemas de gestión  anticorrupción, se sumó entonces de forma inmediata y activa a los trabajos internacionales. En 2014, se publicó la Norma ISO 19600 Sistemas de gestión de compliance. Directrices, posteriorm posteriormente como norma española UNE-ISO 19600. Este documento ayudó a queente en adoptada nuestro país el compliance pasase, de ser una disciplina prácticamente exclusiva de empresas multinacionales o de sectores muy regulados, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

13

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

14

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

a ser foco de interés para todas aquellas organizaciones preocupadas por sus riesgos corporativos, especialmente tras la reforma del Código Penal de 2015. Esta norma proporcionaba únicamente recomendaciones en materia de  compliance y de ahí que pocos años después de su publicación, y respondiendo a la demanda del mercado,, haya sido preciso trabajar en su revisión para transformarla en una norma mercado también de requisitos. Es así como se llega a la publicación de la Norma ISO 37301 Sistemas de gestión de compliance. Requisi  Requisitos tos con orient orientación ación para su uso. Esta norma ofrece una visión más madura y evolucionada del  compliance, pero no sólo eso, el sistema de gestión que establece permite a las organizaciones demostrar su compromiso para cumplir con las leyes y con otros compromisos asumidos de forma voluntaria (incluidos lo de carácter ético) y poder hacer visible ese compromiso ante sus grupos de interés a través de una posible certificación. Como Director General de UNE y como miembro del Consejo de Administración de ISO, ISO, es para mí un enorme honor prologar la l a Guía práctica de compliance según de Alain que va a permitir a las organiza la N orma Norma 3730 37301:202 1:2021 ciones y aISO los expertos en1, comp  complian liance ceCasanovas,  entender, interpretar y aplicar esta norma, tan necesaria. La Norma ISO 37301:2021, por su carácter de norma de alto impacto, cuenta con una versión ISO oficial en español, fruto del trabajo del grupo de traducción al español, ISO/TC 309/STTF (Spanish Transla ranslation tion Task Force), compuesto por 12 países de habla hispana. La Norma ISO 37301 en español ha sido adoptada como Norma UNE-ISO 37301, con contenido idéntico. En este libro encontramos un contenido privilegiado. La actuación de su autor como presidente del órgano técnico de normalización nacional de  compliance (CTN 165/  SC3), su participación como delegado y experto español en el comité internacional y los grupos de trabajo que la han elaborado (ISO/TC 309 Governance of organizations), así como su dilatada experiencia profesional en la implementación de sistemas de gestión de compliance, le hacen poseedor de un conocimiento único sobre la letra y el espíritu de la norma a nivel internacional, y sobre cómo trasladar ese conocimiento de forma práctica.  Antes de despedir estas líneas no quiero dejar de plasmar algunos agradecimientos: gracias a ISO por continuar atendiendo los retos de la sociedad aportando soluciones globales; gracias a las entidades españolas del CTN 165/SC3, por hacer posible la participación española en los foros internacionales de normalización en el ámbito del  compliance; gracias a Alain Casanovas por compartir su sabiduría y su dilatada experiencia; y gracias a la Dirección de Servicios Información Sectorial y a la editorial de AENOR por contribuir a la difusión de ladenormalización y del conocimiento con el rigor de siempre. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Presentación

 

15

Confío en que tanto la norma, como este libro, libro, impulsen de manera definitiva a nivel mundial la cultura del  compliance, y con ella la de la integridad y la sostenibilidad.  Algo coherente con la misión de UNE de impulsar la mejora de la competitividad de nuestros sectores económicos y el bienestar social.

 

 Javier García DIRECTOR  G  GENERAL

 Asociación Española de Normalización, UNE y miembro del Consejo de Administración de ISO

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Prólogo

La evolución de un estándar  El delSería estándar australiano 3806:2006  trascendió Compliance Programs susimpacto fronteras. equivocado decirAS que fue el primer texto sobre  compliance , pues era una materia ya tratada en documentos de recomendaciones tanto nacionales como internacionales. Sin embargo, estos textos hacían referencia a mercados o sectores regulados (banca, principalmente) o a riesgos de compliance  compliance específicos (especialmente los de soborno). El acierto del estándar australiano fue brindar una visión del  com pliance apta para cualquier tipo de organización y materia.  Tant  Tanto o ISO como como las entida entidades des de normal normaliza ización ción naciona nacionales les que la integr integran an solo redac redactan tan estándares cuando advierten su conveniencia: su objetivo no es generar necesidades, sino dar respuesta a las mismas. Por su gran aceptación, está claro que el estándar AS 3806:2006 fue una respuesta acertada a la demanda de los agentes sociales y económicos. Considerando el éxito que había tenido en otros países, se valoró y aceptó producir un estándar internacional que lo tomaría como punto de partida. Así, en 2013 se obtuvo el consenso para iniciar el  proceso de elaboración del estándar ISO 19600. En aquel momento no se consideró que fuese preciso configurarlo como un  MSS de tipo A (certific (certificable), able), al no percibir percibirse se tal necesidad. necesidad. Sucedió Sucedió lo contrario contrario con el estándar ISO 37001 sobre sistemas de gestión antisoborno donde, comenzando su  proceso  proce so de normalización muy poco tiempo después, sí se convino que fuera certificable. certificable. La divulgación general del compliance en la sociedad suele darse a raíz de regulaciones que afectan a un amplio espectro de sujetos. La lucha contra con tra la corrupción y la prevención de determinados actos criminales está provocando la exigencia de mecanismos  de compliance c ompliance en entidades de cualquier tamaño y sector en diferentes países. Esto contribuye a generalizar este concepto de compliance.  No obstante, y una vez puesto el foco inicial en la prevención de los  no cumplimientos de  compliance más graves –los de naturaleza criminal–, la progresión normal en Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

17

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

18

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

la curva de madurez de las  organizaciones  lleva a poner medios para la prevención, detección y gestión temprana del resto de no cumplimientos cumplimientos de compliance que pueden comprometerlas compromete rlas igualmente. En este escenario, adquiere importancia disponer de un estándar capaz de generar confianza en el mercado, susceptible soportar procedimie  procedimientos ntos  de verificación de la conformidad  con su contenido. Es decir, decir, la necesidad de facilitar al mercado un estándar certificable. Esta evolución, junto con la constante progresión de las buenas prácticas en materia de compliance, propició la revisión de la norma ISO 19600:2014. Esta iniciativa coincide con la agrupación de los estándares ISO sobre compliance bajo la serie 37000 de normas, encabezada por el primer sistema de gobierno de las organizaciones. Desde una perspectiva muy simple, se podría pensar que el estándar ISO 37301:2021 es solo la versión certificable de la norma previa ISO 19600:2014. Pero esta visión sería completamente errónea: su contenido no solo aborda materias que no fueron reguladas con anterioridad (como los proce  procesos sos de empleo, el proc  proceso eso para el planteamiento de inquietudes o el de investigaciones, por ejemplo), sino que también se tratan las clásicas de manera distinta (el gobierno de  compliance o la cultura de  compliance, por ejemplo). Se hace eco de nuevas prácticas generalmente aceptadas en la comunidad internacional, de un tiempo a esta parte.

Responsabilidad frente a la comunidad de compliance  Al haber haber participado como experto en los comités de normalización de los estándares estándares ISO 19600:2014 e ISO 37001:2016, era depositario de una responsabilidad ante la comunidad de compliance: trasladar la trascendencia del estándar ISO 37301:2021 y brindar informaciones útiles para su interpretación. in terpretación. Como partícipe en los debates entre expertos que han concluido en el texto actual, me sentía obligado a trasladar la lógica de sus disposiciones, el porqué de su redacción y, y, sobre todo, señalar sus omisiones deliberadas. Solo así se adquiere plena conciencia de su orientación. El lector puede así disfrutar de una visión de primera línea de la norma, que le ayudará a aplicarla de forma certera.

 Algunas convenciones Los estándares son de aplicación voluntaria y no tienen ni la vocación ni la naturaleza de un texto jurídico. Sus conceptos son siempre organizativos y huyen de términos legales que vinculen el contenido de las normas a una tradición jurídica o que condicionen la interpretación de sus  requisitos. Esto se observa en la propia definición de organización que emplean los l os sistemas de gestión ISO, que no es equivalente a la de persona o entidad jurídica que se halla en algunos textos legales sobre compliance. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Prólogo

 

19

Sin perjuicio de lo anterior y a efectos didácticos, a lo largo de este libro me refiero ocasionalmente a algunas normas de Derecho comparado o conceptos que provienen del mundo legal. Así, mencionaré la willful blindness (ignorancia deliberada, véase el apartado II.4.6 Evaluación de los riesgos de compliance, de este libro), el duty of enquiry enquiry  (deber de mantenerse informado, véanse los apartados II.5.1.1 Órgano de gobierno y   alta dirección y II.5.1.3 Gobernanza de compliance, ambos de este libro) o la  businessy   judgement   rule  rule (discrecionalidad empresarial, véanse los apartados II.4.6 Evaluación  Evaluación    de los riesgos de d e compliance y II.9.3 Revisión por la dirección, ambos de este libro), por ejemplo. Son conceptos habituales en la esfera legal, aunque no están vinculados a ningún sistema jurídico en concreto.

Los ejemplos Las diferentes circunstancias que afectan a las  organizaciones y la aplicación del principio de proporcionalidad (véanse los comentarios del apartado I.6.1.2  Principio de  de  , de este libro), llevan inevitablemente a que existan infinitas maneras  proporcionalidad de plasmar los requisitos del estándar ISO 37301:2021 ante casos concretos. Bajo este entendimiento, carece de sentido proponer “modelos” de sus diferentes requisitos, que pueden ser excesivos para algunas organizaciones o insuficientes para otras. Proponer “modelos” evoca el  one fit all, que es precisamente lo que tratan de evitar los sistemas de gestión ISO. La adaptación de los  requisitos del estándar a las circunstancias concretas de cada organización es clave para su  eficacia.  No obstante, obstante, este libro libro incorpo incorpora ra abundantes abundantes ejemplos ejemplos puntuales, puntuales, reflexione reflexioness e incluso incluso propuestas en búsqueda de la excelencia en compliance. Son formas de completar las explicaciones aportando una visión práctica, que en modo alguno pretende ser la única y excluir otras muchas aproximaciones.

Mis deseos respecto a este libro Confío en que este libro resulte de utilidad a los profesionales comprometidos con el  compliance. He tratado de volcar en él mi experiencia y conocimientos del estándar ISO 37301:2021, habiendo vivido no solo su desarrollo, desarrollo, sino también, el de normas precedentes. Soy consciente de lo difícil que es cubrir exhaustivamente todos sus aspectos y brindar ejemplos que encajen en la totalidad de casuísticas. Conocedor de mis limitaciones al respecto, mi pretensión se ha centrado en redactar una obra rigurosa que ayude a interpretar y aplicar este estándar de  compliance global. Si su contenido ayuda verdaderamente al lector, lector, además de un objetivo cumplido será una gran satisfacción personal. Alain Casanovas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

 Abreviaturas

Los términos redactados en letra cursiva curs iva se refieren a conceptos definidos en el estándar ISO 37301:2021, que en buena I-Consolidated parte coinciden conSupplement-Procedures los incluidos en el documento de ISO  ISO/IEC Directives-Part ISO e specific to especific

 ISO, Annex L Appendix II High llevel  ISO, evel structure, identical core text, common text and core  definitions, donde se estable la estructura de alto nivel para las normas de los sistemas de gestión (HLS) y de la HLS de ISO/IEC1. Esta obra cita los documentos fruto de la normalización como “estándares “ estándares”” o “normas”, “n ormas”, indistintamente. Las siguientes abreviaturas corresponden a los significados indicados:

 Anti-Bribery Management System  AFNOR:  Association Française de Normalisation  American National Standards Institute  ANSI:  ABMS:

 AS:  ASI: BA: BS: BSi: CMS: 1 La

 Australian Standard  Austrian Standards Institute  Bribery Act (UK)  British Standard  British Standards institution Compliance Management System

HLS regula en el documento ISO/IEC Directives-P Directives-Part art II-Consolidated -Consolidated ISO Su Supplement-Procedu pplement-Procedures res

 espe cificc to IS  especifi ISO, O, Annex L Ap Appendi pendixx II Hig Highh leve levell stru structure cture,, ide identica nticall core text, common ttext ext and core  definiti  defi nitions ons , 10.ª ed., 2019. Es un documento de acceso público a través de internet, incluyendo sus eventuales revisiones. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

21

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

COSO:

Committee of Sponsoring Organizations (of the T Treadway readway Commission)

CTN:

Comité Técnico de Normalización

DoJ:

 Department of Justice (US)

 Financial Action Action T Task ask FForce orce  Foreign  Foreign Corrupt Practices Act (US) FCPA: FDIC:  Federal  Federal Deposit Insurance Corporation Enforcement Network FinCEN:  Financial Crimes Enforcement GAFI: Group d’Action Financière Governance, Risk & Compliance GRC: HLS:  High Level Struc Structure ture (estructura de alto nivel) de los sistemas de gestión FATF:

que propone ISO/IEC.

 International Electrotechnical Commission  International Organization for Standardization  MSS:  Management System Standard  NCUA:  NCU A:  National Credit Union Administration OCC: Office of the Comptroller of the Currency IEC: ISO:

OCDE:

Organización para la Cooperación y el Desarrollo Económicos

PDCA: PC:

 Plan, Do, Check, Act   Project Committee

SC:

Subcomité

SEC:  TC:

Securities and Exchange Commission (US) Technical Committee

UNE:

Una Norma Española

US:

United States United Kingdom Working Draft

UK:  WD:

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. 22

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Parte I

Historia y características del estándar ISO 37301:2021

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.1  Antecedentes

El estándar 37301:2021 es  compliance el resultado cuyo de unobjeto  deactualizar normalización interna procesoera cional sobreISO  sistemas de gestión de y sustituir a la norma ISO 19600:2014. Este texto fue el primero primero en el que se utilizó la denominada “estructura de alto nivel” ( High Level Structure, HLS), sobre la que se hablará en el capítulo I.2 La HLS de ISO, de este libro, para articular un sistema de gestión dedicado exclusivamente al compliance. Esta norma, a su vez, estaba basada en los contenidos del estándar nacional AS 3806:2006 2.

I.1.1. El estándar AS 3806:2006 La norma australiana AS 3806:2006 es el primer estándar nacional que se proyecta en el ámbito del complia  compliance nce con un enfoque general. Austra  Australian lian Standar Standards ds, reputada organización independiente indepen diente sin ánimo de lucro, reconocida por el Gobiern Gobierno o de Australia y miembro de ISO, ISO, encomendó este proyecto de normalización normalizació n a su comité especializado QR-0143. El texto del estándar fue aprobado en el Consejo de dicha organización celebrado el 23 de enero de 2006, sustituyendo a la antigua norma AS 3806:1998. 2 Cuando

se aprecia la utilidad internacional de un estándar publicado por una entidad nacional de normalización, se puede impulsar un proyecto de normalización internacional (ISO) sobre la base de sus contenidos. 3 Es significativa la composición del grupo de trabajo que otorgó al estándar sobre programas de  compliance una fuerte legitimidad: Australian Competition aand nd Consume Consumerr Comisión, Australian Com pliance Institute, Australi  Australian an R Record ecord Industry Association, Australia  Australiann Sec Securities urities and Investmen Investmentsts Com Commismis sion, Austra  Australian lian Taxation Office, Consumer’s Federation of Australia, Law Council Council of A Australia ustralia, Society of Consumer Affairs Professionals, The Institute of Internal Auditors-Australia, Universit Universityy W Western estern Sydney. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

25

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

26

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Esta norma brindaba principios para desarrollar y mantener programas de compliance eficaces, tanto para organizaciones públicas como privadas. A tales efectos, articulaba doce principios fundamentales que apuntalaban apu ntalaban un programa de comp  complian liance ce, vinculando cada uno de ellos con determinadas buenas prácticas. No obstante, toda esta serie de elementos estaba regulada en forma deContexto programa como un sistema delibro). gestión  (véanse los comentarios del capítulo II.4 deylanoorganización , de este Pese a ser un estándar local, este texto adquirió una notable difusión internacional, no solo por ser el primero de amplio alcance objetivo y subjetivo4, sino también, por la claridad y el enfoque práctico de sus contenidos.

I.1.2. El estándar ISO 19600:2014 El estándar australiano AS 3806:2006 fue la base de trabajo para elaborar el primer estándar internacional en materia de complian sería norma ISO 19600:2014.  compliance ce: la que  A tales efectos, tales ISO constituyó el Project Committee  ISO/PC 271, presidido presidid o por Martin Tolar5 y que acogió a expertos de 14 países. El texto australiano AS 3806:2006 fue adaptado a la HLS (véase el capítulo I.2  La HLS de ISO, de este libro), objeto de debate en diversas sesiones plenarias 6, publicándose finalmente en diciembre de 2014 bajo la forma de un MSS de Tipo B 7  (no certificable).

texto fue diseñado para proyectarse sobre un amplio espectro de  organi  organizaci zaciones ones  y materias.  No era un está estándar ndar sec sectorial torial destina destinado do a ccubrir ubrir ciertos ámbito ámbitoss regulat regulatorios, orios, en part particular. icular. 5 Martin Tolar ha ostentado cargos directivos en el GRC Institute (Australia), vinculado con la creación del AS 3806:2006. También ha presidido la  Inte  Internat rnation ional al Federa Federatio tionn of Com Compla place ce  Associati  Asso ciations ons  (IFCA). 6 Se mantuvieron tres sesiones plenarias. La primera tuvo lugar del 8 al 12 de abril de 2013 en Sídney, Australia, siendo  Austra  Australian lian Stand Standards ards  la entidad anfitriona. La segunda se celebró del 14 al 18 de octubre de 2013 en París, Francia, siendo la Association Française de Normalisation (AFNOR) la entidad anfitriona. La tercera y última sesión plenaria se mantuvo del 7 al 11 de julio de 2014 en Viena, Austria, siendo la organización anfitriona el  Austri  Austrian an SStanda tandards rds  Institute  Insti tute  (ASI). 7  El diseño de un MSS de Tipo B o de directrices, no es adecuado para que su aplicación sea objeto de certificación. En el momento de inici iniciar ar la normalización del estándar, estándar, no se consideró que existía justificación suficiente (demanda social) para generar un estándar certificable (los estándares ISO no pretenden generar necesidades sino responder a ellas). Por otra parte, tomaba como punto de partida la norma local AS 3806:2006, que tampoco era certificable. En relación con las diferencias entre  Manag  Management ement Syst System em SStanda tandards rds  (MSS) de tipo A y de tipo B, véanse las explicaciones en el capítulo I.2  La HLS de ISO , de este libro. En cualquier caso, el empleo de la HLS era potestativo en MSS de tipo B, a pesar de lo cual se decidió aplicar. 4 El

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.2 La HLS de ISO

El Grupo ISO de coordinación técnica sobre sistemas de gestión ideó la llamada  estructura  estru ctura de alto nivel ( High Lev Levelel Structu Structure re, HLS) para que los estándares sobre  Management ment System Standa Standards rds, MSS) elaborados a través de sistemas de gestión ( Manage dicha organización tuvieran una estructura común, así como unas definiciones y unos contenidos básicos equiparables8. La regulación sobre la HLS distingue entre en MSS de tipo A y B 9, siendo los primeros aquellos que proporcionan especificaciones y admiten certificar la conformidad con sus contenidos, mientras que los segundos brindan b rindan líneas directrices y no son certificables10. 8 La

HLS regula en el documento ISO/IEC Directives–Part I–Consolidated ISO Supplement -Proce-

 dures specific to ISO, Annex L Appendix II High level structure, identical core text, common text and core  definitions, 10.ª ed., 2019. Es un documento de acceso público a través de internet, que incluye sus eventuales revisiones. revisiones. Los MSS ( Management System Standards) de tipo A (certificables (certificables), ), como lo es el estándar ISO 37301:2021, deben seguir la HLS, mientras que es una opción potestativa para los MSS de tipo B (no certificables), como la anterior norma ISO 19600:2014. 9 ISO/IEC  Direc  Directives tives-Part -Part I-C I-Consoli onsolidate datedd ISO SSupple upplementment-Proce Procedures dures spec specific ific to ISO, Anne Annexx L Ap pendixx II High lev  pendi levelel struc structure, ture, iidenti dentical cal cor coree text, com common mon text an andd core def definiti initions ons”, 10.ª ed., 2019. Esta distinción entre MSS de tipo A y B viene establecida en los apartados L. 2.5 y L 2.6 del anexo L del documento. 10 Sin perjuicio de esta clasificación general, los MSS de tipo A pueden igualmente incorporar líneas directrices que ayuden a la interpretación y a la aplicación de sus  req  requis uisito itoss. Normalmente, tal circunstancia se aprecia en el propio título del estándar, como sucede en la Norma ISO 37001:2017 titulada Sistemas de gestión antisoborno.   Requi  Requisito sitoss con orie orientac ntación ión para su uso.  Los contenidos no normativos suelen introducirse a través de notas aclaratorias a los diferentes apartados o de anexos finales (normalmente identificados como “no normativos”). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

27

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

28

Emplear la HLS brinda uniformidad a los MSS, exigiéndose su empleo en los de tipo A y, cuando sea posible, también en los de tipo B. La HLS puede enriquecerse con contenidos adaptados a cada  siste  sistema ma de ges gestión tión, pero no admite alterar su contenido básico. Cuando es necesario desviarse de la HLS por causas excepcionales, se precisa informar de ello a ISO, razonando los motivos. Desde una perspectiva práctica, cuando los  proc  proceso esoss de normalización internacional adoptan como punto de partida, una norma nacional, la adaptan primero a la HLS y señalan los contenidos inalterables por tal motivo11. Como se ha anticipado, esto es lo que sucedió con el estándar ISO 19600:2014 (sobre Compliance Management Systems, CMS), cuyo primer borrador de trabajo ( Working Draft , WD) surgió de acomodar el contenido del estándar nacional AS 3806:2006 a la HLS. Lo mismo ocurrió después con el estándar ISO 37001:2016 (sobre anti-bribery management systems, ABMS), que partió de adaptar la norma nacional BS 10500:2011 – specification for an anti-bribery management system  (ABMS)– a la HLS. Por ello, estos textos internacionales sobre compliance, así como ahora el estándar 37301:2021, dividen su de contenido en los diez capítulos que determina la HLS ISO y recurren a un núcleo común definiciones y regulación. A pesar de ello, cada estándar dispone del contenido adaptado a su naturaleza y finalidad, lo que hace muy necesario prestar atención a sus definiciones y requisitos singulares. En cualquier caso, el empleo de la HLS permite armonizar e integrar  siste  sistemas mas de  gestión gracias a su estructura y a los contenidos comunes. De hecho, ISO publica una guía que ayuda a realizar estas integraciones 12. Es algo especialmente útil en el ámbito del  compliance, donde un  sistema de gestión general puede, a su vez, integrar  obligaciones ciones otros sistemas de gestión específicos que se proyectan sobre ciertos riesgos u obliga  de compliance en particular. Esto puede suceder con mucha facilidad con el estándar ISO 37301:2021, llamado a aglutinar mecanismos que garanticen el cumplimiento de las principales    que afectan a la organización. Una correcta integración facilita:  obligaciones de compliance

 sistemas as de gestión en el modelo • Aglutinar los elementos comunes comunes de todos todos los sistem del alcance general, evitando así el tratamiento redundante de las cuestiones comunes. De este modo, los elementos organizativos y documentales de  riesgos os u  obliga  obligacione cioness de  de compliance  complia nce quedan reducidos a sus sincada grupo de  riesg gularidades, ayudando a prevenir modelos de  comp  complian liance ce  innecesariamente  voluminosos.  volumi nosos.

11 En

los  Proj  Project ect

Commi Committees ttees  (PC) de ISO se señalaron los contenidos inalterables de los docu-

mentos de trabajo en un color distinto, conocidos como  bluep  blueprints rints..

12  ISO,

 ISO Hand Handbook book–The –The inte integrat grated ed use of Mana Manageme gement nt Sys System tem Stan Standard dardss (IUM (IUMSS) SS) , 2nd  ed.,

2018-11. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.2 La HLS HLS de ISO

 

29

EJEMPLO. Modo de integrar políticas de compliance.

De este modo, la política de compliance compliance general  general o “transversal” recogerá aspectos comunes que no se replicarán entonces en las políticas políticas exigidas  exigidas en los sistemas los sistemas de gestión que gestión que aplican sobre diferentes riesgos de de compliance  compliance,, que se reducen a su esencia por motivos técnicos. Esta mecánica de “traspasos” a la estructura general o “transversal” de compliance compliance aplicará  aplicará igualmente con el resto de requi sitos,, de modo que los sistemas  sitos los sistemas de gestión que gestión que eventualmente operen sobre los distintos grupos de riesgos riesgos u  u obligaciones de compliance queden compliance queden reducidos a su mínimo exponente por motivos técnicos El resto de contenidos queda en la parte general o común para todos ellos. • Obtener una visión conjunta de las cuestiones de  comp  complianc liancee referidas a las principales obligaciones de naturaleza que afectan a la organización y reportarla de forma integrada. Esto brinda una imagen completa que ayuda a priorizar correctamente las acciones y decisiones, mejorando notablemente la calidad en la gestión.

EJEMPLO. Reportes consolidados de compliance  vs. vs. múltiples líneas de reporte.

Los estándares sobre sistemas sobre  sistemas de gestión gestión de  de compliance compliance en  en materias concretas precisan reportar sus actividades al órgano de gobierno y gobierno y a la alta dirección. dirección.  A la larga, esto supone la multi multiplicaci plicación ón de infor informes mes de compliance compliance,, con los inconvenientes que entraña. Un informe consolidado de compliance compliance evita  evita esta dispersión y brinda una visión general con mayor valor añadido en el proceso proceso   de toma de decisiones. • Optimizar las  políticas, los  procedimientos y los controles de  compliance cuando pueden cubrir las necesidades derivadas de oblig  obligacione acioness de compliance  compliance de diferentes ámbitos. Evita redundancias innecesarias de control, inconsistencias y también, lagunas.

 procedim edimient ientos os  innecesariamente redundantes o EJEMPLO. Políticas  y  proc inconsistentes. La ausencia de una visión o coordinación transversal de las actividades desarrolladas para promover el cumplimiento de las diferentes obligaciones de compliance  compliance  favorece la producción de políticas de  políticas,, procedimientos procedimientos y  y controles redundantes, eventualmente inconsistentes, así como posibles lagunas por una deficiente asignación de roles y responsabilidades. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

30

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Los componentes que aparecen reflejados en la HLS de ISO se pueden interpretar y aplicar en clave de ciclo Deming13, que pretende la mejora continua en la gestión mediante cuatro etapas: planificar, hacer, verificar y actuar 14.

13 

William Edwards Deming (Sioux City Iowa, 19001900-W Washington D. C. 1993, EE. UU.). Estadístico y profesor universitario, presentó en la década de 1950 el denominado PDCA ( Plan, Do, Check, Act ) para la mejora continua c ontinua  en todo tipo de situaciones, creado y publicado en 1939 por  W.. A, Shewha  W Shewhart. rt. De ahí que sea referido indistintame indistintamente nte como cciclo iclo Demin Deming g o cicl ciclo o Shewhart. 14 En la primera etapa (planificar) se determinan qué elementos y actividades serán precisos para alcanzar los resultados pretendidos. pretendidos. A continuación, se llevan a la práctica dichas actividades (hacer) para verificar después si se están cumpliendo las expectativas esperadas (verificar). A partir del análisis de la información obtenida se pueden idear las actuaciones necesarias para corregir las desviaciones indeseadas (actuar), (actuar), lo que nuevamente conducirá a una etapa para planificar los elementos y actividades que se precisan para llevarlas a cabo (planificar) (planificar).. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.3

El proceso de normalización del estándar ISO 37301:2021

En el contexto de la reunión 67 del Technical Management Board de ISO, celebrado en Beijing (China) el 10 de septiembre de 2016, se adoptó la decisión de establecer el nuevo comité técnico ( Technical Committee, TC) ISO/TC 309 sobre el gobierno de las  organizaciones15. Acabaría comprendiendo cuatro grupos de trabajo (Working Group, WG), proyectados sobre diferentes materias técnicas: • ISO/TC 309 WG 1 Guía para el gobierno de las organizaciones, orientado a definir el primer “sistema de gobierno” ISO 37000, como fundamento de toda la serie de “sistemas de gestión” bajo su cobertura16. • ISO/TC 309 WG 2 sobre sistemas de gestión antisoborno, antisoborno, como continuación del antiguo ISO/PC 278. • ISO/TC 309 WG 3 sobre sistemas de gestión de canales para para el planteamiento de inquietudes, que se orientaría a producir el estándar ISO 37002 de directrices sobre dicha materia. la secretaría la institución británica BSI ( British Standards S tandards Ins Institution titution), que ya lo había hecho en el antiguo e ISO/PC 278 sobre sistemas de gestión antisoborno. No es así en el anterior ISO/PC 271 sobre sistemas de gestión de  compliance cuyo desempeño de la secretaría recayó en la entidad australiana SA (Standards Australia). 16 Un sistema de gestión difícilmente operará correctamente en organizaciones desestructuradas desde una perspectiva de gobierno. A partir de esta idea, se constató la importancia de que todos los sistemas de gestión en compliance orbitaran alrededor de la familia de normas 37000, encabezada por el primer “sistema de gobierno” go bierno” de ISO. El sistema establece parámetros para el buen gobi gobierno erno de las organizacio organizaciones, nes, bajo cuya correcta interpre interpretación tación y aplicación cabe desarrollar actividades de gestión a través de los correspondie correspondientes ntes “sistemas de gestión”. De ahí emerge la lógica del estándar de gobierno ISO 37000 y de los estándares de gestión bajo su órbita: ISO 37001, ISO 37002 e ISO 37301. 15 Desempeñando

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

31

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

32

• ISO/TC 309 WG 4 sobre sistemas de gestión de compliance, como seguimiento seguimiento del antiguo ISO/PC 271, cuya aprobación se comunicó por la secretaría del ISO/TC 309 el 20 de septiembre de 201817  y que produciría el estándar ISO 37301:2021. El  proceso  de revisión y transformación de la norma ISO 19600:2014 en el nuevo estándar ISO 37301:2021 atravesó por seis reuniones plenarias18, de las cuales la última tuvo que celebrarse telemáticamente debido a las restricciones de movilidad derivadas del covid-19.

 proceso eso de maduración, no solo se revisaron los contenidos del anterior  A lo largo largo de este este proc estándar ISO 19600:2014 a la luz de las buenas prácticas surgidas desde su publicación19, sino que también se reestructuraron sus contenidos para hacerlos hacerlos adecuados para un MSS de tipo A (certificable). Esto significó trasladar una buena parte de su contenido inicial al nuevo anexo A (informativo) Guía para el uso de este documento, dejando en el cuerpo de la norma los requisit  requisitos os esenciales. Recordemos Recordemos que el estándar ISO 19600:2014, 196 00:2014, un  MSS de tipo B (no certifi certificabl cable) e) no disponía disponía de un anexo anexo semejan semejante te y todo su contenid contenido o (de recomendaciones) se encuentra recogido en su articulado. Como estándar certificable bajo la órbita de la familia de normas 37000, se le otorgó la numeración 3730120 y finalmente ha sido publicado el 13 de abril de 2021. Debido al interés que despertó esta norma en países de habla hispana, el 23 de no viembree de 2020 se  viembr se constituyó constituyó el ISO/TC ISO/TC 309/STTF (Spanish Translation Task Force), presidido por la Asociación Española de Normalización, UNE, y cuya secretaría ostenta el Servicio Ecuatoriano de Normalización (INEN). Gracias a esta iniciativa, se dispone de una versión oficial ISO en español, que será adoptada como norma UNE-ISO 37301:2021, con contenido idéntico.

17  Se

designó coordinador de dicho grupo a Martin Tolar, que fue el presidente del antiguo ISO/  PC 271 que proyectó su actividad en la elaboración del estándar ISO 19600:2014, precursor del ISO 37301:2021. Es interesante señalar que para la coordinación adicional se designó al Dr. Yiyo  Wang  W ang de China, lo que d demuestra emuestra el inte interés rés en dicho país por el estándar estándar. 18 La primera tuvo en lugar en Londres, Reino Unido, del 9 al 11 de noviembre de 2016; la segunda en Quebec, Canadá, del 22 al 26 de mayo de 2017; la tercera en Shenzhen, China, del 12 al 17 de noviembre de 2017, la cuarta en Sydney, Australia, del 2 al 9 de noviembre de 2018 y la quinta en Nueva Delhi, India, del 3 al 9 de noviembre de 2019. La sexta y última tenía que celebrarse en Viena, Austria, en junio de 2020, pero se suspendió por motivo de las restricciones a la movilidad derivadas del covid-19. 19 Algunas de ellas reflejadas en el estándar ISO 37001:2016, que igualmente se recogen ahora en el estándar ISO 37301:2021. 20 En línea con las prácticas de ISO, debería procurarse que los MSS de tipo A (certificables) terminasen en 01. Al ya existir el estándar 37001:2016 (sobre sistema de gestión antisoborno), se escogió el número 37301. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.4

El estándar  ISO 37301:2021 como  sistema de gestión

 Al hablar de modelos de  compliance es común referirse a "programas" como si sólo existiese esta forma de concebirlos. Sin embargo, los estándares ISO determinan sistemas de gestión, cuyos componentes y sus interacciones redundan en una mayor eficacia de los modelos respecto de "programas" clásicos.

I.4.1. De los programas de compliance a los  sistemas de gestión El transcurso de la última década muestra la evolución de los modelos de d e compliance: primero, en forma de programas y recientemente, articulados como  siste  si stemas mas de  gestión  gesti ón. Así, el primer estándar general sobre  complia  compliance nce, la norma australiana AS  complianc iancee; más tarde, la recomenda3806:2006, versaba sobre “programas” de  compl ción de la OCDE para fortalecer la lucha contra el cohecho 21 también empleó el concepto de “programas”; como, del mismo modo, vienen haciendo las administraciones norteamericanas: tanto en las líneas directrices publicadas anualmente por

El texto de la recomendación de la OCDE para fortalecer la lucha contra el cohecho se localiza en la página web www web www.oecd.org .oecd.org.. El anexo II a dicha recomendación de 2009 hace referencia a los “programass de ética y cumplimiento”. “programa 21

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

33

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

34

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

la US Sentencing Commission22, como en los documentos producidos por el US Department of Justice (DoJ)23. Un programa de compliance aglutina una serie de componentes considerados considerados idóneos para alcanzar determinada finalidad. Un “sistema de gestión”, además de fijar estos elementos clave, pone énfasis en la interrelación que debe existir entre ellos y en la lógica que inviste al conjunto. En bastantes ocasiones, el sentido de estas relaciones radica principalmente en un enfoque basado en el  riesgo (véase el apartado I.6.2.2  I.6.2.2   Enfoque basado en el riesgo, de este libro), que condiciona la orientación de diferentes componentes: aunque las acciones formativas están ampliamente referenciadas en los  compliancee, cualquier actividad de formación no es objetivamente idónea, textos sobre complianc debiendo cubrir las materias que exponen a la organización e impartirse a las personas que desempeñan un rol relevante en los procesos expuestos a riesgo. Este tipo de consideraciones, que se entenderían como recomendables en el contexto de un programa de compliance, se multiplican y son indispensables ind ispensables para un sistema de gestión. Tanto el diseño como la evaluación de un modelo de  compliance en clave sistémica precisan atender a estas interacciones y, y, por eso, no pueden realizarse atendiendo solamente a la concurrencia de elementos aisladamente considerados.

I.4.2. La normalizació normalización n in internaciona ternacionall en materia de compliance tiende a los sistemas de gestión La actividad de normalización es un fenómeno que da respuesta a la inquietud social por homogeneizar el tratamiento de determinadas materias técnicas. Con esta finalidad, final idad, los Estados pueden atribuir capacidades de producción normativa a entidades de sus respectivos respect ivos territorios: es el caso de la Asociación Española de Normalización, UNE, como también lo es el de la Association Française de Normalisation (AFNOR) en Francia, Fra ncia, el del Deutsches Institut für Normung en Alemania, el del Ente Nazionale

por ejemplo, US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of Organizations, noviembre de 2018. El apartado 2 de dicho capítulo hace referencia a los “ effective  compliance and ethics programs”. 23 El texto de la Resource Guide Guide to the US For Foreign eign Corr Corrupt upt Practices Act  publicado  publicado conjuntamente por el US Department of Justice (DoJ) y la Securities and Exchange Commission (SEC) en el año 2012, se refiere a los “ corporate compliance complia nce programs”. También se refiere a estos, el documento titulado  Evaluation of Corpo Corporate rate Com Compliance pliance Prog Programs, rams, G Guidance uidance D Document  ocument , emitido por su Criminal Division  (actualización del mes de junio de 2020, que estuvo precedido de versiones previas publicadas en 2019 y 2017). Estos documentos se localizan en la página web www.justice.gov. web www.justice.gov. 22 Así,

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.4 El estándar ISO 37301:2021 37301:2021 como como sistema

de gestión

 

35

Italiano di Unificazione UNI en Italia, el del American National Standards Institute  ANSI en los Estados Unidos y un largo etcétera. Las entidades de normalización normalizaci ón se agrupan en la International Organization for Standardization (ISO), que es una organización no gubernamental independiente de la que forman parte actualmente 164 miembros24. Cuando en el año 2013 ISO decidió estandarizar sobre  compliance, adoptó como documento de partida la norma australiana AS 3806:2006 Compliance Programs, (sobre “programas” de  compliance), pero adaptó sus contenidos a la denominada “estructura de alto nivel” ( High Level Structure, HLS) que ISO emplea en sus sistemas de gestión. Sobre esta base, se refinó el documento hasta publicar la norma ISO 19600:2014 Compliance management systems-Guidelines, primer estándar internacional sobre sistemas de gestión de compliance. El caso de la norma ISO 37001:2016 sobre  sistemas de gestión antisoborno fue distinto, dado que adoptó como partida el moderno estándar británico BS 10500:2011, que también articulaba un  sistema de de  gestión, aunque este no estaba basado en la HLS. Desde entonces, otros estándares ISO siguen adoptando la forma de  sistemas de gestión, como la norma ISO 37002 sobre sistemas de gestión de canales para el planteamiento de inquietudes (MSS de tipo B, no certificable) o el estándar ISO 37301:2021 que ahora nos ocupa (MSS de tipo A, certificable).

I.4.3. El estándar ISO 37301:2021 El estándar ISO 37301:2021 articula un sistema de gestión y así lo subraya en múltiples ocasiones: • De manera general, cuando, cuando, por ejemplo, ejemplo, el apartado 4.4 Sistema de gestión del  compliance no solo insta a la organización a impulsarlo, sino que llama a atender las interacciones precisas. Insta, como condicionante de partida, a considerar en su diseño lo indicado en el apartado 4.1 Comprensión de la organización y  de su contexto, no solamente para fundamentar un  sistema de gestión ge stión basado en interacciones, sino para que, además, se adecúe a las circunstancias de la orga nización. Puesto que es clave entender bien tales circunstancias para establecer un  sistema de gestión y sus componentes, el citado contenido del apartado 4.1 Comprensión de la organización y  y de su contexto aparece referenciado en diversos apartados del estándar (los apartados 4.3  Determinación del alcance del sistema

24 Actualmente

existen 194 países soberanos reconocidos por la ONU. Por consiguiente, acogiendo a 164 países, ISO es una plataforma internacional ampliamente reconocida. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

36

 de gestión del compliance, 4.4 Sistema de gestión del compliance y 6.1 Acciones para  abordar los riesgos y oportunidades de la norma). • De forma específica, específica, cuando en algún algún  requisito se indica tener en cuenta otro. riesgos sgos de  compliance  compliance, que se Esto sucede con el apartado 4.6  Evaluación de los rie cita explícitamente en otros lugares de la norma (los apartados 5.3.2  Función  Función  de compliance, 6.1 Acciones para abordar los riesgos y oportunidades y 9.1.2 Fuentes  Fuentes  de opinión sobre el ddesempeño esempeño del complianc compliancee), como también sucede con otros muchos apartados del estándar25. • Finalmente, también cabe considerar multitud de referencias implícitas que, sin referirse explícitamente a otros apartados, emplean su vocabulario o citan sus materias; por citar un ejemplo, cuando en el apartado 7.2.3  Formación se apunta que debe ser adecuada a los roles del personal person al y los riesgos de compliance  a los que están expuestos, esto lleva a tener en consideración, como mínimo, la identificación de roles de riesgo de  compliance del personal que se establece en el apartado 7.2.2 Proceso de empleo, así como el resultado de aplicar el apartado 4.6 Evalu    Evaluación ación de los riesgos de compl  compliance iance, aunque ninguno de estos dos apartados estén expresamente citados. El contenido del estándar y la interacción de sus componentes puede interpretarse en clave de ciclo Deming, que, como se explicó anteriormente en el capítulo I.2 La  La    HLS de ISO, de este libro, al tratar la HLS, pretende la  mejora continua a través de cuatro etapas: planificar, hacer, verificar y actuar. De hecho, la Introducción de la norma ISO 37301:2021 incorpora un novedoso esquema en este sentido, distinto del que plasmó la norma ISO 19600:2014. Encontramos reflejados los componentes que se asocian con cada una estas etapas, ilustrando el modo en que opera el  sistema  de gestión como algo “vivo”.

25 A

los lectores no acostumbrados a los sistemas de gestión, las continuas referencias cruzadas (que interrelacionan componentes) dan una sensación inicial de falta de sistematicidad en la redacción de los estándares. Cuando se comprende la operativa sistémica de sus componentes, se entiende también la necesidad de establecer estas correlaciones. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.5

Singularidades del estándar  ISO 37301:2021

 No cabe duda que el mejor modo de procurar procura r el e l cumplimiento cumpli miento de las normas es que sus destinatarios quieran también hacerlo. A tales efectos, generar o mantener una adecuada cultura era un reto ya presente en la norma ISO IS O 19600:2014 y que el estándar ISO 37301:2021 potencia.

I.5.1. El estándar ISO 37301:2021 y la cultura de compliance Existen dos grandes aproximaciones al compliance: • La que lo considera como una adaptación de las metodologías de control interno. • La que lo interpreta como una palanca de mejora de la inte integridad gridad de las personas y de las organizaciones. Simplificando a efectos didácticos, podríamos decir que el primer enfoque parte de considerar que las personas, dejadas a su libre albedrío, tienden a satisfacer sus intereses con independencia de las normas 26; se debe, entonces, poner el foco en

26 Desde

una perspectiva clásica, podría decirse que este enfoque obedece a lo que ya señaló el biólogo Thomas H. Huxley en el siglo XIX, “ la doctrina doctri na de la dep depravación ravación innata del hombre y la

 perdición de la mayor parte del género humano…, me parece muchísimo más ccerca erca de la verdad que las  ilusiones ‘liberales’ populares de que todos los niños nacen buenos ”. Al hilo de esta visión, una sociedad ética es la que asegura que todos estemos bajo observación, siendo la moralidad un dique artificial que ayuda a contener nuestra perniciosa naturaleza innata. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

37

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

38

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

controlarlas. El segundo entiende que las personas procuran, de forma natural, desarrollar conductas éticas e incluso, altruistas27 , que interesa cultivar, cultivar, ejemplarizar y promover mediante actividades concretas, poniendo, por consiguiente, el foco sobre las acciones que favorezcan esta faceta. Cuantas más personas íntegras concurran en las organizaciones, menor necesidad habrá de controlarlas.  Aunque la mayoría de normas modernas sobre  complia  compliance nce siguen aproximaciones híbridas que conjugan elementos de ambos entendimientos, es cierto que tienden a acercarse más a alguno de ellos. En el caso del estándar ISO 19600:2014 y ahora ISO 37301:2021, es patente su apuesta por el enfoque de integridad, enfatizando los aspectos culturales. La Introducción del estándar ISO 37301:2021 subraya que el  compliance no solo consiste en cumplir con las normas, sino hacerlo de manera que forme parte de la cultura de la  organización . Obviamente, una cultura organizativa positiva no se consigue mediante la imposición y el control sino: • Atrayendo y manteniendo personas alineadas con la misma. • Cultivando su integridad. • Reaccionando frente a quienes la ponen en riesgo. Dentro de esta dinámica, los controles ayudan a identificar tanto situaciones de riesgo como las personas que las protagonizan, pero no generan una cultura cu ltura organizativa por sí solos.

 comEl estándar ISO 37301:2021 otorga una importancia capital a la  cultura de  com28  pliance , hasta el punto de ser el primer sistema de gestión que incorpora la definición de “ conducta ”, como comportamientos o prácticas que traslucen los valores de las

27  Desde

una perspectiva clásica, este enfoque enlazaría con los pensamientos que el economista

 Adam Smith divulgó en el siglo XVIII a tr través avés de su obra La teoría (1759). ría ddee lo los s sent sentimientos imientos morales Ya en el siglo XX, el filósofo John Rawls señaló que “los sentimientos sentiteo mientos morales sostienen la adhesi adhesión ón a las normas”, subrayando la importancia de las “personas buenas” equiparándolas equiparándolas a “personas de  valor moral” (Teoría de la Justici Justiciaa, sección 66 “La definición del bien aplicada a las personas”, 1971, edición del Fondo de Cultura Económica, 12.ª ed., 2018). 28 El apartado 4.1 Comprensión de la organización y de su contexto , dentro del capítulo 4 Contexto de  la organización organización, señala la importancia de considerar la actual cultura de compliance de la organización; respecto al capítulo 5 Liderazgo, el apartado 5.1.1 Órgano de gobierno y alta dirección apunta que se deben establecer y actualizar los valores de la organización, el apartado 5.1.2 Cultura de compliance  compliance, desarrolla este concepto. Son referencias explícitas a esta materia, junto con otras muchas implícitas que figuran en otros capítulos y apartados del estándar, que se refieren a las obligaciones de compliance  compliance  (que, englobando las asumidas voluntariamente, suelen recoger los valores de la organización), o la evaluación de riesgos de compliance  compliance (que incluye aquellos derivados de las obligaciones de compliance, incluidas las voluntarias). En particular, el capítulo 7  Apoyo hace referencia a actividades estrechamente relacionadas con el establecimiento o mantenimiento de una cultura de  compliance, como son las actividades de formación (en el apartado 7.2.3 Form  Formación ación) y concienciación (en el apartado diferenciado 7.3 Toma de conciencia). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.5 Singularidades del estándar ISO 37301:2021  

39

 organizaciones29 (véase la figura 1). 1). De hecho, el órgano de gobierno y la alta dirección  deben establecer y mantener actualizados estos valores30 en un ejercicio de liderazgo que es clave para la consolidación cultural31, como subraya desde el primer momento la Introducción del estándar.  V  Valores alores

r

Cultura

r

Conductas

Figura 1. El establecimiento y difusión de un conjunto de valores ayuda a generar una cultura corporativa común sobre los mismos, de la que deben derivarse conductas alineadas con ellos.  A los efectos efectos de lo que se está explicando, explicando, nótese que el apartado apartado 4.1 Comprensión de  la organización y de su contexto del estándar ISO 37301:2021 incorpora también una novedad relevante respecto a la norma precedente ISO 19600:2014: la  cultura de  de la  acorde propia  organización de los a valorar para prever un    compliance  sistema de gestión con ella. De es esteuno modo, lasaspectos necesidades de cada  organización dependerán, entre otros factores, de su estado cultural de partida 32. Otro matiz cultural importante lo hallamos en el apartado 5.3.4 Personal  Personal, cuando exige de esta categoría tan amplia que no solo se adhiera a las obligaciones de compliance  compliance de la  organización (como ya decía el estándar ISO 19600:2014), 19600:2 014), sino también a sus políti cas, procesos y  procedimientos  procedimientos33. No es una novedad intrascendente, pues este conjunto

importantes a la hora de consolidar la cultura de co compliance mpliance que se barajó seriamente la posibilidad de que el estándar ISO 37301:2021 se refiriera a “sistemas de

29 Los aspectos conductuales son tan

gestión conducta” la nomenclatura “ sistema Conduct Management Systems  de gestiónde de  dela complian  compliance ce” ((Compliance Management System),)abandonando pero manteniendo su acrónimo:deCMS. La idea se desestimó finalmente, más por la confusión que podía ocasionar ante una idea consolidada en el mercado ( sistema de gestión de compliance), que por la falta de sentido lógico. 30 Es una de las actividades activ idades que deben desarrollar ( requisito), según indica el apartado 5.1.1. Órgano  de gobierno y alta dirección, dentro del capítulo 5  Liderazgo del estándar ISO 37301:2021. Véase también el 2.5.1.1 Órgano de gobierno y alta dirección  que incorpora la norma. 31 El apartado 5.1.2 Cultura de  compliance  compliance del estándar ISO 37301:2021, indica que el órgano de  gobierno debe demostrar activamente una conducta alineada con el conjunto de valores que se exige la organización.

Organizaciones más evolucionadas desde una perspectiva cultural c ultural pueden precisar menores esfuerzos

32 

que las que dispongan de margen de mejora. Estas últimas tienen más por construir. una perspectiva técnica, esto supone que el  personal no solo se compromete a evitar  no   ) sino también, no conformidades  cumplimientos de complian compliance ce (referidos a las obligaciones de compliance conformidades  (respecto a procesos y procedimientos). Sobre este particular, véanse también los comentarios expandidos en el apartado I.5.2 Las dos fuentes de obligaciones de complianc e complianc e, de este libro. 33 Desde

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

40

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

de elementos traslada los valores de la organización34 y, por tanto, los parámetros de  conducta concretos que se esperan y los que no se toleran35. Sin perjuicio de todo lo anterior, anterior, el estándar ISO 37301:2021 no descuida la faceta del control, que se localiza principalmente en su capítulo 8 Operación.

I.5.2. Las dos fuentes de obligaciones de  compliance Siguiendo la línea de su norma antecesora AS 3006:2006 36 , el estándar ISO 19600:2014 contemplaba expresamente dos tipos de  obli  obligac gacion iones es de  complia  com pliance nce : aquellas que las  organ  organizaci izaciones ones debían cumplir (“ requi  requirement rementss”), y las que elegían  voluntariamen  volun tariamente te cumplir (“ commit  committments tments”), incluyendo ambos vocablos en su capítulo 3conceptos, otorgaba el mismo valor a Términos ypues definiciones. dichos ambos  Esto eran  oblig  obligacion aciones esautomáticamente de  compliance  compli ance  cuyo cumplimiento debían procurar las  organi  organizacio zaciones nes. Desde esta perspectiva, la funció  funciónn de  compliance  compli ance  supervisa la aplicación de ambas categorías, sin motivos para considerar que los compromisos libremente libremente asumidos tienen un rango inferior a las obligaciones o bligaciones que

34 Muchos

de los compromisos asumidos voluntariamente se establecen en elementos normativos internos, como códigos éticos o de conducta o en las  políti  políticas cas que desarrollan sus contenidos. textos sobre complia  compliance nce, especialmente en el ámbito de la prevención penal o del soborno, hacen especial hincapié en la necesidad de fijar parámetros de conducta, normalmente mediante  políticas  polític as, que luego se concretarán en procedi  procedimientos mientos . La Guía de Buenas Prácticas para los Controles  Internos,, la De  Internos Deontologí ontologíaa y la Conformi Conformidad dad de la OCDE en materia de prevención del soborno (es el anexo II de la Recomendación OCDE para fortalecer la lucha contra el cohecho, adoptada el 26 de noviembre de 2009), se refiere explícitamente la necesidad nec esidad de fijar estándares de conducta, como elemento clave para pa ra luchar contra esta lac lacra. ra. T También ambién siguen una aproximac aproximación ión análoga las US Sentencing Commission Guidelines que se vienen publicando anualmente, la Resourc  Resourcee Guide to the US Foreign Corrupt Practices Act  del  del año 2012 (referencias al Código de Conducta y  políti  políticas cas de compliance que se citan en el apartado Corporate Compliance Program en la p. 57), o la Guidance para la aplicación de la Bribery Act  británica  británica de publicada en el año 2011 (dentro de su principio número 6), por citar algunos ejemplos. Obviamente, tanto la promoción como la represión de determinadas conductas en las  organiz  organizacion aciones es precisa fijarlas y difundirlas previamente a través de  polític  políticas as internas. 35 Los

36 Ya

el estándar AS 3806, precursor de la Norma ISO 19600:2014, dedicó su apartado 3.5.1  Identification  Identificati on of compliance obligations  a listar, a título enunciativo, una serie de obligaciones, potencialmente subsumibles en un programa de  compliance , incluyendo las obligaciones impuestas (por la Ley, por ejemplo) y otras asumidas voluntariamente (los principios voluntarios o códigos de prácticas, por ejemplo). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.5 Singularidades del estándar ISO 37301:2021  

41

 vienen impuestas impuesta s por po r la normativa normativ a o los poderes públicos públi cos37 . En cualquier caso, la  funciónn de   compliance  funció  complia nce no fija unas ni otras, sino que se limita a procurar su aplicación, sin distinciones38. Esta es la misma aproximación que sigue el estándar ISO 37301:2021, pero a través de una redacción simplificada: en lugar de definir por separado las dos fuentes de  obligaciones  obligaci ones de  compliance  complianc e, integra los conceptos en la propia definición 3.25 Obli gaciones  gacio nes de complia compliance nce. Por lo demás, el apartado A.4.5 Obligaciones de compliance  del anexo A (informativo) Guía para el uso de este documento, incluye ejemplos que se corresponden con ambas categorías conceptuales. Por todo ello, lo indicado en el apartado 4.5 Obligaciones de compliance debe interpretarse en este sentido (véase la figura 2). 2). u

Las que se deben cumplir 

u

Las que se eligen voluntariamente cumplir 

Obligaciones de compliance

 

Figura 2. Las obligaciones de compliance no solo provienen de la Ley o las autoridades, sino que también son los compromisos que se impone la organización voluntariamente.

Finalmente, es interesante señalar que el apartado 5.3.4  Personal exige que este se adhiera no solo a las  obligaciones de ccompliance ompliance (como ya apuntaba el estándar ISO 19600:2014), sino también a las políticas, procesos y procedimientos de la organización, que son emplazamientos típicos de algunos compromisos que trascienden de lo ya estipulado en las normas imperativas.

estándar ISO 19600:2014 introduce así la acepción moderna del  compli  compliance ance, que deja de circunscribirse circunscribir se a: 37  El

(i) La regula regulación ción específica de determin determinado ado mer mercado cado o sector de actividad. (ii) Las normas que vienen impu impuestas estas por la Ley o los poderes públicos. públicos. la función de  compliance  compliance, ambas son obligaciones que le vienen dadas: unas por parte de los poderes públicos y las otras, por voluntad de la  organización. 38 Para

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

42

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

I.5.3. Las no conformidades y los no cumplimientos de compliance  Tanto  Tanto la HLS (véanse (véan se los comentarios comen tarios en el capítulo capítu lo I.2  La HLS de ISO, de este libro) como los estándares tradicionales ISO en materia de  compliance adoptan los conformid ad”, entendidos como el cumplimiento conceptos de “ conformidad” y “ no conformidad o no cumplimiento de un  requisito, respectivamente. Sin embargo, el estándar ISO 19600:2014, acogiendo también estas definiciones sin variar su contenido, introdujo las adicionales de “ cumplimiento” y “ no cumplimiento de compliance”, vinculadas con observar o no las  obligaciones de  compliance  compliance. El estándar ISO 37301:2021 hace lo propio, desmarcándose de la línea clásica que siguió, por ejemplo, la norma ISO 37001:2016. Esta distinción entre conformidades/cumplimientos y no conformidades/no  cumplimientos de complia compliance nce desconcierta a quienes están habituados a la estructura de la HLS y a los sistemas de gestión que no se apartan de ella. • Del concepto de  requis  requisito ito, como “necesidad o expectativa establecida, generalmente implícita u obligatoria”, surgen las  conformidades y  no conformidades.  T  Toda oda esta terminología es propia de la HLS y también la incorpora el estándar ISO 37301:2021. • Sin embargo, embargo, el estándar estándar ISO 19600:2014 introdujo introdujo el concepto de obligac  obligación ión de   compliance  complian ce, que no consta en la HLS y que integra in tegra los “requisitos de complian  compliance ce”  compliance iance”, como términos igualmente definidos. Como y los “compromisos de compl he explicado en el apartado anterior, anterior, el estándar ISO 37301:2021 sigue de facto  esta misma línea. De esta combinación se aprecia que una conformi  conformidad dad no equivale al cumplimient  cumplimientoo de una obliga  obligación ción de compl compliance iance , ni una no conformidad a su no cumplimiento cumplimi ento. Aunque la interpretación de estos conceptos debe realizarse considerando las circunstancias de cada caso, se entiende que las conf  conformid ormidades ades  y no conformida confo rmidades des guardan relación con los  requ  requisi isitos tos fijados por el sis  sistema tema ddee ges gestión tión, mientras que los cumpli  cumplimien mientos tos y  no cumpl cumplimie imientos ntos lo hacen con las normas sustantivas a las que aquel se debe (las  obligac  obli gacione ioness de  complian  comp liance ce)39. Por tanto, estas últimas definiciones vacían parcialmente el contenido de las primeras. No asistir a una sesión de formación requerida  sistema ema de gest gestión ión es normalmente una  no conf conformi ormidad dad, pero no un  no cumpor el  sist  plimiento  plimi ento de comp complianc liancee cuando tal conducta no vulnera una norma obligatoria o

39

 obligaciones  obligacion es de compliance

algunas ( políticas internas,   por ejemplo).  pueden Por estareso, plasmadas en documentos integrados en Ciertamente, el  sistema de gestión la interpretación para clarificar si se trata de una  no conformidad o un  no cumplimiento de compliance  debe realizarse atendiendo a las circunstanciass de cada caso y diferen circunstancia diferenciando ciando entre las cuestiones procedimentales y las sustantivas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.5 Singularidades del estándar ISO 37301:2021  

43

 organizac nización ión . Esto explica, por ejemplo, por qué un compromiso asumido por la  orga no es necesario realizar investigaciones en casos de  no conformi conf ormidade dadess, mientras que sí procede ante sospechas de  no cumplim c umplimient ientos os, según distingue implícitamente el apartado 8.4 Procesos de investigación. En líneas generales, aglutinar conceptualmente solo concepto abocaría a  no conf conformi ormidade dades s y  no cumpli cumplimien tos de compl complianc iancee en un sobreactuar en algunos casosmientos (investigar o informar al  órg  órgano ano de gobi gobierno erno  o a las autoridades que una persona no ha asistido a la formación interna, por ejemplo) y no actuar correctamente en otros. El capítulo 10  Mejo  Mejora ra nos habla de la necesidad de reaccionar tanto ante  no confor co nformida midades des como frente a  no cumplim cu mplimient ientos os de  complianc  comp liancee, pero la distinción conceptual entre ambos términos ayuda a modular la respuesta de manera correcta. La distinción es también útil desde una perspectiva de gestión, pues un  no cumpli miento de complian compliance ce que no venga precedido de una no conformid conformidad ad, puede delatar una  vulnerabilidad del  sistema de gestión: se produce el  no cumplimiento de una  obligación  de complia compliance nce sin haber infringido algún requisito del  siste  sistema ma de gesti gestión ón fijado para prevenir esa situación. En cualquier caso, el apartado 5.3.4 Personal, que engloba a una categoría amplia de  compliance, sino sujetos40, obliga a que se adhieran no solamente a las  obligaciones de  compliance también a las  políticas ,  procesos  y  procedimie  procedimientos ntos de la  organizaci  organización ón –que es donde se recogen los requisitos del sistema de gestión–. Es un modo de subrayar el compromiso  compliance (respecto a las  obligadel  personal en evitar tanto los  no cumplimientos de   compliance  ciones de compliance) como las no conformidades (respecto a los requisitos fijados por el  sistema de gestión).

que el estándar ISO 37301:2021 emplea el término “ personal” en lugar de “empleados” (utilizado en ISO 19600:2014), evitando vincularlo a la naturaleza jurídica de su relación con la  organización. Esto permite englobar a un conjunto muy amplio de sujetos, convirtiéndose en una categoría residual que abarca individualmente a los componentes del órgano de gobierno, la   alta dirección dirección, la función de compl compliance iance, etc. Véanse los comentarios al respecto en el apartado II.3.22 II.3.22    Personal, de este libro. 40 Recordemos

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022 8 4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

El estándar ISO 37301:2021, en su conjunto, debe interpretarse a la luz de ciertos principios. Algunos Algu nos vienen expresamente reconocid reconocidos os en su texto, mientras que otros se infieren por su propio contenido. Seguidamente se comentan unos y otros, excluyendo del análisis aquellos adicionales que puntualmente se citan, pero solo están referidos a apartados concretos41.

I.6.1. Principios explícitos El capítulo 1 Objeto y campo de aplicación del estándar ISO 19600:2014 relacionaba expresamente los principios en los que se fundamentaba esta norma internacional: buen gobierno, proporcionalidad, transparencia transparencia y sostenibilidad. En el estándar ISO 37301:2021 pasan a localizarse en el apartado A.4.6 Evaluación de los riesgos del com pliance del anexo A (informativo) Guía para el uso de este documento, que añade a los anteriores los principios de integridad y responsabilidad.

ejemplo, los expresamente reconocidos en el apartado A.7.4 Comunicación , en referencia a los principios que deben regir las comunicaciones de la organización en materia de compliance. 41 Por

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022 8 4.

45

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

46

I.6.1.1. Principio de buen gobierno  Al igual que en el estándar ISO 19600:2014, 19600: 2014, la norma ISO 37301:2021 37301: 2021 cita expresamente el principio de buen gobierno, aunque con un sentido más afinado 42.  No debemos olvidar que su elaboración se enmarca en el ISO/TC 309 cuyo WG 1 desarrolla el primer sistema de gobierno: el estándar ISO 37000  sobre gobierno de las  organizaciones43. Allí se vincula este concepto con aspectos generales como la ética y también otros concretos como la toma de decisiones, estructuras y procesos. Todo Todo ello para generar valor en el largo plazo, coherente coherente con las expectativas de las par  partes tes int interes eresada adass  de las organizaciones. Para todo ello, un liderazgo basado en valores es fundamental.  No cabe cabe duda de que el estándar estándar ISO 37301:2021 aborda estas materias, materias, tanto desde el punto de vista de los valores de la  organi  organización zación , a los que se refiere el apartado 5.1.1 Órgano de gobierno y alta dirección; como de las conductas en que derivan, según apunta el apartado 5.1.2 Cultura de compliance. Por Por lo demás, todos los lo s apartados del estándar nos hablan de estructuras organiz organizativas, ativas, procesos, procedimientos y actividades  compliance. En cualquier caso, los contenidos del espara hacer realidad la cultura de compliance tándar ISO 37301:2021, como el resto de sistemas de gestión ISO sobre compliance, deberán interpretarse de manera coherente con el citado estándar ISO 37000 sobre buen gobierno de las  organizaciones.

I.6.1.2. Principio de proporcionalidad La norma previa ISO 19600:2014 citaba expresamente el principio de proporcionalidad, como también lo hace el estándar ISO 37301:2021. Lo L o encontramos reflejado en su  Introducción, cuando manifiesta que la implementación tanto de los  requisitos  como de la Guía que acompaña al texto pueden variar dependiendo de la madurez 42  El

estándar ISO 19600:2014 mezclaba aspectos generales de buen gobierno con algunas cuestiones puntuales. Así, el apartado 4.4 Sistema de gestión de compliance y principios de buen  gobierno , realmente recogía algunas recomendaciones concretas de gobernanza para un adecuado mando y operación del sistema (acceso directo al órgano de gobierno, independencia, autoridad y recursos). En el estándar ISO 37301:2021 pasan a estar en el apartado 5.1.3 Gobernanza del  complianc  compl iancee, con un título mucho más acorde a su naturaleza. 43 Aunque existen numerosos textos tanto nacionales como internacionales que aportan buenas prácticas sobre buen gobierno corporativo: (i) Son textos emitidos por plataformas que aglutinan un número limitado de países y plasman determinado entendimiento cultural –normalmente occidental–. (ii) Tienen un sesgo mer mercantil cantil o empresaria empresariall –de ahí la designación de buen gobierno “corporativo”–. (iii) Suelen concebirse pensando en las grandes corporaciones o entidades cotizadas ocasiones provienen o involucran a órganos regulares o supervisores–. La novedad y la–en importancia del estándar ISO 37301:2021 sobre gobierno de las organizaciones está en que supera todos estos límites.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022 8 4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

 

47

de las organizaciones, sus actividades y objetivos. En este mismo sentido, el capítulo 1 Objeto y campo de aplicación subraya que el estándar es aplicable a todo tipo de  orga nizaciones, con independencia de su tamaño, tipo de actividad y tanto si operan en el sector privado, como público o son entidades sin ánimo de lucro. Con independencia de estas referencias generales, que influyen en la aplicación práctica de los  requisitos  del estándar, estándar, algunos apartados hacen especial hincapié en el principio de proporcionalidad. Es el caso del apartado 7.5 Información documentada, donde una nota aclara que el grado de la  información documentada puede variar según las circunstancias de las organizaciones. Aunque el anexo A (informativo) Guía para el uso de este documento tampoco tiene naturaleza normativa, se refiere igualmente al principio de proporcionalidad cuando plantea sugerencias re respecto specto a algunos apartados. El principio de proporcionalidad figura reflejado en numerosos textos sobre compliance44. De hecho, existe una estrecha vinculación de este principio con el análisis de las circunstancias de la  organiza  organización ción, establecido en el capítulo 4 Contexto de la organización del estándar ISO 37301:2021, indispensable para definir y mantener el  sistema de de gestión  adecuado a cada caso. Este principio aboga por la interpretación proporcional de todos los requ  requisit isitos os del estándar, estándar, que no equivale a implantar solo algunos al gunos de ellos a conveniencia. Se quiere evitar el llamado “ cherry-p  cherry-picking icking”45 de requisi  requisitos tos, esto es, la posibilidad de obviar algunos de ellos amparándose en el principio de proporcionalidad. Por consiguiente, se precisa implementarlos todos, como se infiere del capítulo 1 Objeto y campo

por ejemplo, la  Int  Introd roducc ucción ión al ane anexo xo II de la Rec Recome omenda ndacición ón del Con Consej sejoo de la OCDE para reforzar la lucha contra la corrupción señala que “la presente Guía es flexible y puede ser adoptada por las empresas, en particular por las pequeñas y medianas empresas (...), en funci  función ón  de sus circunstancias propias, incluido su tamaño, su forma, su estructura jurídica y el sector de explotación geográfica e industrial en el que operan, así como de los principios en materia de competencia y otros principios jurídicos fundamentales que rigen sus actividades”. Por citar ejemplos locales ampliamente conocidos, en la misma línea se manifiestan las U.S. Sentencing Commission Guidelines, señalando que los  req  requis uisito itoss para disponer de un “ Eff  Effect ective ive Compliance and Ethics Program” tendrán en cuenta una serie de factores, incluyendo el tamaño de la  organi  organizaci zación ón. La Guidance para la aplicación de la Foreign Corrupt Practices Act publicada en 2012 por el Departamento de Justicia de los Estados Unidos y el regulador norteamericano reiteran el mensaje de que no existe un Corporate Compliance Program para prevenir las prácticas corruptas que sirva para todas las organizaci  organizaciones ones, dependiendo de su tamaño, entre otros factores. El Ministerio de Justicia británico es más explícito, pues en su Guidance  para la aplicación de la  Bribery  Bribe ry Act  del  del año 2010, hace hincapié en su aplicación sobre la base del principio de proporcionalidad, refiriéndose en particular a pequeñas  organi  organizaci zaciones ones  que tengan recursos limitados. 45 Neiger Barbara, Successful Compliance for efficient effic ient organizations with ISO 19600:2014. Austrian Standards (AS), 1.ª ed., 2015, p. 83. La L a autora fue la Head of Austrian Delegation en el ISO/PC 271 sobre Compliance Management Systems (CMS) que elaboró el estándar ISO 19600 y recoge en su obra, como “ practi  practical cal tip ” el “ no cherry-pickin cherry-p ickingg”. La obra dedica su capítulo 4 a desarrollar una Guía para pequeñas y medianas empresas (pp. 160 y ss.),  Austri  Austrian an Stan Standards dards (AS), 1.ª ed., 2015. 44  Así,

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

48

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 de aplicación aplicación, aunque aplicados de manera proporcional a las particularidades de cada  organización  organiz ación46. Dada la diversidad en las circunstancias internas y externas susceptibles de concurrir, concurrir, es imposible concretar una aplicación universal de este principio. Por eso, algunos organismos plantean ejemplos ilustrativos47 . Debido a lo anterior, inspirarse en modelos o prácticas de  organiz  organizaciones aciones grandes (de sociedades cotizadas, por ejemplo)  organizacion zacionees, pero no ayuda demasiado al resto. puede ser útil para una parte de las  organi En ocasiones se piensa que la aplicación proporcional de los requisito  requisitoss de los estándares sobre compl  compliance iance depende del tamaño de la organiz  organización ación o su cifra de negocios. Aunque son factores a considerar48, no son determinantes del sistema de gestión que precisa la  organización  organizaci ón, que estará principalmente condicionado por sus riesgos: una organizac  organización ión  grande puede no estar amenazada por grandes riesgos de compliance y tener menos necesidades que una pequeña que sí lo esté. Aunque se tiende a asociar tamaño y  riesgo, no es una correlación necesaria. De ahí también la importancia del enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro) para una adecuada aplicación del principio de proporcionalidad, como se explicará más adelante.  No tener en en cuenta el paralelism paralelismo o entre el sistema de gestión gestión y los riesgos sobre los que proyecta sus actividades lleva fácilmente a sobredimensionarlo o infradimensionarlo.

de   Por último, el principio de subordinación subordin ación a Ley (véase el aparta apartado do I.6.2.1 Principio de  subordinación a Ley, de este libro) también influye en la correcta aplicación razonable del principio de proporcionalidad, por cuanto el marco normativo que afecta a la  organización o las actividades que desarrolla puede fijar exigencias concretas respecto al tipo de actividades a desarrollar y el modo de ejecutarlas. En este sentido, pueden concurrir condicionantes regulatorios que excedan las capacidades reales de una  or ganización por motivo de su tamaño49. apartado A.1.2  Alca  see  Alcance nce  del anexo A (informativo) Guía para el uso de este documento s manifiesta en tal sentido, al indicar que deben seguirse cada uno de los requis  requisitos itos  del documento. 47  US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of Organizations. Véanse los ejemplos que figuran en el apartado Comentarios en relación con el tamaño de las organizaciones  y los ejemplos de aplicación de los requisitos para “ Large Organizations Organizations” y “Small Organizations”. 48 El tamaño o la cifra de negocios de una  organi  organizaci zación ón formarían parte de las “circunstancias internas” a considerar para dimensionar el sistema de gestión. Ahora bien, junto con ellas también deben considerarse las “circunstancias externas”, exte rnas”, como los mercados donde opera o la regulación existente. De ambas categorías se extraerán los  ries  riesgos gos  que amenazan a la  organ  organiza ización ción . Puede resultar entonces que una  organ  organizac ización ión pequeña (por cifra de negocios y empleados) tenga un nivel de exposición elevado debido a los mercados y al tipo de transacciones que opera. En este caso, esta organi  organizaci zación ón –pequeña– precisaría un sistema de gestión de compliance robusto, aunque sus circunstancias internas no aparenten necesitarlo. 49 Es otro ejemplo donde las “circunstancias externas” de la  organizac  organ ización ión (la regulación que le aplica) precisan de un  sis  sistema tema de gest gestión ión de  compliance que no se puede permitir debido a sus “circunstancias internas”. 46  El

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

 

49

I.6.1.3. Principio de integridad El principio de integridad aparece citado por primera vez en el estándar ISO 37301:2021.  No figuraba figuraba expresam expresamente ente en su antecedent antecedentee ISO 19600:2014 19600:2014 aunque su Introd  Introducción ucción  recurría a este término y remarcaba la importancia de una cultura de integridad, in tegridad, como también hizo después el estándar ISO 37001:2016.

 organizaciones iones supone actuar de forma honesta, manteniendo La integridad en las  organizac un compromiso con la ética y los valores que se derivan de ella. Como principio se manifiesta al analizar la coherencia entre los valores que dicen mantener los sujetos y sus actos. Esto produce  organizaciones éticamente predecibles, con gran capacidad de generar confianza ante la sociedad. La Introducción del estándar ISO 37301:2021 señala la importancia de alinearse con estándares éticos generalmente aceptados. Por otra parte, la definición de  cultura  de compliance también está relacionada con la ética de la  organización. Según reza el apartado 5.1.1 Órgano de gobierno y alta dirección, forma parte de sus cometidos establecer y defender los valores de la organización. En esta misma línea, el apartado 5.1.2 Cultura de compliance señala que el órgano de gobierno, la alta dirección y la dirección en general deben mantener un compromiso activo, visible, consistente y sostenido en relación con los estándares de conducta que se exigen en toda la  organización50. Estos parámetros de conducta son, lógicamente, los que derivan de los valores y se trasladan a las  políticas,  procesos y  procedimientos a las que el  personal debe adherirse, por imperativo del apartado 5.3.4 Personal  Personal. De acuerdo con lo anterior, el estándar ISO 37301:2021 no solo fija un entorno propicio para desarrollar el principio de integridad mediante el establecimiento de  valores y la promoción de los patrones patrones de conducta que se derivan de ellos, sino que también se preocupa por la uniformidad y consistencia en su aplicación: que afecten a todas las personas en la  organización y que se apliquen por igual.

una aproximación análoga a la de otras plataformas e instituciones, como la OCDE.  La Guía de buenas prácticas para los controles internos, la deontología y la conformidad se localiza en el anexo II de la  Reco  Recomendac mendación ión OCDE para forta fortalecer lecer la llucha ucha contr contraa el cohec cohecho ho ( Recom  Recomendat endation ion

50 Es

 of the Coun Council cil for Further Comb Combatin atingg Brib Bribery ery of Foreign Publi Publicc Offi Officia cialsls in Inte Internati rnational onal Busi Business ness Transactions ), adoptada el 26 de noviembre de 2009. El citado anexo II se actualizó el 18 de

febrero de 2010. En el numeral 1 de su apartado A), se hace ha ce referencia al “apoyo y compromisos sólidos, explícitos y visibles, por parte del más alto nivel de dirección, a los programas o medidas de control interno, deontología y conformidad”.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

50

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

I.6.1.4. Principio de transparencia El estándar ISO 37301:2021 cita el principio de transparencia como también hicieron los antecedentes ISO 19600:2014 e ISO 37001:201651. El apartado con mayores

Comunicación  vínculos  vínculo s explícitos explícla itos con esta materia materia ce es de la 7.4 que subraya lae importancia de comunicar la organización, las,  obligacion  cultura de complian compliance  obligaciones es dde co compliance mpliance y sus objetivos. Las comunicaciones de las organizaciones en materia de compliance ganan protagonismo con los años y tienden a publicitarse externamente en el contexto de los  requisitos sobre información no financiera que demandan algunos reguladores y la sociedad, en general. La transparencia suele asociarse con una gestión ética, no porque po rque sean conceptos equivalentes, sino por la tendencia tende ncia a ocultar las actuacio actuaciones nes reprobables. Sin embargo, el mero hecho de comunicar de forma transparente determinadas informaciones o hechos, no los legitima. La transparencia, transparencia, por sí sola, no rehabilita las conductas poco éticas o ilegales.

I.6.1.5. Principio de responsabilidad El estándar ISO 37301:2021 introduce el principio de responsabilidad que, aunque no estaba explicitado como tal en el antecedente ISO 19600:2014, sí recurría a vocablos equivalentes en varios apartados, mientras que la norma ISO 37001:2016 370 01:2016 prácticamente no los utilizaba. La responsabilidad supone, en esencia, que las l as personas y las  organizaciones se hacen responsables de sus actos. Por tanto, sus actuaciones deben ser trazables para poder ser fiscalizadas y exigir explicaciones52. Esta aproximación general se traduce en el establecimiento de mecanismos que permitan ejercita ejercitarr dichas facetas. Así, el apartado 5.3.1 Órgano de gobierno y alta dirección señala, entre sus cometidos, fijar y mantener mecanismos de rendición de cuentas que incluyan acciones disciplinarias y otras consecuencias. De acuerdo con lo anterior, el principio de responsabilidad pasa por informar de lo que se está gestionando, dar explicaciones al respecto y asumir las consecuencias derivadas de los actos. Aunque no se cite expresamente, este principio subyace en el cuerpo del estándar, estándar, incluyendo especialmente el apartado 5.3 Roles, responsabilidades  y autoridades, que deben interpretarse bajo estos parámetros. Incluso los niveles de independencia y autonomía de que disfruta la  función de compliance deben ejercerse de manera responsable, incluyendo esta componente de rendición de cuentas.

51  El

estándar ISO 37001:2016 no cita expresamente el “principio” de integridad, pero su  Introducció  Introd ucciónn se refiere a la cultura de integridad. 52 En esta acepción, el principio de responsabilidad también podría traducirse como “de rendición de cuentas”.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

 

51

I.6.1.6. Principio de sostenibilidad  Tanto  Tanto el estánda estándarr ISO 37301:202 37301:2021 1 como su antecede antecedente nte ISO 19600:2014 19600:2014 contemp contemplan lan expresamente el principio de sostenibilidad, sostenibil idad, del que hacen mención en sus respectivas 53

introducciones . No así el estándar ISO 37001:2016. El principio de sostenibilidad se basa en desarrollar actividades con las vistas puestas en el largo plazo. Este entendimiento de la realidad se contrapone a las visiones cortoplacistas, que supeditan el futuro a un interés inmediato de presente 54. En la esfera medioambiental, la sostenibilidad implica un consumo responsable de los recursos naturales, de manera que no hipoteque el porvenir de las generaciones venideras. En el ámbito económico supone primar el mantenimiento de operaciones en el largo plazo por encima de las oportunidades presentes que lo comprometen. Esto supone la búsqueda constante de un equilibrio para operar en el mercado, cuanto más tiempo mejor, mejor, de modo que qu e el rendimiento acumulado acumul ado sea siempre más  ventajoso para p ara todos que qu e el beneficio benefici o inmediato de las decisiones decisio nes insensibles insensibl es a este planteamiento. Para ello, es importante evitar los daños económicos y de imagen cumplimi entos de co compliance mpliance, que erosionan la confianza que van asociados a los  no cumplimientos en las organizaci  organizaciones ones y arriesgan su futuro. Bajo esta perspectiva, no cabe duda de que los  sistemas de   gestión  gestión de compliance son una herramienta de sostenibilidad, pues contribuyen a prevenir prevenir,, detectar y reaccionar de manera temprana ante no cumplimientos de compliance. Cuando las  organizaciones se manifiestan abiertamente alineadas con el principio de sostenibilidad, no solo proclaman una apuesta de futuro, sino también, su voluntad de evitar actuaciones cortoplacistas que lo pongan en riesgo. A partir de ese momento,  organizaciones aciones pasan a medirse bajo ese baremo todas las actividades y decisiones de las organiz de la sostenibilidad. Por este motivo, el interés de la  función de compliance no es otro que el interés de negocio, dado que ambos fijan su norte en la sostenibilidad de la de la mención en su  Introd  Introducció ucciónn, el apartado 4.1 Comprensión de la organización y de  su conte contexto xto del estándar ISO 37301:2021 señala la sostenibilidad de la  organi  organizaci zación ón dentro de los factores a considerar para comprender las circunstancias que la envuelven para la fijación o el mantenimiento del  sist  sistema ema de gest gestión ión de compliance, aspecto que no consideraba el apartado equivalente del estándar ISO 19600:2014. 54 Hallamos fundamentos morales de esta visión visi ón en pensadores como Adam Smit Smith h que, en Transacciones su obra La Teoría Teoría de los sentimientos morales  (1756) apunta que “las cualidades más útiles para nosotros son, en primer lugar, la razón en grado superior y en el entendimiento, que nos capacitan para discernir las consecuencias remotas de todos nuestros actos y prever el provecho o perjuicio que con probabilidad pueda resultar de ellos; y, en segundo lugar lugar,, el dominio de sí mismo, que permite abstenernos del placer del momento o soportar el dolor de hoy, a fin de obtener mayor placer o evitar un dolor más grande en el futuro”. 53 Además

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

52

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 organización y de sus operaciones. Por ello, es radicalmente falso que dicha función defienda los intereses de las partes interesadas como contrapuestos a los de negocio55. El apartado A.1.1 Generalidades del anexo A (informativo) Guía para el uso de este  documento incluye, entre la relación de normas con las que puede simultanearse el estándar ISO 37301:2021, el estándar ISO 26000 Guía de responsabilidad social (también figura en el listado final de la bibliografía). Aunque Aunque no se cite, resulta de utilidad la ISO Guide 82:2019 para la aplicación de sostenibilidad en estándares.

I.6.2. Principios implícitos  Además de los que cita expresamente expresamen te el estándar estánda r ISO I SO 37301:2021 37301 :2021,, existen otros principios implícitos en la norma que condicionan enormemente su interpretación y aplicación.

I.6.2.1. Principio de subordinación a Ley  ISO es una organización de carácter privado, que no tiene cedidas facultades facul tades legislati vas por parte de los Estados de las entidades de normalización normalización nacional que aglutina. aglutina. Partiendo de ahí, es obvio que no puede promover normas de cumplimiento obligado ni fijar requisitos o directrices que contravengan el marco legal de los países donde se aplicarán. Esta consideración general es especialmente obvia en los sistemas de gestión de compliance, donde sería paradójico que contravinieran las regulaciones nacionales y propiciaran su incumplimiento. La totalidad de contenidos los estándares interpretarse bajo esta 56 . Si premisa, sin que sea precisodehacer referencia ISO a elladeben constantemente alguna especificación o directriz llegase a entrar en conflicto con la ley local donde tiene

en ocasiones, se habla de “intereses de negocio” como contrapuestos a los de  com plianc  pli ancee, en verdad se está hablando de intereses económicos cortoplacistas, que ignoran los objetivos de sostenibilidad y suelen contravenir el auténtico interés de la  orga  organiz nizaci ación ón  en el medio y largo plazo. 56 No obstante, algunos estándares nacionales incluyen indicaciones expresas al respecto cuando fijan sus especificaciones o requisitos, como es el caso de la Norma británica BS 10500:2011 sobre sistemas de gestión antisoborno, cuyo prólogo indica que el cumplimiento con un  Briti  British sh 55 Cuando,

 no confiere inmunidad al cumplimiento de obligaciones legales (p. vincuii). La la Norma españolarespecto UNE 19601:2017 sigue una aproximación análoga,  Introducció  Introd Standard ucción n de lando su contenido al régimen de responsabilidad penal de la persona jurídica establecida en el Código penal español.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

 

53

que aplicarse, se sobreentendería sobreentende ría que no resulta exigible en virtud de este princi principio. pio.  No obstante, obstante , tal circunstancia circunstanc ia no supondría supondr ía la inaplicación inaplica ción del resto de contenidos conten idos no conflictuados. Esta aproximación tan elemental produce, sin embargo, situaciones donde determinados  requisitos  pueden aplicarse con normalidad en algunos países, pero no en otros. A efectos de la evaluación de la conformidad de sistemas de ggestión estión de compliance  ubicados en  organizaciones internacionales, cabrá que la  organización fundamente el motivo de tales asimetrías.

I.6.2.2. Enfoque basado en el riesgo En un escenario ideal de recursos ilimitados podría especularse con implantar medidas para la prevención, la detección y la reacción temprana ante todo el universo de riesgos de las organizaciones, por remotos que fueran. Como esto no es factible, el foco de su atención y de sus recursos debe priorizarse siguiendo criterios lógicos. El enfoque basado en el riesgo juega un rol clave en ello, por cuanto ayuda a identificar, analizar y valorar los riesgos que exponen a las  organiz  organizaciones aciones, para priorizar sus actividades y, por tanto, los medios afectos a su tratamiento. Lo contrario no solo podría interpretarse en clave de gestión negligente, sino también, de malversación de recursos. El enfoque basado en el riesgo guarda una estrecha relación con el principio de proporcionalidad (véase el apartado I.6.1.2 Princi  Principio pio de propor proporcional cionalidad idad, de este libro), puesto que la razonabilidad del sistema de gesti gestión ón de compliance reside, entre otros factores, en  organización ación. su capacidad de proyectarse sobre las amenazas que más exponen a la organiz Seguir un enfoque basado en el  riesg  riesgoo implica concretar cuáles son los  riesg  riesgos os que amenazan a cada  organización, dentro de un ejercicio racional de previsión y considerando sus circunstancias. Esto permite adoptar medidas tendentes a disminuir la probabilidad de que se materialicen y mitigar sus consecuencias.  Ni el estándar están dar ISO 37301:2 373 01:2021 021 ni antes ante s los estándares están dares ISO 19600:20 1960 0:2014 14 e ISO 37001:2016 hacen referencia explícita al enfoque basado en el  riesgo dentro de su contenido normativo. Sí que figura citado como información a considerar, a modo de nota57  o anexo58 y también se infiere en numerosos apartados. En su conjunto, es estándar ISO 19600:2014 cita expresamente el enfoque basado en el  riesgo en la nota 2 del apartado 4.6 Identificación, análisis y val valoración oración de riesg riesgos os de compliance (las notas no tienen naturaleza de contenido normativo). 57  El

58

estándarA.4.5 ISO 37301:2021 hace referencia explícita al enfoque de los El apartados  y A.4.6  (tienen  riesgo dentro Obligaciones de compliance  Evaluación de losbasado riesgosen de elcompliance naturaleza informativa) del anexo A (informativo) Guía para el uso de este es te documento. El estándar ISO 37001:2017 lo menciona en el apartado A.16 Auditorí  Auditoríaa interna  de su anexo (informativo).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

54

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

obvio que juega un rol transcendente en el estándar ISO 37301:2021, 37301:202 1, comenzando por la acotación del  sistema de gestión de compliance que necesita cada  organización , enmarcada en el capítulo 4 Contexto de la organización:

 Determinaci minación ón del alcanc alcancee del siste sistema ma de gesti gestión ón de dell compl compliance iance • El apartado 4.3  Deter indica que la organi  organizació zaciónn debe determinar las fronteras del siste  sistema ma de gestió gestiónn, incluyendo sus “principales”  riesg  riesgos os de complia compliance. nce. • El apartado 4.4 Sistema de gestión del compliance dice que reflejará los valores,  objetivos, estrategia y riesgos de compliance de la organización. Bajo esta premisa, no se comprende un  sistema de gestión de compliance que no se proyecte sobre los riesgos que la amenazan.

 Evalua luacición ón de lo loss ries ri esgos gos de compl co mplia iance nce  es un mandato a la • El apartado 4.6  Eva  organi  org anizac zación ión  para que desarrolle un ejercicio de evaluación de  rie  riesgo sgoss, que es la piedra angular de todo modelo de gestión con un enfoque basado en el  riesgo  ries go, como reconocen no pocos referentes internacionales sobre compli  compliance ance , especialmente en el ámbito de la prevención del blanqueo de capitales 59  o del soborno60 .

59 Financial

Action Task Force (FATF) – Group D’action Financière (GAFI). Su guía para aplicar una aproximación basada en el riesgo para combatir el blanqueo de capitales y la financiación del terrorismo (Guidance on the Risk-Based Approach to Combating Money Laundering and Terrorist  Financing-High Level Principles and Procedures), de junio de 2007, proporciona una visión general de lo que es una aproximación basada en el riesgo, destinada principalmente a Estados. for Economic Cooperation and Development (OCDE). La Guía de buenas prácticas  para los controles internos, la deontología y la conformidad se localiza en el anexo II de la Recomendación OCDE para fortalecer la lucha contra el cohecho ( Recomendation of the Council for Further Combating Bribery of Foreign Public Officials in International Business Transactions ), adoptada el 26 de noviembre de 2009. El citado anexo II se actualizó el 18 de febrero de 2010. El inicio del apartado  A) recoge una referencia explícita a unos de los aspectos clave de una aproximación basada en el  riesgo: la evaluación de riesgos. Relaciona la razonabilidad de este ejercicio con las circunstancias de cada empresa, evidenciando la vinculación entre el principio de proporcionalidad y la aproximación basada en el riesgo. Señala que la eficacia de las medidas que se adopten en un programa contra la corrupción “han de establecerse sobre la base de una evaluación de riesgos (…)”. En relación con la aplicación de ciertas cautelas frente a terceros con los cuales la organización se relaciona, a los que denomina “socios comerciales”, nuevamente el texto de la OCDE se refiere a desarrollar una “contratación basada en el riesgo”. 60 Organisation

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

 

55

  Reconocidos textos nacionales siguen esta misma aproximación, tanto del continente europeo61 como del americano 62. Del ejercicio de evaluación de  riesgoss ddee ccompliance  riesgo ompliance  se derivan múltiples consecuencias, como explicaré más adelante.  A partir de este encuadre encuadre general, el enfoque basado en el riesgo impacta en muchos apartados del estándar ISO 37301:2021, hasta el punto de que los resultados de la evaluación de riesgos de compliance condicionan la razonabilidad de otros contenidos de la norma: • Debida diligencia diligencia externa. El apartado 4.6 Evaluación de los riesgos de compliance  precisa identificar los riesgos relacionados con procesos externalizados ( outsou  outsourcing rcing) y terceras partes. Lo hace para aplicar ciertos procedimientos de debida diligencia sobre las categorías susceptibles de exponer a la l a organización. • Debida diligencia interna. El apartado 7.2.2  Proc  Proceso eso de empleo señala que la  organización debe considerar el nivel de exposición a  riesgos de compliance que entrañan las diferentes posiciones para aplicar procedimientos de debida diligencia antes de realizar incorporaciones o promociones. Solo aplicarán a aquellas  compliance. posiciones expuestas a riesgos de  compliance

of Justice, The Bribery Act 2010-Guidance about procedures which relevant commercial  organizations  organiz ations can put into pplace lace to prevent persons associ associated ated wi with th the them m from bbribing ribing (Section 9 of the 61 Ministry

 Bribery  Bribe ry Act 2010 ), Reino Unido, marzo de 2011. En el numeral 6 de la  Introd  Introducci ucción ón de dicha Guía (p. 7) se indica que las organizaciones comerciales deben adoptar una aproximación basada en el  ries  riesgo go respecto a los  ries  riesgos gos de soborno. Este entendimiento recoge también los seis principios que impulsa, en algunos de los cuales vuelve a aparecer explícita o implícitamente citada la aproximación basada en el  riesgo . Así, por ejemplo, en el numeral 1.5 de su principio 1  Proportionate  Proport ionate proced procedures ures  (p. 22) indica que la aplicación de  proced  procedimient imientos os debe realizarse adoptando un enfoque basado en el  riesgo , lo que pone de manifiesto su vinculación con el principio de proporcionalidad; en el numeral 4.5 de su principio 4  Due dilige diligence nce (p. 28) nuevamente se apunta la necesidad de recurrir a una aproximación basada en el  riesgo  en cuando a proced  procedimiento imientoss  de debida diligencia (por ejemplo, en la evaluación de intermediarios); en el numeral 5.6 de su principio 5 Communication (including training) (p. 30), o cuando se refiere a la formación de empleados y agentes de manera aquilatada. 62 Department of Justice and the Enforcem Enforcement ent Division of the US Securities and Exchan Exchange ge Commission, 14 capítulo de noviembre Resou Resource rceejemplo, G Guide uide to the USapartado Foreign Foreign Corrupt Practices Act  ct , Estados, Unidos, de 2012. AAsí, por en el dedicado al  RiskA Assessment  dentro del 5 del documento (Guiding Principles of Enforcement , pp. 58 y 59) se hace referencia explícita a que el programa de Compliance debe ser risk-based.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

56



Objetivos de compliance, indicadores, recursos e informes. Aunque el apartado 6.2 Objetivos de compliance y planificación para  para lograrlos parece ser ajeno al mundo de los riesgos, en verdad guarda una estrecha relación con ellos. Los  objetivos de   compliance deberían ser adecuados para mitigar los riesgos en su ámbito, lo que no solo condiciona su fijación, sino también, las actividades a desarrollar para lograrlos (apartado 6.2 Objetivos de compliance y planificación para lograrlos), los indicadores que miden su grado de avance (9.1.3 Desarrollo de indicadores), los recursos que se precisan (7.1 Recursos) y el modo en que se informará de todo ello al  órgano de gobierno y la alta dirección (9.1.4  Informes de compliance y 9.3  Revisión por la dirección).

• Formación. Formación. Dice el apartado 7.2.3 F  Formación ormación que debe ser adecuada a los roles  compliance que les exponen. del personal y a los riesgos de  compliance • Controles y proc  procedim edimient ientos os. Aunque ya he hecho referencia a algunos pro  procedi cedimien mientos tos y controles en particular (por ejemplo, de debida diligencia dil igencia interna o externa), el controles y pprocedimientos rocedimientos enlaza de forma general apartado 8.2 Establecimiento de controles esta materia con la gestión de los correspondientes riesgos de compliance. •  Auditoría interna. El apartado 9.2.2 Programa de auditoría interna indica que el programa de auditoría deberá tener en consideración los  procesos afectados, señalando así la necesidad de enfocar su trabajo sobre aquellos que supongan exposición a los riesgos de compliance. Los ejemplos anteriores ayudan a comprender la importancia del enfoque basado en el  riesgo: ninguna de estas materias podría abordarse razonablemente sin concretar y priorizar antes los riesgos de compliance que amenazan a la  organización63. Ayudan también a entender la importancia de lo indicado en los apartados 4.3 Determinación  del alcance del ssistema istema de gestión del compliance, 4.5 Obligaciones de  compliance  compliance  y 4.6 3).  Evaluación de los riesgos de compliance (véase la figura 3).

63 A

diferencia del estándar ISO 37001:2016, la norma ISO 37301:2021 no recurre a la mención de “riesgo superior a bajo” ( more than low bribery risk, citado en múltiples ocasiones en el estándar ISO 37001:2016). No obstante, cuando el estándar ISO 37301:2021 se refiere a considerar los  riesgos de ccomplian ompliance ce, obviamente está pensando en aquellos cuya categorización –tras la evaluación de  riesgos– implican un nivel de exposición (en términos de probabilidad de ocurrencia y consecuencias, como apunta la definición 3.24 Riesgo quiso superior a bajo. recordar que nicon tan siquiera el estándar ISO 37001:2016 de compliance definir )este concepto (es Conviene una locución que utiliza frecuencia pero que no conforma un término definido), que variará en virtud de la metodología de evaluación de riesgos que se utilice.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

Proyección correcta de los procedimientos de diligencia debida Procesos  afectados por  los riesgos Evaluación de riesgos de r compliance

Personal afectado por  los riesgos Terceras partes afectadas por  los riesgos

 

u

Interna

u

Externa

 

57

toma  Actividades de conciencia de formación enfocadas y r

Determinación de objetivos de compliance concretos

u

 Actividades para lograrlos  u

Procesos , , procedimientos y controles adecuados para su cobertura

Recursos para impulsarlos  u

Indicadores para medirlos Enfoque correcto de las revisiones y auditorías

 u

Reportes para informar 

Figura 3. El enfoque basado en el riesgo implica la adecuada evaluación de los riesgos de compliance que exponen a la organización. Es un ejercicio de importancia crítica, crítica, pues de su adecuado contenido depende la eficacia de multitud de actividades comprendidas en el sistema de gestión. La evaluación de  riesg  riesgos os de compli compliance ance se concibe como un ejercicio actualizable64  periódicamente –de forma planificada– o bien cuando se producen cambios en las circunstancias de la organización –de manera sobrevenida–. Como se infiere de todo lo anterior, anterior, su deficiente ejecución u obsolescencia deteriora el desempeño de muchos apartados del estándar.

capítulo 4 Contexto de la organización  de la HLS parece centrado en considerar elementos contextuales que ayudan a determinar el alcance del  sistem  sistemaa de gestión, lo que induce a pensar que aplican en el momento de su diseño o reevaluación. Sin embargo, el análisis de  riesgos  no solo debe vincularse exclusivamente a esos momentos, sino realizarse a lo largo de la vida del  sistem  sistemaa  de gest gestión ión . Para evitar esta equivocación, se pensó en traspasar el contenido del apartado 4.6  Evaluación  Evaluaci ón ddee los riesgos de ccomplian ompliance ce al capítulo 6  Planif  Planificaci icación ón, aunque finalmente se mantuvo en su ubicación inicial, alineada con los estándares previos ISO 19600:2014 e ISO 37001:2016.  No obstante, algunos al gunos estándares naci nacionales onales (UNE 19601:201 19601:2017 7 Sistemas de gestión de compliance  penal. Requisi Requisitos tos co conn orie orientación ntación para su uso  y UNE 19602:2019 Sistemas de gestión de compliance tributario. Requisitos con orientación para su uso) lo ubican en dicho capítulo 6  Planif  Planificació icaciónn, por los motivos señalados. 64 El

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

58

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

I.6.2.3. Principio de seguridad razonable El concepto de seguridad razonable se contrapone al de seguridad absoluta. El conocido marco de referencia COSO65 lo reconoció en el año 1992, considerando que todo mecanismo de control tiene limitaciones inherentes que le impiden prevenir o detectar vulneraciones, normalmente por efecto de los errores humanos, la negligencia o el dolo66. Bajo esta perspectiva, un entorno de control no puede brindar garantía absoluta de estar exento de vulnerabilidades, pero puede contribuir a reducir la ex-

65 El

origen de COSO se remonta al año 1985, momento en que se funda en Estados Unidos la  National Commission on Fraudulent Financial Reporting, partiendo de una iniciativa del sector pri vado para revisar, revisar, analizar y emitir recomendaciones sobre reportes financieros fraudulentos. fraudulentos. L Lo o poco atractivo de su denominación propició que fuera comúnmente referida a través del nombre de su primer presidente, James C. Treadway, conociéndose de forma abreviada como la Treadway Commission. En un primer momento, se dedicó a estudiar reportes financieros del periodo comprendido entre octubre de 1985 y septiembre de 1987, emitiendo en octubre de ese año un Informe con sus conclusiones y recomendaciones titulado Report of the  National Commission on Fraudulent F Financial inancial  Reporting . Sin embargo, hecho este estudio, se percibió la necesidad de emitir recomendaciones para evitar las deficiencias detectadas, constituyéndose en su seno un grupo al que se denominó Committee Of Sponsoring Organizations (COSO) con dicho propósito. El enfoque desarrollado inicialmente por COSO es adoptado por el órgano regulador norteamericano, la Securities and Exchange Commission (SEC) como patrón de control interno en el ámbito de la información financiera, convirtiéndose desde entonces en estándar mundialmente reconocido sobre esta materia. La Final Rule emitida por la SEC a tales tal es efectos el 14 de agosto de 2003 200 3 supone un reconocimiento notorio al modelo COSO, aunque excluya su aplicación en ámbitos que no estén directamente relacionados con los reportes financieros, tales como el cumplimiento de las leyes (salvo las que traten la preparación de estados financieros). Sin embargo, ello no obsta que los principios de COSO nacieran con una vocación más extensa y tengan, de hecho, aplicación en el ámbito del compliance. 66 Así,

por ejemplo, COSO I, que es el documento emitido en el año 1992 que fija su marco integrado de control interno (COSO Internal Control-Integrated Framework), apunta que los controles pueden fallar por colusión de varias personas para evitar los  procesos de gestión del riesgo.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

 

59

posición a ese riesgo dentro de un nivel aceptable. Es un entendimiento que también incorporan conocidas normas de compliance67 . El estándar ISO 37301:2021 conforma un MSS de tipo A (certificable). Por tanto, un tercero independiente puede emitir una opinión de conformidad conproducido su contenido. No cabe interpretar una declaración en tal sentido como que no se hayan irregularidades en el pasado o de que no vayan a materializarse en el futuro68. Evidentemente, una  sistem temaa de ges gestió tiónn es un elemento de opinión independiente que confirme la adecuación del sis generación de confianza, pero no sustituye la valoración que finalmente puedan hacer los poderes públicos –especialmente la administración de Justicia– cuando el ordenamiento  jurídi  jur ídico co le re recon conoce oce tal facult facultad  ad 69. Lo contrario contravendría el principio de subordinación a Ley (véase el apartado I.6.2.1 Prin  Princip cipio io ddee su subor bordin dinació aciónn a Ley, de este libro), que aplica a todas las l as normas ISO.

67  Por

citar algunos ejemplos, el capítulo 8 del

Guidelines Manual que publica anualmente la US

 señala que el fallo en prevenir o detectar delitos no significa necesariame necesariamente nte Sentencing Commission que el programa de compliance no sea, en líneas generales, efectivo en la prevención y detección de conductas criminales. No obstante, también apunta que la recurr recurrencia encia de determinada determinadass conductas inapropiadas cuestiona que la organización haya adoptado adopt ado las medidas razonables para cumplir con los requisitos de las líneas directrices. Por consiguiente consiguiente,, aunque la constatación de tales conductas no cuestiona per se la eficacia del programa, sí lo hace su reiteración. En Intégrate el documento que publican en 2012 conjuntamente el Departamento Departamento de Justicia de los Estados Unidos y el regulador norteamericano (Securities and Exchange Commission), A Resource Resource Guide to the US Foreign Corrupt Practices Act , se considera que “ningún programa de compli  compliance ance puede siempre prevenir toda la actividad criminal de sus empleados” y, por eso, no exige un estándar de perfección. En el sentido apuntado previamente por el Guidelines Manual, también dice que “el fallo en prevenir una sola violación no significa necesariamente que el programa de  compliance de una determinada compañía no sea generalmente efectivo". Las citas textuales, así como los contenidos que se citan se ubican dentro del capítulo 5 del documento (Guiding Principles of Enforcement ), ), en el dedicado a definir un “seCorporate la p. 56. El apartado Ministerio de Justicia británico manifiesta Compliance en sentidoProgram análogo”,alenseñalar que “ninguna política ni  procedimi  procedimientos entos son capaces de prevenir y detectar todos los sobornos”, en su documento The

 Bribery Act 2010-Guidance about procedures which relevant comercial organisations ccan an put iinto nto place to prevent persons associated with them from bribing  (Section 9 of the Bribery Act 2010 ), Reino Unido, marzo de 2011. Cita extraída del numeral 6 de la  Introducción de dicha guía (p. 7). 68 Es

una consecuencia del principio de seguridad razonable, que viene señalado, por ejemplo, en el estándar ISO 37001:2016, cuando su Introducción dice que “la conformidad con este documento no puede proporcionar ninguna garantía garantí a de que el soborno no haya ocurrido o no ocurrirá ocurri rá en relación con la  organización , ya que no es posible eliminar por completo el riesgo de soborno”. Aunque no existe una declaración equivalente en el estándar ISO 37301:2021 ni en su antecedente ISO 19600:2014, ambos plantean en su Introducción “minimizar” no cumplimientos (no eliminarlos) y también emplean ocasionalmente el vocablo “reducir”, con ese mismo sentido. 69 La aplicación más obvia obv ia de esta prerrogativa es el principio de libre valoración valoraci ón de las pruebas que

asiste a Jueces y del Magistrados en la37301:2021 práctica totalidad loslosordenam ordenamientos ientos No obstante, la  Introducción estándar ISO señala de que Tribunales dejurídicos. diversas jurisdicciones han valorado el nivel de compromiso de las  organizaciones con el compliance –a la luz de su sistema  de gestión–, para determinar la pena aplicable ante vulneraciones de la Ley.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

60

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

estión de compliance razonable reduce la probabilidad de que En general, un sistema de ggestión ocurran no cumplimientos de  compliance  compliance o mitiga sus consecuencias, pero no erradica ambos factores70. La Introducción del estándar ISO 37301:2021 se manifiesta en tal sentido, como ya lo hizo el precedente ISO 19600:2014. Sentado todo lo anterior, el estándar ISO 37301:2021 incorpora el resultado del trabajo desarrollado por expertos acreditados de diferentes países y, por tanto,  compliance ance  ampliamente reconocidas en la comunidad internabuenas prácticas de compli cional. Por ello, la adecuada aplicación de su contenido transmite confianza tanto a la  orga  organizac nización ión , como a las terceras partes con las que se relaciona y al mercado en general.

I.6.2.4. Principio de mejora continua Un sistema de gestión mantendrá su eficacia a lo largo del tiempo si es capaz de adaptarse a las circunstancias cambiantes donde opera. Tanto las  organizaciones como su entorno varían, siendo necesario que el sistema de gestión contemple los mecanismos que le permitan afrontar esta realidad y evolucionar evolu cionar con el tiempo. Este proceso supone la mejora continua del sistema de gestión, de modo que no solo se acomoda a la realidad diaria, sino que lo hace del mejor modo posible.

continu a de los proceso  procesoss71, pero los Existen metodologías muy centradas en la mejora continua estándares de complia  compliance nce de ISO IS O siguen una orientación particular. particular. En este sentido, no persiguen tanto la “eficiencia” del sistem  sistemaa de gestión, sino su “ efica  eficacia cia”, esto es, el 70 Por

este motivo, los estándares de complian  compliance ce suelen referirse a la “reducción” del riesgo. El apartado

8.2 Establecimiento  del estándar ISO 37301:2021 subraya la necesidad de nto de con controles troles(única y pr procedimientos ocedimientos que Establecimie sean efectivos, aclarando nota) que el testeo de controles solo pretende contrastar si son  efectivos para la reducción de la probabilidad de ocurrencia o las consecuencias del  riesgo sobre los que se proyectan. No se pretende que brinde una conclusión de seguridad absoluta en cuanto a su   eficacia, en el sentido de erradicar la probabilidad de que materialicen no cumplimientos cumplimientos de compl compliance iance  o que, en tal caso, dejen de provocar consecuencias adversas completamente. Como apunta, por ejemplo, el apartado 5.1.1  Órgano de gobierno, de la Norma UNE 19601:2017.  T  También ambién se rrecurre ecurre a la ca categoría tegoría de “ riesgo bajo”, que no a la de “ riesgo nulo”. 71 Sirva como ejemplo la metodología Six Sigma, que trata de reducir los defectos en los distintos di stintos  procesos  proce sos  de la organiz  organización ación . A la larga, termina convirtiéndose en una filosofía que pone el acento en la evolución constante de la  organ  organizac ización ión  en búsqueda de la  mejo  mejora ra conti continua nua . Se basa en el principio de que “lo que no se puede medir no se puede mejorar”. Por tanto, determinando un sistema de medida se dispone de una base objetiva para la mejora. Su metodología se basa, pues, en el el enfoque análisis científico de los datos.  Aunque in icial es proy inicial proyectar ectar esas mej mejoras oras sobre el cli cliente ente de los produc productos tos o servici servicios os de la  organ  organizac ización ión , también se aplica la metodología Six Sigma a clientes “internos”, es decir, dentro de la propia  organi  organizaci zación ón.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

I.6 Principios rectores

 

61

grado en que las actividades planificadas se ejecutan y se consiguen los resultados esperados72. Conseguirlo aplicando el menor número posible de recursos (eficiencia) es un objetivo que está desterrado en los  sist  sistemas emas de gest gestión ión d  dee  compl  complianc iancee  de  eficacia cia en aras ISO por lo arriesgado de esta dinámica, que puede comprometer la efica a la eficiencia. Debido a lo anterior, anterior, el vocablo “eficiencia” no consta en la HLS ni en los sistemas de  gestión de compliance, a diferencia de lo que sucede con el término  eficacia. La mejora continua es también un término definido que consta en la HLS y que igualmente hallamos en los estándares ISO 19600:2014 (definición 3.27), ISO 37001:2016 37001:20 16 (definición 3.24) e ISO 37301:2021 (definición 3.12): actividad recurrente para mejorar el desempeño (resultado medible). Por consiguiente, esta materia enlaza con  Desarrollo llo ddee ind indicadore icadoress del la fijación de indicadores que indica el apartado 9.1.3  Desarro estándar ISO 37301:2021. Estos indicadores permitirán conocer si mejora o no el  desempeño del sistema de gestión de compliance. La HLS (véase el capítulo I.2  La HLS de ISO , de este libro) incorpora también un capítulo para tratar la mejora del  siste  si stema ma de gesti ge stión ón, como también lo hacen  comp mplilian ance ce  (ISO 19600:2014, ISO 37001:2016 e todos los estándares sobre  co ISO 37301:2021). Esta mejora se consigue analizando  no conf co nfor ormi mida dade dess  y  no  cumplimi  cump limiento entoss de complia  comp liance nce , no solo para gestionarlos, sino para adoptar medidas que impidan que se reproduzcan; y también introduciendo cambios de manera planificada en el  sis  sistem temaa ddee ggest estió iónn. El principio de  mejora continua guarda también relación en el enfoque basado en el  riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro): mejorando las diferentes medidas organizativas y actividades articuladas por el sistema de gestión se disminuye el nivel de exposición de la  organización a los riesgos de compliance. Por ello, un ejercicio de evaluación de dichos  ries de manera defectuosa  riesgos gos ejecutado compromete las capacidades para desarrollar actividades de mejora y pone en riesgo esta faceta tan relevante73.

es la definición de  efic  eficacia acia , tanto en la HLS (definición 3.6) como en el estándar ISO 37301:2021 (definición 3.13). 72  Esta

73

 Sería el por ejemplo, todos losaparentemente, eventuales  riesgos  de laactividades de ccompliance ompliance  organización  organizació tuviesen la caso, calificación de bajos,donde de modo que, no procediese realizar den supervisión distintas de las que se venían realizando realizando,, siendo inútil cualquier mejora. No obstante, es un escenario teórico muy improbab improbable le en la práctica.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Parte II

Comentarios al contenido del estándar ISO 37301:2021

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.0 Introducción

Propósito de la introducción La Introducción del estándar ISO 37301:2021 es un excelente recurso recurso interpretativo frente a las dudas que pueda plantear la aplicación aplicació n práctica de su contenido. La norma debe leerse comprendiendo bien su finalidad y sin encorsetarse en su literalidad, deliberadamente parca. Es especialmente valiosa cuando detectamos incoherencias puntuales entre los resultados de la aplicación de su tenor literal y la filosofía del estándar. En este sentido, el valor de la  Introducción es indudable. La  Introducci  Introducción ón remarca la importancia de la cultura de compliance como factor de éxito de las organizaciones. Representa una oportunidad no solo para mejorar mejo rar su éxito en el corto plazo, sino también, para afianzar la confianza de sus grupos de interés y mejorar las perspectivas de sostenibilidad.  No cabe duda de que el mejor modo de procurar el cumplimiento de las obligaciones  de  compliance  compliance es convertir esta meta en una cuestión cultural que se traduzca en las actitudes y los comportamientos correctos de quienes trabajan para la  organización. gobierno no y la  alta direcc dirección ión juegan un  A tales t ales efectos, el compromiso del  órgano de gobier rol importante cuando viene precedido por la fijación y difusión de valores claros y secundado por sus propias conductas. Evidentemente, mantener una cultura positiva que promueve el compliance no obedece a la casualidad, resultando de la voluntad de la  organización y de sus líderes. Compliance es el fruto de un  proceso consciente y no es un acto puntual ni el fruto de la casualidad. Un  sis  sistema tema de ges gestió tiónn de  com  complia pliance nce  constituye una herramienta para los propósitos anteriores. Aunque puede operar aisladamente, es importante que lo haga de forma integrada con otros proc  procesos esos de gestión, requ  requisit isitos os operativos y proc  procedim edimient ientos os 

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

65

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

66

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

de la organización. Cuando se interioriza que solo existe un modo de desarrollar actividades, que es de forma ética y respetuosa con las normas, carece de sentido interpretar que  comp  complia liance nce  es algo separado de los  pro  proces cesos os ordinarios de negocio.  Ante este entendimiento, solo cabe fusionar ambas facetas, siempre que sea posible. Disponer de un sistema de ges gestión tión de compliance facilita que la organización y sus líderes muestren su compromiso con el respeto de las normas ante las autoridades. Pero Pero este  compliance ance no es un objetivo en sí mismo, sino la mera consecuencia efecto positivo del compli de procurar una cultura de respeto a las normas. Por eso, la Introducción del estándar ISO 37301:2021 lo cita de forma colateral. Evidentemente, disponer de un sistema de gestión de compliance genera implicaciones en términos de recursos. Hay quienes ven en ello un inconveniente mayor que las supuestas ventajas que reporta. La Introducció  Introducciónn del estándar ISO 37301:2021 relaciona una serie de ventajas tangibles y con efecto directo en el negocio, incluyendo la mejora en la imagen y la reputación de las  org  organiz anizaci aciones ones . Se subrayan así los beneficios del compliance , más allá de su mera conveniencia para mejorar la defensa  organizaci izaciones ones y como factor mitigante de sanciones. Sin perjuicio  jurídica  juríd ica de las  organ de lo anterior y en este último sentido, apunta que cada vez más administraciones  valoran positivamente la implantación de modelos de compliance  como evidencia de debida diligencia. Finalmente y siendo habitual Finalmente h abitual en las introducciones de las normas de compliance74, se señala la aplicación proporcional del estándar ISO 37301:2021 según las circunstancias internas y externas de cada organización. Incorpora un novedoso esquema que ayuda a interpretar sus diferentes componentes en clave de ciclo Deming75.

 Introducción  Introdu cción  de los estándares previos ISO 19600:2014 e ISO 37001:2016 hace referencia a su aplicación considerando los diferentes factores que envuelven a cada  organ  organizac ización ión. 75 Sobre el particular, véanse los comentarios en el capítulo I.4 El estándar están dar ISO 3730 37301:2021 1:2021 com comoo  74 La

Ent )relación con ela llamado Deming”, refiere a laque operativa PDCA  sistema  sis tema Do, de gest gestión ión,. Ac ( Plan, C Check heck, Act  para la  mejor  mejora conti continua nua“ciclo  en todo tipo de se situaciones, presentó en la década de 1950 el estadístico y profesor universitario William Edwards Deming (Sioux City Iowa, 1900-Washington DC 1993, EE.UU.).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.0 Introducción

 

67

Evolución respecto a ISO 19600:2014 El estándar ISO 19600:2014 concebía el  compliance como un resultado a conseguir, mientras que la norma ISO 37301:2021 lo concibe como un  proceso continuo, que relaciona con la generación o el mantenimiento de una cultura positiva. Introduce como novedad relevante una relación enunciativa de los beneficios derivados de disponer de un sistema de gestión de compliance76.

 Análisis de los capítulos del estándar ISO 37301:2021  A continuación, en los siguientes capítulos de este libro, se comentan los diferentes apartados en los que se estructura el estándar ISO 37301:2021, que se corresponden con el orden que sigue la HLS. La correlación entre la estructura que sigue a continuación este libro con el índice de dicho estándar facilita la localización de materias a efecto de consultas.

una cuestión destacable que pretende erradicar la idea de que un  sistem  sis temaa de gestió ges tiónn  de  complianc  compl iancee supone invertir recursos sin un retorno de inversión claro. La lista de beneficios que plantea no figuraba en los estándares previos ISO 1960:2014 ni ISO 37001:2016. 76  Es

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.1 Objeto y  campo de aplicación

Propósito de este capítulo El capítulo 1 Objeto y campo de aplicación del estándar ISO 37301:2021 centra la finalidad de la norma, siendo su propósito establecer los  requisitos de un  sistema de de  gestión sobre compliance, pero también, proporcionar directrices que faciliten su correcta aplicación, esencialmente a través de su anexo A (informativo) Guía para el uso  de este doc docume umento nto. El contenido de la norma n orma permite desarrollar múltiples acciones acer acerca ca de un sistema  de gestión de compliance: • Establecerlo, Establecerlo, cuando la organización no dispone de él. • Desarrollarlo, cuando, disponiendo de él, existen facetas que todavía no han evolucionado todo lo que debían.

 sistema tema de ges gestión tión contempla sustancialmente los • Implementarlo, cuando el  sis componentes precisos, pero es necesario completar su puesta en práctica. p ráctica. • Evaluarlo, cuando la  organización  desea conocer la adecuación de su modelo en comparación con los  requisitos que determina el estándar, como reflejo del estado del arte en su materia. •  sistema Mantenerlo, para para. llevar a cabo correctamente las actividades que contempla el de gestión • Mejorarlo, con el fin de incrementar incrementar su eficacia.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

69

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

70

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 siste tema ma Es interesante el uso del calificativo “eficaz” que emplea el capítulo en relación con el sis 77   de gestió gestiónn , subrayando así la importancia de que desarrolle las actividades planificadas y obtenga los resultados previstos78. Destierra la idea de modelos meramente estéticos. En línea con anticipado en  Principio su Introducción , apuntala el principio de proporcionalip roporcionalidad (véase el lo apartado I.6.1.2 de proporcionalidad , de este libro), planteando la aplicación estándar ante cualquier tipo de  organización por tamaño, naturaleza y sector de actividad, activ idad, ya sea en e n el ámbito público, pú blico, privado o incluso, en el Tercer sector. sector. Finalmente, derivado también de la aplicación proporcional del estándar, Finalmente, estándar, este capítulo  requis uisito itoss en orga  organiz nizacio aciones nes, donde no existe una separación señala el modo de integrar sus req funcional entre el órgano de gob gobierno ierno y la alta dirección, según también explica la nota 1 a la primera definición, pensando en pequeñas  organiz  organizaciones. aciones. En estos casos, aplican los requisitos de ambos grupos al único órgano o colectivo co lectivo existente que cubre las funciones o cometidos de ambos, según vienen definidos en el estándar ISO 37301:2021.

Evolución respecto a ISO 19600:2014 Una variación obvia respecto al estándar previo IS0 19600:2014 es que estamos frente una norma de req  requis uisito itoss, en lugar de directrices. Como se explica en cada uno de sus capítulos, esto ha precisado un ejercicio de reflexión en cuanto a su contenido, dejando lo esencial  requisit isitos os y reubicando el resto como directrices en su anexo A (informativo) Guía como requ  paraa el uso de est  par estee doc docum umen ento to, que carece de naturaleza normativa. Esta dinámica explica que una norma sin anexos como el estándar ISO 19600:2014, se haya transformado en un estándar con contenidos normativos bastante más acotados, pero con un nutrido anexo. Siguiendo esta lógica, los principios que invisten el estándar y que antes constaban relacionados en el capítulo 1 Alcance del estándar ISO 19600:2014 se localizan ahora en el apartado A.4.4 Sistema de gestión del compliance del anexo A (informativo) Guía  paraa el uso de est  par estee ddocu ocumen mento to, de la norma ISO 37301:2021. A los principios que ya y a se citaban de buen gobierno, proporcionalidad, transparencia y sostenibilidad, se suman ahora los de integridad y responsabilidad (véanse los apartados I.6.1.3  Principio de  de    integridad y I.6.1.5 Principio de responsabilidad, de este libro). capítulo 1 Objeto y campo de aplicación del estándar ISO 19600:2014 también se refería a la  eficacia del sistema de gestión, a lo que añadía su capacidad de dar respuesta ( responsive). 78 Aunq  Aunque ue el capítulo 1 Objeto y campo de aplicación no emplea el vocablo “eficaz” como un término definido, no puede obviarse que el estándar incluye una definición de  eficac  eficacia ia vinculado con el grado en que se realizan las actividades planificadas y se logran los resultados planificados. Es un 77  El

término que también utilizan otros muchos textos reconocidos interna cionalmente, como las US” Sentencing Commission Guidelines  cuando se refieren a un “ effectiveinternacionalmente, Compliance and Ethics Program y que señala el nivel de implementación y  eficacia  de los mecanismos articulados por el modelo, desmarcándose así de aproximaciones puramente formales.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.2 Referencias normativas

Propósito de este capítulo Para los lectores no habituados a los sistemas de gestión de ISO, el título del capítulo 2  Referencias  Referenci as normativas induce a confusión. Su propósito no es listar las normas relacionadas con el estándar en un sentido amplio, sino exclusivamente aquellos textos que son resultado de la normalización no rmalización (estándares) a los qu quee se precisa recurrir para interpretar y aplicar correctamente el estándar ISO 37301:2021. No se refiere, por tanto, a la normativa en general. Observamos que el cuerpo del estándar ISO 37301:2021 cita otras normas fruto de la estandarización, pero siempre en ubicaciones sin dimensión normativa, como notas o el anexo A (informativo) Guía para el uso de este documento. Así, son recomendaciones las referencias a la ISO Guide 73:2009 IN Gestión del riesgo. Vocabulario (en la definición 1.1 Riesgo), a la ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos  y vocabulario (en la definición 3.4.5 Procedimiento), a la ISO 19011:2018 Directrices  para la aauditor uditoría ía de los siste sistemas mas de gesti gestión ón (en el apartado 9.2  Auditorí  Auditoríaa iinterna nterna); y también a otros estándares adicionales que añade su anexo A (informativo) Guía para  el uso de este docu documen mento to: • Estándares que pueden implementarse conjuntamente conjuntamente con ISO 37301:2021: ISO 31000:2018 Gestión del riesgo. Directrices, ISO 37001:2016 Sistemas de  gestión antisob antisoborno orno.. Requisito Requisitoss con orientac orientación ión para su uso, ISO 9001:2015 Sistemas  de gestión de la calidad. Requisitos, ISO 14001:2015 Sistemas de gestión ambiental. Requisitos con orientación para su uso, ISO/IEC 27001:2013 Tecnología de

 la informaci i nformación. ón. Té Técnicas cnicas de segurida seguridad. d. Si Sistemas stemas de G Gestión estión de la Se Seguridad guridad de la  Información. Requisitos e ISO 26000:2021 Guía de responsabilidad social.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

71

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

72

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

• Otros estándares estándares citados según contexto: IEC 31010:2019 Gestión del riesgo. Técnicas de apreciación del riesgo (en relación con las técnicas para la evaluación del riesgo), e ISO 19011:2018  Direc  Directrices trices para la auditor auditoría ía de los siste sistemas mas de  gestión (se vuelve a citar en relación con el modo de desarrollar la auditoría).

 Bibliografía ía del estándar ISO 37301:2021 figura también  Además, en el apartado  Bibliograf una relación de estándares. De esta relación de textos, enunciados a título informativo, se extraen dos conclusiones relevantes: • Aunque el  sistema de gestión que articula estándar ISO 37301:2021 tiene una  vocación  vocac ión transversal, transv ersal, pudiendo pudie ndo igualmente igual mente incluir inclu ir  obliga  obligacione cioness de  compliance  compli ance  objeto de otros estándares específicos (por ejemplo, las relacionadas con la prevención del soborno –ISO 37001:2016–, o con la gestión del medio ambiente –ISO 14001:2015–), tal circunstancia no significa que se cumplan sus Por consiguiente, la eventual certificación de un sistema de  requisitos específicos. Por de  gestión sobre la base del estándar ISO 37301:2021 no equivale a satisfacer los  requisitos de estos u otros estándares. Habría sido necesario cumplir con ellos de haberse referenciado como contenido normativo y no a título informativo o de mera recomendación. • Aunque sigue el enfoque basado en el  ries  ri esgo go  (véase el apartado I.6.2.2  I.6.2.2   Enfoq  Enf oque ue bas basad adoo eenn eell rrie iesg sgoo, de este libro), el estándar ISO 37301:2021 no  Direc rectri trices ces , obliga a recurrir a la norma ISO 31000:2018 Gestión del riesgo. Di aunque se cita en el apartado A.4.6  Eva  Evalua luacición ón de los ries ri esgos gos de com compli plianc ancee  del anexo A (informativo) Guía para el uso de este documento. Es una omisión deliberada, como antes hicieron los estándares ISO 19600:2014 e ISO 37001:2016, para facilitar la aplicación del principio de proporcionalidad  Prin incicipi pioo de prop pr opor orcicion onal alid idad ad  de este libro), de (véase el apartado I.6.1.2  Pr modo que cada  or  orga gani niza zacición ón seleccione la metodología de evaluación de  ri  riesg esgos os que mejor se adapte a sus circunstancias.

Evolución respecto a ISO 19600:2014 El capítulo 2  Ref  Referen erencia ciass norm normativ ativas as del estándar ISO 37301:2021 está vacío de contenido,, como también lo estaba el mismo capítulo de la norma ISO 19600:2014. contenido

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones

Propósito de este capítulo El capítulo 3 Términos y definiciones del estándar ISO 37301:2021 relaciona y explica los conceptos que se reiteran a lo largo de la norma. Por consiguiente, no son objeto de definición aquellos términos que se emplean aisladamente 79 , ni algunos otros cuyo contenido es objeto de indicación detallada en el apartado correspondiente80. Como es común en los estándares internacionales, no aparecen listados en orden alfabético, sino más bien conceptual, sabiendo que su traducción a otras lenguas dejaría sin sentido una prelación anglófona. Conocer bien el significado de los lo s términos y definiciones es esencial para una correcta aplicación de los MSS de ISO, ISO, pues condicionan enormemente la interpretación in terpretación y la aplicación de sus requisitos. Aun estando familiarizado con los términos y definiciones de la HLS, conviene recordar que los estándares sobre compliance matizan algunas de ellas e incluyen otras adicionales de capital relevancia. relevanci a. En este sentido, la HLS incorpora 21 definiciones, mientras que el estándar ISO 37301:2021 relaciona 32 términos.

79 Es

el caso, por ejemplo, del término “socios de negocio”, que solamente aparece en una nota de la definición 3.30 de la tercera parte. Puede sorprender que este concepto no haya sido utilizado en el estándar ISO 37301:2021, pero tal circunstancia ci rcunstancia obedece al estar subsumido dentro del concepto de tercera parte . 80 No se consi consideró deró preciso defini definirr “forma “formación”, ción”, “toma de conci conciencia encia”” o “comu “comunicac nicación”, ión”, por ejemplo, al no emplearse de forma generalizada y disponer de apartados con esos mismos títulos que desarrollan su contenido.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

73

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

74

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Dada la importancia que tienen las definiciones para la correcta interpretación y aplicación de los estándares, se intenta que su número se limite a las indispensables, conscientes de que cada definición adicional conlleva la necesidad de consultarla cuando se cita y, y, por tanto, es una barrera para la lectura y el empleo fluido del texto de la norma. Cuando un término no está definido en el estándar ISO 37301:2021, se interpreta según el contexto o en su sentido común81.  Todas  Todas las definiciones son organizativas y, y, por tanto, no obedecen a con conceptos ceptos jurídicos ni están asociadas con ningún sistema jurídico. Así, por ejemplo, el concepto de organización no equivale al de “persona “ persona jurídica”, el de personal al de “empleado”, el de  alta dirección  al de directivos sujetos a determinada relación jurídica, etc. Esta circunstancia es importante a la hora de aplicar correctamente el estándar ISO 37301:2021, pues seguir la acepción jurídica ju rídica de algunos de sus términos o requisitos puede distorsionar su sentido.

Evolución respecto a ISO 19600:2014 El estándar ISO 37301:2021 incorpora 31 definiciones, en comparación con las 35 de la norma previa ISO 19600:2014. Las diferencias son: • Desaparecen las definiciones de: requisito de compliance, compromiso de com pliance, código, Estándares organizativos e industriales, autoridad regulatoria, contratar externamente (externalizar) y corrección. • Se añaden las definiciones de eficacia, conducta y tercera parte. • Se sustituye la definición de empleado por personal. Puede llamar la atención que no se defina “sistema de gestión de  compliance”, pero ningún estándar incorpora como término definido el resultado de todos los l os requisitos que normaliza, cuya esencia refleja el apartado 4.4 Sistema de gestión del compliance del estándar ISO 37301:2021. Por tanto, no se trata de un olvido, sino de una práctica

81

 Así sucede,en porque ejemplo ejemplo, , conEn el término “gobierno”, interpretación variará dependiendo del contexto se utilice. ocasiones se emplea cuya al hablar de “buen gobierno”, mientras que en otros casos es una referen referencia cia al apartado 5.1.3 Gobernanza del compliance. Sin embargo, en otras ocasiones, su sentido es coloquial.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

75

común que también se ha ido observando en los estándares previos 82. Tampoco se considera olvido el que no figuren algunas definiciones frecuentes en el mundo del  compliance como “socio de negocios”83 o “debida diligencia”84, por su escasa utilización en el cuerpo normativo del estándar. estándar.

II.3.1. Organización La definición, su importancia y origen Es la “persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para el logro de sus objetivos (3.6)”. Es un concepto de importancia capital, que se emplea en prácticamente todos los capítulos del estándar ISO 37301:2021 y cuyo contenido coincide con el de la HLS, como también sucede en los estándares previos ISO 19600:2014 (definición 3.1) e ISO 37001:2016 (definición 3.2).

Comentarios  No cabe cabe duda de que se trata de un un concepto concepto fundamental fundamental een n la medida que el sistema  de gestión g estión d  dee  compliance  se proyecta sobre la  organizació  organizaciónn, según señala el apartado 4.4 Sistema de gestión del compliance del estándar ISO 37301:2021. 3730 1:2021. Por tanto, tanto, la adecuación del sistema debe evaluarse en relación con la  organización en la que se aplica. La definición considera que la consecución de determinados objetivos es el factor que cohesiona a los diferentes elementos que aglutina. Por este motivo, compartir tales  objetivos y sus consecuencias denota si una persona o grupo de personas forman real-

 compliance  compl iance”

82 El estándar ISO 19600:2014 no incorporaba el término definido “sistema de gestión gesti ón de

en su capítulo 3 Términos y definiciones, ni el estándar ISO 37001:2016 hacía lo propio respecto a “sistema de gestión antisoborno antisoborno”, ”, a pesar de que ambos recurrían respectiva respectivamente mente a los conceptos en numerosas definiciones y, por supuesto, a lo largo del cuerpo de dichas normas. 83 El vocablo “socio de negocios”, definido en el estándar ISO 37001:2016 y de uso frecuente en los textos de compliance sobre la prevención de la corrupción y del soborno, solo figura en la única nota a la definición de Tercera parte del estándar. Sobre este particular, véanse los comentarios ampliados en el apartado II.3.30 Tercera parte, de este libro. 84

Parece extraña lae.ausencia delaparece término “debida diligencia”, de uso frecuentecon enlamuchos textos de complianc  compliance Pero solo en definido el apartado 7.2.2 Proceso de eempleo mpleo , vinculado debida diligencia en los procesos de contratación y promoción de empleados empleados.. No fue tampoco un término definido en el estándar ISO 19600:2014, aunque sí en la norma ISO 37001:2016.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

76

mente parte de una organización o son terceras partes, con las distintas consecuencias que se derivan de ello, a efectos del estándar ISO 37301:202185. La nota 1 que incorpora el apartado deja patente lo dúctil del concepto, pues, entre otras opciones, comprende: • Un trabajador independiente. • Una corporación, firma, firma, empresa, empresa, autoridad, sociedad, sociedad, organización benéfica o institución, tanto de naturaleza jurídica privada como pública. • Una parte de las estructuras citadas en el párrafo anterior, anterior, o una combinación de ellas. Evidentemente, estas aproximaciones nos recuerdan que se trata de un término organizativo y no jurídico, donde prevalece la noción de “ risky entity” sobre la de “legal  entity”, en línea con un enfoque basado b asado en el riesgo (véase el apartado I.6.2.2 Enfoque  Enfoque    basado en el riesgo, de este libro). La flexibilidad de este concepto organizativo desconcierta a quienes están acostumbrados a manejarse en términos jurídicos, donde una organización se corresponde con una persona jurídica o, como mucho, con un grupo de personas jurídicas. Pero les resulta más trabajoso comprender que, afectos del estándar ISO 37301:2021, 37301:202 1, una sola persona  jurídicaa pueda comprender  jurídic comprender varias organiz  organizaciones aciones (caso, por ejemplo, de confluir en una sola entidad distintas actividades dirigidas y desarrolladas por sus correspondientes grupos de personas, con unos objetivos propios cada uno de ellos) o que, incluso, una porción de varias personas jurídicas puedan constituirse con stituirse en orga  organiza nización ción diferenciada (en venturee contractual, por ejemplo, donde cada partícipe asigna ciertos equipos una joint ventur y, todos ellos, asumen en conjunto unos objetivos propios distintos de los individuales de las personas jurídicas u organizaciones de origen que los han aportado). Todo ello permite establecer el sistema de gestión de compliance que mejor se adapte a cada caso en aras a su eficacia y que puede llevar a disponer de un solo modelo para un conjunto conju nto de entidades legales, o que una de ellas establezca varios en su seno. El estándar ISO 37301:2021, al igual que qu e sus antecesores, no quiere encorsetar la definición, exigiéndole por ejemplo, la relación matriz-filial puede encuadrarse como una sola organización o como una relación entre  organizaciones diferenciadas, dependiendo de si comparten o no  objetivos. Estos  objetivos comunes normalmente se traducen en compartir o concentrar  procesos decisorios, lo que permite actuar de manera coordinada en la consecución de las metas compartidas. Estos objetivos también suelen ir acompañados de  procesos de control o supervisión comunes. Por consiguiente, la relación matriz-filial no conduce necesariamente a la existencia de una sola organ  organización ización, ni incluso en escenarios de participación mayoritaria si no concurre esa unidad de objetivos. De estas consideraciones 85 Así,

resultará la necesidad tratar a ciertas como los comentarios acerca terceras partes (véanse de este término en elde apartado II.3.30entidades Tercera parte , de este libro), o la gestión de determinados  procesos de los que se estén ocupando como contrataciones externas (véanse las cautelas al respecto que se apuntan en el apartado II.8.1 Planificación y control oper operacional acional, también de este libro).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

77

muchos condicionantes, con el peligro de que terminen complicando la adaptación del modelo de compliance a las circunstancias de cada caso y perjudicando su eficacia. Sin perjuicio de todo lo anterior, anterior, es cierto que algunas de las opciones organizativas que admite la decisión pueden ocasionar dificultades prácticas a la hora de certificar el sistema de gestión86. El uso extensivo que el estándar ISO 37301:2021 realiza del concepto “ organización” tiene normalmente el propósito de atribuirle el impulso o ejecución de  requisitos87 . Esto no plantea problemas de asignación en escenarios simples donde la organización coincide con la persona (trabajador independiente), pero cuando está formada por un grupo de personas, cabe preguntarse quién asume la responsabilidad concreta en relación con esos requisitos. En líneas generales, cabrá identificar a los sujetos que dispongan de la capacidad operativa para ello88, susceptibles de variar significativamente según las muchas alternativas organizativas que admite el concepto de  organización. Ciertamente, el órgano de gobierno y la alta dirección ejercen una enorme vis atractiva al respecto, pues representan representan las máximas instancias de gobierno social, con amplias facultades para la adopción de decisiones e incluso, tienen límites legales en la delegación de roles sobre cuestiones relevantes89. En cualquier caso, para requi  requisitos sitos especialmente relevantes, el estándar ISO 37301:2021 no se limitito a exigirlos a la organi  organizació zaciónn, concretando después quién en su seno asume 86 Los

problemas prácticos más destacables son de tipo técnico y también en cuanto a las expectativas de confianza que genera la certificación. Desde una perspectiva técnica, puede resultar difícil deslindar los elementos del sistema de gestión de la  organi  organizaci zación ón evaluada respecto a los que corresponden a otras organi  organizaci zaciones ones  donde se integra o de donde se desgrana. En particular, perfilar el entorno de control en estos casos es complejo si, por ejemplo ejemplo,, se comparten controles y estructuras. Por otra parte y desde una perspectiva de confianza, una certificación referida a una parte de una entidad, puede confundirse fácilmente con una opinión respecto a su conjunto. Se ha dado algún paso nacional para mitigar los inconvenientes de la elasticidad de la definición: por ejemplo, el estándar español UNE 19601:2017 sobre sistemas de gestión de  comp  complia liance nce penal añade que ese conjunto de elementos debe constituir una unidad operativa y de negocio. 87 Much  Muchos os ap aparta artados dos d del el es estánd tándar ar IS ISO O 373 37301:2 01:2021 021 aatri tribuye buyen n requ requisi isitos tos a la  org  organi anizac zación ión  (“la  organiz  orga nizaci ación ón debe…”), lo que puede ocasionar dudas sobre a quién en concreto corresponde impulsarlos (más allá de que deban estar presentes para dar debido cumplimiento cumplimient o a la norma). 88 En muchas ocasiones, la capacidad operativa irá vinculada a la capacidad legal para desarroll desarrollar ar esos cometidos, lo que obligará a considerar el marco jurídico donde debe desenvolverse el  sistem  sis temaa ddee gest g estión ión , por aplicación del principio de subordinación a Ley. 89 Cada vez más ordenamientos jurídicos señalan cometidos no delegables por las máximas instancias de gobierno social, incluyéndose normalmente los relacionados con la supervisión y control. Por otra parte, aun cuando se puedan delegar ciertas actividades: (i) Ello no implica necesariamen necesariamente te la delegación de la rresponsabilida esponsabilidad d última en cu cuanto anto a sus resultados. (ii) Tampoco equivale a una “abdicación” de ciertos cometidos, cuando son especialmente trascendentes para una gestión social responsable.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

78

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

un rol destacado con ellos. ello s. Por eso, eso, es especialmente relevante explorar el contenido de los apartados 5.1 Liderazgo y compromiso, 5.3 Roles, responsabilidades y autoridades, 9.1.4  Informes de compliance y 9.3  Revisión por la dirección dire cción, para concretar las figuras más próximas a determinados requisitos que en otros apartados del estándar se atribuyen a la organización, en términos generales.

II.3.2. Parte interesada La definición, su importancia y origen  organización ión (3.1) que puede afectar, verse afectada, o percibirse Es la “persona u  organizac como afectada por una decisión o actividad”. Es un concepto cuya aparición se circunscribe a los capítulos 4

Contexto de la

 organizac  orga nización ión , 5  Lide  Liderazgo razgo , 7  Apoy  Apoyoo  y 9  Evalu  Evaluació aciónn del dese desempeño mpeño del estándar ISO 37301:2021; con un notable protagonismo en el primero –como elemento necesario para enfocar correctamente el siste  sistema ma de gestión– y un rol de acompañamiento en el resto. Se emplea exactamente la misma definición que en la HLS y que igualmente utilizó el estándar ISO 19600:2014 (definición 3.2). La definición utilizada en la norma ISO 37001:2016 (definición 3.3) incorporaba una nota, apuntando que las  partes  interesadas podían ser tanto internas como externas, recordando así que existen numerosos colectivos afectados por la actividad de  compliance en el seno de la propia  organización  organiza ción, más allá de los empleados en general. Son, normalmente colectivos, áreas o funciones internas que precisan interactuar y nutrirse de información de com. Aunque el estándar ISO 37301:2021 no explicita esta diferencia, el apartado  plianceComprensión  A.4.2 de las necesidades y expectativas de las partes interesadas interesad as del anexo A (informativo) Guía para el uso de este documento, contempla una relación no limitativa donde figuran ejemplos de ambas categorías.

Comentarios Existe la tendencia errónea a pensar que las  partes interesadas son siempre colectivos externos a la organización. Tal Tal vez por ello, aunque aunqu e la relación de ejemplos ejemplo s propuesto en el apartado A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas del anexo A (informativo) Guía para el uso de este documento documento señala algunos de estos colectivos, escasean los que tienen naturaleza natural eza interna, entre los que cabría destacar aquellas áreas o funciones relacionadas con la gestión de riesgos, el buen gobierno corporativo (incluyendo la responsabilidad social y la sostenibilidad), el control de riesgos legales,

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

79

etc. A medida que legisladores, reguladores reguladores y supervisores incrementan incrementan el protagonismo de la información no financiera de las  organizaciones, también se acrecienta la necesidad de que la función de compliance  compliance interactúe con estos y otros grupos internos, que manejan en su quehacer datos e informaciones sobre esta materia.

II.3.3. Alta dirección La definición, su importancia y origen Es la “persona o grupo de personas que dirigen y controlan una  organización (3.1) al más alto nivel”. Es una definición que se emplea en los capítulos 1 Objeto y campo de aplicación , 5  Liderazgo, 8 Operación y 9  Evaluación del desempeño, del estándar ISO 37301:2021.  No obstante, obstante, su máximo protagonismo protagonismo radica en el el capítulo capítulo 5 Liderazgo. Es la misma definición establecida por la HLS y que previamente utilizar utilizaron on también sin variación los estándares estándares ISO 19600:2014 (definición 3.3) e ISO 37001:2016 (definición 3.6).

Comentarios La definición de alta dirección puede no comprenderse sin considerar la de  órgano de  gobierno y estar a lo que dispone el capítulo 1 Objeto y campo de aplicación del estándar ISO 37301:2021.  Aunque la HLS define alta dirección, no hace lo propio respecto a órgano de gobierno. Para la mayoría de los estándares ISO, la  alta dirección  es, simplemente, el máximo nivel decisorio en el seno de la organización, como se infiere con claridad de las notas incorporadas a su definición. Es, como todos, un concepto organizativo que puede tener diferentes encajes legales.  No obstante, el estándar ISO 19600:2014 añadió la definición de órgano de gobierno como colectivo que gobierna la organización, estableciendo su estrategia y al que la  alta dirección informa (definición 3.4). Se introdujo así un órgano por encima de la  alta dirección, como también hizo después el estándar ISO 37001:2016 (definición 3.7). Además de emplear términos parecidos, su nota 1 advertía que “no todas las  organiza  orga nizacion ciones es, especialmente las organizaciones pequeñas, tendrán un órga  órgano no de gobi gobierno erno  independiente de la  alta dirección”. Este mensaje se reproduce ahora en dos lugares del estándar ISO 37301:2021 (definición 3.21): en el capítulo 1 Objeto y campo de  aplicación y en acrecienta la nota 1 a la propia definición de órgano de gobierno (véase el apartado II.3.21 Órgano de gobierno, de este libro).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

80

 requisitos os del estándar a las diferentes modaEsta distinción permite acomodar algunos requisit lidades organizativas y legales que pueden darse. Así, cuando se atribuyen actividades o responsabilidades al órgano de gobierno y a la alta dirección: • caracterizan Aplicarán al las único órgano órgano existente cuando concurran los elementos que definiciones de alta dirección  y de órganoendeélgobierno . • Aplicarán de forma selectiva selectiva cuando existan órganos órganos diferenciados, según según dis dis-crimine el contenido normativo del estándar ISO 37301:2021. De acuerdo con lo anterior, por ejemplo, aplicará todo el contenido del apartado II. 5.1.1 Órgano de gobierno  yy alta direcció direcciónn al único órgano que reúna las características de ambas definiciones; pero se estará a la distribución de requisitos que fija dicho apartado90 cuando existan dos órganos diferenciados. Otros casos reseñables los hallamos en los apartados 5.3.1 Órgano de gobierno y alta dirección, en relación con los roles, responsabilidades y autoridades de dichas instancias, y 9.3  Revisión por la direcc dirección ión, relativa a la cadena de reporte interna de  compliance (véanse los apartados II.5.1.1  II.5.1.1  Órgano de gobierno y alta dirección y II.9.3 Revisió  Revisiónn por la direcci dirección ón, ambos de este libro).

II.3.4. Sistema de gestión La definición, su importancia y origen Es el “conjunto de elementos de una  organización (3.1) interrelacionados interrelacionados o que interactúan para establecer  políticas (3.5),  objetivos (3.6) y  procesos (3.8) para lograr esos objetivos”. Se trata de un concepto importante por su utilización extensiva en el cuerpo del estándar ISO 37301:2021 pero, sobre todo, por su valor conceptual. Remarca la importancia de la interacción de componentes como factor diferencial respecto a programas de  compliance que se limitan a listarlos y describirlos, pero que no profundizan en su interrelación. Es la misma definición que figura en la HLS, que se utilizó también en los estándares ISO 19600:2014 (definición 3.7) e ISO 37001:2016 (definición 3.5).

apartado II.5.1.1 Órgano de gobierno y alta dirección, de este libro, establece algunos contenidos dirigidos exclusivamente al órga  órgano no de gobi gobierno erno , mientras que fija otros son comunes de 90  El

dicho órganoespectros con la  alt Esta distinción intrascendente cuando solo órgano  alta a dir direcc ección ión .elementos cubre ambos (abarca los de las es definiciones de órgano de un gobierno y alta dirección), pero cabe considerarla cuando existen dos. En relación con este apartado, véase el apartado II.5.1.1 Órgano de gobierno y alta dirección , de este libro.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

81

Comentarios El estándar ISO 37301:2021 determina un  siste  sistema ma de gesti gestión ón, de manera que sus componentes guardan relación los unos con los otros, según se ha explicado anteriormente (véase el capítulo I.4  El estándar ISO 37301:2021 como si , stema de ge gestión de este libro). La forma en que interactúan se aprecia gráficamente sistema en la figura Istión que aparece en la Introducción de la norma. no rma. Como se puede observar, observar, existe una serie de elementos que condicionan el modelo en su conjunto (principios, contexto de la  organización y  objetivos), mientras que otros forman parte de su operativa continua, dentro de cada uno de los apartados clásicos “planificar, hacer, comprobar, actuar” (“ Plan, Do, Check, A Act  ct ”), ”), tan típicos del conocido ciclo Deming (véase el capítulo I.2  I.2   La HLS de ISO, de este libro).  Asimismo, no define “ sistema de gestión de  compliance”, dado que es el resultado de  Asimismo, aplicar el contenido normativo del estándar en su conjunto. Por lo demás, brinda una descripción general en el apartado 4.4 Sistema de gestión del compliance  compliance. Tampoco se incorporó la definición en las normas ISO 19600:2014 e ISO 37001:2016 –este último respecto a “ sistema de gestión antisoborno”–, por los mismos motivos, aunque igualmente utilizaron estos conceptos en su cuerpo 91. En cualquier caso, disponer de un “ sistema de gestión”, en general, o de un “ sistema de  gestión de compliance”, en particular, particular, no constituye una un a finalidad en sí misma, siendo meramente instrumental a su propósito trascendente. Aunque el contenido del apartado 4.4. Sistema de gestión de compliance no ayuda mucho a encontrarlo, sí lo vemos reflejado en la Introd  Introducción ucción del estándar ISO 37301:2021, 37301 :2021, de gran valor interpretativo. interpretativo. Es allí donde aparecen los vínculos del compliance con la cultura de la l a organización y la  conducta de sus personas, siendo las piezas clave que brindan auténtico sentido a un sistema de gestión de compliance.

91 El

estándar ISO 19600:2014 no define “sistema de gestión de compl  compliance iance ”, aunque se refiere

a él ence numerosas y puede cincelarse través dedesus apartados 4.3  Deter  Determinac ión ddel  alcan  alcance del sistema sist ema ocasiones de gesti gestión ón del compl complianc iancee y 4.4.a  Sistema gestión de compliance y minación principios deel  buen gobie g obierno rno. El estándar ISO 37001:2016 tampoco define “sistema de gestión antisoborno”, pero describe sus trazos esenciales en el apartado 4.4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

82

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.3.5. Política La definición, su importancia y origen Son las “intenciones y dirección de una  organización (3.1), como las expresa formalmente su alta dirección (3.3)”. No obstante, la única nota aclaratoria de esta entrada señala que también puede expresar una política el órgano de gobierno. Es una definición de uso frecuente en el estándar ISO 37301:2021, principalmente en  Política el capítulo 5 Liderazgo, donde dispone de un apartado que la desarrolla: 5.2  Política  de compliance. No obstante, también se cita en los capítulos 6  Planificación, 7 Apoyo, 8 Operación y 9 Evaluación del desempeño. Esta definición coincide coinc ide con la de la HLS y es equivalente con la que antes emplearon los estándares ISO 19600:2014 (definición 3.8) e ISO 37001:2016 (definición 3.10).

Comentarios Una  política manifiesta la voluntad de la  organización en determinada materia, para  conducta cta del person  personal al92 y de los terceros alinear con ella la condu terceros bajos su supervisión, evitando que las actividades se desarrollen según sus criterios individuales. Por tanto, no es una mera manifestación de intenciones, sino que dispone de d e naturaleza obligacional para sus destinatarios. Lo contrario, co ntrario, le privaría de todo sentido. El contenido de las políticas lo fijan las máximas instancias de gestión social, mientras  procedimie dimientos ntos que las desarrollan suelen prepararse por órganos o cargos que los  proce técnicos que dependen de ellas. En cualquier caso, ni un  procedimiento ni cualquier otra norma de rango inferior debería contravenir lo establecido en las  políticas, pues constituyen la máxima representación de la voluntad de la  organización. Aunque el estándar ISO 37301:2021 señala que las  políti  políticas cas las expresa formalmente la  alta  dirección, aclara en su única nota que también puede hacerlo el  órgano de gobierno.

92

 La definición 3.22  que establece el estándar ISO 37301:2021 es amplia y se aleja del término “empleados” Personal al que recurría el previo estándar ISO 19600:2014. Así, incluye a sujetos  vinculados con la organización sea mediante una relación laboral, como de cualquier otro tipo. Por consiguiente, abarca también a la alta dirección e incluso, a los miembros del  órgano de gobierno.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

83

Recordemos que este último término no figura definido en el texto de la HLS y de ahí surge la necesidad de la aclaración93. Curiosamente, el estándar define el término política, pero no “ política de compliance” a pesar de que se utiliza ampliamente cuerpo normativo94. El contenido de esta política  concreta viene determinado por: • La conjunción de las definiciones “ polí  política tica ” y “ comp  complianc liancee”, lo que conduce  organizac nización ión  e necesariamente al documento que plasma la voluntad de la  orga  en n cuanto al cumplimiento de todas sus  obliga  obligacione cioness de ccomplianc ompliancee. • Lo establecido en el apartado 5.2  Polític  Políticaa de comp complian liance ce, donde, a pesar de la apariencia general de su título, el contenido hace referencia explícita a la  política  polít ica  de  compl  complianc iancee.  Aunque la polít  Aunque  política ica de compl  compliance iance es un elemento dentro del sistem  sistemaa de gestió gestiónn que articula el estándar ISO 37301:2021, goza de un protagonismo indudable al tratarse de una exigencia muy frecuente en los textos sobre  compliance y dentro las expectativas de las partes interesadas, especialmente las Administraciones Públicas. De este modo, la fijación clara de la voluntad de la organización en materia de  compliance es el primer paso para exigir ciertos parámetros de conducta y determinar: (i)

Actividades tendentes a su mejora.

(ii) Elementos de control control que permitan valorar valorar su grado de conocimiento y debido cumplimiento. Toda actividad de control sobre patrones de comportamiento no fijados previamente corre el riesgo de considerarse arbitraria.

estándar previo 19600:2014 únicamente señalaba la alta dirección dirección como emisor de las políticas, a pesar de que su capítulo 3 Términos y definiciones contemplaba la definición de órgano de gobierno  (a diferencia de la HLS, que se limita a definir la  alta dirección en un sentido muy amplio). El estándar ISO 37001:2016 solucionó esta laguna indicando en el cuerpo de la definición de  política  que las podían expresar, tanto la  alta dirección d irección  de la  organización como su  órgano de gobi gobierno erno. El estándar ISO 37301:2021 opta por no expandir la definición, refriéndose solo a la  alta dirección , pero aclarando su interpretación más amplia mediante una nota. En relación con este particular,  véanse los comenta comentarios rios a la lass d definicio efiniciones nes de alta dirección dirección y órgano de go gobierno bierno en los apartados II.3.3 II.3.3    Alta dirección y II.3.21 Órgano de gobierno, ambos de este libro. 94 Esta situación ya se producía en los estándares previos ISO 19600:2014 e ISO 37001:2016. 93 El

 A pesar de no n o defi definir nir “ pol  de comp ”, la Norma ISO 19600:2014 sí definía defi nía de manera  políti ítica caliance  complia liance nceindicando separada polí  polític tica a (3.8) y comp  complia nce  (3.17), en su apartado 5.2 Políti  Política ca de ccompl omplianc iancee. El estándar ISO 37001:2016 se limitó a definir  pol  políti ítica ca  (3.10) y  sob  soborn ornoo (3.1), estableciendo también el apartado 5.2  Polít  Política ica ant antiso isobor borno no .

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

84

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.3.6. Objetivo La definición, su importancia y el origen Es el “resultado a lograr”. Es una definición de uso frecuente en el estándar ISO 37301:2021, principalmente en el capítulo 6 Planificación, donde el apartado 6.2 Objetivos de compliance y planifi cación para lograrlos cincela el concepto, aunque también se emplea en los capítulos 4 Contexto de la organización, 5 Liderazgo, 6 Planificación y 9 Evaluación del desempeño. Es una definición importante a la hora de comprender el funcionamiento de un modelo de compliance en clave de un sistema de gestión (véanse también los comentarios en el capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión y en el apartado I.6.2.2 Enfoque basado en el riesgo, ambos de este libro). l ibro). Es la misma definición que viene marcada por la HLS y que antes también utilizaron los estándares ISO 19600:2014 (definición 3.9) e ISO 37001:2016 (definición 3.11).

Comentarios Es estándar utiliza el concepto de objetivo, pero no define el concepto de “ objetivos de  compliance” que: • Son el resultado de agregar los términos definidos de “ objetivo” y “ compliance”, que conduce a los resultados a lograr en materia del cumplimiento de las  obli gaciones de compliance que afectan a la  organización. • Su formulación detallada se se indica en el apartado apartado 6.2 Objetivos de compliance y

 planificación para lograrlos.

Quienes no están habituados a los modelos de comp  complian liance ce que operan en clave de siste  sistema ma  de gestión suelen confundir los objeti  objetivos vos de  compliance iance con propósitos generales, como la  de compl tolerancia cero a los no cumplimientos cumplimientos de com compliance pliance, el mantenimiento de una cultura corporativa ética y respetuosa con las normas, etc. Sin restar valor a estas manifestaciones, que son más propias del marco para la definición de  objetivos en la  política de  compliance (véanse los comentarios en el apartado II.5.2 Política  Política de comp compliance liance, de este libro), los objetivos de compliance varían en virtud de diferentes parámetros, vinculados  organizaci ización ón y su nivel de exposición a los con las circunstancias internas y externas de la organ  riesgos  riesg os de comp complian liance ce (véanse los comentarios en el apartado II.6.2 Objetivos de compliance  compliance   y planificación planificación para lograrlos, de este libro). Por tanto, el marco estable para la fijación de objetivos que determina la política de compliance, no equivale a dichos objetivos. Para facilitar su determinación, algún estándar (Norma UNE 19 19601:2017 601:2017 Sistemas de  gestión  gesti ón de comp complian liance ce pena penal.l. Requ Requisito isitoss con orien orientació taciónn para su uso, en su apartado 6.3 Obje-

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

85

tivos de compliance penal y planificación para lograrlos) diferencia entre obje  objetiv tivos os estratégicos y tácticos u operativos, ayudando a transitar desde enfoques “macro” a planteamientos “micro” o detallados, lo que facilita concretar las actividades a planificar, planificar, los recursos que se precisarán a tales efectos, los indicadores para medir su grado de consecución, etc.

II.3.7. Riesgo La definición, su importancia y origen Es el “efecto de la incertidumbre sobre los objetivos (3.6)”. Se trata de una decisión ampliamente utilizada en el cuerpo del estándar ISO 37301:2021, con especial relevancia en el apartado 4.6  Evaluació  Evaluaciónn de los riesgo riesgoss de

 compliance.

 Aunque es la misma definición empleada en los estándares estándares previos previos ISO 19600:2014 (definición 3.11) e ISO 37001:2016 (definición 3.12), es distinta de la que aparece en la HLS, que define el riesgo de forma mucho más amplia: “efecto de la incertidumbre".

Comentarios La definición de  ries  riesgo go que incorpora el estándar ISO 37301:2021, aunque más acotada que la propuesta por la HLS, sigue siendo un término amplio. Esto obliga a definir posteriormente riesgo de compliance. Yendo más allá de la HLS, la definición vincula la incertidumbre al término definido  objetivos, lo que acota su contenido a los resultados que se pretenden alcanzar a través del sistema de gestión de compliance. Por consiguiente, consiguiente, es una cuestión que enlaza con los contenidos del apartado 6.2 Objetivos de compliance y planificación para lograrlos. Una de sus notas aclaratorias señala que el  riesgo  puede expresarse en términos de probabilidad o consecuencias, que es precisamente lo que hace después el concepto  de compliance  compliance. En este sentido, el estándar ISO 37301:2021 sigue una aprode riesgo de  ximación, generalmente generalmente acept aceptada, ada, en la esfera esfera de la evaluación de riesgos. El apartado  A.4.6 Evaluación de llos os riesgos de com compliance pliance del anexo A (informativo) Guía para el uso  de este documen documento to, no solo se refiere a la probabilidad de un riesgo y a sus consecuencias, sino que introduce los conceptos de riesgo inherente y  residual  residual. El primero es aquel que se estima en ausencia de medidas de control o tratamiento, mientras que el segundo resulta de tener en cuenta su efecto en la valoración resultante. Aunque el estándar toma conceptos habituales en la gestión de riesgos, evita referirse al “apetito de riesgo”, que induciría a pensar que la organización puede decidir qué normas cumple y cuáles

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

86

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

no. Se trataría de un escenario incoherente con la propia definición definició n de compliance, que se refiere expresamente a observar “todas” las  obligaciones de compliance que afectan a la organización. Es, pues, una omisión deliberada95.

II.3.8. Proceso La definición, su importancia y origen Es el “conjunto de actividades interrelacionadas o que interactúan, que emplean o transforman elementos de entrada para obtener resultados”. Es una definición presente en casi todos los capítulos del estándar ISO 37301:2021, sin que ninguno de ellos realice un uso especialmente intenso de la misma. Su empleo es común en cuanto a que diferentes componentes y requisitos de la norma se vinculan con los procesos de la organización. Es una definición basada en la HLS, que acogieron los estándares ISO 19600:2014 (definición 3.10) e ISO 37001:2016 (definición 3.15).

Comentarios  Aunque todos los términos  Aunque términos que define define el estándar estándar ISO 37301:2021 37301:2021 son organizat organizativos, ivos, no legales, esto es muy patente en el concepto de proceso. Las organiza  organizaciones ciones desarrollan sus actividades a través de diferentes procesos, que van desde la gestión de compras, las actividades de prestación de servicios, la entrega de productos, la gestión financiera ysino un siguiendo largo etcétera. Estas prefijado, y otras actividades nointerrelaciones se desarrollan ydeformalidades. manera aleatoria, un orden con ciertas Esta manera predefinida de actuar puede plasmarse gráficamente en los denominados “mapas de procesos”. Los procesos pueden conformarse y quedar formalizados en uno o varios procedim  procedimientos ientos, que fijan la forma específica de ejecutarlos. El estándar ISO 37301:2021 también  procedimiento miento que, aun no estando presente en la HLS, incorpora la definición de  procedi también se utilizó en el estándar ISO 19600:2014, pero no en el ISO 37001:2016, que ocasionalmente hace un uso coloquial del término. 95 El

concepto de “apetito de riesgo” se debatió expresamente y se excluyó del cuerpo del estándar

ISO 37301:2021. El apartado A.4.6  Evaluación de los riesgos de compliance del anexo A (informativo) Guía para el uso de este documento señala que se comparará el nivel de riesgo de compliance que resulta dicho ejercicio con el establecido en la política de compliance, que obviamente pretenderá el cumplimiento de las obligaciones de compliance, sin cortapisas.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

87

II.3.9. Competencia La definición, su importancia y origen Es la “capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos”. Es una definición de uso limitado en el estándar ISO 37301:2021, básicamente en los capítulos 5  Liderazgo  y 7  Apoyo, en relación con las  competencia  competenciass de personas o categorías de sujetos. Es la misma definición que figura en la HLS y que también utilizaron los estándares previos ISO 19600:2014 (definición 3.23) e ISO 37001:2016 (definición 3.13).

Comentarios es un término definido, sino también, el Cuando encabezamiento Competencia apartado del no 7.2solo Competencia  del estándar ISO 37301:2021. se habla del de  competencia o de factores que inducen o se asocian a la competencia de una persona o de un colectivo, cabe realizar una interpretación amplia, no limitada a la titulación académica o a la formación teórica, sino también, al bagaje práctico y a otras capacidades esperables por motivos del rol a desempeñar desempeñar..

II.3.10. Información documentada La definición, su importancia y origen Es la “información que una  organización (3.1) tiene que controlar y mantener, y el medio en el que está contenida”. Es una definición de uso intensivo en el estándar ISO 37301:2021, en la medida que  requisitos os en relación con los requisit requisitos os de informa información ción docume documentada ntada se asocia con múltiples requisit  del estándar ISO 37301:2021, consúltese el anexo I Información documentada, de este libro), que deberán entonces mantenerse y acreditar según determina el apartado 7.5  Información  Infor mación docum documentad entadaa. Es una definición coincidente con la de la HLS, que también se empleó sin la alteración los estándares previos ISO 19600:2014 (definición 3.24) e ISO 37001:2016 (definición 3.14).

Comentarios

La definición de informació  informaciónn document documentada ada supone la necesidad de que ciertos requisitos  estén recogidos en un soporte de calidad. No cualquier documento reúne las condi-

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

88

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

ciones exigidas por el apartado 7.5 Información documentada, sino solo aquellos que observan ciertos parámetros relacionados con su creación, actualización y control. Esto puede aplicar a documentos o informaciones, tanto descriptivos del  siste  sistema ma 96

gestionados con motivo su aplicación práctica  de gestión ges tión, comolosproducidos  Antiguamente,  sistemas de ogestión  hacían referencia a lade documentación, al control. de documentos y al control de registros. Estos conceptos quedaron implícitamente incluidos en la definición de la HLS que ya siguieron los estándares ISO 19600:2014, ISO 37001:2016 y ahora ISO 37301:2021. Es un concepto importante para un MSS de Tipo A (certificable), donde la acreditación del nivel de cumplimiento de sus  requisitos precisa un sustrato de calidad. Las carencias en materia de  información documentada no significan necesariamente que el  sistema de gestión g estión de  compliance no sea adecuado, pero dificultarán que un tercero independiente emita una declaración de conformidad con formidad respecto a su contenido, cuando 97 

no se le pueda acreditar la concurrencia de requisitos .

II.3.11. Desempeño La definición, su importancia y origen Es un “resultado medible”. Utilizan esta definición los capítulos 5 Liderazgo, 7 Apoyo y  y,, sobre sob re todo, el 9 Evalua  Evaluación ción  del desempeño, todos ellos en el contexto de la medición y el reporte del rendimiento del  sistema de gestión de compliance. Es la misma definición que recoge la HLS y que también utilizaron los estándares previos ISO 19600:2014 (definición 3.26) e ISO 37001:2016 (definición 3.16).

necesidad de mantener  infor  informació maciónn ddocumen ocumentada tada  no significa que deba conservarse todo tipo de documentos, sino solo aquellos necesarios para acreditar la existencia, conocimiento y aplicación efectiva de los  requis  requisitos itos  que la precisan.

96 La

97 La

imposibilidad de emitir una opinión profesional por carencias de infor  informació maciónn docume documentada ntada  

no equivale a una opinión adversa en cuanto al  sis  evaluado. Es más, determina sistema tema de d e ges gestió tiónnlas dos déficits de  inf  informa ormació ciónn ddocu ocument mentada ada  pueden suplirse ante Administraciones (incluida la de Justicia) con los medios de prueba admitidos en Derecho, aunque hayan impedido la emisión de una opinión de  con  confor formid midad ad .

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

89

Comentarios Un sistema de gestión de  compliance no es una finalidad en sí mismo, sino una herramienta para alcanzar ciertos propósitos, incluyendo los trascendentes de establecer o mantener una cultura de compliance que se traduzca en conductas adecuadas, según apunta la  Introduc  Introducción ción del estándar ISO 37301:2021. Bajo esta premisa, medir el  desempeño del sistema de gestión se convierte en una actividad clave, hasta el punto de dedicarle el capítulo 9 Evaluación del desempeño y sugerir múltiples fuentes de información en el apartado A.9.1.2 Fu  Fuentes entes de opinión sobre el desempeño del compliance del anexo A (informativo) Guía para el uso de este documento. En cualquier caso, los parámetros de medición del desem  desempeño peño, tanto del siste  sistema ma de gesti gestión ón  en su conjunto como de cualquiera de sus componentes, pueden ser cuantitativos y cualitativos. Estos últimos son especialmente valorados en la medida en que ayudan a interpretar correctamente los datos facilitados.

II.3.12. Mejora continua La definición, su importancia y origen Es la “actividad recurrente para mejorar el desempeño (3.11)”. El estándar ISO 37301:2021 hace un uso u so constante de la definición, dado que es un factor relevante para su funcionamiento como siste  sistema ma de gesti gestión ón (véanse los comentarios del capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión, de este libro). Así, la vemos plasmada en los capítulos 5 Liderazgo, 6 Planificación, 7 Apoyo, 9 Evaluación  y 10 Mejora De hecho, este último se de ubica apartado 10.1desempeño , que .desarrolla el en concepto desdecapítulo un punto pun to vistaeloperativo.  del  Mejora continua Es la misma definición que plantea la HLS y que incorporó el estándar ISO 37001:2016 (definición 3.24). El estándar ISO 19600:2014 (definición 3.27) se desvió ligeramente del tenor literal de la HLS, refiriéndose tanto a actividades como a  proceso  procesoss  destinados a la mejora.

Comentarios El término mej  mejora ora cont continu inuaa se corresponde con un principio implícito de todo sist  sistema ema de  gestión  gest ión ISO (véanse los comentarios al respecto en el apartado II.6.2.4 Pri  Princi ncipio pio de mej mejora ora    contin  con tinua ua, de este libro). Promueve el progreso positivo del des  desemp empeño eño del sis  sistem temaa de ges gestió tiónn, de manera que incremente su  efic  eficacia acia. No solo le permite ajustarse a las variaciones en las circunstancias de la  organi  organizació zaciónn, sino que facilita introducir cambios selectivos en

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

90

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 sistema ema de gest gestión ión para disminuir la probabilidad de no aquellos elementos que integran el sist  conform  con formida idades des o no cum cumpli plimien mientos tos de com compli plianc ancee, o aumentar la capacidad para detectarlos y reaccionar de la forma más temprana para minimizar sus consecuencias. En última instancia, la  mejora continua se asocia igualmente con el incremento paulatino de los umbrales de exigencia respecto a las  conductas  de quienes se vinculan con la organización.

II.3.13. Eficacia La definición, su importancia y origen Es el “grado en el que se realizan las actividades planificadas y se logran los resultados planificados”. Esta definición, que se utiliza en la práctica totalidad totali dad de los capítulos del estándar ISO 37301:2021, aparece directamente extraída de la HLS. Aunque, curiosamente, no la incorporó la norma previa ISO 19600:2014, sí lo hizo el estándar ISO 37001:2016 en esos mismos términos (definición 3.9).

Comentarios Los textos sobre  compliance suelen referirse a la  eficacia de los programas o medidas a adoptar. No así sobre su “eficiencia”, que sería la ejecución de las actividades planificadas y la obtención de los resultados previstos con el menor volumen posible de recursos. Es una aproximación de la que se alejan los estándares de  compliance ISO, por cuanto esa búsqueda de eficiencia puede perjudicar la  eficacia de las actividades desarrolladas y del sistema de gestión en su conjunto. Se considera una meta secundaria, más relacionada con la ingeniería para la mejora de procesos que con el establecimiento  eficaz. de requisitos o directrices de un sistema de gestión de compliance  eficaz

II.3.14. Requisito La definición, su importancia y origen Es la “necesidad o expectativa establecida, generalmente implícita u obligatoria”. Es una definición importante, especialmente en todo MSS de Tipo A (certificable), que se emplea en prácticamente todos los capítulos del estándar ISO 37301:2021. Su redacción coincide exactamente exa ctamente con la de la HLS, que igualmente reflejó la norma

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

91

previa ISO 19600:2014 (definición 3.13). El estándar ISO 37001:2016 siguió una aproximación distinta (definición 3.4), con una definición más corta remarcando que el  requisito tenía que estar fijado en algún lugar y ser obligatorio, evitando así incluir necesidades o expectativas “generalmente implícitas” que podían ser difíciles de identificar y analizar.

Comentarios Los requisitos pueden venir establecidos en las obligaciones de compliance que afectan a la organización (tanto las obligatorias como las asumidas voluntariamente) y también en el propio sistema de gestión. No respetar las primeras generará no cumplimientos de  compliance, mientras que no observar las l as segundas producirá normalmente no confor midades (véanse las diferencias entre conformidad/no conformidad y  compliance  / /  no  cumplimiento de compliance que se comentan en el apartado I.5.3 Las no conformidades conformidades  

 y los no cumplimientos de compliance, de este libro).

II.3.15. Conformida Conformidad d La definición, su importancia y origen Es el “cumplimiento de un  requisito (3.14)”.

 conformidad midad y  no confor conformidad midad aparecen en el capítulo 7  Apoyo y Los conceptos de  confor  y,, sobre todo, en los capítulos 9  Evaluación del desempeño y 10 Mejora. Es la misma decisión de la HLS, que también incorporó el estándar ISO 37001:2016 (definición 3.21), pero no así ISO 19600:2014, que precisaba que la  conformida  conformidadd se refería exclusivamente a desatender un  requisito del  sistema de ggestión estión (definición 3.32). No obstante, la interpretación de esta definición sigue siendo la misma, según explico seguidamente.

Comentarios El estándar ISO 19600:2014 añadió a los conceptos tradicionales de la HLS de  conformidad/no conformidad, los de  cumplimiento/no cumplimiento de compliance. Los primeros hacían referencia a  requisitos del sistema de gestión, mientras que los segundos, a las obligaciones de compliance. Aunque la diferencia entre estas categorías debe analizarse según el contexto, en líneas generales, las primeras aplican sobre requisitos  fijados internamente en el contexto del  sist  sistema ema de gest gestión ión (asistir a una sesión de

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

92

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

formación, por ejemplo), mientras que los segundos se relacionan con cuestiones procedimentales o sustantivas de mayor calado, que derivan de las  obliga  obligacione cioness de  compliance (véanse los comentarios en el apartado I.5.3 Las no conformidades y los no no   , de este ISO libro). El estándardesmarcándose ISO 37301:2021  cumplimientos  cumplimiento e ccompliance ompliance el camino ques dde inició su antecedente 19600:2014, de lasigue HLSasíy rubricando esta diferencia tan típica que no recogen otros sistemas de gestión, incluido el estándar ISO 37001:2016.

II.3.16. No conformidad La definición, su importancia y origen Es el “incumplimiento de un  requisito (3.14)”. Se utilizan los conceptos de conformida  conformidadd y no conformid conformidad ad en los capítulos 9 Evaluac  Evaluación ión  del desempeño y 10 Mejora. Este último contempla las no conformidades como circunstancias no solo a corregir, sino también, a analizar para mejorar el  sistema de gestión gestió n  y evitar que se reproduzcan. Es la misma decisión de la HLS, incorporada también por el estándar ISO 37001:2016 (definición 3.22). Sin embargo, el estándar ISO 19600:2014 vincuco nformida midadd a dejar de satisfacer un requ  requisi isito to del sis  sistema tema ddee ges gestión tión (véase laba la  no confor el apartado I.5.3 Las no cconfo onformid rmidades ades y lo loss no cumpli cumplimien mientos tos de compl complianc iancee, de este libro). En cualquier caso, este sigue siendo el sentido de la definición actual, según se explica a continuación.

Comentarios Como se ha comentado anteriormente al tratar la definición de confo  conformida rmidadd, el estándar ISO 19600:2014 añade a los conceptos clásicos de  conformidad/no conformidad , los de  cumplimiento/no cumplimiento de compliance. El estándar ISO 37301:2021 sigue esta misma línea: normalmente, las  no conformidades  se vinculan con exigencias del  sistema de gestión (suscribir una declaración periódica de conformidad con una política, por ejemplo), mientras que los no cumplimien cumplimientos tos ddee com compliance pliance entrañan la vulneración de las  obligaciones de compliance, que revisten mayor gravedad. Esto permite distinguir entre las tipologías de las irregularidades y ayuda a moderar la reacción ante las mismas por su distinto grado de relevancia.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

93

II.3.17. Acción correctiva La definición, su importancia y origen Es la “acción para eliminar la causa de una no conformidad (3.16) y evitar que vuelva a ocurrir”. El concepto se aplica igualmente en el ámbito de los  no cumplimientos de  compliance, como se desprende inequívocamente de lo establecido en el apartado 10.2

 No conformidades y acciones correctivas.

Es una definición de uso limitado en el estándar ISO 37301:2021 373 01:2021 que se circunscribe a los capítulos 5  Liderazgo , 9  Evaluación del de desempeño sempeño y 10  Mejora. Tiene especial protagonismo en el apartado 10.2 No conformidades y acciones correctivas. Reproduce el texto de la HLS, como hizo el estándar ISO 37001:2016 (definición 3.23). Sin embargo, el estándar previo ISO 19600:2014 (definición 3.35) vinculó expresamente la  acció  acciónn ccorrec orrectiva tiva no solo con  no confo conformidad rmidades es, sino también, con , debido a la de este parámetroy no  no cumplimientos de compliance definido ni establecido en la HLS (véase el utilización apartado I.5.3  Lasúltimo no conformidades co nformidades los los    no cumplimientos de compliance, de este libro). La interpretación de la definición en el estándar ISO 37301:2021 sigue esta línea, no por el tenor literal de su redacción –coincidente ahora con la HLS– sino por indicación de su única no nota ta aclaratoria.

Comentarios La  acción correctiva correctiva no equivale simplemente a sancionar. Aunque las capacidades de penalización son un factor de prevención general, el concepto se aplica a cualquier medida que: • Elimina el motivo que provocó provocó la no con confor formid midad ad o el no cum cumpl plimi imient entoo de com compl plian iance. ce. • Previene Previene su reiteración. En verdad, verdad, la  acción correctiva c orrectiva puede consistir en una medida o varias, de naturaleza variada, siempre idóneas a tales efectos. En el apartado A.10.2 No conformi conformidades dades y acciones correctiv correctivas as del anexo A (informativo) Guía para el uso de este documento, relaciona diferentes ejemplos.

II.3.18. Auditoría La definición, su importancia y origen Es un “ proceso (3.8) sistemático e independiente para obtener las evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría”.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

94

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Su empleo se limita al capítulo 9 Evaluación del desempeño, muy especialmente en los apartados 9.2 Auditoría interna y 9.3 Revisión por la dirección. La definición es coincidente con la HLS, que también plasmaron los estándares estándares previos ISO 19600:2014 (definición 3.31) e ISO 37001:2017 (definición 3.20), aunque existen variaciones en cuanto a las notas aclaratorias introducidas por cada texto98.

Comentarios  auditorí toríaa, se centran Las características de una actividad, para que sea considerada como audi en su sistematicidad, la independencia de quien realiza dicho trabajo y la documentación del proceso. Una de las notas que incluye la definición hace referencia al estándar ISO 19011:2018 de directrices para la auditoría de los sistemas de gestión, donde hallamos información útil para comprender estos parámetros. También lo indicado en el apartado 9.2 Auditoría interna resulta de utilidad para ello. Una  auditor  auditoría ía puede desarrollarse tanto por la propia  organi  organización zación  como por una  organización externa, siempre que reúna las características indicadas.

II.3.19. Medición La definición, su importancia y origen Es el “ proceso (3.8) para determinar un valor”. Es una definición de uso limitado, que aparece en los capítulos 5 Liderazgo, 6 Plani ficación y, especialmente en el capítulo 9 Evaluación del desempeño, donde se ubica el apartado 9.1 Seguimiento, medición, análisis y evaluación. Es la misma definición que figura en la HLS y que también emplearon los estándare estándaress previos ISO 19600:2014 (definición 3.30) e ISO 37001:2016 (definición 3.19).

98 Mientras

que el estándar ISO 37001:2016 se limitó li mitó a recoger las tres mismas notas aclaratorias de la definición de la HLS, el estándar ISO 19600:2014 no mencionaba que una auditoría interna podía ser realizada por la propia organi  organizaci zación ón o una parte externa y se adentraba, sin embargo, en comentar la independencia del auditor auditor.. El estándar ISO 37301:2021 recoge el contenido de todas esas notas (tanto de HLS como del estándar previo ISO 19600:2014), convirtiéndose en la definición con más contenido no normativo (aclaratorio) en los estándares sobre compl  complianc iancee publicados hasta la fecha.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

95

Comentarios Es difícil mejorar aquellos aspectos que no se miden. Es más, los resultados que arroja una medición determinan una tendencia cuando son comparados con  medicioPor ello, las actividades de  medición son tan importantes para un  sistema  nes previas. Por  de gestión gestió n, que no solo quiere adaptarse a las circunstancias de la  organización, sino que también aspira a mejorar continuamente (véase el apartado I.6.2.4  Principio de  de   mejora continua, de este libro). La  medición va normalmente unida a indicadores y otros elementos que reflejan el valor o resultado de determinada acción.

II.3.20. Seguimiento La definición, su importancia y origen Es la “determinación del estado de un sistema, un proceso (3.8) o una actividad”. Esta definición se emplea en los capítulos 5  Liderazgo, 6 Planificación, 8 Operación y 9 Evaluación del desempeño. Su protagonismo en este último capítulo es especialmente relevante, donde se ubica el apartado 9.1 Seguimiento, medición, análisis y evaluación. Se trata de una definición coincidente con la que figura en la HLS y que se plasmó también los estándares previos ISO 19600:2014 (definición 3.29, curiosamente, esta definición incorporaba una nota adicional a la de la HLS, subrayando que el seguimiento seguimie nto no era una actividad puntual sino continuada. Esta nota no se incorporó en la definición del estándar ISO 37301:2021) ni tampoco se incluyó en la ISO 37001:2016 (definición 3.18).

Comentarios  seguimiento to es la traducción al español del vocablo inglés “ monitori  monitoring ng”, que El término seguimien suele transcribirse comúnmente con los anglicismos “monitorizar” o “monitorear". En el fondo, es mantenerse informado acerca del estatus de una determinada acción. Es una actividad que se desarrolla de forma continuada, para poder actuar con celeridad ante desviaciones indeseadas. Por tanto, desarrollar un adecuado  seguimiento  de  procesos y actividades relacionadas con el  sistema de gestión de  compliance es clave para reaccionar de manera temprana y también, para adaptarlo a las circunstancias de la  organiz  organización ación , como un modelo “vivo” (véase el capítulo I.4  El estándar e stándar ISO ISO    37301:2021 como sistema de gestión, de este libro).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

96

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.3.21. Órgano de gobierno La definición, su importancia y origen Es la “persona o grupo de personas que tienen la última responsabilidad y autoridad en las actividades, gobierno y políticas de una organización (3.1) ante quienes la  alta  dirección (3.5) informa rinde cuentas”. Se emplea esta definición en los capítulos 5  Lid  Lidera erazgo zgo , 8 Operación  y 9  Eva  Evalualua ci  ción ón de dell de dese sempe mpeño ño. No obstante, se concentra su protagonismo en el indicado capítulo 5  Lid  Lidera erazgo zgo , donde se encuadran los apartados 5.1.1 Órgano de gobierno  y alt altaa dir direcc ección ión  (dentro del apartado 5.1  Lid  Lidera erazgo zgo y com comprom promiso iso ) y 5.3.1 Órgano  de gob gobier ierno no y alta dir direcc ección ión (dentro del apartado 5.3  Rol  Roles, es, res respons ponsabi abilid lidade adess y autoridades). No obstante, también tiene atribuciones destacadas en el capítulo 9  Evaluac  Eva luación ión del des desemp empeño eño. Estasentido definición no aparece en la englobaría HLS, que emplea concepto  alta dirdefinición ección en un amplio, que también al  órganoel de gobiernode . Es unadirección que introdujo primero el estándar ISO 19600:2014 (definición 3.4) y que utilizó después la norma ISO 37001:2016 (definición 3.7). El estándar ISO 37301:2021 toma la definición de este último texto, si bien la formula en término de “persona o grupo de personas” en lugar de limitarse a un “grupo u órgano”.

Comentarios La definición de  órg  órgano ano de gob gobier ierno no es típica de los estándares de  com  complia pliance nce , sin proceder de la HLS. Su necesidad nace de considerar que la máxima gestión en las organ  organizacio izaciones nes puede estar distribuida en más de un órgano: existiendo quienes dirigen y controlan la  organi  organización zación  (definición de  alta direcc d irección ión), concurre además un órgano superior al que informan y frente al que rinden cuentas ( órgano de go bierno ), dotado de una orientación más estratégica. En este sentido, es el máximo órgano de gestión social donde termina la jerarquía de la  organ  organizació izaciónn en materia 99 de gestión social . En la medida en que  órgano de gobierno y  alta dirección pueden ser colectivos distintos desde una perspectiva no solo funcional, sino también jurídica, el estándar ISO 37301:2021 ha mantenido la diferencia. No obstante, su capítulo 1 Objeto y campo  de aplicación a plicación señala que los  requisitos  aplicables al  órgano de ggobierno obierno aplicarán tam99  Solamente

sometido entonces a las decisiones de la junta general de partícipes, socios, accionistas o equivalentes, que no constituye órganos de gestión social, sino de representación de la propiedad.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

97

bién a la alta dirección en organizaciones carentes de esa distinción funcional (en este mismo sentido apunta la nota 1 de la definición). Normalmente, en  organizaciones grandes implicará asignar los  requisitos a cada colectivo según distingue el estándar, mientras que en las medianas y pequeñas es probable que se proyecten sobre una misma persona o grupo.

II.3.22. Personal La definición, su importancia y origen Son los “individuos en una relación reconocida como laboral en la legislación o práctica nacional, o en cualquier relación contractual cuya actividad dependa de la  organización (3.1)". Es una definición importante, por cuanto bastantes  req  requis uisito itoss del estándar ISO 37301:2021 se proyectan sobre este colectivo deliberadamente amplio de personas.  Aparece citada cita da en los capítulos 5  Liderazgo , 7  Apoyo y 8 Operación. En todos ellos  juega un papel relevante. El término no figura en la HLS, siendo una categoría introducida por los estándares previos ISO 19600:2014 (definición 3.5  Empleado) e ISO 37001:2016 (definición  Personal). No obstante, ninguna de ambas definiciones es la que ahora acoge el 3.25 Personal estándar ISO 37301:2021, que viene a realizar una fusión de sus contenidos.

Comentarios Su norma antecesora, el estándar ISO 19600:2014, empleaba el término “empleado” en lugar de “ per  person sonal al ”, que era un concepto con marcada connotación laboral. De este modo, la laboralidad se convertía en un condicionante respecto a  requisitos sitos . El estándar ISO 37001:2016 detectó la aplicación de ciertas prácticas o  requi d etectó los inconvenientes de este enfoque, que excluían de la aplicación de ciertos  requi sitoss a personas integradas en la  orga  sito  organizac nización ión  bajo otras formas jurídicas. Por eso realizó una definición eminentemente práctica de  perso  personal nal, abarcando a directores, directores, funcionarios, empleados o trabajadores temporales y voluntarios de la organizac  organización ión. Sin embargo, esta aproximación casuística puede seguir excluyendo categorías no expresamente citadas. Debido a lo anterior, anterior, el estándar ISO 37301:2021 opta por considerar empleados a aquellos sujetos cuya actividad dependa de la organización, en el sentido en que estén sometidos a sus instrucciones y sin la autonomía propia de las terceras partes. A tales

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

98

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

efectos señala que la naturaleza del vínculo jurídico puede ser, ser, tanto una relación de trabajo (laboral) como de cualquier otro tipo (voluntariado y otras relaciones sujetas a normas especiales, o incluso, mercantiles). mercantiles). Respecto al estándar ISO 19600:2014 19600:2 014 supone unade ampliación de los amplia supuestos de aplicación de requisitos . En cualquier caso, al tratarse una definición y con marcado carácter residual, los  requisi  requisitos tos referidos a ella aplicarán igualmente a los integrantes del órgano de gobierno y la  alta  dirección100. Es la forma de asegurar que determinadas cautelas de compl  compliance iance, incluidas las relativas a la incorporación o promoción de personas, indicadas en el apartado 7.2.2 Proceso de empleo, aplican a todos.  Aquellos colectivos que no quedan encuadrados encuadrados en la categoría categoría de de personal, solo cabrá considerarlos como terceras partes. Proyectando actividades de control sobre ambos conjuntos, se cierra el círculo de debida diligencia sobre los sujetos susceptibles de exponer a la organización.

II.3.23. Función de compliance La definición, su importancia y origen Es la “persona o grupo de personas con responsabilidad y autoridad para la operación del sistema de gestión (3.4) del compliance (3.26)”. El estándar ISO 37301:2021 utiliza esta definición en los capítulos 5 Liderazgo y 9  Evaluación  Evalu ación del desemp desempeño eño. En el primero  Funciónn de compl compliance iance, primero destaca el apartado 5.3.2 Funció que indica sus actividades. Evidentemente, esta definición no procede de la HLS, encontrando sus antecedentes en el estándar ISO 19600:2014 (definición 3.6) y también en la norma ISO 37001:2016 370 01:2016 (definición 3.8) (en este último texto, en términos de “ Función de d e cumplimiento antisoborno”). El estándar ISO 37301:2021 se acerca más a esta última definición, por los motivos que se explican a continuación.

100 Nótese

que la definición de personal supone una subordinación a la organización. Los miembros

del órgano de  y de la alta direc considerados, están igualmente ig ualmente sujetos d e gobie gobierno ción , ínvidamente a las decisiones derno la  orga  organiz nizaci ación ónd irección , emanadas a través de los órganos en los que se integran, pero que no se confunden con sus opiniones personales o en el sentido individual de voto en las decisiones orgánicas.

las decisiones orgánicas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones  

99

Comentarios El estándar ISO 19600:2014 señalaba que la función de compliance es la que tenía responsabilidades en la gestión de compliance. Una definición tan corta y amplia, era susceptible de interpretaciones variadas, incluyendo la atribución de responsabilidades legales. Por Por ese motivo, el estándar ISO 37001:2014 concretó en su definición que las responsabilidades de la función se centraban en “operar” el  sist  sistema ema de gest gestión ión. Es la misma aproximación que adopta el estándar ISO 37301:2021, coherente con lo indicado en el apartado 5.3.2  Función de complian c ompliance ce cuando circunscribe su responsabilidad a operar el  siste  sistema ma de gest gestión ión de  d e  compli  compliance ance  a través del desarrollo de las actividades que indica101. No se le atribuyen capacidades decisorias, que co órganoo de gobier gobierno no  rresponden a las instancias de gobierno social, especialmente al  órgan di rección ón. y a la  alta direcci Para que una organización disponga de función de compliance es preciso que: • Le haya encomendado encomendado la operación operación del sistema de gestión. • Disponga de la autoridad para para hacerlo. hacerlo. En ausencia de cualquiera de ambos componentes estaremos frente a un órgano o  funciónn ddee ccomplian ompliance ce. En función que no puede considerarse técnicamente como  funció tales casos, el  órgano de gobier gobierno no y la  alta direc dirección ción habrán designado un órgano o función inapropiados para acometer con éxito tareas de compliance, especialmente las relacionadas en el apartado 5.3.2 F  Función unción de compliance. Son, pues, parámetros clave para legitimar una eventual traslación de responsabilidades legales por operación negligente del modelo102.  A diferencia diferencia de estándares antiguos103 e incluso de algunos textos actuales, los estándares modernos de compliance  quefórmula publicapermite ISO se una refieren refier en aflexibilidad la función de  y compliance  compliance ance”. Esta no al “oficial de compli gran orgánica, muy necesaria para facilitar la aplicación del principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporcionalidad, de este libro). Al tratarse de una “función” y no de un “órgano”, puede atribuirse a órganos ó rganos ya existentes o de nueva creación; tanto

“responsabilidad” de la  funci  función ón ddee ccompli ompliance ance  pivota en la operación correcta del  sist  sistema ema gesti gestión ón y no guarda relación directa con la existencia de  no confor c onformidad midades es o  no cumpli c umplimient mientos os

101  La

 de  de complia co mpliance. nce.

responsabilidades legales por una operación negligente del  sistema  sis tema ddee ges gestió tiónn pueden no corresponder a la fun  funció ciónn de ccomp omplia liance nce  cuando no disponía del perfil ni de los condicionantes 102 Las

para desarrollar correctamente sus cometidos. 103 Los estándares AS 3806:2006 y BS 10500:2011, precursores de los estándares ISO 19600:2014 e ISO 37001:2016, respectivamente, mencionaban la figura del oficial de cum-

plimiento. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

100

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

unipersonales como colegiados. En cualquier caso, deberán concurrir los parámetros exigidos tanto por la definición como por el resto del estándar. estándar. No obstante, la única nota a la definición sugiere la asignación de una persona para la supervisión general del sistemacolegiada, . Se quiere: evitar que, por emplear a un órgano de de gestión de  compliance de compliance actuación la función • Pierda Pierda visibilidad en el seno de la organización. • Se diluyan sus cometidos entre sus sus miembros, sin una dir dirección ección clara. Por consiguiente, aun cuando exista un Comité de compliance o equivalente, es recomendable que en su seno se identifique quién lo coordinará y representará.

II.3.24. Riesgo de compliance La definición, su importancia y origen Es la “probabilidad de ocurrencia y las consecuencias del no cumplimiento de  com pliance  plian ce (3.27) respecto a las oblig  obligacion aciones es de compliance  compliance (3.25) de una organ  organizaci ización ón (3.1)”. Puesto que el estándar ISO 37301:2021 sigue un enfoque basado en el riesgo (véase iesgo, de este libro), se comprende el uso el apartado I.6.2.2  Enfoque basado en el rriesgo intensivo de esta definición, que aparece en los capítulos 4 Contexto de la organiza ción, 5 Liderazgo, 6 Planificación, 7 Apoyo y 8 Operación. Tiene especial relevancia lo indicando en el apartado 4.6 Evaluación de los riesgos de compliance.  Al tratarse de una un a especialidad especiali dad decoincide no figura en la HLS, que se  riesgo, este limita a definir  riesgo . Tampoco que término la definición que recogió el estándar ISO 19600:2014 (definición 3.12). Por otra parte, el estándar ISO 37001:2016 no incorporó una definición equivalente (“riesgo de soborno”); aun siendo un concepto utilizado en su texto, cabe inferir su significado de la combinación de los términos definidos “riesgo” y “soborno”. Por consiguiente, la definición de riesgo de compliance  que incorpora el estándar ISO 37301:2021 no arranca de un texto previo.

Comentarios Desde una perspectiva lógica, tendría más sentido referirse a los riesgos de incumplimiento que a los de compliance –que es cumplir con las obligaciones–. Sin embargo, el concepto de “ riesgo de complian compliance ce” está ampliamente aceptado en el ámbito profesional

y, por eso, se utiliza esta definición. Lo contrario o obligaría bligaría a referirse a la evaluación Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones   101

de riesgos de no cumplimiento de compliance y a otras muchas adaptaciones en la terminología frecuente que recoge el estándar ISO 37301:2021. La definición interpreta el riesgo de compliance como el resultado de su medición, esto es, la probabilidad de ocurrencia y las consecuencias del no cumplimien   cumplimiento to ddee com compliance pliance riesgo s (referido a las  obligaciones de compliance). El apartado A.4.6  Evaluación de los riesgos  de compliance  del anexo A (informativo) Guía para el uso de este documento, no solo habla de estos conceptos, sino también del  riesgo  inherente y residual. El estándar ISO 37301:2021 ha evitado deliberadamente introducir el concepto de “apetito de riesgo”, pues evocaría la posibilidad de que la organización decida qué obligaciones de  compliance cumplir y cuáles no, o hasta qué grado hacerlo (véase el apartado II.4.6  II.4.6   Evaluación de los riesgos de compliance c ompliance, de este libro). Esto chocaría frontalmente con la propia definición de  compliance, que explícitamente se refiere a observar “todas” las obligaciones de compliance. Por lo demás, el riesgo de compliance: • Solo se refiere a los no cumplimientos de compliance, no a las no conformidades. • Puesto que las  obligaciones de complia compliance nce se componen de aquellas cuyo cumplimiento es obligatorio y también las de carácter voluntario, la posibilidad de contravenir cualquiera de ellas es susceptible de generar un  riesgo encuadrable en esta definición.

II.3.25. Obligaciones de compliance La definición, su importancia y origen Son los “ requi  requisito sitoss (3.14) que una organización (3.1) tiene obligatoriamente que cumplir,, así como aquellos que una  organización elige voluntariamente cumplir”. cumplir En la medida que otras definiciones incorporan en su redacción el término obligacio nes de compliance y que muchos  requisitos guardan relación directa con ellas, es una definición ampliamente utilizada en el estándar, en los capítulos 4 Contexto de la  organización , 5  Liderazgo, 6  Planificación , 7  Apoyo y 8 Operación. Es especialmente interesante lo indicado en el apartado 4.5. Obligaciones de compliance, que supone la concreción de las mismas como parte del proceso para disponer de un sistema de gest gestión ión  de compliance adecuado para cada  organización. Esta definición no figura en la HLS, al ser un término muy vinculado con los sistemas  de gestión de compliance. Tampoco Tampoco recurrió a ella la norma ISO 37001:2016, 37001:201 6, que se

refería a obligaciones u obligaciones legales en su acepción común. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

102

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

El origen de la definición lo hallamos en el estándar previo ISO 19600:2014, indicando que las obligaciones de com compliance pliance eran el conjunto formado tanto los “requisitos de compliance” como los “compromisos de compliance” que afectan a la organización, siendo los primeros las normas que esta debe cumplir y los segundos aquellos que elige voluntariamente cumplir. Ambos eran términos definidos en dicho estándar. El estándar ISO 37301:2021 sigue esta línea, pero incorporando directamente esta aproximación en la propia definición de obligaciones de compliance, en un ejercicio de simplificación. Al figurar conceptualmente en ella, desaparecen ahora los términos definidos “ requisitos de  de complian  compliance ce” y “compromisos de complian  compliance ce”. El apartado A.4.5 Obligaciones de compliance del anexo A (informativo) Guía para el uso de este documento  proporciona ejemplos que encajan en ambas tipologías.

Comentarios  No cabe duda duda de la importanci importanciaa de esta definici definición, ón, que captura captura la acepción acepción moderna moderna del concepto de “ compl  compliance iance”, que actualmente se proyecta sobre las normas que tienen carácter obligatorio, pero también sobre aquellas que las organi  organizacione zacioness eligen voluntariamente cumplir. cumplir. A través de estas últimas, penetran en el compl  compliance iance, entre otros, una gran cantidad de contenidos de carácter ético que trascienden los mínimos legales. En este sentido, los requis  requisitos itos éticos a los que voluntariamente v oluntariamente se someten someten las organ  organizacio izaciones nes  constituyen una parte de sus obliga  obligaciones ciones de ccompli ompliance ance. Por estar comprendidos en esta definición, el estándar ISO 37301:2021 no los cita explícitamente104. Esta concepción de compliance supera la visión tradicional que lo proyectaba p royectaba exclusiexclusi vamente sobre las normas de carácter obligado o, incluso, sobre algunas de ellas en particular (las reguladoras de actividades o mercados, por ejemplo).

II.3.26. Compliance La definición, su importancia y origen Es “el cumplimiento de todas las  obligaciones de compliance (3.25) de la  organización (3.1)”. Lógicamente, en una norma sobre  compli  compliance ance , está muy extendido el uso de esta definición, que se halla presente en la práctica totalidad de los capítulos del estándar

104  La

escasez de referencias a la ética en el estándar ISO 37301:2021 se debe a que, técnicamente, los parámetros éticos a seguir se incorporan al  sistema de gestión por vía de las obliga  obligaciones ciones

 de complia co mpliance nce  sobre las que se proyecta, especialmente las asumidas voluntariamente. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones   103

ISO 37301:2021. En ocasiones, ocasion es, es un término integrado dentro de otras definiciones (por ejemplo, función de compliance, riesgo de compliance, obligaciones de compliance, o cultura de compliance), o utilizado de manera instrumental en diferentes apartados de su texto (por ejemplo, objetivos de  compliance, responsabilidades de  compliance, gobierno de compl  compliance iance, desempeño de compl  compliance iance, evaluación de riesgos de compl  compliance iance, reportes de compliance, preocupaciones de compliance, incidentes relacionados con el  compliance, formación de compliance, toma de conciencia en compliance, información de compliance o indicadores de compliance).  No siendo una definición defin ición de la HLS, su redacción redacci ón procede y coincide coin cide con la del estándar previo ISO 19600:2014 (definición 3.17). No se incluyó en el estándar ISO 37001:2016, aunque el vocablo se empleaba abundantemente en su cuerpo, en muchas ocasiones en su acepción coloquial.

Comentarios En el contexto de un sistema de gestión, “el cumplimiento de todas las  obligaciones de  compliance” no es el mero resultado del azar, azar, sino de la voluntad volunta d consciente de la orga nización. En línea con lo apuntado en la  Introducción del estándar ISO 37301:2021,  compliance sería el resultado de un  proceso constante impulsado y mantenido por la  organización. Lo contrario nos llevaría a interpretarlo como un resultado puntual o eventualmente casual, independiente de cómo se ha alcanzado. Respecto al tenor literal de la definición, nótense dos aspectos relevantes: (i)

Se refiere a las  obligaciones de ccompliance ompliance que afectan a la  organización , según vendrán concretadas por aplicación de las secciones 4.3 Determi y 4.5.  nación del alcance del sistema delas gestión del compliance Obligaciones  de compliance , comprendiendo de carácter obligatorio y las asumidas  voluntariamente.

(ii) La acción de cumplir se refiere refiere a “todo” ese conjunto, sin que, por tanto, tanto, la  organi  organización zación  pueda decidir cuáles obedecer y cuáles no, o el grado de hacerlo (véanse los apartados II.3.24  Riesgo de complianc compliancee y II.4.6  II.4.6   Evaluación de los riesgos de compliance, ambos de este libro). Podría pensarse que el término definido  no cumplimiento cumpli miento de compliance significa lo contrario del que estamos tratando. Sin embargo, como se explicará más adelante, la definición de no cump cumplimie limiento nto de compl compliance iance se asocia a cualquier oblig  obligación ación de compl compliance iance  y no a “todas” ellas, como se indica ahora. Las definiciones de complian  compliance ce y no cumpl cumplimiento imiento de complian compliance ce fueron ya características del estándar ISO 19600:2014 y vuelven a serlo ahora en el estándar ISO 37301:2021,

trascendiendo de la clasificación común co mún entre conformidad y no conformidad típica en Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

104

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

los sistemas de gestión ISO que adoptó el estándar ISO 37001:2016 (en relación con las diferencias entre los conceptos de  conformidad y no conformidad, por un lado y de  compliance y  no cumplimiento de  compliance  compliance, por el otro, véase el apartado I.5.3  I.5.3   Las no conformidades y los no cumplimientos de compliance, de este libro).

II.3.27. No cumplimiento de compliance La definición, su importancia y origen Es “incumplimiento de las obligaciones de compliance (3.26)”. Es una definición de uso frecuente, que aparece en los capítulos 5 Liderazgo, 7 Apoyo, 8 Operación, 9 Evaluac  Evaluación ión del desempeñ desempeñoo y 10 Mejora. Este último, especifica la reacción de la organización cuando se producen. La definición no procede de la HLS ni coincide co incide exactamente con la del estándar previo ISO 19600:2014 (definición 3.18). Se S e decía entonces que era el incumplimiento de una obligación de compliance (en singular) y añadía además una nota subrayando que podía ser un caso aislado o varios y ser el resultado o no de una  no conformidad (en relación con las diferencias entre los conceptos de conformidad y  no  no conformidad, por un lado y  compliance y  no  no cumplimiento de compliance, por el otro, véase el apartado conformidades nformidades y los no cumplimie cumplimientos ntos de compliance, de este libro). Estos I.5.3  Las no co matices no figuran ahora en el estándar ISO 37301:2021, aunque solo cabe interpretar interpretar la definición en ese mismo sentido. El estándar ISO 373001:2016 no incluyó esta definición. Recordemos que ni la HLS ni este último estándar diferencian entre  no  conformidades y  no cumplimientos de co compliance mpliance, aglutinando este segundo concepto dentro del primero.

Comentarios La definición de no cumplimiento cumplimiento de compliance está vinculada con el concepto de obli gaciones de compliance, que son las resultantes de aplicar lo indicado en los apartados 4.3 Determinación del alcance alcance del sistema de gestión del compliance y 4.5 Obligaciones de  compliance. En este contexto, se incluirán no solo aquellas  obligaciones de compliance  que la  organización debe cumplir, sino también, aquellas que elige voluntariamente cumplir. El término no cumplimient cumplimientoo de complian compliance ce no es realmente el antónimo de  compl  compliance iance, dado que este último se refiere a “todas” las  obliga  obligaciones ciones de ccompli ompliance ance que afectan a la

 organ  org aniza izació ciónn, mientras que el primero puede darse ante el quebranto de cualquiera cualquiera de ellas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones   105

II.3.28. Cultura de compliance La definición, su importancia y origen Son los “valores, ética, creencias y  conductas (3.29) que existen en una  organización  (3.1) y que interactúan con las estructuras y sistemas de control de la  organización  para producir normas de comportamiento que conducen al compliance (3.26)”. Es una definición relevante, dada la importancia que el estándar ISO 37301:2021 otorga a las cuestiones culturales, como manifiesta claramente su  Introducc  Introducción ión. Se emplea en los capítulos 4 Contexto de la organización, 5 Liderazgo y 7 Apoyo. Destaca el apartado 5.1.2 Cultura de compliance, subrayando la importancia de la actitud de los líderes de la organización para promover dicha cultura. La definición no procede de la HLS, sino que viene sustancialmente heredada del estándar ISO 19600:2014 (definición 3.19), incorporando ahora en su redacción el concepto de “ conducta”, que es otro término definido. El estándar ISO 37001:2016 no utiliza la definición de  cultura de compliance, aunque ocasionalmente emplea los  vocablos “cultura” o “cultura de integridad”.

Comentarios  Aunque la aparición del término definido  cultura de compliance en el estándar ISO 37301:2021 es limitada, tiene un gran impacto en la norma. De hecho, la mayoría de textos modernos sobre com  compli plianc ancee inciden en la importancia de cultivar una cultura corpo conducta uctass inapropiadas105. En líneas generales, las tendencias rativa adecuada para evitar cond en compl  compliance iance tienden más a cultivar la integridad de las personas que a limitarse a su control (véase el apartado I.5.1resultan  El estándar estándar ISO 37 37301:20 301:2021 21como y llaa cul cultura ddee comp compliance liance, de este libro). Normalmente, enfoques híbridos, es tura el caso del propio estándar ISO 37301:2021, que combina elementos claramente orientados a promover una cultura ética y de d e respeto a las normas, con los más clásicos basados en el control. La cultura de compliance no solo se asocia con valores o parámetros éticos sino, especialmente, a las  conductas en que derivan, esto es, los comportamientos o prácticas  organización ción . La que impactan en los diferentes ámbitos en que se desenvuelve la  organiza inclusión del término  conducta en la definición de  cultura de compliance refuerza el mensaje de que los aspectos culturales no deben quedarse en la esfera teórica, sino traducirse en comportamientos correctos. 105 Así, por ejemplo, en US Sentencing Commission, Guidelines Manual, Chapter  of Organi Organizati zations ons , p. 517, noviembre de 2018. El párrafo a) del apartado 8B2.1Eight-Sentencing señala que un  effect  eff ective ive comp complia liance nce and eth ethics ics pro program gram  debe promover una cultura organizativa que facilite la

conducta ética y el cumplimiento de la Ley. Ley. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

106

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.3.29. Conducta La definición, su importancia y origen Son los “comportamientos y prácticas que repercuten en los resultados para los clientes, empleados, proveedores, mercados y comunidades”.  Aunque es una definición de uso extremadamente limitado, que q ue se circunscribe al apartado 5.1.2 Cultura de compliance del estándar ISO 37301:2021, tiene una importancia capital debida a su singularidad: es la primera vez que se introduce “ conducta” como término definido en un estándar ISO sobre compliance. De acuerdo con lo anterior anterior,, no es una definición proveniente de la HLS ni de ningún estándar antecedente publicado por ISO en materia de compliance.

Comentarios Que se hable expresamente de la  conducta en un estándar de  co  compl mplia iance nce  invita a considerar aquellos factores que la condicionan. Por tanto, abre las puertas a integrar en la gestión del  complia  compliance nce cuestiones relacionadas con las ciencias de la conducta humana. Los textos previos de  complia  compliance nce ya habían dado algunos pasos  procedim edimient ientos os de debida diligencia en este sentido, principalmente al hilo de los  proc sobre personas llamadas a ocupar posiciones de  riesg  riesgoo y de las que se conoce o se podría haber conocido la inconsistencia de su bagaje conductual para asumir el rol esperado de ellos. Es una cautela también contemplada en el apartado 7.2.2  Procesoo de empleo del estándar ISO 37301:2021, pero que no figuraba en el anterior  Proces estándar ISO 19600:2014. En cualquier caso, este término produce un efecto relevante en la definición de  cultura de compliance, donde aparece. En este sentido, los aspectos culturales no solo son programáticos, debiendo traducirse en comportamientos o prácticas que, como tales, serán constatables. Lo contrario aboca a un concepto de  cultura de compliance   vago y abstracto, poco alineado con un MSS de tipo A (certificable). (certificable).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones   107

II.3.30. Tercera parte La definición, su importancia y origen Es la “persona u organismo que es independiente de la  organización (3.1)”. El estándar ISO 37301:2021 utiliza ocasionalmente esta definición, con significados distintos a interpretar según el contexto, como se explicará más adelante. Se encuentra en los capítulos 4 Contexto de la organización, 7 Apoyo y 8 Operación. Es una definición que no figura en la HLS y que no empleó el estándar previo ISO 37001:20 16 (definición 3.28), con el mismo 19600:2014106. Sí lo hizo la norma ISO 37001:2016 texto que ahora adopta el estándar ISO 37301:2021. 37301:2021 .

Comentarios  A primera primera vista, vista, el término término tercera parte parece sumamente amplio, dando la impresión de que su vinculación con determinados requisitos, como los de debida diligencia, los lo s convierte en exorbitantes. Sin embargo, la interpretación del término en el contexto co ntexto de cada frase, párrafo o apartado donde se ubica, termina de perfilar su sentido concreto sin margen de dudas. El estándar ISO 37301:2021 evita el concepto “socio de negocios”, que fue utilizado en la norma ISO 37001:2016 (definición 3.26) como una especificidad de tercera  parte. Aunque es un vocablo de utilización frecuente en  compliance, habitualmente se asocia a textos relacionados con la prevención de ilícitos penales, básicamente la corrupción y el soborno. Teniendo el estándar ISO 37301:2021 una vocación mucho más amplia y no utilizando el término “socio de negocios” en ningún lugar de su cuerpo normativo107 , se limita a referirse a terceras partes, cuyo alcance procederá p rocederá interpretar en virtud del contexto en que se utilice. De este modo, se manifiestan  varios escenarios respecto respecto a su interpretación: interpretación: • Su uso en forma coloquial, como sucede en la Introducción del estándar, por ejemplo.

106 Aunque

no era un término definido en el estándar ISO 19600:2014, se hacía referencia a “terceras partes” en diferentes apartados del estándar, debiendo interpretarse en su sentido corriente. 107 El único lugar donde aparece el término “socio de negocios” en el estándar ISO 37301:2021 es en la nota que figura en la propia definición de tercera parte , recordando que todos los “socios de negocios” son terceras partes, pero que no todas las terceras partes son “socios de

negocios”. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

108

• Su empleo como término término definido sin limitar su su alcance, atribuyéndole enton enton-ces un significado amplio, refiriéndose a cualquier sujeto que no sea la propia  organización o susceptible de mantener un nivel de independencia Esto sucede cuando se incluye en la definición de 3.18 Auditoría.   No debe confundirse esta acepción con la definición de  parte cuanto:

interesada, por

– No cualquier tercera parte, en sentido amplio, puede considerarse afectada por las cuestiones de compliance de la organización. – Las  partes interesad interesadas as pueden ser externas a la  organizaci  organización ón o formar parte de ella (en relación con la amplitud del concepto de parte interesada y la inclusión en él de colectivos existentes dentro de la organización, véase el apartado II.3.2 Parte interesada interesada, de este libro). • Su utilización como término definido, pero limitando su aplicación a sujetos externos con los que la organización mantiene o prevé mantener algún tipo de  vínculo o relación y que incluso pueden llegar a actuar actuar en su representación. representación. Es el sentido que adopta dentro de los apartados 4.1 Comprensión de la organización  y de su contexto, 4.6 Evaluación de los riesgos de compliance, 7.2.3 Formación y 8.1  Planificación  Plani ficación y contro controll operaci operacional onal. Esta es la acepción más frecuente en compl  compliance iance, puesto que la conducta de estas terceras partes puede exponer a la organización  a riesgos de compliance108. Cuando se utiliza en el anexo A (informativo) Guía para el uso de este documento, el sentido del término igualmente encaja en alguna de estas acepciones. Por tanto y en la gran mayoría de casos, no es una definición tan amplia como parece. En cualquier caso, el conjunto de las cautelas que prevé el estándar ISO 37301:2021 37301:20 21 para el personal y para determinadas terceras partes cierra el círculo de debida diligencia sobre los sujetos cuya  conducta puede afectar negativamente a la  organización en términos de compliance.

108 Así,

por ejemplo ejemplo,, el informe de la OCDE sobre cohecho internacional, publicado en octubre de 2015, señaló que el 75 por ciento de los casos estudiados de cohecho internacional se habían cometido realizando pagos a través de intermediarios. Esto explica los conceptos de “ busi  business ness  partner   partn er ”, ”, en el contexto de la  Foreign Corrupt Cor rupt PPracti ractices ces Ac Act t  norteamericana  norteamericana (US FCPA), o “ asso  asso- ciated  ciat ed pe person rson ”, en términos de la  Bribe  Bribery ry Act británica (UKBA), sobre los cuales procede aplicar cautelas para conocer el nivel de  ries  riesgo go que presenta la relación con ellos. La norma ISO 37001 recurrió al concepto de “socio de negocios”, muy amplio y susceptible de incluir a cualquier externo con el que se mantuviesen relaciones de negocio. Desde hace tiempo se conoce que las malas prácticas, no solo asociadas con el cohecho, sino también, con otros aspectos –como la

lesión de los Derechos Humanos–, se pueden encauzar a través de terceros. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.3 Términos y definiciones   109

II.3.31. Procedimient Procedimiento o La definición, su importancia y origen Es la “forma específica de llevar a cabo una actividad o un proceso (3.8)”. El estándar ISO 37301:2021 utiliza abundantemente esta definición en los capítulos 4 Contexto de la organización, 5 Liderazgo, 7 Apoyo y 8 Operación. En particular, particular, dentro de este último capítulo se encuadra el apartado 8.2 Establecimiento de controles y proce dimientos, donde se confirma que el término coloquial “control” encaja técnicamente en el de “ procedimiento de control”. El origen de esta definición no proviene de la HLS, sino íntegramente del estándar ISO 19600:2014 (definición 3.25). Aunque tanto la HLS como luego el estándar ISO 37001:2016 se limitan a definir  proceso, la norma ISO 19600:2014 y ahora el estándar ISO 37301:2021 han querido ilustrar que los pasos para ejecutar un proceso  pueden estar recogidos en uno o más  procedimientos. Es una nomenclatura más concreta y cercana a la que utilizan muchas organizaciones.

Comentarios En el ámbito del compliance, el modo de llevar a cabo un proceso no es intrascendente, ya que  proces  procesos os mal desarrollados pueden incluso generar  no cumplimient c umplimientos os de com pliance. Para Para disminuir el margen de error en la ejecución de procesos suelen dividirse en procedimientos detallados. Su existencia y correcta implantación debería disminuir la probabilidad de que una defectuosa ejecución de  proce  procesos sos pueda incrementar la exposición de las organizaciones a riesgos de compliance. Los proce  procedimien dimientos tos a que se refiere el estándar ISO 37301:2021 deben ser contrastables, de forma que un tercero independiente que evalúe la conformidad con su contenido pueda satisfacerse de su existencia y correcta aplicación. Su apartado 8.1 Planificación  y control operacional exige disponer de información documentada que acredite que los  procesos se han llevado a cabo según lo planificado, lo cual afecta de lleno a llos os proce dimientos integrados en ellos. Esto excluye aplicar una acepción amplia y pu puramente ramente organizativa del término, que ampararía los  procedimientos no documentados, muy problemáticos en un MSS de tipo A (certificable).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

Propósito de este capítulo La eficaci  eficaciaa del sistema de gestión de compliance  viene condicionada por su adecuación  organizac nización ión . Por otra parte, la aplicación razonable del a las circunstancias de la  orga principio de proporcionalidad (véase el apartado I.6.1.2  Princi  Principio pio ddee pro proporcio porcionalinali dad, de este libro) igualmente precisa tenerlas en cuenta. La propia estructura del capítulo 4 Contexto de la organización señala la secuencia lógica para hacerlo (véase la figura 4): 4): • Comprender bien las circunstancias internas y externas que afectan a la organi zación y que determinarán las características del sistema de gestión de compliance  que necesita (apartado 4.1 Comprensió Comprensiónn de la organización y de su contexto). • Conocer aquellos  requisitos  en materia de  compliance que puedan estar dados por sus grupos de interés, incluidas las Administraciones Públicas (apartado 4.2 Comprensión de las necesidades y expectativas de las partes interesadas). • Fijar el alcance del  sistema de gestió gestiónn, de modo que se conozcan sus ámbitos de proyección en cuanto a geografía, sujetos, actividades y cobertura de sus  riesgos os de  compliance  complian ce, esto es, su perímetro técnico (apartado 4.3 principales  riesg  Determinación del alcance del sistema de gestión del compliance). • Establecer Establec er,, implementar, evaluar evalua r y mantener el sistema de gestión de compliance  (apartado 4.4 Sistema de gestión del compliance) que, operando en clave sistémica

(interacción entre componentes), cubra todo lo anterior. anterior. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

111

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

112

Comprensión de las circunstancias internas y externas

Conocimiento de los requisitos de las partes interesadas

Pe Perímetro rímetro del del sistema  sistema de gestión, en gestión, en todos los sentidos

 Apartado 4.1 Comprensión de la organización y de su contexto

 Apartado 4.2 Comprensión de las necesidades y expectativas de las partes interesadas

 Apartado 4.3 Determinación del alcance del sistema de gestión del compliance

Evaluación de riesgos de compliance

Identificación de las obligaciones de compliance relacionadas compliance  relacionadas con el perímetro

Establecimiento, implementación, evaluación, mantenimiento

 Apartado 4.6 Evaluación de los riesgos de compliance

 Apartado 4.5 Obligaciones de compliance

 Apartado 4.4 Sistema de gestión del compliance

Figura 4. El orden de los apartados del capítulo 4 Contexto de la organización  indica la secuencia lógica para definir o revisar el  sistema de  gestión de compliance.

 compliance que afectan a la organización, que serán • Identificar las obligaciones de compliance las que guarden relación con sus principales ámbitos de riesgo, es decir, los gru109

pos de normas cuyo incumplimiento más a la  organización de  compliance  complianceexpone apartado 4.5 Obligaciones ).

 (véase el

• Desarrollar una evaluación de los riesgos de compliance  compliance relativos a las obligaciones  de compliance  compliance comprendidas en el perímetro técnico del sistema de gestión (apartado 4.6 Evaluación de los riesgos de compliance). Existe cierta tendencia a pensar que los aspectos tratados en este capítulo afectan solamente a la etapa inicial de diseño y puesta pu esta en marcha del sistema de gestión, al ser

parte de la base de que establecer un siste  sistema ma de gestió gestiónn de compli  compliance ance  que precise la supervisión de todas las normas que afectan a la  orga  organiz nizació aciónn es un objetivo inviable en un entorno 109 Se

normativo extremadamente extremadament e complejo. Por ello ello,, se habla de los “princi “principales” pales” riesgos de  complia    compliance nce, lo que conduce a considerar los principales bloques de obligaciones que afectan sustancialmente a una  organi  organizaci zación ón. Véanse los comentarios al respecto en el apartado II.4.3  Deter  Determinac minación ión del  del 

 alcance  alcan ce ddelel sisistema stema de ge gestió stiónn del compl complianc iancee, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  113

materias que condicionan sus contenidos desde el inicio110. Sin embargo, el princo ntinua (véase el apartado I.6.2.4. Princi  Principio pio de mejor mejoraa continua, de cipio de mejora continua este libro) obliga a revisitar todas estas cuestiones en el contexto de las diferentes modalidades de revisión que pueden producirse. En este sentido, tanto el  siste ma  de gesti gestión ón  de  compli  compliance ance en su conjunto, como algunos de sus componentes sistema aisladamente considerados, pueden ser objeto de revisión tanto de forma planificada como sobrevenida: • Las revisiones planificadas son aquellas que se ejecutan, aunque no se haya producido ningún cambio en las circunstancias de la organización, como son las indicadas en los apartados 5.3.2 F  Función unción de compliance, 9.2 Auditoría interna y 10.1 Mejora continua. También También podríamos considerar una revisión planificada la actualización de la evaluación de los riesgos de  compliance “periódica” que iesgos de compliance, circunscrita, en tal cita el apartado 4.6  Evaluación de los rriesgos caso, a dicha materia. • Las revisiones sobrevenidas vienen motivadas por un cambio en las circunstancias internas o externas de la organización o por no conformidades o no cumplimientos cumplimientos  de compliance que obligan a replantearse su impacto en el sistema de gestión para introducir en él las variaciones oportunas. Aparecen contempladas en el apartado conformidades y acciones correctivas, aunque también puede considerarse 10.2 No conformidades una revisión sobrevenida, en relación únicamente con la evaluación de riesgos de compliance, que procede impulsar “siempre que haya cambios materiales en las circunstancias o el contexto de la organización”, contemplada en el apartado 4.6 Evaluación de los riesgos de compliance.

Evolución respecto a ISO 19600:2014 Como se explicará al abordar los siguientes apartados, el estándar ISO 37301:2021 introduce variaciones relevantes respecto a su norma precedente: verdad, los aspectos que establece el capítulo 4 Contexto de la organización del estándar ISO 37301:2021 condicionan su diseño, operación y  mejora  mejora continua, con lo cual deben igualmente considerarse a lo largo de su vida de forma planificada. Este motivo llevó a debatir el eventual traslado de los apartados 4.5 Obligaciones de  complianc  compl iancee y 4.6  Evalua  Evaluación ción de los riesg riesgos os  de comp complia liance nce  al capítulo 6  Pla  Planif nifica icació ciónn, remarcando con ello su encuadre como actividades planificadas –y, por tanto, recurrentes– como también ha hecho antes algún estándar nacional (en la norma española UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con  orientaci  orien tación ón para su uso , que sigue la HLS, la evaluación de  ries  riesgos gos de  compliance  compl iance  se indica en su 110  En

capítulo 6  Plani  Planifica ficación ción , por este motivo). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

114

• Una parte de los contenidos de la norma ISO 19600:2014 se relocalizan relocalizan111 en otros apartados del estándar ISO 37301:2021, especialmente los relativos al gobierno de compliance. • Otros contenidos se reformulan y reducen reducen su extensión normativa para adecuarse a las características de un MSS de tipo A (certificable). No se pierde contenido, aunque pasa a tener la consideración de recomendación en el apartado A.4 Contexto de la organización del anexo A (informativo) Guía para el uso de este

 documento.

• Se incrementa la importancia del factor cultural como elemento a tener en cuenta para comprender las necesidades reales de la  organización.

II.4.1. Comprensión de la organización y de su contexto Interpretar adecuadamente las necesidades de una organización en cuanto a su sistema Interpretar  de gestión de compliance implica considerar tanto sus circunstancias internas como las externas. Esta distinción ya estaba presente en la anterior norma ISO 19600:2014 y continúa ahora reflejada en el estándar ISO 37301:2021, si bien añadiendo una relación no limitativa de cuestiones a considerar, muy amplias 112 y parecidas a las que plasmó el estándar 37001:2016 (apartado 4.1), sin excesivo desarrollo en el actual anexo A.4.1 Comprensión de la organización y de su contexto. Son circunstancias internas las propias de la organización que no dependen de factores facto res externos, tales como sus estructuras organizativas y de gobierno,  políticas ,  procesos , seis apartados que componen el capítulo 4 Contexto de la organización del estándar ISO 37301:2021 ya estaban presentes en su antecedente, la Norma ISO 19600:2014. No obstante: (i) El apartado 4.4 se titulaba Sistema de gestión de compliance y principios de buen gobierno , habiéndose ahora trasladado la parte relativa a principios al apartado 5.1.3 Gobernanza del  compliance. (ii) Se reformula y simplifica el antiguo apartado 4.5 Obligacion Obligaciones es de  compliance  compliance , en el actual apartado 4.5 Obligaciones de  compliance  compliance. (iii) También se reformula y simplifica el antiguo apartado 4.6 Identificación, análisis y valoración  de los riesgos de compliance, en el actual apartado 4.6 Evaluación de los riesgos de compliance. 111  Los

112  Los

factores a considerar deben interpretarse en su acepción más amplia y con carácter no limitativo. Así, por ejemplo, dentro de la “situación económica” se podría incluir la posición de dominio de la organi  organizaci zación ón dentro del mercado, con las consiguientes consecuencias en materia

de defensa de la competencia. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  115

 procedimientos y recursos, por ejemplo. Las circunstancias externas vienen condicionadas por el entorno en que se desenvuelve la organización, como el contexto legal o regulatorio.. Del listado de ejemplos que nos facilita el estándar, regulatorio estándar, dos de ellos merecen especial atención: • La naturaleza y el alcance de las relaciones relaciones de negocio con terceras partes, subrayando la importancia que tiene para un modelo de  compliance  el correcto conocimiento y gestión de las mismas, en lo que se denomina “ third party  management ”113. • La actual  cultura de compliance de la  organización , apuntando implícitamente  organizacio zaciones nes con déficits en la necesidad de mayores esfuerzos en aquellas  organi esta esfera. Es, sin duda, un aspecto clave para darle una orientación apropiada al  sistema de gestió gestiónn de  d e  complianc  compliancee, que dependerá del punto de partida en el que se halle la  organización 114. Este matiz no aparecía reflejado en el antiguo apartado 4.1 Comprensión de la organización y de su contexto del estándar previo ISO 19600:2014, ni tampoco en el apartado del estándar ISO 37001:2016. Es un mensaje evidente sobre la importancia de los aspectos culturales en el estándar ISO 37301:2021 y en el compliance en general (véase el apartado I.5.1 apartado I.5.1  El estándar ISO 37301:2021 y la cultura cultura de compliance, de este libro). Este apartado no indica expresamente que el análisis de las circunstancias de la  organización  organizaci ón conste como informació  informaciónn documentada diferenciada (véanse el apartado 7.5  Inf  Inform ormaci ación ón doc docume umenta ntada da, de la norma, y los apartados II.3.10  Inf  Inform ormaci ación ón    documen  doc umentad tadaa  y II.7.5  Inf  Inform ormaci ación ón doc documen umentad tadaa, ambos de este libro), aunque al tratarse de un requis  requisito ito del estándar cabrá inferirlo claramente de la documentación que represente el diseño o la implementación del  sis  sistem temaa de

ges gestió tiónn.

Department of Justice. "Criminal Division". Evaluation of Corporate Compliance Programs, Guidance Document, junio 2020. El denominado “Third Party Management ” y las prácticas de “third  party due diligence” en que deriva son aspectos tratados en el apartado E de la Sección I del docu113 US

mento Is the Corporation’s Compliance Program Well Well Designed?, en la p. 7 del documento. 114  De este modo, por ejemplo, las   organizaciones organizaciones que hayan tenido incidentes graves o reiterados con las autoridades (incluida la Justicia) precisarán normalmente un mayor esfuerzo de

mejora cultural. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

116

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Los factores culturales.

El sistema El sistema de gest gestión ión de  de compliance compliance es  es meramente instrumental para la consecución de una cultura ética y de respeto a las normas. Sin embargo, existen exi sten factores que dificultan el de establecimiento y la propagación de una cultura adecuada.  V  Veamos eamos algunos ellos: • Organizaciones Organizaciones intensivas  intensivas en personas.   Cuantas más personas confluyan en una organización organización,, más difícil será garantizar que comparten sus valores y los aplican de manera uniforme y consistente. • Organizaciones Organizaciones pluralizadas.  pluralizadas. Las organizaciones organizaciones que  que operan en diferentes jurisdicciones afrontan grandes diferencias culturales que dificultan el establecimiento y el correcto entendimiento de unos valores comunes. • Organizaciones Organizaciones de  de crecimiento rápido.   Las organizaciones organizaciones que  que crecen rápidamente pueden experimentar problemas para asentar sus valores, especialmente cuando ese crecimiento procede de operaciones de fusión u absorción (crecimiento inorgánico). En estos casos, la integración de personas procedentes de entornos –organizaciones –organizaciones–– culturalmen culturalmente te diversos dificulta asentar una cultura común en el corto plazo. • Organizaciones Organizaciones sometidas  sometidas a dinámicas de negocio extremadamente rápidas. Las organizaciones organizaciones que  que operan en sectores que precisan de la l a adopción constante de decisiones rápidas, dificultan los procesos procesos internos  internos de reflexión que acompañan la consolidación de valores. Cabe considerar estos y otros factores a la hora de valorar las necesidades de cada organización organización en  en cuanto a su sistema su  sistema de gestión gestión de  de compliance compliance,, viendo si las actividades planificadas ponen el foco en mitigarlos.

II.4.2. Comprensión de las necesidades y expectativas de las partes interesadas Son partes interesadas intere sadas aquellas personas u organiz  organizaciones aciones  que pueden verse afectadas por decisiones o actividades del  sis  sistema tema de ges gestión tión (véase el apartado II.3.2 Parte  Parte    intere  int eresad sadaa, de este libro). Considerando que esta definición recurre a términos amplios, uno genérico (personas) y otro cuya descripción admite múltiples formas ( orga apartado II.3.1. Organización , deeseste libro), aeslaun colec organizac nización ión , véase elextenso. tivo definitivamente Conocer sus necesidades relevante hora de establecer un  siste  sistema ma de gesti gestión ón de  compli  compliance ance que las satisfaga razonablemente. En

caso contrario, podría propiciar situaciones de  no

confor conformidad midad  (véanse los aparta-

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  117

co nformidad ad, ambos de este libro) e incluso dos II.3.15 Conformidad y II.3.16  No conformid de  no cumplimient cump limientoo de complia compliance nce (véanse los apartados II.3.27  No cumplimient cump limientoo de de    compliance  complia nce y las diferencias entre  confo  conformidad rmidad /  no confor c onformidad midad  y  complia  compliance/no nce/no cum-

 plimien to ddee ccomplian  plimiento ompliance ce  Las no cconformi onformidades dades   se comentan en el apartado I.5.3 libro) con eventuales  y los no cumpli cumplimiento mientoss de que compli compliance ance, de este  requisitos  requi sitos  (véase el apartado II.3.14  Requi  Requisito sito, de este libro) u Obligaciones de  compliance  compli ance  (véase el  comp liance ce, de este libro, así como el desarrollo apartado II.3.25 Obligaciones de  complian que realiza el estándar ISO 37301:2021 en su apartado 4.5, según se comenta en el apartado II.4.5 Obligaciones de compliance, de este libro) fijadas precisamente precisamente por algunas de ellas, en especial las que son externas a la organización115. Por su amplitud e importancia, la redacción del estándar ISO 37301:2021 ha querido aclarar este universo de necesidades y expectativas a través de dos pasos consecutivos: • En primer lugar, lugar, la identificación de las partes interesadas. • En segundo lugar, lugar, la determinación de los requisitos “relevantes” que puedan establecer.. Este último matiz no estaba contemplado establecer con templado en la norma anterior ISO 19600:2014, aunque sí figura en la HLS y es tan conveniente en un MSS de tipo A (certificable). El análisis de las partes interesada interesadass es un elemento a considerar no solo para determinar d eterminar el alcance del sistema de gestión, según se indica en el apartado 4.3, sino también, en el contexto de la planificación de las labores l abores indicadas en el apartado 6.1 para asegurar, asegurar, por ejemplo, que las actividades planificadas a través del sistema de gestión d  dee compl  compliance iance  dan cobertura a los requisitos establecidos por las partes interesadas (véase el apartado II.6.1 Acciones para abordar los riesgos y oportunidades, de este libro). Como sucedía con el apartado anterior, anterior, no se exige que este análisis conste como in formación documen documentada tada (véanse el apartado 7.5 Informaci  Información ón documen documentada tada, de la norma, y los apartados II.3.10  Información documentada y II.7.5  Información documentada, ambos de este libro) diferenciada, aunque al tratarse de un requisito del estándar cabrá inferirlos con claridad de la documentación que represente el diseño o la implementación del sistema de gestión.

recordar que la definición de parte interesada da cabida a sujetos tanto externos a la  organ  organizac ización ión  como internos. Es una distinción que remarcó el estándar ISO 37001:2016 a través de su nota única a la definición 3.3. Como se ha apuntado en el apartado II.3.2 Parte  Parte    interesad  inter esadaa, de este libro, dedicado a comentar esta definición, el estándar ISO 37301:2021 no explicita tal matiz, aunque en la relación orientativa de  par  partes tes inte interesa resadas das  del apartado A.4.2. Comprensión de las necesidades y expectactivas de las partes interesadas  del anexo A (informativo) 115  Conviene

Guía para el uso de este documento, figuran tanto externas como internas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

118

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Diferencia entre “regula “regulador” dor” y “supervisor”.

 Aunque utilizados ocasionalmen ocasionalmente te ddee m manera anera indistinta, los ttérminos érminos “re “regulador” gulador” y “supervisor” no son sinónimos. Los órganos reguladores tienen la capacidad de establecer normas, mientras que losexisten supervisores siguendesulas aplicación, pero no las crean. En algunas jurisdicciones organismos Administraciones Públicas o incluso, entidades de derecho privado (normalmente semipúblicas) que tienen atribuidos uno o ambos cometidos. Algunos requisitos requisitos “relevantes”  “relevantes” se localizarán en las normas que emiten los órganos reguladores, mientras que otros constarán en las resoluciones obligatorias o prácticas uniformes esperadas. EJEMPLOS. Algunas partes interesadas.

El apartado A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas del interesadas del anexo A (informativo) Guía para el uso de este documento  documento  incluye algunos ejemplos de utilidad. Sin embargo, a efectos didácticos, es útil comprender que las partes interesadas, interesadas, como “persona u organización organización que  que puede afectar verse afectada, o percibirse como afectada por una decisión o actividad”, pueden localizarse tanto fuera como dentro de la organización organización.. Esta distinción, que consta en la única nota de aclaración a la definición 3.3 Parte interesada  interesada  del estándar ISO 37001:2016, no se introdujo en el estándar ISO 37301:2021, pero viene implícitamente reconocida en los ejemplos que facilita el apartado  A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas  interesadas   del anexo A (informativo) Guía para el uso de este documento. documento.  Veamos algunos alguno s ej ejemplos emplos habituales de partes interesadas externas, interesadas externas, tanto de carácter público como privado: • Los organismos reguladores o supervisores.   Una organización organización puede  puede estar sometida a diversos reguladores y supervisores: es el caso, por ejemplo, de una empresa farmacéutica cotizada, que estará sometida a las indicaciones del regulador de mercado bursátil, pero también de las relacionadas con el sector salud o de los medicamentos.   Emiten normas y directrices cuyo incumplimiento no solo puede derivar en sanciones, sino también, suponer la imposibilidad de operar en el mercado o desarrollar la actividad correspondiente. • Las autoridades judiciales.   Sus requisitos requisitos “relevantes”  “relevantes” no solo pueden venir determinados por sus sentencias, sino también, mediante de circulares, etc. • Las autoridades tributarias.   La tributación constituye una faceta que afecta a la práctica totalidad de las operaciones una organización organización. Hay pocas inmediata transacciones que no Las tengan impacto tributario,dedirecto o indirecto, i ndirecto,.de manera o diferida. autoridades en este ámbito pueden igualmente fijar requisitos requisitos de  de control relacionados con

el modo de calcular y gestionar la carga impositiva. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  119

• Las autoridades sociolaborales.   Mantenerse al día sobre requisitos requisitos de  de control que determinan las autoridades sociolaborales permite estar alineado con sus expectativas y evitar riesgos riesgos de  de compliance,, especialmente en materia de cálculos de contribuciones sociocompliance laborales o de la prevención de riesgos riesgos laborales.  laborales. • Otras autoridades administrativas.   Aparte de las anteriores, existen otras muchas autoridades administrativas, bajo denominaciones muy variadas (“agencias”, “oficinas”, etc.) cuyo parecer y fijación de requisitos requisitos condicionan  condicionan el diseño y la operación de un sistema un  sistema de gestión de gestión  de compliance compliance,, como pueden ser las relacionadas con la prevención de la corrupción, el medio ambiente, la seguridad física (supervisión de infraestructuras críticas, por ejemplo) y lógica lógi ca (incluyendo la protección la privacidad y de datos personal personales, es, por ejemplo), la prevención del blanqueo de capitales y la financiación del terrorismo, los medicamentos, los alimentos etc. • Los consumidores y usuarios.   Tsumidores anto de forma individual como agrupados agrupad por la vvía ía especialmente asociativa, los en conconstituyen un colectivo clave aosconsiderar, la era digital donde su percepción de la organización organización se  se divulga rápidamente.  Asociar a la organización organización con  con malas praxis puede provocar un efecto adverso advers o en el consumo de sus bienes o servicios. Es importante prestar atención a los requisitos requisitos que  que puedan venir exigidos por la regulación o impulsados por plataformas asociativas de consumidores. • Otras plataformas asociativas.   Las plataformas asociativas sectorial sectoriales, es, incluyendo eventualmente las que aglutinan proveedores o subcontratistas, aun sin capacidad de promulgar normas vinculantes, sí pueden emitir recomendaciones o códigos de buenas prácticas a los que adherirse. Cuando la organización organización forma  forma parte de estas plataformas, atender puntualmente sus requisitos requisitos se  se convierte en una actividad necesaria. • Organizaciones Organizaciones sin  sin ánimo de lucro. Eventualmente, desde el llamado “Tercer Sector” se pueden llegar a plantear requisitos requisitos que  que gocen del apoyo de las  Administraciones Públicas o de los mercados.  Algunos ejemp  Algunos ejemplos los adicio adicionales nales,, en esta ocasi ocasión ón de partes interesadas internas, interesadas internas, son: • Los accionistas/inversores y sus representantes. Es una legítima aspiración de todo accionista o inversor la sostenibilidad de su inversión, esto es, mantenerla el mayor tiempo posible, respetando para ello las expectativas de los stakeholders.. Bajo esta perspectiva, existen aspectos que condicionan su voluntad holders de mantener sus vínculos con la organización organización,, normalmente relacionados con una gestión responsable. Por ello, no es infrecuente que este colectivo o sus representantes (“proxy (“proxy advisors advisors”, ”, poratención. ejemplo)Sobre determinen requisitos a requisitos  a los que las organizaciones deben organizaciones  deben prestar estas cuestiones, véanse también los comentarios incluidos en el apartado I.6.1.6 Principio de sosteni-

bilidad,, de este libro. bilidad Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

120

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

• Los trabajadores y sus representantes. Es habitual hallar recomendaciones de involucrar a los trabajadores o a sus representantes en la concreción de los valores de la organización organización y  y determinadas políticas políticas clave,  clave, incluido, por ejemplo, el Código Ético o de Conducta. Puesto que estas normas de alto nivel son importantes paraengenerar o consolidar la cultura de  compliance de  compliance, , parece razonable involucrar esta tarea a los afectados (trabajadores). (trabajadore s). Al margen de esto, los trabajadores, por medio de sus representantes, pueden también emitir requisitos que requisitos  que impacten en el diseño o mantenimiento del sistema del  sistema de gestión gestión   de compliance compliance,, eventualmente localizados en la documentación soporte de la negociación colectiva. • Funciones sinérgicas. sinérgicas. Dentro de la organización organización existen  existen equipos de personas, organizados en funciones, departamentos o áreas, cuya labor afecta o puede verse afectada por la propia del sistema del  sistema de ggestión estión de  de compliance compliance.. Aunque su nomenclatura y contenidos varían según cada organización organización,, las que típicamente implican mayor interacción son: – Asesoría Jurídica interna, principalmente en cuanto su ayuda en el seguimiento de nuevas normas y análisis de las l as consecuencias derivadas de posibles no cumplimientos de compliance. compliance. – Gestión del riesgo riesgo,, normalmente estableciendo la metodología para su medición, de forma que puedan integrarse fácilmente en el mapa general de riesgos riesgos de  de la organización organización y  y hacer seguimiento de ellos a través de la misma plataforma informática. – Control interno, cuando cu ando se ocupa del diseño y el establecimiento de mecanismos de control en el seno de la organización organización,, algunos de los cuales pueden proyectarse en la prevención, detección y gestión temprana de riesgos riesgos de  de compliance.. De paso, se evitan tanto las lagunas como las redundancias compliance innecesarias en el control. – Auditoría  Auditoría interna,  interna, que revisa el entorno de control para dar aseguramiento en cuanto a su correcto funcionamiento y, por tanto, fiabilidad de la información que produce. Aunque existe la tendencia errónea a pensar que proyecta sus actividades sobre los flujos y reportes de información financiera, cada vez es más evidente su rol para garantizar igualmente la calidad de la información no financiera, incluida la de compliance compliance.. Sobre la interacción entre la función de compliance y compliance y la de auditoría auditoría interna,  interna, véanse las explicaciones y los ejemplos recogidos en el apartado II.9.2  Auditoría  Audi toría iinterna nterna,, de este libro. – Área de organización organización que,  que, al ocuparse de diseñar y documentar los proce sos y  sos  y procedimientos procedimientos clave  clave de la organización organización,, puede desempeñar un rol importante los referentes a compliance compliance. En ocasiones,eltambién la   producciónen normativa interna (políticas),), .manteniendo (políticas árbol deordena políticas  políticas de la organización organización.. Sus cometidos son claramente sinérgicos en cuanto a

las políticas políticas y  y a los procedimientos procedimientos que  que afectan a compliance compliance.. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  121

– Área de personas (antiguamente, Recursos Humanos), con gran potencial de involucración en aspectos de compliance compliance tales  tales como la evaluación de mecanismos retributivos (para evitar que promuevan la asunción imprudente de riesgos riesgos),), el análisis de las l as consecuencias juridicolaborales de las políticas políticas   y decisionesaldewhistleblower  compliance,,. el compliance establecimiento de entre sanciones laborales o la protección Sobre la interacción la función de compliance y pliance  y la de Personas, véanse también las explicaciones y los ejemplos recogidos en el apartado II.7.2.2 Proceso de empleo, empleo, de este libro. – Área de comunicación, con importancia en la difusión de noticias relativas a compliance compliance,, tanto dentro como fuera de la organización organización.. Sobre la interacción entre la función de compliance y compliance y la de comunicación, véanse las explicaciones y los ejemplos recogidos en el apartado II.7.4 Comunicación,, de este libro. cación – Área de tecnologías de la información y comunicación, con un rol creciente, no solo en el establecimiento de herramientas adecuadas para desarrollar actividades planificadas (declaraciones internas de conformidad con políticas políticas,, ciclos de formación online online,, establecimiento de canal interno de denuncias, etc.), sino también, para preservar la seguridad, la integridad y la confidencialidad de las informaciones de compliance compliance.. La interacción con estas y otras funciones internas no implica que se sustituyan los cometidos de compliance compliance,, pero sí que su labor es útil y sinérgica, siendo adecuado establecer sus respectivos ámbitos colaboración.  A CONSIDERAR. CONSIDERAR. La falta de comunicación con funci funciones ones sinérgicas.

Es difícil que la función de compliance pueda compliance pueda desarrollar correctamente su cometido sin una interacción continuada y fluida con otras funciones sinérgicas que operan en la organización organización ( (partes partes interesadas internas) interesadas internas) incluso antes que ella. ell a. PPor or ello, desde el diseño del sistema del sistema de gestión de gestión de compliance compliance se  se tendrán en cuenta esas relaciones, propiciando su encaje y funcionamiento armónico. No pocos fracasos de la función de compliance proceden compliance proceden de una deficiente planificación de su integración con otras funciones sinérgicas.

II.4.3. Determinación del alcance del sistema de gestión del compliance La  orga  organizac nización ión  debe fijar el perímetro del  sist  sistema ema de gest gestión ión, circunscribiendo su ámbito de aplicación desde diferentes perspectivas que cubren, por ejemplo, lindes

geográficos (países, regiones, etc.), organizativos (entidades o unidades de negocio) Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

122

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

y personas, pero también, los bloques técnicos supervisados (los relacionados con los l os principales riesgos de  compliance  compliance). Cabe reflexionar sobre la concreción del perímetro técnico, que establece ahora el estándar y que no constaba en la norma previa ISO 116

19600:2014 . Recordemos que el estándar ISO 37301:2021 pretende dar cobertura a las necesidades de  complia  compliance nce desde una perspectiva amplia, a diferencia, por ejemplo, del estándar ISO 37001:2016, que se proyectaba sobre el ámbito del soborno. Esta holgura precisa identificar sobre qué  rie  riesgo sgoss –y, por tanto, sobre qué  obli  obligac gacione ioness  de  compliance  compli ance– proyectará sus actividades. Una interpretación maximalista exigiría comprender todos los posibles  riesg  riesgos os de   compliance  compli ance, lo que provocaría modelos de  compliance muy amplios y gravosos, grav osos, difíciles difícil es de implantar, implantar, gestionar y luego certificar. certificar.  riesgos os de   compliance  complia nce de Un enfoque más razonable es que cubran los “principales”  riesg la organi  organizació zaciónn, que es la solución que adopta el estándar ISO 37301:2021 a través de su única nota interpretativa en este apartado 4.3  Deter  Determinaci minación ón del alcanc alcancee del  sistema de gestión del compliance complianc e. De acuerdo con ello, la razonabilidad razonabilida d del perímetro técnico del  siste  d e  compli  sistema ma de gesti gestión ón de  compliance ance dependerá de que abarque los “principales”  riesg  riesgos os ddee  compliance  complia nce, lo que es una manifestación de un enfoque basado en  riesgoo (véase el apartado I.6.2.2  Enfoque basad basadoo en el rriesgo iesgo, de este libro. Como el  riesg riesgos “principales” cabrá entender aquellos que más exponen a la  orga  organizaci nización ón, aspecto que debería poder acreditarse para validar la razonabilidad del alcance del  sistema  siste ma de ggestió estiónn de  compli  compliance ance). El sistema de gestión será razonable y, y, por tanto, certificable117 , siempre que comprenda los “principales”  riesgos de  compliance  compliance que afectan a la  organización , que no son necesariamente todos los que la circundan. Aunque la  organización puede recurrir a la metodología que estime conveniente para concretarlos, deberá estar en disposición de soportar la razonabilidad del alcance desde esta perspectiva, aspecto que estará soportado como informa  información ción documen documentada tada, al igual que el resto de factores que perfilan el perímetro de aplicación según predica el apartado 4.3 Determinación del alcance del

 sistema de gestión del compliance.

redacción del apartado 4.3 Determ  Determinaci inación ón del alcan alcance ce del sis sistema tema de gest gestión ión del comp complianc liancee es prácticamente la misma tanto en el estándar ISO 37301:2021 como en la norma ISO 19600, salvo por una variación significativa en su única nota explicativa. Anteriormente, se apuntaban tanto aspectos geográficos como organizativos a modo de elementos a considerar para fijar el perímetro de aplicación del sistema de gestión. Ahora se introducen también los “principales” riesgos  de compli c ompliance ance  sobre los que se deben proyectar sus actividades, lo que conduce a identificar las diferentes fuentes o grupos de obligaciones de  compl  compliance iance  de donde derivan. Serán los bloques 116 La

normativos a incluir en el perímetro técnico de supervisión. evitar confusiones o expectativas infundadas, posiblemente las entidades de certifica-

117 Para

ción limitarán su opinión al alcance del  sis  sistem temaa de gestió ges tiónn revisado (incluyendo su perímetro técnico), circunstancia que harán constar en su declaración de conformidad. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  123

 A CONSIDERAR. CONSIDERAR. El concepto no jurídico de “pr “principales” incipales” riesgos de compliance.

El carácter internacional de los estándares ISO evita emplear conceptos legales que, inevitablemente, estarían vinculados con ordenamientos concretos o a tipologías de sistemas jurídicos. En la comunidad internacional existen tres grandes tipos de sistemas jurídicos: el continental, el anglosajón y el de Derecho islámico (Fiqh (Fiqh).). La diferencia entre ellos radica en la jerarquía que otorgan a las fuentes del Derecho. Los primeros están basados en la preeminencia de las normas que emanan de los lo s poderes legislativo y ejecutivo, con una gran capacidad de sistematizar su acervo en códigos. En los segundos, la creación del Derecho está en manos de los tribunales a través de sus sentencias, basadas en escasas normas y de contenido genérico. En los terceros, el Derecho es una conversión de las normas del Corán Corán y  y de la Sunna la Sunna   y, por tanto, tienen una componente esencialmente religiosa. Esta diversidad de aproximaciones precisa una redacción flexible para definir el perímetro técnico de aplicación del sistema del sistema de gestión, gestión, lo que se consigue recurriendo al concepto de “principales” riesgos de compliance para compliance para la organización organización,, que cabrá adaptar a las particularidades de cada ordenamiento y sistema jurídico.  Así, en los sistemas continentales los “principales riesgos riesgos”” estarán en gran parte asociados a los diferentes bloques de normas que ordena la codificación o que fija ordenadamente la legislación. Sin embargo, esta aproximación dejará de tener sentido en sistemas anglosajones, por la subsidiariedad jerárquica de la Ley y la ausencia de un acervo normativo tan estructurado como el continental. Tampoco tendrá fácil encaje cuando el contenido normativo derive de los principales textos religiosos. Un motivo adicional para que el estándar 37301:2021 no concrete los “principales” riesgos de compliance compliance es  es que ISO pueden tener su origen en normas asumidas voluntariamente, cuya configuración y extensión varía en cada caso.

 A CONSIDERAR. Los “principales” riesgos de compliance y el apetito de riesgo.

Que el sist el  sistema ema de gest gestión ión d  dee compliance compliance se  se proyecte sobre los “principales riesgos”” no significa que la organización riesgos organización ignore  ignore el resto. No es, por tanto, una declaración implícita de tolerancia ante los no cumplimientos de compliance  compliance  relacionados con riesgos riesgos fuera  fuera del perímetro técnico del  siste  sistema ma de gesti gestión ón.. Para más información acerca del concepto de “apetito de riesgo riesgo”, ”, véanse las explicaciones y los ejemplos que se recogen en el apartado II.4.6 Evaluación de

los riesgos de compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

124

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

La razonabilidad del perímetro del  sistema de gestión de compliance: • Guardará consistencia con las circunstancias internas y externas de la organi zación que se detallan en el apartado 4.1 Comprensión de la organización y de su  contexto.

 requisitoss que provengan de los • Tendrá relación con el nivel de cobertura los requisito grupos de interés, según se hayan determinado a raíz del apartado 4.2 Com prensión de las necesidades y expectativas de las partes interesadas. • Siendo coherente con el  siste  sistema ma de gesti gestión ón d  dee  compli  compliance ance, guardará una clara  obligaciones nes de  compliance  compliance  que señala el apartado 4.5 correspondencia con las  obligacio Obligaciones de complian  compliance ce, en cuanto a que están relacionadas con los “principales”  riesgos de compliance  compliance que exponen a la  organización118 que indica este apartado.

EJEMPLO. Perímetro técnico del sistema de gestión.

El perímetro técnico del sistema del  sistema de gestión gestión viene  viene determinado por los grupos de obligaciones obligaciones de  de compliance compliance cuyo  cuyo potencial incumplimiento expone a la organización.. En un MSS de tipo A (certificable), este universo debe estar definido ganización y ser razonable. Las organizaciones organizaciones normalmente  normalmente los identifican y relacionan en el sistema el  sistema de gestión,, siendo la política de compliance gestión de compliance una  una buena ubicación a tales efectos.  Aunque tiene una orie orientació ntaciónn marcad marcadamente amente conti continental nental,, a conti continuació nuación, n, se relacionan algunos bloques frecuentes de obligaciones de compliance compliance extraídos  extraídos de las Líneas Directrices de la OCDE para empresas multinacionales: • Defensa de los Derechos Humanos. • Empleo y relaciones industriales. • Protección del medio ambiente. • Lucha contra el soborno y la extorsión. • Defensa de los intereses de los consumidores. • Protección de la ciencia y la tecnología.

que el apartado 4.3  Deter  Determinac minación ión del alc alcance ance del ssiste istema ma de gest gestión ión del com complia pliance nce hace referencia explícita al apartado 4.5 Obligaciones de  complianc  comp liancee, pero no al 4.6  Evalua  Evaluación ción de los  riesgos  ries gos de comp complian liance ce . El motivo radica en que la indicada en el apartado 4.4 busca obtener el perímetro técnico del sistema de gestión de  complian  compliance ce, lo que guarda una relación directa con las obligaciones de complia  compliance nce que afectan a la organiza  organización ción  (apartado 4.5), más que con la casuística 118  Nótese

concreta de  rie  riesgos sgos  y su proceso de evaluación para cada uno de los bloques de obligaciones identificados como relevantes. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  125

• Defensa de la competencia. • Tributación. No se trata de una relación exhaustiva, pero sí proporciona una idea aproximada de bloques compliance, compliance , a loshan queganado se pueden sumar otrosen que, la publicación de de dicho documento, protagonismo la desde esfera internacional: • Prevención del blanqueo de capitales. • Protección de la privacidad y de los datos personal personales. es.   Cabrían otros grupos de obligaciones, incluyendo aquellos que regulan el mercado o la tipología de actividades de cada organización organización,, así como los asumidos voluntariamente. El estándar ISO 37301:2021 no considera preciso que el sistema el sistema de gestión de gestión de  de compliance compliance de  de una organización organización se  se proyecte sobre todos ellos, pero sí sobre los que puedan conllevar los “principales” riesgos riesgos   de compliance compliance.. Así, por ejemplo, un bloque de obligaciones de compliance compliance   “principal” para un banco es el relativo a la prevención del blanqueo de capitales, que difícilmente se entenderá que esté ausente del perímetro técnico de su sistema su  sistema de ggestión estión.. Tanto es así, que sus actividades de control sobre terceras partes ( partes (procesos procesos de  de terceros terceros,, en terminología ISO 37301:2021) se proyectan principalmente a clientes y se agrupan bajo denominación específica de “Customer “Customer Due Diligence” Diligence” (CDD)119.  política tica   de compliance  y la identificación del MÁS INFORMACIÓN. La  polí perímetro técnico.  Acerca de la posibilidad de plasmar el perímetro técnico del sistema del sistema de gestión  gestión  de compliance compliance en  en la política de  de compliance compliance,, véanse los comentarios y los ejemplos que se exponen en el apartado II.5.2 Política de compliance, compliance, de este libro. Como he señalado antes, el alcance del  sistema de gestió gestiónn d  dee  complian  compliance ce debe estar disponible como  informaci  información ón do documentada cumentada (véanse el apartado 7.5  Informaci  Información ón ddoo cumentada, de la norma, y los apartados II.3.10 Información documentada y II.7.5  II.7.5   Información documentada, ambos de este libro).

119 Por

ejemplo, es el concepto que utilizan el Board of Governors of the Federal Reserve System ( Federal Rese Reserve rve), la Federal Deposit Insurance Corporation (FDIC), la Financial Crimes Enforcement Network (FinCEN), la National Credit Union Administration (NCUA) y la Office of the Comptroller of the Currency (OCC). Véase su  Joint State Statement ment on BBank ank Secre Secrecy cy Act Due

 Diligence  Diligen ce Requi Requirements rements for Cus Customers tomers W Who ho May Be Consid Considered ered Politic Politically ally Expo Exposed sed Persons , de 21 de agosto de 2020. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

126

II.4.4. Sistema de gestión de compliance Los apartados anteriores permiten configurar ahora el sistem  sistemaa de gestió gestiónn para desarrollar a través de ysus actividades de identificación sistemática de obl  obligac igacion iones es de.   compl  compliance iance dedisposiciones evaluación delaslos  riesgoss de complianc  riesgo  comp liancee asociados con su incumplimiento. incumplimiento El estándar ISO 37301:2021 define defi ne el término “ sistema de gestión”, pero no el “ sistema  de gestión del  compliance” que es, simplemente, el resultado de aplicar sus  requisitos.  No obstante, brinda una aproximación aproximaci ón en este apartado 4.4 Sistema de gestión del  compliance. Dada la importancia de los aspectos culturales y de  conducta, se barajó llamarlo “ sistema de gestió gestiónn de  d e conducta”, también bajo el acrónimo CMS, pero se desestimó, no tanto por falta de sentido técnico, sino por ser “ sistema de gestión de  compliance” una nomenclatura ampliamente consolidada. Es una responsabilidad de la organiz  organización ación desarrollar una serie de actividades en cuanto a su modelo de  compliance: 1. Establecerlo, Establecerlo, para aquellas que no dispongan de él. 2. Implementarlo correctamente, cuando existe, pero no se ejecutan razonablemente las actividades que determina. 3. Evaluarlo de manera periódica, para verificar que sigue siendo adecuado a las  organizac ización ión (internas y externas) y que se aplica con efica  eficacia cia. circunstancias de la organ 4. Mantenerlo, para evitar que se degrade, desarrollando desarrollando las actividades que se precisen, normalmente vinculadas con las revisiones, tanto planificadas planifi cadas como sobrevenidas. 5. Mejorarlo continuamente, para que incremente su  eficacia, disminuya el nivel de exposición de la organización a los riesgos de compliance  compliance y aumente el umbral de exigencia en cuanto al tono ético y de respeto a las no normas rmas en el seno de la  organización . Salvo alguna variación menor 120 , estas actividades de la  org  organi anizaci zación ón ya estaban presentes en el antiguo apartado 4.4 Sistema de gestión del compliance y principios de  buen gobierno del estándar anterior ISO 19600:2014 que incluía, además, contenidos trasladados ahora a un apartado propio, el 5.1.3 Gobernanza del compliance, dotado de un título más adecuado a su naturaleza y finalidad 121.

apartado 4.4 Sistema de gestión del  compl  compliance iance y pprinci rincipios pios de 19600 no hacía referencia a las actividades de implementación. 120  El

121 El

buen gobie gobierno rno de norma ISO

título que empleaba la norma ISO 19600 al referirse a “principios de buen gobierno” podría confundirse con prácticas generales de buen gobierno corporativo, cuando en verdad

eran buenas prácticas para gobernar el propio sistema de gestión. Por eso, es más apropiado el título del apartado donde ahora se ubican: 5.1.3 Gobernanza del compliance . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  127

Este apartado no solo relaciona estas actividades; señala también la necesidad de cuidar los procesos y sus respectivas interacciones según determina el estándar, estándar, siendo una llamada de atención a su interpretación y aplicación sistémica (véase el capítulo II.2  Referencias este libro), como exige la HLS y que ya apuntaba la normativasen, de norma ISO 19600:2014 el mismo apartado.

 sistemaa  Tambi  También, én, como en su norma norma anteceso antecesora, ra, el estándar estándar ISO 37301:2021 37301:2021 vincula vincula el sistem  de gestión de compliance con los valores de la organización, sus objetivos, la estrategia y los riesgos de compliance  compliance, pero teniendo en cuenta el contexto de la  organización. Esta última novedad refuerza la singularidad de los  sistemas de gestión de  compliance en el sentido de que su adecuación: • No obedece a la mera concurrencia concurrencia de componentes, en clave programá programática. tica. • No es solo el resultado de su interpretación interpretación y aplicación en clave sistémica, en sentido abstracto, sino con el sentido específico que exigen las diferentes apartados de la norma. • Depende realmente realmente de la adecuación adecuación de los componentes y de sus interacciones a las circunstancias, tanto internas como externas de la organización. La razonabilidad de los valores, objetivos, estrategia y riesgos de  compliance  compliance de la orga nización debe evaluarse a la luz de sus circunstancias, tanto internas como externas, según se tratan en el apartado 4.1 Comprensión de la organización y de su contexto.

II.4.5. Obligaciones de compliance Conocer las obligaciones   las casuísticas  que afectan a la que  es un hito de compliance  organización para, seguidamente, concretar de riesgo pueden ocasionar suesencial incumplimiento. El orden de este apartado y en el siguiente (4.5 Obligaciones de compliance  compliance  y 4.6 Evaluación de los riesgos de compliance) obedece a esta lógica obvia. En relación con la tarea de identificación y posterior actualización de las  obligaciones  de  compliance  compliance, cabe considerar lo siguiente: • Las “ obligaciones de  compliance  compliance” son un término definido (véanse los apartados II.3.25 Obligaciones de  compliance  compliance y I.5.2 Las dos fuentes de obligaci obligaciones ones de  com com pliance, ambos de este libro), que incluyen las que tienen carácter imperativo

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

128

(llamadas “ requirements” en ISO 19600:2014122) y las que se asumen voluntariamente (denominadas “ committments” en ISO 19600:2014, definición 3.15).  obligaciones ones de  compliance  complianc e tendrá en cuenta Por tanto, la identificación de las  obligaci 123

ambas categorías (definición 3.25) .  Determi erminaci nación ón del alc alcance ance • Como se ha explicado explicado al comentar comentar el apartado apartado 4.3 Det  del sistema sist ema de gesti gestión ón del compli compliance ance, aquel tiene su proyección sobre los “prin riesgos sgos ddee complian  comp liance ce que exponen a la orga  organiza nizació ciónn, pero no sobre su cipales” rie  Determ erminac inación ión del alca alcance nce del sis sistem temaa  totalidad (véanse los apartados II.4.3  Det  de ges gestió tiónn ddel el com complia pliance nce y I.5.2  La  Lass dos fue fuente ntess ddee obli obligac gacion iones es de  complia  com pliance nce , ambos de este libro). Por consiguiente, la tarea de identificación y, sobre  obligacio aciones nes de complianc  comp liancee se proyectará todo, la posterior actualización de las  oblig sobre los grupos de obligaciones que conforman el perímetro técnico del  sistema  sis tema de ge gesti stión ón, perfilado por su capacidad de provocar un nivel relevante  riesgo sgo . de exposición al  rie

MÁS INFORMACIÓN. Obligaciones de compliance y perímetro técnico técnico del  sistema de gestión.

Sobre los grupos de obligaciones que conforman el perímetro técnico del sistema del sistema de gestión, gestión, véanse las explicaciones y los ejemplos que figuran en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro. Es también interesante ver cómo la función de  de compliance compliance debe  debe concretar dicho perímetro, según se ha comentado con ejemplos bajo el título “ Actividades que involucran directamente a la función de compliance“, compliance“, dentro del apartado II.5.3.2 Función de compliance, compliance, también de este libro. • La tarea de identificación de las obliga  obligaciones ciones de  compliance  compli ance debe ser “sistemática”, de manera que pueda contrastarse la razonabilidad de dicho ejercicio, especialmente en cuanto al impacto que tienen sobre las actividades de la  organizació  organi zaciónn.

19600:2014, definición definici ón 3.14. T También ambién las explicaciones del apartado I.5.2 Las dos fuentes  fuentes   de obligac ob ligaciones iones de co complia mpliance nce , de este libro. 123 Aunque el está estándar ndar ISO 3730 37301:20 1:2021 21 ya no recog recogee las l as defi definic nicione ioness d dee ““Requis Requisito ito de  com  com- plianc  pli ancee” y “Compromiso de  com  compli plianc ancee”, su definición 3.25 Obligaciones de  com  compli plianc ancee sigue considerando que incluye las que una  orga  organiz nizaci ación ón  debe cumplir y también aquellas que elige 122 ISO

 volu ntariame  voluntar iamente nte cump cumplir. lir. Vé Véanse anse los com comenta entarios rios acerc acercaa de amba ambass categ c ategoría oríass een n el apar apartado tado I.5.2  Las dos fue fuente ntess ddee oobli bligac gacion iones es de compli com plianc ancee, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  129

 A CONSIDERAR. CONSIDERAR. Criticidad de ci ciertas ertas obligaciones de compliance.

El entorno que envuelve a las organizaciones organizaciones en  en el siglo XXI se caracteriza por una gran complejidad normativa: • El volumen de normas aumenta vertiginosamente para estipular los avances en los órdenes social, económico, técnico y científico. • Se multiplican las autoridades con capacidad de producción de normas juríjurídicas: desde autoridades locales, autónomas o federales, las nacionales hasta aquellas plataformas internacionales con capacidades legislativas cedidas. • A la profusión de normas jurídicas se añaden normas de asunción voluntaria producidas por plataformas (nacionales o internacionales), que no disponen de capacidad legislativa, pero que emiten textos normativos en forma de recomendaciones, con gran impacto en sectores de actividad o comunidades. • El contenido de las normas se tecnifica como respuesta a los progresos sociales, económicos, tecnológicos y científicos. Por este mismo motivo, incrementa la volatilidad de sus contenidos al albur de dicha evolución. • Las sanciones económicas y los daños de reputación derivados de no cumplimientos de compliance (de compliance (de normas de carácter obligatorio o asumidas voluntariamente) se incrementa. Se aprecia una tendencia clara a engrosar el conjunto de no de no cumplimientos de compliance que compliance que alcanzan trascendencia criminal.  A cau causa sa de lo ant anteri erior or,, pre preten tende derr que el sis el sistem temaa de ges gestió tiónn de de compliance  compliance se  se proyecte sobre la totalidad de las obligaciones derivadas del panorama anterior es una tarea poco menos que imposible. La articulación razonable de un sis un  sistem temaa de ge gesti stión ón de  de compliance atraviesa compliance  atraviesa por identificar sistemáticamente aquellas que son críticas, esto es, las asociadas con los “principales” riesgos de compliance, compliance, según clarifica el apartado 4.3 Determinación del alcance del sistema de gestión del compliance. compliance . Se trata de asegurar su inclusión en un perímetro técnico de supervisión razonablemente definido. Este análisis sistemático de criticidad sigue, por tanto, un enfoque basado en el riesgo riesgo (véase  (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro). Estos aspectos deben considerarse tanto a efectos de la identificación de nuevas  obli gacioness de  compliance  gacione  compliance como de la actualización de las previamente identificadas, para introducir en el sist  sistema ema de gest gestión ión de com  compli plianc ancee las variaciones precisas para la prevención,  riesgos gos asociados con su incumplimiento. la detección temprana y la respuesta frente a los ries En cualquier caso, la identificación de las obligaciones de compliance forma parte de las obligaciones que asume directamente la función de complian compliance ce, en virtud de lo indicado en el apartado 5.3.2 F  Función unción de compliance. El estándar ISOmentada 37301:2021  (véanse el apartado 7.5   información documentada documentada  Info  Informaci rmación ón docu document ada, de la exige  Informaci rmación ón docu document mentada ada norma, y los apartados II.3.10 Info

y II.7.5 Inform  Información ación docum documentad entadaa, ambos de este libro) acerca de las obliga  obligaciones ciones de com  com  pliance que afectan a la organización, que cubrirá lo indicado en los puntos anteriores. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

130

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.4.6. Evaluación de los riesgos de compliance Podríamos decir que en el estándar ISO 37301:2021 existen dos niveles de evaluación de  riesgos : el primero identifica los “principales”  riesgos de  compliance , para d e  incluir después en el perímetro técnico del  sistema de gestión aquellas  obligaciones de  compliance cuya vulneración v ulneración los pueden precipitar, precipitar, concretando finalmente las casuísticas de riesgo en cada uno de los grupos de obligaciones (véase la figura 5). 5). El primer  Determinación ión del aalcance lcance del sistema de ggestión estión  análisis se indica en el apartado 4.3  Determinac  del compliance, mientras que el segundo se trata en el apartado 4.6  Evaluación de los  riesgos de compliance. Y ambos deben figurar en calidad de  información documentada  (véanse el apartado 7.5 Información document documentada ada, de la norma, y los apartados II.3.10  II.3.10   Información documentada y II.7.5 Información documentada, ambos de este libro). l ibro).

MÁS INFORMACIÓN. Tarea inherente a la función de compliance.

El desarrollo de ambos ejercicios es una tarea propia de la l a función de compliance, compliance, según deriva del régimen que se explica y comenta con ejemplos bajo el título “ Actividades que iinvolucran nvolucran directamente a la función de ccompliance ompliance“, “, dentro del apartado II.5.3.2 Función de compliance, compliance, de este libro.

 riesgos os de  compliance  complia nce en de cada uno de Este apartado aborda la evaluación de los  riesg los “principales” grupos de  obligacione  obligacioness de  compliance  compliance previamente identificados. Es un  proceso  que atraviesa por desarrollar tres actividades consecutivamente (véase la figura 6): 6): • Identificar aquellas  obligaciones de  compliance en particular que, en un ejercicio racional de previsión124 , se estima que pueden generar  no cumpl cumplimie imientos ntos de   compliance.   Pueden darse a nivel de actividades desarrolladas, productos o servicios servicios prestaprestados y otros aspectos relevantes del modo en que la  organización desarrolla sus operaciones.

 obligaciones de compliance  obligaciones  compliance son susceptibles de incumplimiento. Tal circunstancia arrojaría evaluaciones de los riesgos de compliance   compliance muy poco prácticas, contemplando incluso no cumplimient cumplimientos os  remotos debido a su lejanía con las actividades de la organ  organización ización. Para evitar esta distorsión, es preciso realizar un ejercicio racional de previsión, esto es, considerar aquellas obli  obligacio gaciones nes de compliance  compliance y casuís124 Todas  Todas las

ticas que, atendidas las circunstancias de la organi  organización zación pudieran llegar a concurrir concurrir.. El conocimiento histórico del sector de actividad, así como de la trayectoria de la organización ayudan en este ejercicio. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

Pe Perímetro rímetro del  sistema de gestión, gestión, en todos los sentidos

d

 Apartado 4.3 Determinación del alcance del sistema de gestión del compliance

  131

Identificación de las obligaciones de compliance  compliance  relacionadas con el perímetro  Apartado 4.5 Obligaciones de compliance

r Evaluación de

riesgos de compliance  Apartado 4.6 Evaluación de los riesgos de compliance Figura 5. La evaluación de los riesgos de compliance guarda relación con aquellas obligaciones de compliance que están comprendidas dentro del perímetro técnico del sistema de gestión ge stión.

Proceso de Proceso  de evaluación de riesgos de compliance Identificación

r

Análisis

r

Valoración

Figura 6. La evaluación de los riesgos de compliance atraviesa por tres etapas consecutivas, consistentes en su identificación, análisis y valoración.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

132

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Riesgos vinculados con las actividades del  personal.

Una parte de los riesgos riesgos procederán  procederán de actividades que la organización organización desarrolla  desarrolla a través de su personal personal.. En este sentido, procede conocer qué procesos procesos y  y procedimientos de la organización dimientos de organización guardan  guardan relación con dichas actividades, así como también el personal con roles, responsabilidades o autoridades relevantes en ellos. Esto permitirá aplicar sobre estas actividades y los colectivos vinculados con ellas medidas de prevención, detección y reacción temprana ante riesgos de compliance. MÁS INFORMACIÓN. Competencias de las personas vinculadas con actividades de riesgo.

Procurar unas competencias adecuadas en las personas que participan en actividades de riesgo riesgo es  es una muestra de diligencia básica, así como un requisito requisito   del estándar ISO 37301:2021. Sobre esta materia, véanse los comentarios y los ejemplos que se desarrollan en el apartado II.7.2 Competencia Competencia,, de este libro. Dicho apartado plantea actividades para que las personas que se vinculan con la organización organización dispongan  dispongan o adquieran las competencia competenciass precisas para gestionar los riesgos riesgos que  que las exponen.  A CONSIDERAR. CONSIDERAR. Riesgos provenientes de terceras partes.

Preocupan especialmente los no cumplimientos de compliance que compliance que vienen inducidos o propiciados por terceros con los que se mantienen vínculos. Para una correcta evaluación de riesgos riesgos,, se tendrá en cuenta el perfil de terceras partes  partes  con los que se mantienen relaciones, que es una actividad implícita en el contenido del apartado 4.6 Evaluación de los riesgos de compliance y compliance  y que se señala expresamente en el apartado 8.1 Planificación y control operacional. EJEMPLO. Riesgos de compliance significativos que proceden de terceras partes. partes.

 Algunas malas praxis relacionadas rel acionadas con el compliance compliance se  se canalizan a través de terceros.. Así, por ejemplo, el Informe de la OCDE sobre cohecho internacional del terceros año 2015125 ya señaló que tres cuartas partes de sobornos a funcionarios públicos se producen recurriendo a relaciones con terceras partes (agentes, joint-ventures joint-ventures,, etc.). Y lo mismo es predicable con otras prácticas proscritas internacionalmente, entre las que figuran las lesiones a los Derechos Humanos asociadas con ciertas malas praxis laborales.

125  Organization

for Economic Cooperation and Development (OCDE), Informe de la OCDE sobre cohecho internacional, publicado en octubre de 2015. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  133

 A CONSIDERAR. CONSIDERAR. Riesgo de “contaminación” o “contagio”.

El hecho de mantener relaciones con entidades jurídicamente independientes genera la percepción errónea de que sus malas prácticas no afectarán a la organización.. Sin embargo, no siempre es así: organización • Mantener vínculos con personas relacionadas con grupos criminales puede soportar cargos de colaboración con organización criminal, de consecuencias graves. • A pesar de no estar calificadas como “organización criminal”, el mantenimantenimiento de relaciones con determinadas terceras partes puede perjudicar a la organización tanto organización  tanto a efectos de reputación como legales. • El riesgo riesgo de  de que la organización organización se  se vea afectada por la conducta irregular de un tercero guarda normalmente relación con: (i)

El beneficio que obtiene de sus malas praxis.

(ii)

La capacidad efectiva de supervisión sobre el tercero tercero,, que vendrá habitualmente condicionada por su nivel de dependencia respecto a a organización.. organización

  Por ello, como se exp explica lica con ejemplos en el apartado 8.1 Planificación y control operacional,, procede establecer controles sobre terceras partes, operacional partes, cuya intensidad dependerá del nivel de riesgo riesgo que  que arrojen: • El perfil de la tercera parte, parte, per se. se. • La operación pretendida con la tercera parte. parte. No fijarse en las relaciones con terceras partes, partes, a efectos de evaluar los riesgos (de “contaminación” “contaminación” o “contagio”) que afectan a la organización organización ni  ni establecer, esta blecer, por consiguiente, medidas razonables de control, puede ser interpretado como un escenario de ignorancia deliberada (“willful (“willful blindness”), blindness”), donde se evita indagar por miedo a los resultados.

MÁS INFORMACIÓN. Controles sobre terceras partes.

En relación sobre la necesidad de establecer controles sobre terceros terceros,, véanse las explicaciones que se recogen en el apartado II.8.1 Planificación y control operacional,, de este libro. operacional

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

134

• El análisis de los riesgos de  compliance, donde se reflexiona acerca de su gravedad, normalmente considerando su probabilidad de ocurrencia y consecuencias estimadas.

 A CONSIDERAR. CONSIDERAR. Metodología de análisis.

La propia definición de riesgo riesgo va  va ligada a la incertidumbre (véase el apartado II.3.7 Riesgo Riesgo,, de este libro). Por consiguiente, el ejercicio de evaluación de riesgos riesgos   es una modalidad de prognosis sobre hechos no acaecidos, pero que podrían llegar a suceder dentro de un ejercicio racional de previsión. El estándar ISO 37301:2021 opta por la metodología clásica de análisis de riesgos riesgos,, consistente en estimar la probabilidad de su materialización y las consecuencias que se derivarían en tal caso. Esto se aprecia en la propia definición 3.24 Riesgo de compliance,, asociada directamente con estos factores, así como en los comencompliance tarios que recoge el apartado A.4.6 Evaluación de los riesgos de compliance del compliance del anexo A (informativo) Guía para el uso de este documento. documento.  A pes pesar ar de ser la met metodo odolog logía ía sub subyac yacent entee en el conoci conocido do están estándar dar ISO 310 31000: 00:201 20188 Gestión del riesgo. Directrices, Directrices, no es obligatorio aplicar la indicaciones de este texto por cuanto no aparece citado en ubicaciones con dimensión editorial (se menciona en el apartado A.4.6 Evaluación de los riesgos de compliance del compliance del anexo A (informativo) Guía (informativo) Guía para el uso de este documento). documento). No se trata de un olvido, sino de un guiño a organizaciones organizaciones pequeñas  pequeñas y medianas a las que no cabe exigir metodologías muy elaboradas.  A pesar de su amplia util utilización ización en otras esfera esferas, s, existen voces críti críticas cas respecto a esta metodología en el ámbito del compliance compliance,, considerando la singularidad que envuelve a los incidentes graves y, por tanto, la difícil estimación de ocurrencia partiendo de una secuencia histórica Tambiéndependiendo se recrimina la diversidad de posibles consecuencias anteconocida. hechos similares, de factores circunstanciales prácticamente prácti camente imposibles de prever. prever. Estos razonamientos nos acercan a un sistema complejo de previsión 126. No obstante, en ausencia de una metodología contrastada más fiable, es la más aceptada y empleada a nivel internacional. Cabe entonces interpretar su empleo dentro de la aplicación razonable de la denominada “business “ business judgement rule”, rule”, que explico al hilo de los contenidos del apartado II.9.1.4. Informes de compliance, compliance, de este libro.

126 Los

sistemas complejos son aquellos donde concurre un número elevado de variables de peso ponderado desigual, que hacen muy difícil desarrollar ejercicios fiables de pronóstico. En los

sistemas complicados, sin embargo, el número de variables es acotado o algunas condicionan sustancialmente a las restantes, incrementando la fiabilidad del pronóstico. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  135

 A CONSIDERAR. CONSIDERAR. Factores de estimación de la pr probabilidad. obabilidad.

Son factores de probabilidad aquellos que ayudan a prever la ocurrencia de un suceso, por ejemplo: • El número de ocasiones con que se materializa el riesgo riesgo en  en el pasado, o ha estado a punto de hacerlo. • La frecuencia en que se desarrolla la actividad en cuyo contexto puede matemate rializarse el riesgo riesgo.. • El volumen de sujetos que pueden llegar a desarrollar las conductas asociadas con el riesgo riesgo.. • El nivel de conocimiento y experiencia de la organización organización y  y sus personas en la gestión de las actividades vinculadas con el riesgo riesgo.. El análisis de estos factores arroja una estimación de probabilidad, sea holística (análisis en conjunto de los factores, en una estimación global) o como el agregado tras sudado individualización (fórmulas matemáticas que ponderan un valor dey estimación a cada uno de los factores determinantes de la probabilidad arrojan así un valor numérico conjunto).  A CONSIDERAR. Factores Factores de estimación del impa impacto. cto.

Son factores de impacto los que ayudan a estimar cuán graves serían las consecuencias para la organización organización,, en caso de materializarse el riesgo riesgo.. A tales efectos, suelen considerarse dos grandes categorías de daños: • Los de reputación, asociados con la erosión de la imagen de la organización organización   y las consecuencias económicas que se derivan de ello. • Los en términos de sanciones, que varíanetc. en virtud de la gravedad del económicos no cumplimiento de compliance, compliance , su reiteración,  Al igual que antes (análisis de probabilidad), el estudio estudio y la conclusión respecto a los mismos puede ser holístico o derivado de la modelización matemática (véase la figura 77).).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

136

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Riesgo inherente (bruto) y riesgo residual (neto).

• El riesgo riesgo inherente  inherente o bruto es el que expone a la organización organización en  en ausencia de toda medida de prevención, detección o reacción temprana ante los riesgos de compliance compliance. riesgo sin  sin tener en cuenta ningún elemento de control. . Es decir, es el nivel de riesgo • El riesgo riesgo residual  residual o neto es el que finalmente expone a la organización organización,, descontado el efecto mitigante que ocasionan las medidas de prevención, detección y reacción temprana que ha dispuesto para cubrir los objetivos objetivos de  de control. De acuerdo con lo anterior, la migración de un riesgo riesgo inherente  inherente elevado a uno residual inferior debería venir refrendado por la existencia de elementos de control que justifiquen tal variación, esto es: • El adecuado diseño de las medidas de prevención, detección y reacción temtemprana ante los riesgos de compliance, compliance, de manera que cubran los objetivos objetivos de  de control pretendidos. • La aplicación eficaz eficaz de  de dichas medidas, especialmente en términos de uniformidad (aplicación en todos los procesos procesos de  de la organización organización donde  donde se precisan, con independencia de su localización) y consistencia (aplicación en todos los casos según los mismos criterios determinados por la organización organización).). La traza documental de estos aspectos es la que sustenta que el tránsito de la estimación del riesgo riesgo inherente  inherente al residual es plausible.

Riesgo n

 Alta         d      a         d        i         l        i         b      a         b      o      r        P

Media Baja Bajo

Medio

Alto

Impacto

Figura 7. Los riesgos evaluados en términos de probabilidad de ocurrencia ecuadros impactodepueden ilustrarse gráficamentecartesianas localizándolos en losEldiferentes una matriz de coordenadas positivas. ejemplo

muestra la localización de un riesgo (n) cuya evaluación arroja un resultado alto tanto de probabilidad como de impacto. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  137

En ausencia de ese entorno de control (diseño y eficacia eficacia),), el riesgo riesgo residual  residual o neto tenderá a acercarse al inherente o bruto (véase la figura 88).).

 A CONSIDERAR. Riesgo residual (neto) estimado y riesgo residual (neto) contrastado.

El riesgo riesgo residual  residual estimado suele derivar de un primer ejercicio de evaluación, resultando de valorar el efecto esperado esper ado de las medidas de prevención, detección y gestión temprana (controles) en relación con los objetivos objetivos de  de control deseados y, por tanto, sobre su capacidad hipotética de mitigación, tanto de la probabilidad de materialización del riesgo riesgo como  como de sus consecuencias. El riesgo riesgo residual  residual contrastado es el que resulta del testeo de controles que señala el apartado 8.2 Establecimiento de controles y procedimientos, procedimientos, de utilidad para contrastar si la variación entre el riesgo riesgo inherente  inherente y el residual estimado es plausible.

 A CONSIDERAR. CONSIDERAR. Riesgo sectorial.

El riesgo riesgo sectorial  sectorial es el que se observa en los operadores en un sector de actividad o mercado, ilustrando una suerte de benchmark benchmark o  o media del riesgo riesgo residual  residual de las organizaciones organizaciones que  que operan en él.

Riesgo bruto

 Alta         d      a         d         l        i         b      a         b      o      r        P

Riesgo neto

Media

Baja

Bajo

Medio

Alto

Impacto

Cada riesgo puede evaluarse y plasmarse como inherente (riesgo  Figuray8.residual bruto) (riesgo neto). La variación entre ambas magnitudes debería

 venir justificada por la existencia e xistencia de controles qu quee amparen la diferencia entre e ntre ambos valores. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

138

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 Algunos reguladores y supervisores recurren a este concepto para comparar el entorno de control de algunas organizaciones organizaciones respecto  respecto a sus equivalentes (“peers (“peers”), ”), induciendo así una mejora continua del continua del conjunto y trasladando cierta presión a las situadas por debajo de la media sectorial. Se construye así una aproximación al riesgo riesgo neto  neto medio de las empresas comparables. Bajo esta perspectiva, un riesgo riesgo sectorial  sectorial bajo no significa que las l as empresas que operan en él carezcan de exposición a dicho riesgo riesgo inherente,  inherente, sino que disponen de medidas eficaces para su prevención, detección y reacción temprana.

EJEMPLO. Riesgo inherente (bruto), residual (neto) y sectorial. Sabemos que el blanqueo de capitales constituye un riesgo riesgo para  para cualquier entidad financiera. A partir de esta premisa, veamos tres situaciones (véase la figura 9): 9):

• Si un banco careciera de medidas para la prevención del blanqueo de capitales, ejercería una poderosa atracción para sujetos criminales deseosos de lavar sus activos. Por eso, el pronóstico de riesgo riesgo inherente  inherente es elevado. • No obstante, las medidas de prevención, detección temprana y reacción frente al blanqueo de capitales permitirán a la entidad alcanzar un nivel de riesgo riesgo   residual inferior al inherente. Bruto

 Alta         d      a         d        i

        l        i         b      a         b      o      r        P

Neto

Media

Baja

Sector 

Bajo

Medio

Alto

Impacto

Figura 9. La figura añade el riesgo sectorial, entendido como una aproximación  peers) a la media del riesgo residual (riesgo neto) de los sujetos comparables ( peers

a la organización . Esto permite observar que, aunque su riesgo residual es inferior al inherente, continúa siendo superior al del sector. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  139

• No obstante, su riesgo riesgo residual  residual puede continuar siendo superior al sectorial si se concluye que no dispone de un entorno de control equivalente al de sus peers.. El riesgo peers riesgo sectorial  sectorial se concibe, así, como una aproximación a la media de riesgos riesgos residuales  residuales de las organizaciones organizaciones que  que operan en el mismo. • La valoración valoración de los  rie  riesgo sgoss de  complia  com pliance nce , donde se priorizan para dar lugar a una asignación razonable de recursos para su prevención, detección y gestión.   El apartado A.4.6 Evaluación de los riesgos de compliance del anexo A (informativo) Guía para el uso de este documento se afana en aclarar que esto no significa que los riesgos con una priorización baja supongan un nivel de aceptación por  organizaciónn, sino que el foco de atención se centrará en los de mayor parte de la organizació prioridad, pero sin olvidarse del resto.

 A CONSIDERAR. CONSIDERAR. Riegos residuales (netos) “bajos” a mantener bajo supervisión.

Que un riesgo riesgo residual  residual (neto) de compliance compliance tenga  tenga una calificación (estimada o contrastada) de “bajo” no significa que pueda situarse fuera del “radar” de control de la organización organización.. De este modo, cabe distinguir entre: • Riesgos Riesgos residuales  residuales (netos) calificados como “bajos” porque derivan de riesgos riesgos   inherentes (brutos) igualmente bajos (en ocasiones calificados como “negligibles”). Suele ser el caso de riesgos riesgos asociados  asociados con casuísticas que no guardan ninguna relación con las actividades de la organización organización.. • Riesgos residuales Riesgos residuales (netos) calificados como “bajos”, pero que derivan de riesgos inherentes riesgos  inherentes (brutos) de mayor categorización, pero sobre los cuales se aplican medidas de prevención, detección y gestión (controles), que de forma estimada o contrastada permiten reducir su probabilidad de materialización y consecuencias (convirtiéndolos en riesgos riesgos residuales  residuales bajos).  Aunque ambos riesgos riesgos comparten  comparten calificación (bajos), no procede gestionarlos del mismo modo: cabrá mantener la supervisión del entorno de control de aquellos encuadrables en la última categoría, dado que no hacerlo propiciaría el incremento en su calificación. Por ello, no suelen desaparecer de las matrices de riesgos riesgos y  y controles que ayudan a monitorizar el entorno de control (aunque su valoración anual sea baja).

 A CONSIDERAR. CONSIDERAR. Controles sobre riesgos inherentes (brutos) bajos.  Algunas organizaciones organizaciones opinan,  opinan, erróneamente, que no es necesario disponer y,

de hecho, no disponen de medios de control respecto a riesgos riesgos inherentes  inherentes (brutos) bajos de compliance compliance.. En la mayoría de ocasiones, esto no es exactamente así. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

140

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

El entorno de control de las organizaciones organizaciones está  está formado un entramado de controles, tanto de alto nivel como específicos. Los denominados “controles generales de alto nivel” (Entity (Entity Level Controls) Controls) aplican sobre una pluralidad de riesgos,, mientras que los “controles específicos” ( Activity riesgos  Activity Level C Controls ontrols)) están ideados para algunos de ellos en particular o las actividades/procesos en que se manifiestan. Es bastante probable que las organizaciones organizaciones no  no dispongan de controles específicos sobre algunos riesgos riesgos inherentes  inherentes bajos (los no vinculados con sus actividades, por ejemplo). Sin embargo, continuarán disponiendo de controles de alto nivel que pueden contribuir a su detección, como los canales que se explican en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.  A CONSIDERAR. CONSIDERAR. Priorización por severidad severidad..

Las estimaciones de probabilidad e impacto son las que permiten priorizar las medidas para la prevención, detección y reacción temprana ante no cumplimientos de compliance. compliance. En un universo ideal de recursos ilimitados, este sería un ejercicio ocioso, dado que podrían emplearse para cubrir cualquier riesgo riesgo,, por insignificante que fuera. Pero Pero la escasez de recursos en la vida real exige su gestión responsable, que en compliance compliance significa  significa emplearlos atendiendo al nivel de exposición al riesgo riesgo.. Estamos, nuevamente, ante una manifestación del enfoenfo que basado en el riesgo riesgo (véase  (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro) que afecta a la interpretación de tantísimos requisitos requisitos del  del estándar ISO 37301:2021. No hacerlo, supondría dedicar recursos a tareas que no los merecen, lo que constituiría per se un se un riesgo riesgo de  de malversación. Tras el análi análisis sis de los los riesgos  riesgos de compliance, compliance, en términos de probabilidad y de sus consecuencias, la organización organización los  los priorizará para disponer así de un escalado priorizado de referentes de atención. Para ello, algunas organizaciones organizaciones recurren  recurren al concepto de “severidad”, el resultado de agregar probabilidad e impacto paraque cadaesriesgo de compliance. compliance . las estimaciones de  A CONSIDERAR. Apetito Apetito de riesgo en compliance.

Una organización organización puede  puede barajar el riesgo riesgo de  de diseñar y comercializar productos o servicios que no gocen de aceptación en el mercado mer cado y terminen causándole un quebranto económico o de imagen. Saber hasta dónde está dispuesta a llegar una organización organización forma  forma parte de su apetito de riesgo riesgo.. Sin embargo, las organizaciones organizaciones no  no pueden plantearse desarrollar productos o servicios que vulneren las normas (ni las impuestas ni las asumidas voluntariamente). Por este motivo, el estándar ISO 37301:2021 pone mucho cuidado en no utilizar este concepto, que podría interpretarse como la posibilidad de que la organización decida organización  decida qué normas quiere cumplir y cuáles no, o el grado en

que puede hacerlo (véase el apartado II.3.7 Riesgo Riesgo,, de este libro). En diferentes momentos de la elaboración del estándar se debatió la introducción del Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  141

concepto, rechazándose por el motivo indicado. El concepto de apetito de riesgo combina riesgo  combina mal con la propia definición de Compliance Compliance (que  (que se refiere expresamente a observar “todas” las obligaciones de compliance de  compliance,, véase el apartado II.3.6 Objetivo Objetivo,, de este libro), así como con los valores asumidos y difundidos mediante códigos éticos o políticas políticas d  dee compliance compliance,, incluyendo la tolerancia cero a los no cumplimientos de compliance. compliance. Sin perjuicio de lo anterior anterior,, el apartado A.4.6 Evaluación de los riesgos de compliance del pliance  del anexo A (informativo) Guía para el uso de este documento sugiere documento sugiere comparar el nivel de riesgo riesgo que  que está dispuesta a asumir la organización organización con  con el nivel de riesgo riesgo fijado  fijado en la política de compliance de compliance en  en su ámbito. ámbit o. TTal al vez la organización organización   disponga de alguna política política o  o de criterios generales sobre gestión de riesgos riesgos que  que fijen umbrales de apetito de riesgo riesgo,, pero en materia de compliance compliance regirá  regirá lo que indique la política política de  de compliance compliance,, cuyo contenido será necesariamente restrictivo por los motivos motivo s indicados en el párrafo anterior anterior.. Una organización organización no  no puede tolerar los no cumplimientos de compliance como compliance  como un mal necesario en el desarrollo de sus actividades, ni tan siquiera excusándose en que serán puntuales o inmateriales. No puede hacerlo porque porqu e ningún sujeto de derecho puede decidir unilateralmente el cumplimiento de las normas o de los compromisos que le afectan. Esto explica también por qué la propia definición de compliance compliance (véase  (véase el apartado II.3.26 Compliance Compliance,, de este libro) se refiera expresamente a satisfacer “todas” las obligaciones de compliance. Cuestión distinta es que las organizaciones organizaciones se  se planteen operar en geografías o sectores con alta exposición a algunos riesgos de compliance. compliance. Pero esta determinación no implica aceptar su materialización y es solo razonable cuando se disponen de medios robustos para la prevención, detección y reacción temprana de no cumplimientos de compliance127 .

127  Se

trata de una reflexión que surgirá de la aplicación de lo establecido en el capítulo 4 Contexto de la organización, del estándar ISO 37301:2021. En algunos casos, se puede llegar a concluir que algunas de las circunstancias internas de la  organ  organizac ización ión (su nivel de recursos, por ejemplo) no le permiten dotarse de un  sist  d e  compl  sistema ema de gesti gestión ón de  complianc iancee que les permita operar con seguridad razonable en entornos de  ries  riesgo go (circunstancias externas). En tal caso, deberán

evitar aquellas operaciones, geografías o demás factores de  ries  riesgo go para los que no disponen de un  sist  sistema ema ddee ges gestión tión  de  compl  complianc iancee adecuado. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

142

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. Obligaciones Obligaciones de compliance en conflicto y activismo de las organizaciones.

Puesto que las organizaciones organizaciones no  no pueden seleccionar las obligaciones de compliance que pliance  que deben acatar acatar,, el el sist  sistema ema de gest gestión ión procurará  procurará el cumplimiento de todas ellas. Sin embargo, en un entorno complejo pueden darse contradicciones entre normas jurídicas (especialmente cuando se opera a nivel internacional). Además, Además, ciertas leyes locales pueden contrariar los valores de las organizaciones organizaciones,, de los que igualmente derivan obligaciones de compliance para compliance para ellas (por ejemplo, en materia de derechos y libertades de las personas). Cuando resulta imposible conciliar obligaciones de compliance de compliance de contenido contradictorio, las organizaciones organizaciones pueden  pueden verse compelidas a realizar una elección, gestionando ese conflicto para minimizar sus consecuencias. No se trata de una opción de apetito de riesgo riesgo,, pues, en verdad, las organizaciones organizaciones no  no promueven ese conflicto, sino que les viene dado y no pueden evitarlo, gestionándolo del mejor modo posible para minimizar sus consecuencias. En cualquier caso, dado que cualquiera que sea su elección provocará un riesgo riesgo,, como tal debe tratarse, normalmente a través de una gestión transparente (comunicación a sus partes interesadas)) y debidamente fundamentada. Esos matices son importantes a la interesadas l a hora de distinguir la gestión de conflictos entre normas o incluso el activismo –basado en valores– de opciones simplemente oportunistas que buscan el beneficio a corto plazo derivado del no cumplimiento de compliance. compliance. En relación con el ejercicio de evaluación de  riesgos, el estándar ISO 37301:2021 no exige emplear una metodología concreta, consciente de la diversidad de las organiza ciones y sus circunstancias. No obstante, el apartado A.4.6 Evaluación de los riesgos de   compliance del anexo A (informativo) Guía para el uso de este documento cita la mecánica clásica de identificación, análisis y posterior valoración de riesgos, en términos de probabilidad e impacto, tan típica de ISO 31000:2018 Gestión del riesgo. Directrices, referenciando refere nciando dicho estándar a título de simple recomendación.

 compliance nce debe ejecutarse de manera El ejercicio de evaluación de los riesgos de  complia planificada128, cada cierto tiempo, aunque no existan motivos aparentes para ello, o cuando se produce un cambio relevante en las circunstancias internas o externas de la organización. 128  Es

preciso desarrollar el ejercicio de evaluación de riesgos de  riesgos de manera manera planificada para poder aplicar correctamente el enfoque basado en el riesgo que inviste al estándar ISO 37301:2021. Sobre los efectos de este ejercicio en las actividades a planificar y desarrollar por la  organización , véase el apartado I.6.2.2  Enfoque basad basadoo eenn el riesgo , de este libro. Es una práctica habitual actualizar

anualmente el ejercicio de evaluación de riesgos de compliance  compliance (revisión planificada), o incluso antes, cuando concurren cambios en las circunstancias de la organización (revisión sobrevenida). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  143

 A CONSIDE CONSIDERAR. RAR. Reevaluac Reevaluación ión de riesgos y revisión del sistema de g gestión estión.

La evaluación de los riesgos de compliance es compliance es una pieza clave del sistema del  sistema de gestión de gestión  de compliance compliance,, en cuanto sigue un enfoque basado en el riesgo riesgo (véase  (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro). Por este motivo, es importante que esté actualizado según dispone el apartado 4.6 Evaluación de los riesgos de compliance. No obstante, la evaluación de los riesgos de de compliance  compliance constituye  constituye una actividad dentro del sistema del  sistema de gesti gestión ón,, que también procede revisar en su conjunto de forma planificada, según indica el apartado 10.1 Mejora continua. continua. En la búsqueda de sinergias, tendrá sentido desarrollar las reevaluaciones de riesgos de de   compliance de compliance  de forma coordinada con las revisiones más generales del sistema del  sistema de gestión en gestión en su conjunto

 A CO CONS NSID IDERA ERAR. R. Inf Inform ormaci ación ón de cal calida idad d a través través de la lass per person sonas as ade adecua cuadas das.. Los ejercicios de evaluación de los riesgos de compliance buscarán compliance buscarán obtener información de calidad para fundamentar un juicio de pronóstico (probabilidad e impacto). Para ello, con gran probabilidad será necesario que la función de compliance mantenga compliance  mantenga sesiones de trabajo y entrevistas con personas que conocen bien la organización organización,, sus procesos procesos y  y su cultura:

• El órgano de gobierno y gobierno y la alta dirección. dirección. • Las funciones corporativas que disponen de una visión transversal de la organización y nización  y conocen tanto su operativa como su entorno de control (finanzas, asesoría jurídica interna, fiscalidad, gestión de riesgos riesgos,, control interno, auditoría auditoría   interna, recursos humanos, tecnologías de la información, comunicación y relaciones públicas, etc.). • Los responsables de la gestión operativa de la organización organización (responsables  (responsables de líneas de negocio, por ejemplo). Este apartado indica también la evaluación de los  riesgos provenientes de actividades externalizadas o desarrolladas por terceras partes, que encaja con el concepto anglosajón129 de “third party management ” o “third party due diligence”. Los  procesos  –de

ejemplo, US Department of Justice-Criminal Division.  Eval  Evaluati uation on of Corp Corporat oratee Com pliance  plia nce Progra Programs, ms, Guida Guidance nce Docume Document  nt , junio 2020. El denominado “ Third Party Management ” y las prácticas de “third party due diligence ” en que deriva son aspectos tratados en el apartado 129  Por

E de la sección I del documento  Is p. 7 del mismo.

the Corpo Corporati ration’s on’s Compl Compliance iance Progra Program mW Well ell Designed? Desi gned? , en la

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

144

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 riesgo– que involucran a terceras partes deben identificarse, analizarse y valorarse (véase la figura 10). 10).

 A CONSIDERAR. CONSIDERAR. Riesgo de “contagio” y control sobre terceras partes. Dependiendo de las circunstancias, las relaciones con terceras partes pueden afectar a la organización organización,, no solo desde una perspectiva de reputación, sino también, legalmente. Las cautelas en la contratación y promoción de  per  person sonal al establecidas dentro del  Proceso so de empleo, junto con la evaluación de  ries  riesgos gos inducidos por apartado 7.2.2  Proce terceras partes que indica este mismo apartado, cierran el círculo de actividades de debida diligencia sobre sujetos susceptibles de exponer a la  orga  organizac nización ión  a  ries  riesgos gos  de   complia  comp liance nce  y sobre cuyo perfil o actividad procede ejercer un nivel razonable (véase el apartado I.6.1.2  Princi  Principio pio de propor proporcionali cionalidad dad, de este libro) de control y 11).  seguimiento  segui miento (véase la figura 11). Clientes

r

Colaboradores

r

 

Organización

     r

r Colaboradores

Cadena de suministro

Figura 10. El riesgo de “contaminación” o “contagio” puede estar inducido por los vínculos de la organización  con terceras partes, incluyendo sus clientes, las entidades con las que mantiene vínculos de colaboración o por su cadena de suministro.

Interna

Sobre el personal

 Apartado 7.2.2 Proceso de empleo

Externa

Sobre las terceras las terceras partes

 Apartado 4.6 Evaluación de los riesgos de compliance

Debida diligencia

Figura 11. Ejerciendo la debida diligencia sobre los dos colectivos susceptibles

de amenazar a la organización  (su personal o las terceras partes con las que mantiene vínculos) se cierra el círculo de control en esta materia. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  145

 procesos sos  de debida diligencia  A CONSIDERAR. Etapas comune comuness en los  proce interna y externa. Frecuentemente, las organizaciones organizaciones fijan  fijan sus requisitos requisitos de  de debida diligencia para el personal personal y  y para terceras partes en partes en procedimientos procedimientos separados.  separados. A pesar de ello, siguen una estructura esencial parecida, que atraviesa por tres actividades básicas consecutivas: • La adecuada selección del personal personal o  o de terceras partes. partes. La mejor cautela que puede observar una organización organización comprometida  comprometida con la ética y el cumplimiento de las normas es evitar vincularse con sujetos (personal (personal o  o terceras partes) partes) de los que se conozca o podría haberse conocido que su perfil no era el adecuado para asumir las obligaciones de compliance que compliance que les afectan. • La formalización jurídica del vínculo con el personal personal o  o las terceras partes, partes, incorporando las cautelas contractuales precisas en relación con las obligaciones de  compliance de compliance que  que deben asumir. • El seguimiento El  seguimiento de  de la relación que se mantiene con el personal personal o  o las terceras partes,, para satisfacerse de que su perfil no ha variado negativamente desde partes la evaluación inicial que justificó vincularse jurídicamente con ellos y que han observado aquellas cautelas contractuales acordadas. Son actividades sucesivas, de forma que el establecimiento de cautelas contractuales, por ejemplo, solo tiene sentido tras haber superado satisfactoriamente la evaluación del sujeto (véase la figura 12 12).).

do cumentada que exige el estándar ISO 37301:2021 no se limita al La  información documentada  compliance, sino también, a las medidas adoptaejercicio de evaluación de  riesgos de   compliance das en relación con los  riesgos identificados, es decir, las medidas dispuestas para su prevención, detección y reacción temprana.

Procesos de Procesos  de debida diligencia Selección

r

Formalización

r

Seguimiento

Figura 12. Los procesos  de debida diligencia, tanto los referidos al  personal  como a las terceras partes con las que se mantienen vínculos, atraviesan por

tres hitos básicos consecutivos: una adecuada selección, la formalización de la relación con las cautelas contractuales oportunas y su  seguimient  seguimientoo. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

146

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. La ev evaluación aluación de los riesgos de compliance y la matriz de riesgos y controles.

El ejercicio de evaluación de los riesgos riesgos de  de compliance compliance atraviesa  atraviesa por su identificación, análisis y valoración. De ello resulta una priorización priorizaci ón que ayuda a asignar recursos para su prevención, detección y reacción temprana. Del ejercicio de evaluación de los riesgos riesgos de  de compliance compliance cabe  cabe inferir aquellas actividades yy,, por tanto, procesos procesos que  que están asociados con los riesgos riesgos.. Véanse las explicaciones acerca de la introducción de controles dentro del apartado II.8.1 II.8.1 Planificación  Planificación y control operacional, operacional, de este libro. Las denominadas matrices de riesgos riesgos y  y controles son tablas donde figuran los riesgos que riesgos  que exponen a la organización organización –normalmente  –normalmente priorizados– y los controles que la organización organización proyecta  proyecta sobre ellos para prevenir su materialización (controles preventivos), para detectar su ocurrencia (controles detectivos) y, en cualquier caso, reaccionar del mejor modo posible para mitigar sus efectos. En un  sistema de gestión de gestión de compliance compliance transversal  transversal (que proyecta la supervisión sobre diferentes bloques de obligaciones de compliance) compliance) serán proclives a producir tanto evaluaciones de riesgos riesgos como  como matrices de riesgos riesgos y  y controles para cada uno de los grupos de obligaciones de  de compliance compliance,, dentro del perímetro técnico de supervisión del modelo, según se explica en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro. Estas matrices son las que permiten valorar la razonabilidad de la reducción de los riesgos riesgos inherentes  inherentes a residuales. A partir de la información que recogen, cabe: • Analizar el diseño de los controles para valorar su adecuación para la cobertura del riesgo riesgo sobre  sobre el que se proyectan y satisfagan los objetivos objetivos de  de control (que no sean fácilmente sorteables, que cubran la totalidad de casuísticas por las que se puede materializar el riesgo riesgo,, etc.). • Valorar si semodo). aplican de forma uniforme (en toda la organización organización)) y consistente (del mismo Este análisis permite concluir sobre su eficacia eficacia y  y corroborar la razonabilidad de la diferencia entre riesgos riesgos inherentes  inherentes y residuales. En cuanto al establecimiento de controles de compliance compliance,, véanse las explicaciones contenidas en el apartado II.8.2 Establecimiento de controles y procedimientos, procedimientos, de este libro. EJEMPLO. Políticas, procedimientos y controles.

En términos técnicos, tanto las políticas políticas como  como los procedimientos procedimientos pueden  pueden albergar diferentes controles. Así, por ejemplo, una política política sobre  sobre obsequios y atenciones, además de establecer los criterios para su permisibilidad o prohibición, puede comprender:

• Controles preventivos, en forma, por ejemplo, de solicitud de aprobación prepre via, cuando el obsequio supera una determinada cuantía, cuando va dirigido Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.4 Contexto de la organización

  147

a un determinado perfil de destinatario (persona especialmente expuesta, por ejemplo) o cuando se realiza en momentos comprometidos. • Controles detectivos consistentes, por ejemplo, en declarar todos los obsequios realizados o recibidos en un repositorio confidencial de la organización organización.. En este ejemplo simplificado, una política política incorpora  incorpora dos tipos de controles. En la matriz de riesgos riesgos y  y controles será preciso identificar los controles a este nivel si se quiere evaluar o auditar su correcta utilización (realización de tests para comprobar su aplicación).

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo

Propósito de este capítulo Desde cualquier perspectiva, es muy difícil que un modelo de  compliance opere  efi cazmente sin la involucración real de los máximos responsables de la  organizac  organización ión. De ahí la importancia del llamado “ tone at the top”130, que después se ha denominado “tone from the top” en un esfuerzo por no limitarlo a la cúpula directiva y remarcar la necesidad de que permeabilice desde allí a toda la  organización. Como subraya la  Introducción al estándar ISO 37301:2021, su compromiso juega un papel clave en el mantenimiento de una adecuada cultura corporativa, que comienza con la fijación y difusión de valores claros, que estarán secundados por p or sus propias conductas (véanse el apartado I.5.1 El estándar ISO 37301:2021 y la cultura de compliance y el capítulo II.0 Introducción, de este libro). El capítulo 5  Liderazgo  establece los colectivos que están llamados a ejercer dicho compromiso visible, que son el órgano de gobierno y la alta dirección. No obstante, se fijan igualmente los roles, las responsabilidades y las autoridades, no solo de dichas instancias, sino también, de la propia  función de compliance, la del  management  y   y la del personal, en general.

130  Noción

ya presente en COSO I, en 1992.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

149

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

150

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Es interesante destacar que, siguiendo la línea que marcó el estándar ISO 19600:2014 y a diferencia de estándares nacionales precedentes131, se evita establecer la figura del “oficial de cumplimiento” –que evoca a un órgano unipersonal–, recurriendo al concepto de “función”. Esta fórmula admite gran flexibilidad organizativa, permitiendo designar tanto órganos unipersonales como colegiados y ampara también la creación de órganos  ad hoc h oc o recurrir a otros preexistentes. Desde una perspectiva práctica, bastantes de estas opciones facilitan aglutinar perfiles variados, pero sinérgicos en  compliance. La existencia de una política de compliance132 aplicable en toda la organización, es una manifestación de liderazgo comprometido con la cultura ética y, por ello, se trata igualmente en este capítulo. Plasma la voluntad de la  organización en el ámbito del  compliance y determina un marco que le permite fijar sus objetivos en esta materia para progresar progres ar en ella.

Evolución respecto a ISO 19600:2014 El capítulo 5 Liderazgo se divide en tres apartados principales, que son coincidentes en cuanto a las materias tratadas, a las recogidas en el anterior estándar ISO IS O 19600:2014.  No obstante, existen algunos cambios menores relativos a la  reorganización y la reformulación de contenidos, para mejorar su estructura y ceñirlos a las necesidades de un MSS de tipo A (certificable). Destaca la inclusión de los apartados 5.1.2 e 5.1.3 dedicados a la Cultura de compliance y a la Gobernanza del compliance, respectivamente. Como se explica a continuación, no son materias nuevas, pero ahora se ubican mejor en este apartado por su conexión con el liderazgo e incrementan, de paso, su protagonismo.

131  El

estándar australiano AS 3806:2006, antecesor nacional del estándar ISO 19600:2014 sobre programas de  compl  complianc iancee, recurría a la figura del oficial de cumplimiento, como también lo hizo después el estándar británico BS 10500:2011 sobre sistemas de gestión antisoborno, antecesor del estándar ISO 37001:2016. 132 En líneas generales, la existencia de un documento a modo de  política es una exigencia común en los sistemas de gestión de ISO. Sin embargo, para los sistemas de gestión sobre  compliance, este documento adquiere una relevancia destacable, dejando de ser un componente diluido dentro del

resto que conforman el sistema de gestión, para adquirir cierto protagonismo. Esto obedece a la importancia que otorgan los textos de  compliance a fijar y a difundir los parámetros de conducta que serán luego objeto de supervisión y control. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   151

II.5.1. Liderazgo y compromiso El liderazgo y el compromiso corresponden principalmente al  órgano de gobierno y a la alta dirección. El apartado 5.1 Liderazgo y compromiso  recoge las prácticas en que se compromiso traduce esta llamada, dedicándole especialmente el apartado 5.1.1 Órgano de gobierno   y alta alta direcc dirección ión. Además, incorpora dos apartados muy relacionados: 5.1.2 Cultura de  compliance y 5.1.3 Gobernanza del compliance. Las materias establecidas en estos dos apartados estaban ubicadas en localizaciones diversas133 en el anterior estándar ISO 19600:2014, lo que dificultaba asociarlas con un liderazgo efectivo.

II.5.1.1. Órgano de gobierno y alta dirección El apartado 5.1.1 Órgano de gobierno y alta dirección es un mandato a las instancias de decisión más elevadas de la organizaci  organización ón. Antes de analizar la relación de actividades que muestran un liderazgo comprometido con el  compl  complianc iancee, conviene señalar la profusa utilización del verbo “asegurar” (“ ensure”), que se contrapone a otras formas  verbales  verba les que no conllevan conllevan el mismo mismo nivel de responsab responsabilida ilidad. d. Así, por ejemplo ejemplo,, cuando  Función unción de com compliance pliance relaciona sus actividades, su empleo es mucho el apartado 5.3.2 F más limitado, debido a que el marco de sus cometidos co metidos se limita a la “opera “operación” ción” del  sistema de gestión de compliance. Sin embargo, el órgano de gobierno y la alta dirección, en su calidad de últimas instancias decisorias, sí están en disposición de “asegurar” determinadas prácticas, dada su posición residual de garante. Los aspectos que trata este apartado ya se contemplaban en el apartado 5.1 Com promiso y liderazgo  del anterior estándar ISO 19600:2014, aunque sufren ahora una reformulación y parte de sus contenidos (ejemplos) se trasladan ahora al apartado

de compliance del anexo A (informativo) Guía para el uso de este  documento  docume ntoCultura . Se espera que el órgano de gobierno y de la alta dirección: • Establecer una polít  política ica de compliance  compliance y los objetivos que derivan de ella, asegurando su alineación con la dirección estratégica de la organización, de modo que sean

 A.5.1.2.  A.5.1 .2.

discursos conexos. contenidos relativo relativoss a la cultura de compliance se localizaban en el apartado 7.3.2.3 Cultura  de compliance compliance del estándar ISO 19600:2014, que incluía una serie de ejemplos e indicaciones propias de un sistema de gestión no certificable (MSS de Tipo B), pero de difícil encaje en uno certificable (MSS de Tipo A). Por eso, no solo experimentan una reubicación, sino también, un proceso de simplificación de contenidos y remisión de buena parte al apartado A.5.1.2 Cultura de compliance del 133 Los

anexo A (informativo) Guía para uso de este documento del estándar ISO 37301:2021. En cuanto a la parte de gobierno de compliance, se localizaba en el apartado 4.4 Sistema de gestión del compliance  y principios de buen gobierno del estándar ISO 19600:2014. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

152

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

  Como se explicará más adelante, aunque dicha política puede contener algunos  objetivos estratégicos de alto nivel (compromiso con co n el cumplimiento de las normas y valores que afectan a la organizac  organización ión, por ejemplo), conforma realmente el marco para la fijación de los objetivos que se abordan en el apartado 6.2 Objetivos  de compliance y planificación para lograrlos.

MÁS INFORMACIÓN. Aprobación de la política de compliance.

Sobre la aprobación formal de la política de compliance compliance,, véanse las explicaciones, así como el ejemplo que figura en el apartado II.5.2 Política de compliance, compliance, de este libro.

MÁS INFORMACIÓN. Objetivos de compliance.

En relación con el como marcotácticos de fijación de objetivos objetivos de compliance y compliance  y los objetivos objetivos, tanto estratégicos derivados de él, de véanse las explicaciones, así, como el ejemplo que figura en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro. • Integrar los requisitos de  compliance dentro de los  procesos de negocio conformando una unidad que impida desarrollar los unos sin los otros. En ocasiones, gestiónn de compliance constituyen un entorno paralelo los requisitos del sistema de gestió a la operativa ordinaria de la  organ  organizaci ización ón, de modo que pueden concluirse operaciones o transacciones sin la seguridad de haber satisfecho las cautelas de  compliance. Cuando ambas esferas están integradas, se gana en eficacia, puesto que se dificulta o imposibilita desarrollar actividades de riesgo sin haber gestionado antes los aspectos oportunos de  compliance.  Aunque el apartado  Aunque apartado 5.3.2 F  Función unción de complia compliance nce le atribuye la obligación de velar por esta integración, realizando las propuestas o sugerencias convenientes, son gobiernoo y la alta direcció direcciónn los que disponen de la capacidad realmente el órgano de gobiern para convertirlas en realidad.

MÁS INFORMACIÓN. Integración de los requisitos de compliance en los  procesos corrientes.

Sobre la integración de los requisitos requisitos de  de compliance compliance como  como parte de los procesos procesos   y procedimientos procedimientos habituales  habituales de negocio (véase el apartado II.5.1.1 Órgano de

gobierno y alta dirección, dirección, así como los comentarios y el ejemplo que figura en el apartado II.5.3.2 Función de compliance, compliance, de este libro). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   153

• Facilitar recursos recursos que precise el sistema de gestión de compliance, que estará vinculado a las actividades necesarias para su establecimiento, implementación, mantenimiento y  mejora contin continua ua (véase el apartado II.7.1  Recurs  Recursos os, de este libro, ya que es interesante señalar que en este apartado se establece, de forma general, la obligación de la  organizaci  organización ón para facilitar recursos, mientras que 5.1.1 Órgano de gobierno y alta dirección concreta que es una obligación última del órgano de gobierno y de la alta dirección).

MÁS INFORMACIÓN. Recursos de compliance.

En relación con los recursos puestos a disposición de la función de  de compliance compliance,, su categorización y tratamiento presupuestario, véanse las explicaciones, así como los ejemplos que figuran en el apartado II.7.1 Recursos Recursos,, de este libro. • Comunicar la importancia que tiene el sistema de gestión de compliance y el cumplimiento sus requis . Es un aspecto contenido se desarrolla  requisitos Comunicación –no muchodemás– en elitos apartado (véase elcuyo apartado II.7.4normativo , de este libro, ya que es interesante señalar que en este apartado se establece, de forma general, la obligación de la  organización de comunicar interna y externamente  compli plianc ancee, mientras que el apartado 5.1.1 Órgano de gobierno  cuestiones relativas a com  y alta alta direcció direcciónn concreta que es una obligación última del órgano de gobi gobierno erno y de la  alta dirección comunicar la importancia del  sistema de gestión de  compliance y de dar cumplimiento a sus requisitos).

MÁS INFORMACIÓN. Comunicaciones de compliance.

Sobre la diferente tipología de comunicaciones de compliance compliance,, véanse las explicaciones, así como los ejemplos que figuran en el apartado II.7.4 Comunicación Comunicación,, de este libro. • Asegurarse de que el sistema de gestión de compliance alcanza los resultados pretendidos, lo cual obliga a realizar un seguimiento de los indicadores fijados para  medir  el  el nivel de consecución de los  objetivos previamente acordados, según se indica en el apartado 6.2 Objetivos de compliance y planificación para lograrlos.  Normalmente supondrá recibir y analizar la información que arrojan los indicadores –especialmente de forma comparativa con periodos precedentes– en los informes de  compliance que terminan siendo revisados por la dirección134, según establece el apartado 9.3 Revisión por la dirección. 134 Cuando

el apartado 9.3  Revisión por la

dirección establece esta actividad relativa a los informes

de  compliance, incluye expresam expresamente ente al  órgano de gobierno  y a la  alta dirección . Es, pues, una acepción más amplia de este término no definido que la empleada en el apartado 5.3.3 Dirección, que se proyecta a colectivos subordinados a las máximas instancias de gestión social. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

154

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

MÁS INFORMACIÓN. Seguimiento del sistema de gestión de compliance.

Sobre los informes de compliance compliance,, su vinculación con los indicadores, tipología y periodicidad, véanse los comentarios que figuran en el apartado II.9.1.4 Informes de compliance y compliance y,, especialmente, en el apartado II.9.3 Revisión por la dirección  dirección y sus ejemplos, ambos de este libro. • Dirigir y apoyar a las personas que contribuyen a la  efic  ef icac acia ia  del  sist  si stem emaa  de gesti ge stión ón  de  co  compl mplia ianc ncee. Es interesante señalar que esta obligación no se agota en brindar apoyo visible a la  fun  funció ciónn de   compl  co mplian iance ce , sino a cualquier  efica icacia cia , incluidos colectivos persona que contribuya a su ef colecti vos dentro y fuera de  organ ganiza izacición. ón. la  or

MÁS INFORMACIÓN. Comunicaciones de apoyo explícito a sujetos en particular. Sobre la diferente tipología de comunicaciones de compliance compliance,, incluidas las que suponen muestras de apoyo a determinados sujetos, véanse las explicaciones, así como los ejemplos que figuran en el apartado II.7.4 Comunicación Comunicación,, de este libro. • Promover la  mejora continua del  sistema de gestión de  compliance, progresando así la  cultura de compliance en la  organización y las  conductas que se derivan de ella.

MÁS INFORMACIÓN. Mejora más allá de los mínimos legales exigibles.

En relación con la mejora del  sist  sistema ema de gest gestión ión   de compliance compliance,, entendida como sobrepasar las exigencias mínimas legales l egales de aplicación en búsqueda de la excelencia, véanse las explicaciones del apartado II.10.1 II.10.1 Mejora  Mejora continua, continua, de este libro. • Mostrar apoyo a las personas que desarrollan tareas tareas gerenciales en el seno de la  organización (directivos, mandos intermedios) cuando llevan a cabo labores de  compliance en el contexto de sus actividades.

 A CONSIDERAR. CONSIDERAR. El llamado “tone at the middle”.

Existe el entendimiento generalizado de que el nivel de compromiso del equipo

de dirección respecto a mantener una conducta ética y alineada con las normas es esencial para el correcto funcionamiento del sistema del sistema de gestión gestión d  dee compliance compliance.. Sin embargo, ese “tone “tone at the top” top” es insuficiente si no llega a todas las personas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   155

de la organización organización y  y algunas desempeñan un rol importante impor tante en esa “cadena de transmisión”. De este modo, el nivel de creencia en el compliance compliance terminará  terminará llegando a todos los estratos jerárquicos de la organización organización si  si los directivos y mandos intermedios asumen ese rol. Haciendo propio ese nivel de compromiso, también lo trasladarán a sus equipos y contribuirán a generalizar la cultura de  de  compliance.. Para ello, son relevantes las labores de coaching compliance coaching que  que desarrollan el órgano de gobierno y gobierno y la alta dirección respecto dirección respecto a tales colectivos. MÁS INFORMACIÓN. Comunicaciones de apoyo explícito a sujetos en particular.

Sobre la diferente tipología de comunicaciones de compliance compliance,, incluidas las que guardan relación con las muestras de apoyo a determinados sujetos, suj etos, véanse las explicaciones, así como los ejemplos que figuran f iguran en el apartado II.7.4 Comunicación,, de este libro. cación Este apartado también contempla una relación de acciones de índole más general, que enmarcan a las l as anteriores:

 organizac nización ión . El  sist  sistema ema de ges gestión tión de  com• Fijar y actualizar los valores de la  orga  pliancee está vinculado con el establecimiento o el mantenimiento de una ade plianc cuada cultura corporativa, como señala la propia  Introd  Introducció ucciónn del estándar135  y desarrolla en su apartado 5.1.2 Cultura de compliance. A tales efectos, fijar y mantener actualizados los valores de la  org  organiz anizació aciónn constituye una tarea clave para promover determinados parámetros parámetros de  cond  conducta ucta  y controlarlos, evitando así la inseguridad y la dispersión que provocaría guiarse por criterios de moralidad individual. Estos valores, que normalmente derivan de una visión de la  orga  organizac nización ión , permeabilizarán al resto de polí  política ticass y palancas conductuales, de manera que exista un marco de comportamientos coherente y bien definido. Por tanto, son un pilar fundamental en la creación o  culturaa ddee ccompli ompliance ance , tal como aparece definida en el consolidación consolidaci ón de una  cultur estándar (véase la figura 13). 13).

 V  Valores alores

r

Cultura

r

Conductas

Figura 13. Cadena básica para la generación de una cultura que se traduce en conductas.

primer párrafo de la Introducción hace hincapié en la importancia de la cultura de compliance. Véanse los comentarios al respecto en el capítulo II.0 Introducción, de este libro. 135 El

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

156

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

EJEMPLO. Plasmación de los valores de la organización.

Los valores de las organizaciones organizaciones suelen  suelen estar recogidos en un documento de alto nivel con nomenclatura diversa. Normalmente, se constatan en códigos éticos o de conducta que reflejan la visión o la misión de la organización organización y  y los valores que se derivan de ella. Estos textos, cualquiera que sea su denominación, recogen los compromisos de la organización organización en  en diversos ámbitos y, por tanto, los parámetros de conducta conducta   que espera de las personas que se vinculan con ella, así como los que no está dispuesta a tolerar. tolerar. La redacción de estos textos no suele ser extensa ni compleja, con el objeto de que su lectura resulte asequible a cualquier persona. No obstante, su contenido no es meramente programático, sino claramente obligacional: los valores de la organización organización y  y los comportamientos deseados que derivan de ellos no son una declaración de intenciones, sino un mandato explícito a las personas con las que se vincula. La aprobación, la difusión (interna ydel externa), asíindicado como la(fijación aplicaciónformulación, práctica de la estos textos constituyen evidencias requisito y actualización de valores).  A CONSIDER CONSIDERAR. AR. El ccódigo ódigo ético como pilar del sistema normativo interno.

Por cuanto determinan los valores de la organización organización,, el código ético, el de conducta y otros textos equiparables no son una simple política política más,  más, sino la más relevante y cuyo contenido debiera investir el resto de la producción normativa, condicionando, en cualquier caso, su interpretación. Del mismo modo que los ordenamientos jurídicos vienen encabezados por una carta magna, fundacional o constitucional, que enmarca los valores por los que cabrá interpretar y desarrollar el resto de normas jurídicas, el conjunto de políticas internas políticas  internas de una organización organización también  también debería generarse e interpretarse al amparo de un texto de valores. Desde esta perspectiva, los códigos éticos, de conducta y equivalentes desarrollan un cometido relevante para encabezar, interpretar y ordenar el resto de políticas políticas y  y procedimientos procedimientos internos,  internos, que no deberían contravenir su contenido. Esto dota de coherencia lógica al conjunto, al mismo tiempo que facilita ordenar las políticas políticas internas  internas en una estructura lógica de “árbol”, encabezado por el código ético o de conducta. • Asegurar que se desarrollan las políticas, procesos y procedimientos que son necesarios para alcanzar los objetivos de compliance. Existe una relación evidente con el apartado 6.2 Objetivos de compliance y planificación para lograrlos, pues de nada

sirve fijarlos si no se realizan esfuerzos para su consecución. Formará Formará parte de las actividades de revisión que se contemplan en el apartado 9.3 Revisión por la  dirección. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   157

 A CONSIDERAR. CONSIDERAR. El árbol de políticas en las organizaciones.

La producción normativa interna debería seguir una estructura lógica, partiendo de las indicaciones más generales a las más concretas. Ya se ha señalado anteriormente que los códigos éticos, los de conducta y los textos equiparables desempeñan un rol importante en la vertebración de un sistema de políticas políticas,, encabezándolo encabezá ndolo y evitando inconsistencias en la producción e interpretación de las normas derivadas. Esta aproximación termina generando un entramado ordenado de políticas políticas con  con estructura lógica de árbol. Del árbol de políticas políticas de  de una organización organización no  no todas guardan relación con el compliance.. Pueden existir textos de marcado carácter técnico (instrucciones de compliance producción) o algunas vinculadas con las obligaciones de  de  compliance compliance que  que no están dentro del perímetro de supervisión del sistema del sistema de ge gestión stión,, por no constituir las “principales” fuentes de riesgo riesgo que  que exige el apartado 4.3 Determinación del alcance del sistema de gestión del compliance. compliance. No obstante, sí que una parte relevante de las políticas políticas internas  internas de las organizaciones (en ciones  (en el sentido amplio del término) versan sobre aspectos de compliance compliance,, como sugiere este mismo apartado y ratifica el 5.3.2 Función de  de  compliance compliance,, incluyendo su elaboración dentro del grupo de actividades que precisan su implicación directa. Sin embargo, ni el estándar ISO 37301:2021 ni los estándares precedentes ISO 19600:2014 e ISO 37001:2016 exigen expresamente que la función de compliance mantenga compliance mantenga un árbol de políticas políticas de  de compliance compliance ordenado  ordenado (debidamente estructurado), aunque es una práctica frecuente y muy próxima a su rol de generación de ciertas normas (véase la figura 14). 14).

Código ético

Política general Política general de compliance

Política de Política de compliance antisoborno

Política de Política de compliance en privacidad

Política general Política general de uso de activos

Política de Política de compliance n

Política general Política  general n

Figura 14. Un árbol de políticas  ordenado sigue una estructura jerárquica y lógica predefinida. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

158

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

EJEMPLO. Políticas y procedimientos.

Las políticas políticas internas  internas de las organizaciones organizaciones fijan  fijan su voluntad y directrices generales de conducta conducta en  en determinadas materias, mientras que el detalle detall e de cómo ejecutar esos parámetros conductuales viene indicado mediante procedimientos.. Así, por ejemplo, la política tos política sobre  sobre obsequios y atenciones establecerá los parámetros de su admisibilidad, mientras que el procedimiento procedimiento establecerá  establecerá los pasos a seguir para gestionar esas iniciativas (solicitud de autorización previa según cuantía al órgano interno pertinente a través del formulario establecido al efecto, etc.). En cuanto son textos que plasman la voluntad de las organizaciones organizaciones en  en determinadas facetas, las políticas políticas suelen  suelen ser objeto de aprobación por instancias i nstancias de gestión social superiores, incluyendo el órgano de gobierno y gobierno y la alta dirección  dirección  (como sucede con la política de compliance de compliance).). Sin embargo, se suele delegar la aprobación de los procedimientos procedimientos a  a otros órganos técnicos.  Aunque es muy recurren común alaotras disti distinción nción entre políticas políticas y  y procedimientos procedimientos, , algunas organizaciones recurren organizaciones denominaciones e incluso categorías intermedias entre ambos conceptos. EN BUSCA DE LA EXCELENCIA. Normas globales.

Una organización organización que  que opere en múltiples países se verá afectada por obligaciones de diferentes ordenamientos jurídicos. Tal circunstancia le dificultará la emisión de normas internas capaces de cumplir con todos sus requisitos requisitos,, que, en ocasiones, no solo son diversos sino eventualmente, contradictorios. A pesar de ello, las organizaciones organizaciones continúan  continúan precisando difundir sus pautas de conducta conducta   a nivel global. Para cubrir este inconveniente se recurren a políticas políticas globales  globales de alto nivel, con contenidos generales contradictorios cualquier regulación nacional. A estos textos sedifícilmente adjuntan entonces anexoscon o apéndices con las particularidades de cada jurisdicción en donde operan. Las políticas políticas y  y los procedimientos procedimientos así  así diseñados permiten fijar y difundir un núcleo común de contenidos y ofrecer guías adicionales de proyección local.

EN BUSCA DE LA EXCELENCIA. Norma de normas.

Una producción normativa ordenada precisa normalmente un procedimiento que establezca: • Tipología de normas (políticas (políticas,, procedimientos, nacionales, globales, etc.). • Quién puede impulsar la creación de una norma.

• Quién valora la oportunidad/necesidad de la norma. • Quién prepara la redacción inicial de la norma Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   159

• Qué estructura debe seguir el contenido de la norma. • Quién revisa la norma. • Quién aprueba la norma. • Quién publica y difunde la norma. • Quién imparte formación sobre la norma. • Quién archiva la norma y cómo se garantiza su accesibilidad. Estos son los contenidos habituales de una “norma de normas” que ordena el proceso de proceso  de producción normativa, que evita la multiplicación innecesaria de los textos y la adecuada coordina coordinación ción o supervisión del árbol de políticas políticas.. Ayuda también a mantener el adecuado control de la información documentada que documentada que se explica en los apartados II.3.10 Información documentada y, documentada y, sobre todo, en II.7.5 Información documentada, documentada, de este libro.

MÁS INFORMACIÓN. Actividades de seguimiento.

Ni el sistema el sistema de gestión de gestión de compliance compliance ni  ni las políticas políticas,, los procesos procesos y  y los procedimientos que dimientos  que comprende conforman una finalidad en sí mismos, siendo herramientas orientadas a la consecución de los objetivos objetivos de  de compliance compliance y,  y, en última instancia, al mantenimiento de la cultura de compliance. compliance. Sobre los diferentes objetivos objetivos de  de compliance compliance,, véanse las explicaciones y los ejemplos del apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos,  de este libro. En relación con el modo de seguir  de  seguir  el  el nivel de consecución de los objetivos,, véanse los comentarios y los ejemplos que figuran en los apartados objetivos II.9.1.3 Desarrollo de indicadores, indicadores II.9.1.4 Informes de este compliance compliance y particu lar el apartado II.9.3 Revisión por la, dirección, dirección , todos de libro.  y,, en particular • Asegurar que se mantienen informados puntualmente puntualmen te sobre temas de compl  compliance iance, incluyendo situaciones de  no cumpl cumplimie imientos ntos de comp complian liance ce y las decisiones o acciones a adoptar para remediarlas. Mantenerse actualizado en los aspectos clave de la gestión social no es solo un derecho, sino una obligación de los máximos responsables de las  organi  organizacio zaciones nes. En bastantes textos legales, esta obligación trasciende de la mera recepción de documentos y se adentra en la necesidad de analizar su contenido y plantear cuestiones para comprender  dutyy of adecuadamente las informaciones recibidas, que se conoce como “ dut II.9.3   enquiry  enqu iry ”. Bajo esta perspectiva cabe interpretar también el apartado II.9.3 

 Revisión  Revis ión por la dir direcció ecciónn.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

160

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

EN BUSCA DE LA EXCELENCIA. Formatos de fácil asimilación.

Tanto el órgano de gobierno como gobierno como la alta dirección reciben dirección reciben documentos de naturaleza muy variada, que deben analizar cuidadosamente para adoptar decisiones de manera informada. Aunque el nivel de formación de los administradores sociales se ha incrementado en las últimas décadas, en grandes organizaciones organizaciones   difícilmente pueden alcanzar el criterio experto de la multitud de áreas técnicas que les son reportadas. En este contexto, es de utilidad práctica: • Evitar que los informes al órgano de gobierno y gobierno y alta dirección utilicen dirección utilicen nomenclatura técnica solo asequible a algunos pocos (especialistas). Dado que el perfil de administradores y máximos directivos es variado, será mejor emplear términos de conocimiento general. • Recurrir a formatos sumarios donde, facilitando una información completa, se haga hincapié en los aspectos relevantes donde se precisa actuar actuar.. Subrayar Subrayar,, si es preciso, las cuestiones sobre las que los órganos receptores de la información deberían pronunciarse o decidir. • Acompañar los informes técnicos con explicaciones presenciales por parte de los responsables de su elaboración, de modo que puedan ilustrarlos con ejemplos y trasladar incluso inclu so sus opiniones. Sobre este particular par ticular,, véanse también los comentarios en el apartado II.9.3 Revisión por la dirección, dirección, de este libro. • Dejar margen de tiempo para el debate interno y las preguntas. Desde luego, estas sugerencias son trasladables a la función de  de compliance compliance en  en la medida que informa a la dirección, según se comenta en el apartado II.9.3 Revisión por la dirección, dirección, de este libro. Al respecto, r especto, es interesante también visitar las explicaciones de los apartados II.5.1.3 Gobernanza del compliance y compliance y II.5.3.2 Función de compliance, compliance, especialmente –en esta última– el apartado dedicado a los “ Aspectos que incumben a la organización”. organización”. • En general, asegurar que se mantiene el compromiso compromiso de complia  compliance nce y, en particular, que las no conformidad confo rmidades es y no cumplimientos cumpli mientos ddee complia compliance nce se gestionan adecuadamente. Constituye una evidencia de buen liderazgo la reacción rá Principio pio de pro proporcio porcionalidad nalidad , de pida, proporcional (véase el apartado I.6.1.2 Princi este libro) y siempre dentro de la legalidad (sobre el principio de sumisión a Ley, véase el apartado I.6.2.1  Princi  Principio pio de subord subordinaci inación ón a Ley, de este libro) ante  conduc  conductas tas contrarias a las pautas establecidas en el marco del  siste  sistema ma de  gestión (esta sería, en esencia, la noción de no conformidad. Véanse comentarios n o confo conformidad rmidades es y lo loss no cu cumplimien mplimientos tos de de   adicionales en el apartado I.5.3  Las no

 compliance  complia nce, de este libro) o que contravengan abiertamente las obliga  obligacione cioness de 

 compliance  complia nce (esta sería, en esencia, la noción de no cumplimiento de compliance. Véanse comentarios adicionales en el apartado I.5.3  Las no confo conformid rmidades ades y   los no cumpli cumplimient mientos os de comp complianc liancee, de este libro). Este cometido enlaza con Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   161

complianc liancee cuando exige uno de los contenidos del apartado 5.2  Política de comp  obligaciones ciones de compliance  complia nce y de señalar las consecuencias de no cumplir con las obliga  políticas icas ,  proce  procesos sos  y  proce  procedimie dimientos ntos establecidos al efecto. Recordemos que las  polít el establecimiento de esta  polí – es también un requisito  polític a –de  complia pliance nce y expresamente encomendado altica  órgano  órga no  com de gobie gobierno rno la  alta dire direcció cciónn, en este mismo apartado.

 A CONSIDERAR. CONSIDERAR. Punto de especial interés para llas as autoridades.

Es interesante conocer que bastantes autoridades nacionales136, evalúan la reacción del órgano de gobierno y gobierno y de la alta dirección frente dirección frente a irregularidades de compliance previas, compliance  previas, como indicador, indicador, no solo de su nivel de compromiso con una gestión ética y respetuosa con las normas, sino también, de eficacia eficacia del  del propio modelo de compliance compliance.. MÁS INFORMACIÓN. Advertir de las consecuencias de las no conformidades  y los no cumplimientos de compliance y reaccionar frente a ellas.

 Acerca del lugar donde advertir de las consecuencias derivadas de las no conformidades y formidades  y no cumplimientos de  de compliance compliance,, consúltense las explicaciones y los ejemplos que figuran en el apartado II.5.2 Política de compliance, compliance, de este libro. Sobre la reacción ante tales situaciones, véanse también los comentarios y los ejemplos del apartado II.10.2 No conformidades y acciones correctivas, correctivas, de este libro. MÁS INFORMACIÓN. Incidentes perseverantes.

Son incidentes perseverantes aquellos que se reproducen a pesar de haberse proyectado y ejecutado planes de acción para erradicarlos. Pueden denotar la incapacidad del sistema del sistema de gestión gestión para  para remediar determinado tipo de situaciones, en ocasiones por falta de un adecuado análisis de sus causas raíz. Sobre este particular, véanse también las explicaciones que figuran en los apartados II.9.3 Revisión por la dirección dirección y  y II.10.2 No conformidades y acciones correctivas correctivas,, ambos de este libro.

136

 Por ejemplo, USDocument  Department of Justice-Criminal Division.  Evaluation CorporateACompliance  Programs, Guidance , junio 2020. Véanse los comentarios en losofapartados y C de la

Sección II del documento  Is the Corporation’s Compliance Program Adequately Resourced aand nd Em powered to Function Effectively?, así como el apartado C de la Sección III del documento  Does the Corporation’s Compliance Program Work in Practice?. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

162

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 compliance ance se incluyen en las descripciones • Asegurar que las responsabilidades de compli de los puestos o posiciones. Es importante que las personas vinculadas con la  organización sepan que velar por el cumplimiento de los requisitos del sistema de    es algo que les afecta individualmente. En  gestión y las obligaciones de compliance  compliance puede ser erróneamente ocasiones, el establecimiento de la función de compliance percibida como la traslación del deber de diligencia en cuanto a su observancia. En verdad, generar o mantener una cultura de compliance es una responsabilidad compartida por todas las  personas de la  organización, cada una en el ámbito de sus cometidos. Para Para evitar equívocos, en la documentación que recoge el ámbito de competencias y actividades esperadas de los diferentes puestos y categorías profesionales, cabrá incluir las correspondientes en materia de compliance. Estas son, como mínimo, las que figuran en el apartado 5.3 Roles, responsabilidades y  autoridades, que deberían quedar de algún modo reflejadas en los documentos organizativos correspondientes.

EJEMPLO. Lugares donde plasmar las responsabilidades de compliance  por puestos o categorías.

Existen diversos documentos organizativos que pueden reflejar las responsabilidades de compliance compliance de  de las diferentes posiciones y categorías dentro de la organización.. En ocasiones, se dispone de manuales de descripción funcional organización o de posiciones (“ Job Descriptio Des criptionn Manua Manuall”), de uso frecuente, para circunscribir los roles de los diferentes puestos y también es de utilidad en los procesos procesos   de selección de candidatos a los mismos. En otras ocasiones, documentos más técnicos, como los mapas de procesos procesos,, también incluyen este tipo de descripciones. Pueden ser un buen ubicar sus, siempre respectivos responsabilidades y autoridades ensoporte materiadonde de compliance compliance, queroles, sean conocidos y generalmente accesibles. Sobre los mapas de procesos procesos,, véase el apartado II.3.8 Proceso Proceso,, así como las explicaciones y los ejemplos que figuran bajo el título “ Activ  Actividades idades que involuc involucran ran iindirect ndirectamente amente a la funció funciónn de compliance”” del apartado II.5.3.2 Función de compliance, pliance compliance, así como en el apartado II.8.1 Planificación y control operacional, operacional, ambas de este libro. En cualquier caso, la propia política de compliance compliance puede  puede ser un buen emplazamiento para establecer y comunicar los roles por grandes bloques de categorías, coincidentes en esencia con las que describen los diferentes apartados dentro del propio apartado 5.3 Roles, responsabilidades y autoridades. autoridades . No olvidemos que uno de los requisitos requisitos de  de dicha política política es  es exigir el cumplimiento de las obligaciones obligaciones de  de compliance compliance que  que afectan a la organización organización y  y esta meta

precisa ahondar el modo de lograrlo a partir de los diferentes cometidos y competencias del personal personal.. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   163

MÁS INFORMACIÓN. Política de compliance

En relación con la política de  de compliance compliance como  como soporte de los roles, responsabilidades y autoridades en materia de compliance compliance,, véanse las explicaciones que figuran en el apartado II.5.2 Política de compliance, compliance, de este libro. • Designar la función de compliance   compliance, lo que significa atribuir los roles y responsabilidades que constan en el apartado 5.3.2  Función  Función de compliance a: (i) Un órgano ad hoc o preexistente en la propia organización. (ii) Un órgano unipersonal o colegiado. En cualquier caso, será preciso que esté dotado de las capacidades para desarrollar sus cometidos con independencia.

EJEMPLO. Designación formal a la función de compliance. El acto de designación del órgano que asumirá la función de  de compliance compliance es  es una formalidad relevante, así como la atribución al mismo del grado de independencia y autonomía que precisa para el desarrollo eficaz eficaz de  de sus competencias. Son aspectos que acreditan requisitos requisitos importantes  importantes del siste del  sistema ma de gesti gestión ón   de compliance.. compliance

 A CONSIDERAR. CONSIDERAR. Documentación de acuerdos.

Puesto que la operativa de los órganos de gestión social más elevados elevado s suele quedar sometida a las formalidades legales exigidas por la normativa de aplicación, la designación de la función de  de  compliance compliance precisará  precisará tenerlas en cuenta. Con frecuencia, esto supone la celebración y documentación formal de un acuerdo del órgano correspondiente (órgano (órgano de gobierno o gobierno o alta dirección) dirección) donde: • Se aprueba la política de compliance compliance.. • Se aprueban los documentos de naturaleza orgánica que determinan el alcance del sistema del  sistema de gestión gestión,, la dependencia tanto funcional como jerárquica y las competencias de la función de  de compliance compliance.. • Se designa el órgano que asumirá el rol de función de  de compliance compliance.. • Se indica que dicho órgano ó rgano ocupa una posición destacada dentro del organi or gani-grama, reportando directamente al órgano de gobierno y gobierno y a la alta dirección, dirección, sin que otras funciones dispongan de capacidad de dirigir sus actuaciones.

• Se atribuyen a dicho órgano las capacidades de actuación directas, dentro del ámbito de sus competencias, sin necesidad de ser mandatada específicamente para ello. También se permite el acceso a las personas, documentos Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

164

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

e informaciones de la organización organización que  que precise para el correcto desempeño de sus cometidos. Se hace un llamamiento a las personas de la organización organización   para que colaboren con la función de  de  compliance compliance y  y le faciliten de manera inmediata las informaciones y documentos que precise en el ámbito de su rol, responsabilidad y autoridad. MÁS INFORMACIÓN. Función de compliance.

Sobre la tipología de los órganos que pueden dar forma a la función de  de compliance,, su designación y competencias, véanse también las explicaciones y pliance los ejemplos que se recogen en el apartado II.5.3.2 Función de  de  compliance compliance,, de este libro. • Asegurar que se establece, como mínimo, un mecanismo para plantear inquietudes, en línea con las exigencias del apartado 8.3  Plan  Plantea teamie miento nto de  inquietud  inqui etudes es.

MÁS INFORMACIÓN. Planteamiento de inquietudes.

En relación con los mecanismos para el planteamiento de inquietudes, inquiet udes, véanse las explicaciones y los ejemplos que se desarrollan en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.

II.5.1.2. Cultura de compliance La primera frase en la  Introducción al estándar ISO 37301:2021 subraya la importancia del establecimiento y la mejora de una adecuada cultura organizativa, como ya hizo su antecesor ISO 19600:2014. No obstante, se aprecia el incremento del peso específico de los aspectos culturales y conductuales por cuanto: • Ahora se ubican en el apartado 5.1 Liderazgo y co compromiso mpromiso, mientras que el aparap artado equivalente en el anterior estándar ISO 19600:2014 1 9600:2014 estaba tratado en el apartado 7.3.2.3 Cultura de compliance, diluido en los contenidos del apartado 7.3 Toma de conciencia y, por tanto, en un contexto muy discreto. • El actual actual apartado apartado 5.1.2 Cultura de compliance aumenta su desarrollo con tres párrafos, que van dirigidos a colectivos diferentes. El primero, es relativo al desarrollo, el mantenimiento promoción la  cult que afecta a toda la orga estáderelacionado la fijación  cultura ura con de com complia pliance nce ,  organizac nización ión . yEllasegundo,

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   165

 conduc ducta ta comunes (valores), que afecta al  órg  órgano ano de de unos parámetros de  con  gobi  go bier erno no  y  alt  altaa dire di recc cció iónn, en línea con lo establecido en el apartado 5.1.1 Órgano de gobierno y alta dirección. El tercero está enfocado a promover y dar apoyo a comportamientos alineados con  compli dirigido a la plianc ancee ydelvallamado dirección,137 en general, encajando bien con la  com promoción “tone  at the t he midd middle le”138.

MÁS INFORMACIÓN. El llamado “ tone at the middle”.

El denominado “tone “tone at the middle” middle” está igualmente comentado en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de este libro.

 organización ación, el estándar ISO 37301:2021  A pesar de la importancia importancia de la cultura cultura de la organiz no establece abiertamente su medición, dadas las diferentes aproximaciones metodológicas que pueden emplearse al respecto139. No obstante, es una actividad implícita en el apartado 9.1.3 Desarrollo de indicadores, en un doble sentido: • En cuanto se incluyen dentro de los  ob  obje jetitivo voss  de  co  compl mplia ianc ncee aspectos culturales, procederá establecer indicadores que permitan  med  medir  ir  su   su grado de consecución.

término “ management ” no se encuentra definido y se utiliza en su acepción coloquial, abarcando a cualquier cargo que tenga encomendadas responsabilidades de gestión y que no solo incluye al órgano de gobierno y la alta dirección, sino también, a otros cargos directivos o intermedios en la  jerarquía  jerarqu ía organizativa organizativa.. 138 Existe la tendencia a pensar que impulsar el tono ético es cuestión que atañe exclusivamente a la cúpula directiva, que juega un rol relevante para el establecimiento y el mantenimiento de una adecuada cultura coroperativa. De esta apreciación surgen los términos “tone at the top” o “tone  from the top ”. Sin embargo, desempeñan un rol capital el resto de directivos y cargos intermedios en la traslación de este compromiso a todos los niveles de la organización. A partir de su interacción directa con otros encargados de la gestión operativa, están en disposición de trasladar y reforzar la importancia de una cultura ética y alineada con el cumplimiento de las normas. Sin su intervención activa, existe el riesgo de la rotura de esta cadena de transmisión, de modo que el compromiso con el  compliance  no se comunique bien en toda la  organización , especialmente si directivos y cargos intermedios muestran una conducta indolente o incluso, crítica. De ahí la importancia de que impulsen o motiven los comportamientos adecuados. 139 Ya en el año 2007, el profesor Muel Kaptein mostraba su modelo para medir y testear la cultura ética de las organizaciones ( Developing  Developing and Testing a Measure for the Ethical Culture of Organizations: The Corporate Ethical Virtues Model). Algunos años más tarde (2013), DeBode, Armenakis, Field y 137  El

 Walker  W alker publicar publicaron on u un n mo modelo delo mejorado para).medir la 2019, cu cultura lturaelde llas as organizaciones  Assessing publicó Ethical Ethical Organizational Culture: Refinement of a Scale El año Institut of Internal  ( Auditors

su Guía práctica para auditar la cultura de las organizaciones , con un enfoque basado en los riesgos. Estas fórmulas demuestran que medir la cultura de las organizaciones es posible, aunque no existe una metodología generalmente aceptada al respecto. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

166

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

• Con independencia de lo anterior, anterior, dada la criticidad de una adecuada cultura de  compliance  complian ce para el correcto desempeño del sistema de gestión, procede igualmente  seguir  su  su evolución. El apartado A.5.1.2 Cultura de compliance del anexo A (informativo) Guía para el  uso de este documento, ilustra una serie de evidencias que permiten sacar conclusiones concl usiones acerca de la existencia de una correcta cultura de comp compliance liance, siguiendo así una aproximación indiciaria. Para evitar dificultades prácticas, la exigencia al órgano de gobierno  direc ción no es abstracta, concretándose en la fijación de unos parámetros de y  alta dirección conducta claros que faciliten desarrollar  conductas  alineadas con el compliance .

 A CONSIDERAR. CONSIDERAR . Evalu Evaluación ación in indiciaria diciaria de la cultura de compliance.

La aproximación indiciaria consiste en concluir sobre la existencia de la cultura de compliance de  compliance a partir de diferentes elementos constatables empíricamente, cuya concurrencia permite inducir racionalmente la l a existencia de una voluntad e intencionalidad en el establecimiento, el mantenimiento o la mejora de la cultura organizativa. Cuantos más elementos concurren, mayor es la certidumbre en cuanto a la adecuada cultura de la organización organización.. El apartado A.5.1.2 Cultura de compliance del compliance  del anexo A (informativo) Guía para el uso de este documento documento,, desarrolla una aproximación indiciaria al listar una relación enunciativa de evidenc evidencias ias que permiten concluir sobre la existencia de una adecuada cultura corporativa.  A CONSIDERAR. CONSIDERAR. Evaluac Evaluación ión de lla a cultura de compliance sobre la base de opiniones.

La existencia de una adecuada cultura de  de compliance compliance puede  puede también evaluarse a partir de las diferentes Esta mecánica parte de la base de opiniones considerarvertidas que, si por la mayor partecolectivos. de los sujetos que mantienen vínculos con la organización organización corroboran  corroboran su adecuada cultura, es muy probable que efectivamente exista. Y el nivel de probabilidad se incrementa cuantas más opiniones se tengan en consideración y más variado sea su perfil de los sujetos que las emitan. En líneas generales, estas metodologías se basan en: • La elaboración de cuestionarios que planteen cuestiones clave para constatar la existencia de una efectiva cultura de compliance. compliance. • La selección de una muestra estadísticamente relevante, no solo por categorías del personal personal,, sino también fuera de ella (clientes, proveedores e incluso competidores, cuando es posible). • El empleo de una técnica de recopilación de información y análisis de datos que garantice la confidencialidad y la razonabilidad de las conclusiones, en

cuanto a la extrapolación del resultado de la muestra como conclusión válida para la organización organización en  en su conjunto. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   167

II.5.1.3 Gobernanza del compliance  A diferencia del apartado anterior, que, como hemos visto, se dirigía a varios colectivos, el presente incluye un mandato expreso ex preso y exclusivo a las máximas instancias de la gestión social: el órgano de gobi gobierno erno y la alta direcci di rección ón. Los aspectos clave para el  compliancee les incumben especialmente y evidencian su liderazgo. Esto gobierno de complianc explica que estos contenidos, ya recogidos en el anterior estándar ISO 19600:2014, 19 600:2014, hayan migrado del antiguo apartado 4.4. Sistema de gestión de  complia  compliance nce y princi princi- pios de buen bue n gobier gobierno no (dirigido a “la organi  organizació zaciónn”, sin especificar destinatarios) y se ubiquen ahora en un apartado propio, dentro de 5.1 Liderazgo y compromiso. El apartado 5.1.3 Gobernanza del compliance aborda aspectos relevantes para un adecuado gobierno del  sistema de gestión de  compliance. Por tanto, no hemos de buscar en él recomendaciones generales de buen gobierno corporativo, sino tres  requisitos   concretos: • Acceso directo al  órg  órgano ano de gob gobier ierno no. Dada la relevancia de los aspectos de  compliance para el buen gobierno de las  organizaciones, es lógico pensar que la  función de compliance  compliance tenga garantizado un acceso rápido y fluido a los máximos órganos de gestión social. Cuanto más alejada se encuentre de ellos, más difícil será informar y reaccionar con celeridad si es necesario. Por otra parte, desde la perspectiva de los propios órganos de gobierno, es importante recorda recordarr que mantenerse bien informados y supervisar el entorno de control no es solo un derecho,, sino también una derecho u na obligación en muchos ordenamientos jurídicos.   El acceso al  órgan  órganoo ddee ggobier obierno no puede ser inmediato (dependencia funcional directa), pero también mediato, a través de una comisión delegada 140  que 141

tengamotivo encomendadas funciones de supervisión vinculadas el  compliance Por de especialidad, la  función de  compliance  compliance  puedecon entonces terminar. reportando al más alto órgano de gobierno a través de dicha comisión.

140  Es

importante señalar la diferencia técnica entre “comisión” y “comité”, diferenciación en ocasiones confusa por la traducción inadecuada del término anglosajón “ committee ”. Una comisión delegada del consejo está formada por administradores sociales (consejeros), con especial dedicación a determinadas materias. Tal circunstancia no sucede en los “comités”, en cuyo seno se pueden integrar a otros perfiles que no ostenten la cualidad de administradores sociales. Cuando el estándar se refiere al informe directo al órgano de gobierno, puede entenderse cumplido a través de alguna de sus “comisiones” específicas (normalmente la de auditoría), puesto que forman parte del Consejo de administración, circunstancia circunstancia que podría no concurrir en caso de reportar o depender funcionalmente de un “comité”, que podría no equivaler a un acceso directo al órgano de gobierno.

141 Existe una marcada tendencia a atribuir a

la comisión de auditoría la supervisión del entorno de control, no solo sobre la información financiera y los informes derivados, sino también, sobre la no financiera, incluyendo materias dentro del alcance del  sistema de gestión de compliance. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

168

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Modelos de gobierno corporati corporativo vo monistas y duales.

En muchos países, la cúspide jerárquica de una organización organización concluye  concluye en su órgano de gobierno. gobierno. Son los llamados “modelos monistas” donde existe un órgano máximo de gobierno al que confluyen necesariamente el resto de órganos sociales. Otros países, como es el caso de Alemania y Francia, optan por modelos de naturaleza dual, especialmente para determinado tipo de organizaciones organizaciones,, donde la “cúspide” jerárquica no termina en un solo sol o órgano, sino en dos: uno de gestión y el otro de vigilancia. A diferencia de los modelos monistas, dicho órgano de vigilancia no está supeditado al máximo órgano de gobierno, gobierno, sino que ocupa el mismo nivel jerárquico y actúa como “contrapoder”, evitando las capacidades de gestión omnímodas que, de otro modo, corresponderían al máximo y único órgano de gobierno social. gobierno social. Con frecuencia forman parte de este órgano de supervisión –paralelo al de gobierno– ciertos grupos de interés de la organización organización,, incluyendo los representantes trabajadores. En los modelos monistas, está claro que la función de  de compliance compliance terminará  terminará dependiendo funcionalmente y reportando al único órgano de gobierno, gobierno, mientras en los modelos dualistas acabará haciéndolo a ambos, paralelamente. El acceso al órgano de gobierno por parte de la  función de  compliance  compliance no solo significa fijar esa línea de información directa, sino también, organizar la elevación de informes periódicos y la eventual participación en sus reuniones (así se indica en la nota 1 de dicho apartado, que no estaba presente en el apartado 4.4 Sistema de gestión del  compliance y principios de buen gobierno del estándar ISO 19600). Desde luego, no se pretende promover que la  función de  compliance  compliance se convierta, por la vía de hecho142, en partícipe natural dey las reuniones dellos , pero sírelevantes. que tenga Como la po órgano de gobierno sibilidad de informar explicar ante él aspectos que considere se explica al tratar el apartado 5.1.1 Órgano de gobierno y alta dirección, mantenerse informado es una obligación que atañe a estas instancias y, por tanto, deben poner los medios para darle debido cumplimiento.

142 Puesto

que los  requisitos del estándar deben interpretarse dentro del marco legal aplicable a la

 organización

, no puede o condicionar la composición de los –como órganoselde gobierno que fije el derecho positivo. Porimponer consiguiente, cabe interpretar este requisito resto de los  requisi-

tos de un estándar privado– de acuerdo con lo establecido por el marco de regulación aplicable al tipo de entidad. Véanse los comentarios adicionales que figuran en el apartado I.6.2.1 Principio de  de   subordinación a Ley, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   169

MAS INFORMACIÓN. “Duty of enquiry ””..

En relación con la diligencia de los administradores sociales y, en particular, el llamado “duty “duty of enquiry”, enquiry”, véanse las explicaciones que se recogen en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de este libro. • Independencia de la  funci  función ón de  compliance  compli ance . En algunos países se habla de la importancia de la autonomía y de la independencia de la función de compliance  compliance   como elementos característicos diferenciados. La autonomía guarda mayor relación con las capacidades operativas de la función, de modo que puedan desempeñarse proactivamente sin necesidad de mandatos o autorizaciones continuas; mientras que la independencia está más vinculada a la neutralidad de juicio, de modo que no se vea conculcado co nculcado su recto proceder por presiones  funciónn de compliance  complia nce puede ser de diferente índole. Desde esta perspectiva, la funció autónoma, elementos. pero no independiente y viceversa. Su eficacia precisa de ambos

EJEMPLO. Independencia, pero falta de autonomía.

La función de  de  compliance compliance puede  puede ocupar una posición jerárquica destacada, dependiendo funcional y jerárquicamente de un órgano de gobierno que gobierno que integre un grupo nutrido de perfiles perfi les independientes. Es una garantía de que su proceder no se verá condicionado por intereses de otras funciones, áreas o colectivos, eventualmente distintos de los de compliance compliance.. Sin embargo, si su actuación está supeditada a obtener autorización previa (sea porque precisa ser mandatada, o porque necesita que le sean dispensados recursos para cada una de sus actuaciones, por ejemplo), carecerá de autonomía. EJEMPLO. Autonomía, pero falta de independencia.

La función de  de  compliance compliance puede  puede disponer de facultades explícitas para desarrollar sus cometidos (acceso a las informaciones y a las personas que precise por motivo del ejercicio de sus competencias) e incluso un presupuesto bien dimensionado y de libre disposición (supeditado a la rendición de cuentas. Sobre este particular, véanse los comentarios en el apartado I.6.1.5 Principio de responsabilidad, responsabilidad, de este libro), pero depende jerárquica y funcionalmente funcional mente de un área o función con unos marcados intereses económicos en el corto plazo.

Tal circunstancia puede privar de emitir su opinión a dicho órgano superior, cuando es contraria a un interés i nterés cortoplacista, e incluso, temer represalias en caso de hacerlo. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

170

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

El antiguo estándar ISO 19600:2014 hacía referencia tanto a la autonomía como a la independencia de la  función de compliance143, mientras que el estándar ISO 37301:2021 solo se refiere a la independencia, pero como concepto amplio que engloba al anterior. Aunque el contenido de este apartado parece referirse a aspectos vinculados con la neutralidad en la toma de decisiones 144  (independencia), el apartado A.5.1.3 La gobernanza del compliance del anexo A (informativo) Guía para el uso de este documento cita, como ejemplos, aspectos claramente encuadrables como factores de autonomía. • Autoridad y competencia de la  funci  función ón de  compliance  compl iance  que, nuevamente, son aspectos que dependen del  órgano de gobierno y la  alta dirección : la autoridad, ubicando a la  función de  compliance  complianc e en un lugar apropiado del organigrama, dotándole de capacidades para desarrollar su cometido y otorgándole legitimidad de forma visible; la competencia, asegurando el perfil adecuado de los integrantes de dicha función, en términos de formación y experiencia, de modo que puedan hacer buen uso de su autoridad (véase la figura 15 15). ).  Acceso directo directo al órgano de gobierno

Gobernanza del compliance

Independencia (comprende autonomía)

 Autoridad y competencia

Lasgarantizar claves detres un adecuado gobierno en materia deacompliance Figura 15. atraviesan por aspectos fundamentales respecto la función  de compliance: acceso directo al órgano de gobierno, independencia (incluyendo autonomía) y asegurar que dispone de la autoridad y competencias precisas para ejercer su rol.

la redacción del antiguo apartado 4.4 Sistema de gestión del compliance y principios de  buen gobie gobierno rno solo se refería a la “independencia” (al igual que el actual apartado 5.1.3  Gober nanza del compliance ), el antiguo apartado 5.2.1 Generalidades Generalidades (dentro del apartado 5.2 Política de  compliance  complia nce) sugería mencionar en ella el grado de autonomía e independencia de dicha función. 143 Aunque

144

 Así parece inferirse, a primera vista, del redactado de la nota 2 de este apartado, que no estaba

presente en el apartado 4.4 Sistema de gestión del complia  compliance nce y princ principios ipios de buen ggobierno obierno del estándar ISO 19600:2014. Sin embargo, el apartado A.5.1.3  La gobenanza del compliance del anexo A (informativo) Guía para el uso de este documento incluye ejemplos claramente vinculados con la libertad operativa (autonomía), tales como comunicarse con cualquier persona o persona de la  organ  organización ización. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   171

 No cabe duda que estos aspectos aspectos de gobierno otorgan unas capacidades capacidades notables notables a la  función de  compliance  compliance que deberá ejercer con prudencia, atendiendo a los principios que informan el estándar ISO 37301:2021 y muy especialmente al de responsabilidad en su acepción de rendición de cuentas (véase el apartado I.6.1.5  Principio de  de   responsabilidad, de este libro).

II.5.2. Política de compliance  Aunque la  política de  compliance  es uno de los elementos que componen el  sistema  de gestión, en los textos sobre  compliance adquiere una dimensión especialmente relevante145. Guías internacionales de amplia difusión subrayan el rol de las  políticas y  procedimientos como pilares de un programa de compliance146. Por ello, como he señalado anteriormente (véase el apartado II.5.1.1 Órgano de  de   gobierno y alta dirección, de este libro), su establecimiento es un mandato explícito a los máximos órganos de gestión social. Por otra parte, tanto la promoción como la represión repres ión de determinadas conductas, pueden interpretarse como actos caprichosos o arbitrarios en ausencia del establecimiento previo de ciertos patrones conductuales, claros y bien comunicados.

145 Son

numerosos los textos internacionales que se refieren a la necesidad de normas internas que plasmen la voluntad de la organiz  organización ación  en la lucha contra conductas ilícitas y establezcan los parámetros de conducta esperados. Así, por ejemplo, la Guía de buenas prácticas para los controles Recomendaci ón OCDE  internos, la deontología y la conformidad, que se localizan en el anexo II de la Recomendación para fortalecer la lucha contra el cohecho, c ohecho, de 26 de noviembre de 2009, establece la necesidad de “una política interna claramente formulada y visible por la que se prohíbe la corrupción transnacional” (numeral 2 de su apartado A). En los estándares ISO sobre  complia  compliance nce, la necesidad de una  políti  política ca forma además parte de los condicionantes de la HLS. distinción entre políticas y el resto de procedimientos se aprecia claramente en textos reconocidos a nivel internacional. La  Reso  Resource urce Guide to the US Foreign Corr Corrupt upt Prac Practice ticess Act  publicada   publicada por el Department of Justice and the Enforcement Division of the US Securities and Exchange Commission, el 14 de noviembre de 2012, hace referencia, no solo al Código de Conducta, sino también, a las  políti  políticas cas de compliance (apartado Corporate Compliance Program en su p. 57). Lo mismo sucede en la Guidance about procedures which relevant comercial organisations can put into  place to prevent persons associated with them from bribing (Section 9 of the Bribery A Act, ct, 2010), publicada por el Ministry of Justice británico en marzo de 2011, cuando señala que el término “ procedures ” 146 La

engloba tanto las políticas  como los  procedimientos , en sentido estricto, para darles cumplimiento. El indicado término “ procedures ”, en la interpretación extendida que realiza el documento, sería equivalente a los “ standards and and procedur procedures es” que se citan en el Guidelines Manual de la US Sentencing Commission , vinculados al establecimiento de parámetros conductuales. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

172

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 compli ance resume y aglutina los contenidos que antes El apartado 5.2  Política de  compliance aparecían indicados en los apartados 5.2.1 Generalidades y 5.2.2  Desarrollo del antiguo estándar ISO 19600:2014. En este  proceso de racionalización y adecuación a un entorno certificable, una parte de su texto pasa a ubicarse en el apartado A.5.2  Política  Política de compliance  compliance del anexo A (informativo) Guía para el uso de este documento. Se privan así de contenido normativo algunas indicaciones indicaciones que, siendo buenas prácticas, podían tener difícil encaje como exigencias en un MSS de tipo A (certificable) como, por ejemplo, someter la política a consultas con los trabajadores. La  polít  política ica indicada en este apartado enmarca la voluntad y el compromiso de la  organizaci  orga nización ón con el  compli  compliance ance . Es un documento que denota su intencionalidad, manifestada a través sus máximas instancias de gestión social: por este motivo, su fijación constituye un mandato directo al órgano de gobierno y la alta dirección.

EJEMPLO. Aprobación formal de la política de compliance La operativa de los órganos de gestión social más elevados suele someterse a determinadas formalidades legales, para dejar constancia constanc ia de las decisiones adoptadas. La aprobación o la modificación de la política de  de  compliance compliance   precisarán haberlas contemplado, lo que normalmente dará lugar a la formalización de un acuerdo del órgano de gobierno en gobierno en tal sentido, que quedará reflejado en acta correspondiente dentro de los libros y los registros oficiales de la organización organización..

MÁS INFORMACIÓN. Formalización de los pilares esenciales del sistema de gestión.

En relación con la formalización, no solo de la política de  de  compliance compliance sino  sino de otros elementos clave que conforman el sistema el sistema de gestión y gestión  y muestran el compromiso del órgano de gobierno y gobierno y de la alta dirección en dirección en esta esfera, véanse los comentarios y los ejemplos que figuran en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro.

 compliance atendiendo a: Este apartado explica la política de  compliance • Cuestiones a considerar por el  órgano de d e gobi gobierno erno y  alta dirección dire cción a la hora de formularla y aprobarla.

formularla y aprobarla. • Aspectos que condicionan su contenido. • Materias relacionadas relacionadas con su custodia y comunicación. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   173

 Aspectos a considerar por el órgano de gobierno y la alta dirección • Como consecuencia de la aplicación de lo establecido en el capítulo 4 Contexto de la organización (véase el capítulo II.4 Contexto de la organización, de este libro) del estándar ISO 37301:2021, e igualmente relacionado con una correcta aplicación del principio de proporcionalidad (consúltese el apartado proporcionalidad cionalidad, de este libro) y un enfoque basado en el I.6.1.2  Principio de propor  riesgo (consúltese el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro), la política de compliance debería ser apropiada al objeto de la  organización.

 política ica  ceñida a sus  A CONSIDERAR. Cada organización necesita una  polít circunstancias.  Aunquee el cont  Aunqu contenid enidoo de la política de compliance compliance está  está establecido en el estándar ISO 37301:2021, su adaptación concreta a las circunstancias internas y externas de cada organización organización dará  dará lugar a textos muy variados. Así, tanto el nivel de desarrollo de los contenidos como la forma de expresarlos pueden ser sustancialmente distintos entre organizaciones organizaciones,, a pesar de que todos los documentos cubran los requisitos requisitos contemplados  contemplados en el apartado 5.2 Política de compliance.. compliance  A CONSIDERAR. CONSIDERAR. El idioma y el lenguaje de las políticas.

La existencia de políticas políticas –incluida  –incluida la de compliance compliance–– en las organizaciones organizaciones no  no constituye un requisito puramente formal, sino que busca difundir con claridad la voluntad de la organización organización y  y los patrones de conducta conducta derivados  derivados de ella. La mera existencia de políticas políticas es  es completamente estéril, si no son conocidas y respetadas por sus destinatarios. En ocasiones, esto no sucede por diversos motivos, incluyendo su redacción en un idioma o lenguaje alejados al del lector medio. Es un error frecuente redactar políticas políticas complejas,  complejas, repletas de tecnicismos, si sus destinatarios no están preparados para leerlas y comprenderlas correctamente. En ocasiones, estas dinámicas se generan con el afán de ofrecer una imagen profesional ante las autoridades o el público en general. Las Administraciones Públicas son cada vez más más críticas con documentos complejos que interpretan distantes a sus usuarios y, por tanto, ineficaces.

 A CONSIDERAR. CONSIDERAR. El tiempo verbal de la política. La política de compliance compliance –como  –como la mayor parte de políticas políticas en  en las organizaciones–– no son meras declaraciones de intenciones o programas de actuación ciones futura, sino textos con dimensión normativa desde el momento de su aprobación Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

174

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

y difusión. Por tanto, su articulado no suele abusar de tiempos verbales futuros (“la organización organización designará…”,  designará…”, “se establecerán los cometidos de…”, etc.), empleando los presentes (“la organización organización designa…”,  designa…”, “se establece…”, etc.). • La política de compliance debe configurar un marco apropiado para la determinación de los objetivos de compliance de la organización. Algunas declaraciones  comtípicas de estos documentos (la tolerancia cero a los  no cumplimientos de  com pliance , por ejemplo) suelen interpretarse como objetivos de  complian  compliance ce. En  verdad, más bien conforman el marco marco para su su establecimiento, establecimiento, que el estándar ISO 37301:2021 configura como una de las actividades a planificar, en el apartado 6.2 Objetivos de compliance y planificación para lograrlos, del capítulo 6  Planificación. En líneas generales, este marco para la fijación de objetivos obj etivos estará determinado por declaraciones de la voluntad de la  organiz  organización ación  dotadas de estabilidad espaciotemporal147, que permitirán fijar periódicamente objetivos sin necesidad de modificar constantemente la  política de  compliance  compliance148.

 A CONSIDERAR. CONSIDERAR. Política de compliance y objetivos de compliance.

 Al igual que las organizaciones organizaciones preparan  preparan sus objetivos objetivos comerciales,  comerciales, financieros, etc. (normalmente, con periodicidad anual y dentro de la planificación presupuestaria que antecede a cada ejercicio social), también es razonable pensar en la necesidad de fijar igualmente los objetivos objetivos de  de compliance compliance:: así lo determina el apartado 6.2 Objetivos de compliance y planificación para lograrlos,, del estándar ISO 37301:2021. Sin embargo, el establecimiento de estos los objetivos,, tanto estratégicos como tácticos u operativos, debe situarse dentro objetivos del marco que determina la política de  de compliance compliance.. Figurarán en ella aspectos fundamentales, dotados de la estabilidad espaciotemporal, como pueden ser la tolerancia a los noética cumplimientos dea  compliance compliance, la búsqueda de la excelencia encero una cultura y de respetode  las normas,, etc.

147  La estabilidad espacial se refiere a disminuir la necesidad de modificar el contenido de los

documentos en virtud de las geografías en donde vaya a aplicarse. La temporal se refiere a disminuir la necesidad de modificar dicho contenido en periodos cortos de tiempo. Es aconsejable que los documentos estratégicos o generales de compliance , como esta política, garanticen una estabilidad suficiente que permita asentar sus contenidos. Por el contrario, otros documentos derivados sí precisan de su variación frecuente para adaptarse a circunstancias concretas conc retas del entorno y tiempo, dentro del marco estratégico o general previamente definido. 148 Puesto que los objetivos que indica el apartado 6.2 Objetivos de compliance  y  y planificación planifica ción para  han de ser medibles y objeto de seguimiento, su nivel de concreción es mayor que las

 lograrlos declaraciones estratégicas que fija la política de compliance  compliance como marco interpretativo general. Estos objetivos detallados evolucionarán con el transcurso del tiempo para adaptarse a las necesidades de la organización  y reducir en lo posible el riesgo residual en los diferentes ámbitos de proyección del sistema de gestión  de compliance . Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   175

MÁS INFORMACIÓN. Objetivos  de compliance  estratégicos y tácticos u operativos.

En relación, tanto con el marco de fijación de objetivos objetivos de  de compliance compliance como  como con los objetivos objetivos estratégicos,  estratégicos, tácticos u operativos que se derivan de él, véanse las explicaciones del apartado II.6.2 Objetivos de compliance y planificación para lograrlos,, de este libro. lograrlos • Las  obl  obliga igacicione oness de  compli  co mplianc ancee incluyen, tanto las que la  or  organ ganiza izació ciónn debe cumplir como aquellas otras que elige voluntariamente cumplir149. La polític  políticaa  organización ción con observar estos de compliance establecerá el compromiso de la organiza dos conjuntos. Con independencia de esta manifestación general, se hará referencia refer encia especial a las vinculadas v inculadas con los “principales” “ principales” ries  riesgos gos de   compliance  compli ance, según determina el apartado 4.3. Determinación del alcance del sistema de gestión  del compliance co mpliance 150.

 A CONS CONSIDER IDERAR. AR. Con Concrec creción ión de las obligaciones de compliance en la  política de compliance.

El apartado 4.3. Determinación del alcance del sistema de gestión del compliance comp liance   apunta que debe proyectarse sobre los “principales” riesgos riesgos de  de compliance compliance que  que afronta la organización organización,, que no son necesariamente todos. Puesto que la política de compliance compliance plasmará  plasmará el compromiso de la organización organización con  con el cumplimiento de las obligaciones de compliance, compliance, es un buen lugar para concretarlas, en el contexto de la delimitación el alcance del sistema del sistema de ge gestión stión (y  (y,, por consiguiente, consigu iente, de la política de  de compliance compliance),), incluyendo su perímetro técnico. De este modo, la política de  de  compliance compliance puede  puede contener una declaración general acerca del compromiso dearespetar todas las obligaciones las y obligaciones de  comde  pliance que pliance  que resulten de aplicación la organización organización y sus actividades; pero también, una concreción de aquellas sobre las que se proyecta el sist el  sistema ema ddee gestión,, por su nivel de criticidad –capacidad de conformar riesgos gestión riesgos “princi “principales”–. Puesto que tanto los “principales” riesgos riesgos como  como las obligaciones de

diferencia de su precedente ISO 19600:2014, el estándar ISO 37301:2021 no define “Com pliance  requirement   requiremen t ” y “Compliance committment ”, ”, aunque mantiene esta diferencia conceptual concept ual en la definición de “Compliance obligation”. Sobre esta materia, véanse los comentarios en el apartado II.3.25 Obligaciones de  compliance  complia nce, así como los que figuran en el apartado I.5.2  Las dos fuentes fuentes   149 A

 de obligacione obli gacioness de ccomplianc ompliancee, ambos de este libro. 150 Por

tanto, se incluye la determinación de los grupos de obligaciones obligaci ones que provocan una mayor exposición a  riesgo s de  compli  compliance ance . Sobre este particular, véanse los comentarios en el apartado II.4.3  Determinación del alcance de dell sistema de gestión del co compliance mpliance, de este libro. li bro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

176

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

compliance  vinculadas con ellos pueden agruparse por materias, es posible compliance vinculadas hacer referencia a los bloques concretos que delimitan el perímetro técnico del siste del  sistema ma de gesti gestión ón.. Así, por ejemplo, son grupos comunes los referentes a la prevención de conductas penales (de la corrupción o del blanqueo de capitales, en particular), la defensa de la privacidad (incluyendo la protección de datos personal personales), es), la defensa de la competencia, la regulación específica del sector o actividad, etc.  sistem temaa de ges gestió tiónn de compliance. MÁS INFORMACIÓN. Perímetro técnico del sis En relación con el perímetro técnico del sistema del sistema de gestión gestión d  dee compliance compliance,, véanse las explicaciones y los ejemplos que se incluyen en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro.

• Puesto el  siste  de  d ecircunstancias sino dinámico,  sistema de gesti gestión  compliance  compli ance  nodeeslaestático, debe serque capaz de ma adaptarse aónlas  organización  organiza ción y mejorar continuamente. La política de compliance hará referencia a este proceso, alineado con las exigencias del capítulo 10  Mejora.

EJEMPLO. Revisiones planificadas y sobrevenidas.

El sistema El sistema de gestión de gestión de compliance compliance y  y la política de compliance compliance como  como elemento destacado en su seno, deben ceñirse a las circunstancias de cada organización organización.. Como se explica al inicio del apartado II.4 Contexto de la organización, organización, de este libro, el modo habitual de hacerlo es considerando dos tipos de revisiones: • Las planificadas, que se desarrollan sistemáticamente cada cierto tiempo, aunaun que no se haya producido ningún cambio en la organización organización o  o en su entorno. • Las sobrevenidas, que se llevan a cabo cuando se produce un cambio en las circunstancias internas o externas de la organización organización,, o cuando se produce un incidente en materia de compliance compliance.. La política de compliance compliance apunta  apunta la importancia de mejorar continuamente el  sistemaa de gestió  sistem gestiónn y puede hacer referencia a este tipo de revisiones o a los documentos donde se establezcan. gestión estión. MAS INFORMACIÓN. Mejora continua y revisiones del sistema de g  Acerca de la lass rrevisiones evisiones tanto planificada planificadass co como mo ssobrevenidas obrevenidas del del sistema  sistema de

gestión dee compliance gestión d compliance,, véanse los comentarios y los ejemplos contenidos al inicio del apartado II.4 Contexto de la organización y organización y que se reproducen en el apartado II.5.3.2 Función de  de compliance compliance,, ambos de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   177

Condicionantes de su contenido • La polí  política tica de compliance guarda consistencia con el conjunto de valores val ores y patrones de conducta de la organi  organización zación, incluyendo los que se citan en los apartados 4.4 Sistema de gestión del compliance y 5.1.2 Cultura de compliance. Esto produce una alineación natural del contenido de la pol  polític íticaa de com  compli plianc ancee con los valores, obj  objetiv etivos os  y estrategia de la  organización, como también exige el estándar en el apartado 5.1.1 Órgano de gobierno y alta dirección del estándar ISO 37301:2021. • Igualmente, la política de compliance debe contener una llamada general al cum obligaciones ciones de compliance  compliance. El estándar no precisa los destinatarios plimiento de las obliga de este mandato, que serán, por tanto, el personal y aquellas terceras partes a las que se pueda exigir el cumplimiento con sus contenidos.

MÁS INFORMACIÓN. Ámbito de aplicación de la política de compliance.

El de la política dese compliance guardará compliance  guardará consistencia del sistema del sistema dealcance gestión dentro gestión dentro del cual integra. Por consiguiente, véansecon las el explicaciones y los ejemplos que se incluyen en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro. Los principios que se indican en el apartado 5.1.3 Gobernanza del compliance estarán presentes en la política de compliance. Por tanto, dejará claro que: • La función de  compliance  compliance disfruta de acceso directo al  órgano de gobierno. • Está dotada de independencia independencia para desarrollar desarrollar su cometido. cometido. • Goza, además, de la autoridad y facultades neces necesarias arias a tales efectos.

MÁS INFORMACIÓN. Designación y empoderamiento de la función de compliance.

En relación con los aspectos clave de gobierno que deben quedar reflejados en la política de compliance compliance,, véanse los comentarios y los ejemplos recogidos en el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro. Igualmente, en cuanto a la designación formal de la función de  de compliance compliance y  y cómo dichos factores quedan reflejados en las formalidades asociadas con ese acto, véanse los comentarios y los ejemplos del apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, también de este libro. • La  pol  polítítica ica de  co  compl mplian iance ce , como documento que plasma la voluntad de la

 organizació  organi zaciónn, podría interpretarse como  wishf  wishful ul thinking si no se establecie

ran medidas organizativas que asegurasen su efectiva aplicación. Por ello, es habitual en compli  compliance ance que toda norma con mandatos (incluidos parámetros  conductuales  conduc tuales) indique también el órgano que vela para darles aplicación. En Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

178

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 políticaa de compli  compliance ance hará referencia a la  funció  funciónn de compliance  compli ance  este sentido, la polític y la describirá.  A CONSIDERAR. Descripción de la función de compliance en la  política de compliance.

Que la política de compliance compliance haga  haga referencia a la función de  de  compliance compliance,, no significa que realice un establecimien establecimiento to exhaustivo de la misma, aspecto más propio de otros documentos organizativos. Sin embargo, es importante que el destinatario de la política política adquiera  adquiera conciencia de su existencia mediante una descripción que bien puede consistir en explicar su composición, dependencia, cometido esencial y localización.

EN BUSCA DE LA EXCELENCIA. Acceso a informaciones, personas y documentos.

Dentro de la descripción de la función de  de compliance compliance,, puede indicarse que los destinatarios de la política política tienen  tienen el deber de colaborar con ella, facilitando inmediatamente las informaciones, los documentos o el acceso a las personas que precise con motivo del ejercicio de sus cometidos. Aunque este mandato puede igualmente recogerse en otros lugares (por ejemplo, en el acuerdo del órgano de gobierno designando gobierno designando la función de compliance), compliance), su plasmación en la política política   contribuye a su conocimiento general. • Fijar la voluntad de la organización y los parámetros conductuales es necesario, pero Procede Procede señalar las de medidas organizativas adoptadas, así comono lassuficiente. consecuencias que se derivan no observar las  obligaciones de   com com pliance o las políticas, los procesos y los procedimientos relacionados con ellos. Es decir,, se señalarán las decir l as consecuencias que produce, tanto un no cumplimiento de   compliance como una no conformidad (véase la distinción en el apartado I.5.3   Las no conformidades y los no cumpl cumplimientos imientos de comp compliance liance, de este libro). l ibro). Aunque podría pensarse que es un aviso dirigido al  personal , en verdad, la  política de  compliance puede estar a disposición de terceras partes, según señala este mismo apartado más adelante. En la medida que puede resultar exigible a ambos colectivos, conviene también recoger las consecuencias que derivadas para estos dos grupos de destinatarios.

EJEMPLO. Elenco de medidas disciplinarias para el personal.

La política de compliance compliance puede  puede hacer referencia al marco jurídico-laboral de aplicación, comprendiendo no solo normas legales, sino también, las disposiciones Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   179

específicas derivadas de la negociación colectiva. Aplicará ante no conformidades  conformidades  como no cumplimientos de  de compliance compliance.. Cuando el marco jurídico-laboral lo permite, la organización organización puede  puede plantearse disponer de un capítulo especial o desarrollar el régimen sancionador en materia de compliance compliance.. No obstante, en ordenamientos jurídicos que brindan al Derecho laboral un marcado carácter tuitivo respecto a los derechos de los trabajadores, puede resultar complejo implementar regímenes sancionadores ad hoc. hoc. Con independencia de lo anterior, es importante que el personal personal adquiera  adquiera conciencia de que también puede ser objeto de acciones de carácter civil o incluso penal, en virtud de la naturaleza de sus no cumplimientos de  de compliance compliance (incluso  (incluso de medidas de carácter administrativo en entidades sujetas total o parcialmente a Derecho público).

 A CONSIDERAR. CONSIDERAR. Modelos de incentivos y correctivos. La política de compliance compliance debe  debe reflejar las “consecuencias” de no observar las obligaciones de compliance o compliance o las políticas políticas,, los procesos procesos y  y los procedimientos procedimientos   establecidos a tales efectos. Aunque Au nque se asocia este requisito requisito con  con la determinac determinación ión de un régimen sancionador, en verdad las “consecuencias” pueden ser de índole variada, incluidas las que no tienen necesariamente naturaleza sancionadora en términos laborales y que van desde la reducción o la privación de ventajas otorgadas voluntariamente por la organización organización y  y las no consolidadas (bonus ( bonus re retributivo por encima de los parámetros legales exigibles), hasta la obligatoriedad de asistir a ciclos de formación adicionales o formar parte de un programa de mentoring,, por ejemplo. mentoring

 Aunq  Aunque ue este apar apartado tado del de está estándar ndar ISO 3730 37301:20 1:2021 21cumplimientos hace refe referenc rencia ia  acomlas “consecuencias” “consecuencias ” derivadas no conformidades conformidades y  y no de de  pliance,, también cabe reflexionar sobre la conveniencia de otorgar incentivos pliance para aquellas personas o colectivos que muestren conductas ejemplares, haciéndolos acreedores de beneficios no interpretables en clave de discriminación hacia otros colectivos. EJEMPLO. Elenco de medidas disciplinarias para terceras partes.

En la medida en que la política de compliance compliance puede  puede ser de aplicación a terceras partes, también debería contemplar las consecuencias que pueden darse para ellos ante casos de no conformidades o conformidades o no cumplimientos de  de compliance compliance..

No serán de carácter jurídico-laboral sino civil o mercantil (eventualmente, de carácter administrativo, en caso de organizaciones organizaciones total  total o parcialmente sujetas de Derecho público). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

180

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Principio de vinculación míni mínima. ma.

El principio de vinculación mínima declara que nadie puede quedar vinculado por el contenido de un documento respecto al cual no ha manifestado su consentimiento. La política de  de compliance compliance es  es una norma privada de la organización organización   y, por tanto, su efectividad legal frente a terceras partes se ve afectada por este principio. En el caso de que su contenido pretenda exigirse a terceros, conviene reflexionar sobre el modo en que manifestarán su voluntad de acatar sus contenidos. Normalmente, esto se consigue haciendo pública la política (en la página web externa de la organización organización,, por ejemplo) e introduciendo en las cláusulas contractuales con mención explícita al deber de observar los mismos o valores análogos a los publicitados en dicho documento, asumiendo las consecuencias de no hacerlo (la suspensión o incluso, i ncluso, la terminación de la relación contractual). Es una solución que también se aplica a otros textos susceptibles de afectar a terceras partes,, incluyendo el propio código ético o de conducta de la organización partes organización.. Sobre el modo práctico de aplicar el principio de transparencia (en relación con esta materia, véanse comentarios en el apartado I.6.1.4 Principio transparencia transparencia, de este libro) quelosreconoce el estándar ISO 37301:2021 en estedeámbito; véanse, los comentarios y los ejemplos contenidos bajo el titular “Condicionantes “ Condicionantes de su contenido”” más adelante, en este mismo apartado. contenido • De un tiempo a esta esta parte se ha visto la importancia de incentivar el uso de cacanales para el planteamiento de inquietudes e irregularidades, así como de dotar de un estatuto de protección a sus usuarios de buena fe. La “ Directiva europea  de protección protección al de denunci nunciante ante”151 es buena prueba de ello. ell o. El antiguo estándar ISO  política ica 19600:2014 no se refería a esta materia como contenido necesario en la  polít de  complian  compliance ce, como sí lo hace ahora el estándar ISO 37301:2021, además de establecer unas indicaciones básicas en su apartado 8.3 Plant eamiento to de inq inquieuietudes. Por tanto, la  política de complia  compliance nce hará mención Planteamien expresa y motivará este tipo de comunicaciones, prohibiendo cualquier forma de represalia.

MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.

En relación con los canales dispuestos por la organización organización para  para el planteamiento de inquietudes (que incluyen los que son conocidos comúnmente como “canales de denuncia”), así como sobre el estatuto de protección al denunciante de buena fe, véanse los comentarios y los ejemplos que se recogen en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.

151 Directiva

(UE) 2019/1937 del Parlamen Parlamento to Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   181

• La política de compliance es un elemento importante del sistema de gestión, yy,, por po r eso, no solo debe constar escrita y como  información documentada (véanse los comentarios al concepto de  Información documentada en el apartado II.3.10.  II.3.10.   Información documentada, de este libro. También los comentarios al apartado 7.5 Información documentada del estándar ISO 37301:2021 que figuran, bajo este mismo título, en el apartado II.7.5 Información documentad documentadaa, de este libro), sino estar redactada en un lenguaje asequible a sus destinatarios (tanto para el  personal como a eventuales terceras partes). No es solo una cuestión de idioma, sino también, de redacción. Recordemos que el  personal se debe adherir a las  políticas de compliance que le afecten (véanse los comentarios que se recogen en el apartado II.5.3.4 Personal  Personal, de este libro).

EN BUSCA DE LA EXCELENCIA. Soporte que facilite la comprensión de los mensajes escritos.

La mejor política política,, incluyendo la general acerca de compliance compliance,, no es la más extensa, sino la que se comprende mejor y facilita su cumplimiento. Esto supone adecuar el idioma y el lenguaje a los destinatarios, así como recurrir a técnicas que faciliten su entendimiento como ejemplos, gráficos, citas y otros recursos. Como en la mayoría de aspectos del compliance compliance,, el fondo prima sobre la forma.

• Los contenidos de la  política de  compliance  no constituyen un mero  requisi  requisito to formal, sino que deben implementarse y hacerse cumplir. Además de explicitar la ante es y  no conf ormidad conformidad cumplimientos de  compliance su reacción contenidoinmediata será objeto de no desarrollo en otros documentos internos y formará, parte de las actividades de gestión o supervisión de otros sujetos. Cuanto está dicho en la  política de  compliance debería venir refrendado por evidencias que acrediten su aplicación práctica.

 A CONSIDERAR. CONSIDERAR. Punto de especial interés para llas as autoridades.

Disponer de un siste un  sistema ma de gest gestión ión   de compliance compliance no  no constituye un requisito un requisito   jurídico-formal del que deriven per se consecuencias se consecuencias legales provechosas para la organización organización.. Estas solo acontecen cuando de su aplicación práctica, se constata la voluntad de la organización organización por  por establecer o mantener una cultura ética

y de respeto a las normas. Como consecuencia de acreditar tal circunstancia, se pueden derivar ventajas legales para la organización organización,, como son la mitigación de su responsabilidad legal o incluso, su exoneración, según disponga el marco jurídico de aplicación. En relación con esto, las autoridades de algunos países Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

182

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

publican directrices para evaluar el nivel de aplicación práctico de los modelos de compliance152. Por consiguiente, la organización organización tiene  tiene que estar en disposición de acreditar la aplicación de tendrán cuanto está indicado en su política de compliance compliance. . La mayoría deefectiva requisitos tendrán requisitos la forma de información documentada documentada, , lo que facilitará su prueba dentro y fuera de juicio. MÁS INFORMACIÓN. Importancia de la información documentada  a efectos de prueba.

Una gran parte del desarrollo de los contenidos de lo establecido en la política de compliance compliance dará  dará lugar a evidencias soportadas en calidad de información documentada.. Véanse los comentarios a dicho concepto en el apartado II.3.10 documentada Información documentada, documentada, de este libro. También los comentarios al apartado 7.5 Información documentada del documentada del estándar ISO 37301:2021, que figuran en el apartado II.7.5 Información documentada documentada,, de este libro. Igualmente, y a efectos prácticos, puede consultarse el anexo I Información documentada, documentada, de este libro.

Materias relacionadas con su custodia y comunicación • La política de compliance estará a disposición de quien pueda precisar conocerla en calidad de información documentada (véanse los comentarios al concepto de  Información documentada en el apartado II.3.10  Información documentada d ocumentada, de este libro y también, los comentarios al apartado 7.5  Información documentada  del estándar ISO 37301:2021, que figuran en el apartado II.7.5  Información  Información    documentada , de este libro).

EJEMPLO. Un documento perfectamente trazable.

Como otros muchos documentos a los que el estándar ISO 37301:2021 exige la condición de información documentada, documentada, la política de compliance compliance debe  debe ser un documento del cual se pueda conocer fácilmente su versión vigente, tener garantías de que su contenido no ha sido alterado, así como la trazabilidad de los cambios producidos en el mismo.

Department of Justice-Criminal Division. Evaluation of Cor Corporate porate Compliance Programs, Gui dance Docume Document, nt, junio 2020. Véanse, en particular particular,, los contenidos de la Sección II Is the Corpora Corporation tion’s’s Compliance Program Adequately Resourced and Empowered to Function Effectively?  y también de la Sección III Does the Corporation’s Compliance Program Work Work in Practice? 152 US

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   183

MÁS INFORMACIÓN. Cajetín con información esencial de las normas.

En relación con las informaciones que permiten identificar un documento en calidad de información documentada, véanse las explicaciones y los l os ejemplos que se exponen en el apartado II.7.5.2 Creación y actualización de la información documentada,, de este libro. Allí figura la configuración esencial del cajetín que documentada suelen incorporar muchas organizaciones organizaciones a  a sus normas (políticas (políticas y  y procedimientos) para su fácil identificación. • La  polít  política ica de  compli  compliance ance se comunicará dentro de la  orga  organizaci nización ón, de modo que el personal pueda adquirir conciencia de su existencia y conocer, conocer, no solo el compromiso de la  organización  con el  compliance , sino las medidas organizativas establecidas para darle  eficacia y su marco conductual, de derechos y de obligaciones.

EJEMPLO. El “ welcome pack ”. ”. Es una medida habitual facilitar a las nuevas incorporaciones un conjunto de documentos relevantes de la organización organización,, entre los cuales figura su código ético o de conducta y otras políticas políticas clave  clave (la política de compliance compliance,, por ejemplo). Un procedimiento análogo se emplea respecto a personas que promocionan a posiciones donde es importante que adquieran conciencia de determinadas políticas en políticas  en particular.

MÁS INFORMACIÓN. Entrega o puesta a disposición de documentos en el proceso de empleo.

En relación con la entrega o puesta a disposición de documentos –incluidas políticas clave– ticas  clave– en el proceso proceso de  de incorporación de personal personal,, véanse las explicaciones que figuran en el apartado II.7.2.2 Proceso de empleo, empleo, de este libro. EN BUSCA DE LA EXCELENCIA. Documentación previa a iniciar la relación laboral.

 Aunque alguna algunass organizaciones organizaciones entregan  entregan el llamado “welcome “welcome pack” pack” dentro de los primeros días en que se incorpora la persona a la organización organización,, una vez formalizado su vínculo jurídico con la misma (habitualmente de naturaleza laboral), puede ser oportuno hacer entrega de estos documentos antes de dicho momento. Aunque muchos ordenamientos reconocen las capacidades jurídicas

de los empleadores para facilitar e imponer directrices internas de trabajo, no debemos olvidar que algunas de ellas, especialmente las relacionadas con compliance,, tienen una dimensión ética o moral que no tiene por qué coincidir compliance necesariamente con la del candidato. Parece razonable facilitarle antes el marco Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

184

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

de valores de la organización organización y  y las principales políticas políticas en  en que deriva, de modo que pueda facilitar su consentimiento consentimien to a vincularse con la organización organización de  de manera informada. Si alguno de los textos contiene información confidencial o secreta, será entonces razonable diferir su entrega a un momento posterior posterior.. EJEMPLO. Declaraciones de conformidad.

Las políticas políticas internas  internas de las organizaciones organizaciones fijan  fijan parámetros de conducta que conviene recordar cada cierto tiempo. En ocasiones, la entrega del “welcome “ welcome pack”” lleva aparejada la firma de un “recibí” por parte de sus receptores. Tampack bién es frecuente que se encuentren accesibles en alguna localización común (en la intranet de la organización organización,, por ejemplo). Sin embargo, estas medidas no garantizan que vayan a recordarse. Las declaraciones de conformidad son procesos procesos que  que se repiten periódicamente, a través de los cuales los destinatarios de determinadas políticas políticas y  y procedimientos  procedimientos   clave declaran el conocimiento de las mismas. Sobre estas declaraciones cabe señalar: • Pueden cursarse por medios tradicionales (firma en soporte papel) pero también a través de medios telemáticos, siempre que se garantice que todos los destinatarios di ponen de posibilidad de acceso y la trazabilidad de los firmantes. • Cuando se cursan de manera telemática, es provechoso y poco costoso adjuntar un enlace a la política política cuya  cuya declaración de conformidad se solicita, de forma que el destinatario pueda consultarla. • No son necesariamente iguales para todo el personal personal,, dado que las políticas que ticas  que les afectan pueden no ser coincidentes. Con gran probabilidad, existirá unaético parteo común en estaspor declaraciones de conformidad al código de conducta, ejemplo) y otra parte distinta(referente en virtud de las políticas políticas que,  que, por motivo de especialidad, afectan a diferentes grupos de destinatarios. • La periodicidad de las declaraciones de conformidad es variable, en virtud del índice de rotación del personal personal.. Pero se considera una buena práctica ejecutarlas, como mínimo, de manera anual. Dependiendo del riesgo riesgo en  en el sector de actividad, pueden establecerse ciclos de conformidad más cortos para generar con ello un estado continuo de alerta y conciencia general. • En líneas generales, bastantes ordenamie ordenamientos ntos jurídicos no reconocen como infracción laboral sancionable la falta de conformidad formal del personal personal   con algunas políticas políticas,, que no vienen obligadas por la legislación o las auto-

ridades. Sin embargo, desde la perspectiva de compliance compliance es  es muy interesante el seguimiento el  seguimiento de  de las personas no han manifestado su conformidad respecto a las políticas políticas que  que les afectan, para valorar hasta qué punto esto supone un riesgo y riesgo  y sugerir las acciones correctivas oportunas. correctivas oportunas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   185

• Al destinatario de la declaración de conformidad se le pueden solicitar varios niveles acumulativos de conocimiento de la política o políticas políticas:: (i) Que ssee le ha he hecho cho eentrega ntrega de la misma o que se eencuentra ncuentra a su disposición.        

(ii) Que ha leído su contenido y está conforme con él. (iii) Que se compromete a observar su contenido. (iv) Que, en caso de duda o cuando detecte no conformidades o conformidades o no cumplimientos de  de compliance compliance relativos  relativos a la misma, lo comunicará inmediatamente a través de los medios puestos a su disposición, incluyendo el canal para el planteamiento de inquietudes. En relación con este último mecanismo, véanse los cometarios y ejemplos contenidos en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.

MÁS INFORMACIÓN. Obligación del personal de adherirse a las políticas  de compliance. En relación de la obligación del personal personal de  de adherirse a las obligaciones de  de  compliance,, así como a los procesos compliance procesos,, políticas políticas y  y procedimientos procedimientos relacionados  relacionados con ellas, véanse las explicaciones que figuran en los apartados II.5.3.4. Personal Personal y  y II.7.2.2 Proceso de empleo, empleo, ambos de este libro.

MÁS INFORMACIÓN. Política de compliance, ciclos de formación y acciones de concienciación.

La existencia de la política de compliance compliance,, junto con otras políticas políticas y  y procedimientos clave dimientos  clave de la organización organización,, debe ser objeto de difusión y refresco a través de los ciclos de formación y las acciones para la toma de conciencia que establece el estándar ISO 37301:2021. En relación con ambas materias, véanse los comentarios en los apartados II.7.2.3 Formación Formación y  y II.7.3 Toma de conciencia,, ambos de este libro. conciencia • La  política de  compliance, estará a disposición de  terceros, en la medida que el  vínculo con ellos así lo aconseje o precise.

EJEMPLO. Publicidad externa.

El principio de transparencia (en relación con esta materia, véanse los comentarios en el apartado I.6.1.4 apartado I.6.1.4 Principio de transparencia, transparencia, de este libro) es uno

de los que el estándar ISO 37301:2021 cita expresamente. Normalmente, las actitudes contrarias a la cultura de  de compliance compliance se  se desenvuelven en la opacidad, o pacidad, mientras que las correctas se transmiten abiertamente a las partes interesadas. interesadas. Esto no significa que toda la información sobre compliance compliance deba  deba publicitarse, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

186

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

pero sí la que no revista carácter confidencial y refuerce el compromiso con el mantenimiento de conductas éticas y alineadas con las normas. En este contexto se entiende la conveniencia de que la política de compliance compliance   no esté con a disposición del personal personal, sino también, de terceras partes Estasolamente política,, junto política otros documentos que ,evidencian el buen gobiernopartes. de la. organización,, puede encuadrarse en la página web externa de la organización organización organización.. Es más, en la medida que su contenido resulte de aplicación a terceras partes, partes, puede hacerse referencia a la misma en las eventuales cláusulas contractuales acordadas con ellas. Sobre este particular, véanse los comentarios relativos al principio de vinculación mínima contenidos en el titular anterior “Condicionantes de su contenido”, contenido”, dentro de este mismo apartado. EN BUSCA DE LA EXCELENCIA. Intranet y página web externa.

Las organizaciones organizaciones comprometidas  comprometidas con una gestión responsable publicitan aquellas políticas políticas que  que traslucen sus valores, no solo dentro de la organización organización,, sino también, fuera de ella. Forma parte del principio de transparencia citado anteriormente (véase el apartado I.6.1.4 Principio de transparencia, transparencia, de este libro).  A nivel interno, constituye constit uye una buena práctica disponer de una página web dedicada a compliance compliance,, con una serie de contenidos esenciales: • Descripción de los cometidos de la función de  de  compliance compliance y  y los documentos donde se localizan. Se hace especial mención a la obligación de colaborar con ella. • Identificación del responsable o los responsables de la función de compliance, compliance, con indicación de su ubicación y el modo de ponerse en contacto directo con ellos. • Descripción de las responsabilidades de compliance compliance para  para las personas de la organización y organización  y los documentos donde se localizan. • Árbol de políticas políticas y  y procedimientos  procedimientos esenciales  esenciales de compliance compliance,, brindando acceso al contenido de los mismos para consultas. • Información sobre el canal para el planteamiento de inquietudes y acceso al mismo. Los sites corporativos Los sites  corporativos tanto internos como externos, son también un buen lugar para difundir las comunicaciones de compliance compliance,, según se explica con ejemplos en el apartado II.7.4 Comunicación Comunicación,, de este libro.  A nivel externo, normalmente no es preciso ddifundir ifundir la totalidad de políticas políticas,, procedimientos y cedimientos  y demás informaciones o comunicaciones de compliance compliance,, pero sobre

la base de la página websuprimiendo interna (en la intranet) seexcesivamente puede construir fácilmente externa, básicamente contenidos técnicos (por ejemplo, políticas políticas y  y procedimientos  procedimientos muy  muy específicos), e información confidencial (véanse las figuras 16 16,, 17 17 y  y 18 18).). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   187

Documento descriptivo del  sistema de gestión

Política general de compliance

1. Introducción 2. Objeto 3. Campo de aplicación 4. Compromiso con el el compliance  compliance 4.1. Órgano de gobierno 4.2.  Alta dirección 4.3. Dirección 4.4. Todo el personal el personal 5. Función de compliance 5.1. Roles esenciales 5.2. Dependencia y composición 5.3. Gobierno de compliance 6. Consecuencias derivadas de los no cumplimientos de compliance 7. Planteamiento de inquietudes 8. Revisión y actualización

1. 2. 3. 4.

Objeto y campo de aplicación Términos y definiciones Contexto de la organización Roles y responsabilidades generales 4.1. Órgano de gobierno 4.3.  Alta dirección 4.4. Dirección 4.5. Personal

5. La función La función de compliance 5.1. Dependencia funcional y jerárquica 5.2. Roles 5.3. Informes de compliance 6. Evaluación de riesgos 7. Planificación de objetivos objetivos,, actividades y recursos 7.1. Fijación de objetivos 7.2. Determinación de actividades planificadas 7.3. Asignación de recursos 7.4. Formación y toma de conciencia 8. Procesos de Procesos de debida diligencia 9. Planteamiento Planteamiento de  de inquietudes e investigaciones 10. Supervisión de Supervisión de entidades participadas 11. Reacción Reacción ante  ante no conformidades y no cumplimientos 12. Revisiones y auditoría auditoría del  del  sistema de gestión

Figura 16. Dos ejemplos de índices de contenidos básicos tanto de la  política

de compliance como del documento que describe el resto de elementos del  sistema de gestión ge stión, que dotan de eficacia  a su contenido.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

   

188

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Puesta en contexto respecto a documentos superiores (código ético) y de la estrategia de la organización. organización Aprobación por el órgano .de gobierno y carácter obligatorio

Responsabilidades de compliance que compliance  que afectan al órgano de gobierno  gobierno  Responsabilidades de  de  compliance que compliance  que afectan a la alta dirección  dirección  Responsabilidades de  de  compliance que compliance  que afectan a la dirección

Política general de compliance

1.

Introducción

2.

Objeto

3.

Campo de aplicación

4.

Compromiso con el el compliance  compliance

4.1. Órgano de gobierno

 Volunt  Voluntad ad de la la organización de organización  de observar las obligaciones complliance complliance, , quede se traslada a todas las personas que personas  que se vinculan con ella  Ámbito  Ámb ito de aaplic plicaci ación ón territorial, destinatarios del documento y perímetro técnico: grupos técnico:  grupos de obligaciones de compliance asociadas con los “principales”

Definición del marco para la fijación de los  objetivos de compliance

4.2.  Alta dirección 4.3. Dirección Responsabilidades de compliance que compliance  que afectan a todo el personal el personal   Consecuencias que se Consecuencias derivan tanto de los  los  no cumplimientos de compliance como de las no las no conformidades Referencia al canal para el planteamiento de inquietudes, con referencia básica a la documentación que regula de su empleo y la que regula el proceso de investigación. Referencia básica al estatuto de protección al denunciante

4.4. Todo el el personal  personal 5.

Compliance afecta a todas las personas que se vinculan

con la organización

Función de compliance

5.1. Roles esenciales

Declaraciones periódicas de conformidad

5.2. Dependencia y composición 5.3. Gobierno de compliance 6.

Consecuencias derivadas de los

7.

no cumplimientos de compliance Planteamiento de inquietudes

8.

Revisión y actualización Régimen de revisión, actualización y difusión del documento o sus variaciones

Roles esenciales. Referencia al al sistema  sistema de gestión que gestión que opera Dependencia funcional y jerárquica. Composición orgánica  Acceso dire  Acceso directo cto al órgano de gobierno, gobierno, independencia (incluyendo autonomía), autoridad y facultades

c ompliance, con Figura 17. Ejemplo de contenido esencial de la política de compliance indicaciones de contenido.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   189

Circunstancias internas, externas y condicionantes de las partes las partes interesadas

Regulación de los cometidos específicos en materia de compliance Cometidos del órgano de gobierno Cometidos alta dirección Cometidos de la dirección Cometidos del personal Metodología de identificación de los principales riesgos de compliance y compliance y de evaluación de las casuísticas de riego para cada grupo. Periodicidad Procesos (separados) para el planteamiento de inquietudes y para regular las investigaciones internas Procesos de supervisión a entidades participadas, controladas y no controladas Régimen de revisiones planificadas y sobrevenidas del sistema del sistema de gestión. Regulación de  su auditoría auditoría interna

Documento descriptivo del sistema de gestión

1. 2. 3. 4. 4.1. 4.3. 4.4. 4.5. 5. 5.1. 5.2. 5.3. 6. 7. 7.1. 7.2. 7.3. 7.4. 8. 9. 10. 11.   12.

Objeto y campo de aplicación Términos y definiciones Contexto de la organización Roles y responsabilidades generales Órgano de gobierno  Alta dirección Dirección Personal La función de compliance La función Dependencia funcional y jerárquica Roles Informes de compliance Evaluación de riesgos Planificación de objetivos objetivos,, actividades y recursos Fijación de objetivos Determinación de actividades planificadas Asignación de recursos Formación y toma de conciencia Procesos de debida diligencia Planteamiento de inquietudes e investigaciones Supervisión de entidades participadas Reacción ante no conformidades y no cumplimientos Revisiones y auditoría del del sistema  sistema de gestión

Finalidad del sistema del sistema de gestión y gestión y ámbito de aplicación, incluyendo su perímetro técnico Definiciones de uso frecuente (recomendable uso definiciones ISO) Regulación detallada de la función de compliance Dependencia funcional (en grupos es frecuente que sea a la función corporativa) y jerárquica

 Atribuciones  Atribucion es y e competencias, directas indirectas Regulación de la cadena de información de compliance Procesos de Procesos  de determinación de objetivos,, actividades y objetivos recursos Regulación de la formación planificada, de inducción y actividades de concienciación Procesos de debida diligencia interna y externa Régimen de acciones correctivas tanto para el personal como personal  como a terceras partes

Figura 18. Ejemplo del índice de un documento que recoge el contenido esencial del estándar ISO 37301:2021, sea porque desarrolla directamente sus

requisitos, o por referenciar otros documentos que lo hacen. De la ejecución de su contenido se derivarán otros documentos, tales como la evaluación de riesgos, el documento de objetivos, el presupuesto de compliance, el soporte de las actividades de formación, etc. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

190

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.5.3. Roles, responsabilidades y autoridades Este apartado establece los papeles que desempeñan en materia de compliance las diferentes posiciones en la organización: el órgano de gobierno y alta dirección, la función de   compliance, la dirección y el personal. Obviamente, es una nomenclatura n omenclatura estándar que cabrá trasladar a las categorías equivalentes en cada caso real. Bajo esta clasificación subyace el entendimiento de que el compliance afecta a todas las personas, funciones y jerarquías en la  organiz  organización ación , aunque de manera distinta según sus capacidades. Siguiendo el enfoque de tres líneas153, podría decirse que estos apartados abordan principalmente los cometidos de la primera y la segunda, mientras que los de la tercera aparecen indicados en el apartado 9.2 Auditoría interna.  Aunque no se precisa que esta atribución atrib ución de roles, responsabil respons abilidade idadess y autoridaautor ida información mación docume documentada ntada (véanse los comentarios al concepto de des conste como  infor  Información  Inform ación docume documentada ntada en el apartado II.3.10  Infor  Información mación documen documentada tada, de este libro. También También los comentarios come ntarios al apartado apart ado 7.5 Información documentada del estándar  Información mación do documentad cumentadaa, con ISO 37301:2021, que figuran en el apartado II.7.5 Infor el mismo título, de este libro), debe inferirse claramente de la documentación de la  orga  organiza nización ción . Puede hallarse reflejada en documentos organizativos frecuentes como los manuales de descripción de puestos o funciones, que se suelen elaborar con otros propósitos. También pueden encontrarse en los propios documentos que representan representa n el  siste  sistema ma de gesti gestión ón  de  compli  compliance ance. En cualquier caso, es clave que las personas en la  org  organiz anizaci ación ón conozcan qué expectativas de  comp  complian liance ce les afectan, qué roles juegan respecto a ellas y quién dispone de capacidad para gestionarlas.

 A CONS CONSIDER IDERAR. AR. Loc Localiz alizació ación n de los role roless y las res respon ponsab sabilid ilidades ades de compliance. Los objetivos objetivos que  que persigue un sistema un  sistema de gestión gestión de  de compliance compliance incumben  incumben al personal de personal  de la organización organización e  e incluso a ciertas terceras partes. partes. Por consiguiente, los diferentes colectivos –especialmente dentro de la organización organización,, en forma de categorías o puestos– desempeñan roles y asumen responsabilidades relevantes en materia de compliance compliance,, como se explicará en los apartados siguientes. siguient es. Pueden quedar reflejadas en documentos organizativos de uso interno (“job (“job descriptions”), descriptions”), aunque la política de compliance compliance es  es también un buen lugar para hacer referencia general a ellos, beneficiándose así de su amplia difusión.

153

 El antiguo “t res líneas “tres defensa” fue acogido(BCBS), por el Institute Internal Auditors (IIA), COSO,modelo COSO, el Basel de Committee onde Banking Supervision así comoofotras instituciones de supervisión y regulación del sistema financiero en el mundo. En julio de 2020 fue objeto de revisión por parte del Institute of Internal Auditors, incrementando la relevancia de los roles correspondientes al órgano de gobierno . Su denominación pasó a ser ser,, simplemente, de “tres líneas”. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   191

MÁS INFORMACIÓN. La política de compliance y los roles, responsabilidades y autoridades.

Sobre la posibilidad de recurrir a la política de compliance compliance para  para reflejar el marco general de roles, responsabilidades y autoridades sobre compliance compliance,, puede consultarse el contenido y los ejemplos que figuran en el apartado II.5.3.1 Órgano de gobierno y alta dirección, dirección, de este libro. Este apartado se encuentra dividido en cuatro partes, cada una un a de las cuales aborda las citadas instancias en la organiz  organización ación. En el anterior estándar ISO 19600:2014 también estaban tratadas154, junto con dos apartados adicionales de carácter genérico genérico,, más propios de un MSS de tipo B (no certificable)155. A diferencia también de la norma antecesora, ahora se ha obviado referirse a las “responsabilidades” de las posiciones señaladas en el título de cada apartado, en la medida que esta literalidad inducía a confusión. Como se explicará a continuación, el estándar ISO 37301:2021 hace un uso muy cuidado de los términos, especialmente al detallar la funci    función ón de comp  complianc liancee, para evitar atribuirle responsabilidades ponsabilida des (eventualmente legales) que no tiene capaci capacidad dad legal o fáctica de asumir asumir..

II.5.3.1. Órgano de gobierno y alta dirección  governing rning  Ni la HLS ni otros estándares estánd ares ISO sobre sistemas sistem as de gestión gestió n definen defin en “ gove  body” (a diferencia de "top management " que sí consta en la HLS), siendo un término necesario en el ámbito del complia  compliance nce y,  y, por tanto, def definido inido en los l os siste  sistemas mas de gestión  sobre esta materia156. Dependiendo del ordenamiento jurídico nacional (véanse los lo s comentarios en el apartado I.6.2.1 Princi  Principio pio de su subordin bordinación ación a LLey ey, de este libro) y 154 La

única diferencia radica en sustituir el concepto de “empleados” por el de “personal” y en evitar el uso “responsabilidades” en los títulos de los apartados dedicados a cada instancia:  órgano  de gobierno  y alta dirección direcc ión, función de   compliance  compliance , management  y  y  personal . estándar ISO 19600:2014 incluía los apartados iniciales 5.3.1 Generalidades  y 5.3.2 Asigna ción de responsabilidades responsabilidad es de compliance en la organización, cuya orientación y contenido resumido se localiza ahora en el apartado A.5.3 Roles, responsabilidades responsabi lidades y autoridades  del anexo A (informativo) Guía para el uso de este documento del estándar ISO 37301:2021. No obstante, una parte de los contenidos del antiguo apartado 5.3.1 Generalidades (ISO 19600:2014) se pueden localizar ahora en el apartado 5.3.1 Órgano de gobierno y alta dirección  (ISO 37301:2021), al tratarse de cometidos correspondientes a dichas instancias de gobierno en la  organización . 155 El

156

 Encontramos esta definición en; los estándares 19600:2014 (3.4en ); ISO Órgano de gobierno 37001:2016 (3.7 Órgano de gobierno y ahora tambiénISO en ISO 37301:2021, su apartado 3.21 Órgano  de gobie gobierno rno. Véanse los comentarios a esta definición en el apartado II.3.21 Órgano de gobierno, de este libro. En aquellos estándares donde no se encuentra expresamente definido, forma parte del concepto de “ alta dirección dirección”, que sí forma parte de los términos concretados en la HLS, 3.5 Alta dirección dirección. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

192

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 organizaciónn, pueden existir diferencias entre las competencias de la dimensión de la organizació competenci as  órgano ano de gobi gobierno erno   y  alta dire direcci cción ón). Sin embargo, en atribuidas a ambas figuras ( órg  organizacion  organi zaciones es medianas o pequeñas suelen coincidir en una sola instancia. Corresponde al órgano de gobierno y alta dirección la atribución de roles, responsabili compliance, en dades y autoridades en materias relevantes, incluyendo a la función de  compliance los términos indicados en el apartado anterior. anterior. En particular, particular, cuidará de distribuirlos estión de  compliance  se adecúe a los  requisi  requisitos tos del estándar y para que el  sistema de ggestión se les informe sobre su  desempeño, según desarrollan los apartados 9.1.4  Informes de  compliance y, especialmente, 9.3 Revisión por la dirección. Esta obligación del órgano de gobierno y de la alta dirección se completa con la exigen compliance vele para que se produzca tal asignación de roles, cia de que la  función de  compliance responsabilidades y autoridades en materia de  compliance, según estipula el apartado  Función de  compliance  compliance, del estándar ISO 37301:2021. 5.3.2 Función

MÁS INFORMACIÓN. Relación de la función de compliance con la asignación de roles, responsabilidades y autoridades de compliance.

La asignación de roles, responsabilidades y autoridades en materia de compliance es pliance  es una exigencia que afecta directamente al órgano de gobierno y gobierno y a la alta dirección. dirección. Ahora bien, la función de  de  compliance compliance debe  debe velar para que se realice e informar acerca de ello. Véanse los comentarios al respecto dentro del título “ Actividades que involucran directamente a la función de compliance” compliance ” del apartado II.5.3.2 Función de compliance, compliance, de este libro. En particular, el  órgano de gobierno debe asegurarse de que el desempeño de la  alta  dire cciónn es también  direcció  objetivos ivos   de medido conforme al nivel de consecución de los  objet  compliance y que se ejerce sobre él una supervisión en cuanto a los cometidos que le  compliance ce. Como se desarrollará a continuación, afectan, según el sistema de gestión de  de complian se trata de una evaluación y supervisión en cascada 157, pues la alta dirección debe hacer lo propio sobre el personal. Los cometidos de la alta dirección se concretan en: • Facilitar los recursos para establecer o mejorar el sistema de gestión de compliance  según también establece el apartado 7.1 Recursos.

157  Esta

mecánica de evaluación sucesiva o en cascada no estaba presente en el estándar ISO 19600:2014. Aunque sí contemplaba la evaluación de la  alta direc dirección ción  por parte del  órgano de  gobierno, no se preveía lo propio respecto al personal  por parte de la alta dirección direcci ón. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   193

MÁS INFORMACIÓN. Recursos materiales e inmateriales.

Sobre los diferentes recursos que deben ponerse a disposición de la función de  de  compliance,, incluyendo el tiempo y el equipo humano necesario para desempeñar compliance razonablemente sus cometidos, véanse las explicaciones y los ejemplos que se expone en el apartado II.7.1 Recursos Recursos,, de este libro. • Asegurar sistemas sistemas efectivos de información en materia materia de compliance, especialgobierno no y  alta direcc dirección ión y velar por que se mente los destinados al  órgano de gobier ejecuten correctamente, en línea con lo indicado en los apartados 9.1.4 Informes  de compliance y 9.3 Revisión por la dirección.

 A CONSIDERAR CONSIDERAR.. Dispon Disponer er de inform información ación no es un derecho, derech o, sino una obligación.

Los administradores de sociedades no solo disponen del derecho a disponer de información, sino la obligación de requerirla, preguntar por ella o interrogar sobre su contenido, cuando les plantea dudas. Es una aproximación alineada con las prácticas de buen gobierno corporativo que se están generalizando a nivel internacional. En relación con la diligencia de los administradores sociales y, en particular, el llamado “duty “duty of enquiry”, enquiry”, véanse las explicaciones y los ejemplos que qu e se recogen en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro. MÁS INFORMACIÓN. Reportes operativos de compliance.

Sobre los informes de compliance compliance,, incluyendo tanto los operativos como las memorias anuales, así como la eventual incorporación de sus contenidos en otros informes externos, véanse las explicaciones y los ejemplos que se exponen en los apartados II.9.1.4 Informes de compliance y compliance y II.9.3 Revisión por la dirección, dirección, ambos de este libro. • Asegurar que los objetivos estratégicos y operativos generales de la organización    obligaciones ciones de  compliance  compli ance que le afectan, en línea con están alineados con las  obliga lo establecido en el apartado 6.2 Objetivos de compliance y planificación para  lograrlos  lograr los.

MÁS INFORMACIÓN. Objetivos de compliance.

En relación contácticos el marco objetivos de compliance y  y los las objetivos tanto objetivos  tanto estratégicos como quedeseobjetivos derivan de delcompliance mismo, véanse explicaciones, así como el ejemplo que figura en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

194

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

conformidades y no • Fijar Fijar mecanismos de atribución atribución de responsabilidades responsabilidades ante no conformidades  cumplimientos de  compliance  compliance, incluyendo acciones disciplinarias158. Es una consecuencia derivada del principio de responsabilidad (véase el apartado I.6.1.5 I.6.1.5    Principio de responsabilidad, de este libro). MÁS INFORMACIÓN. Modelos de incentivos y correctivos.

Una línea de pensamiento aboga por estipular en los sistem los  sistemas as de gestió gestiónn de compliance únicamente compliance  únicamente acciones acciones disciplinarias,  disciplinarias, dado que el cumplimiento de las obligaciones de compliance compliance constituye,  constituye, per se, se, una conducta esperable que no cabría “retribuir” o “premiar”. “premiar ”. En esta misma línea, bastantes normas legales sobre compliance compliance –especialmente  –especialmente las de naturaleza penal– se refieren exclusivamente a esta vertiente punitiva o sancionadora. En cualquier caso, véanse los comentarios y los ejemplos de medidas incentivadoras que se recogen bajo el título “Condicionantes “Condicionantes de su contenido” contenido” en el apartado II.5.2 Política de  de  compliance,, de este libro. pliance • Asegurar que se considera el desempeño desempeño en materia materia de compliance en el proceso  personal al, lo que afecta no solo al momento de su incorporación, de evaluación del person como prevé el apartado 7.2.2  Proceso de empleo, sino también, a la evaluación periódica de desempeño, contemplada en el apartado 5.3.1 Órgano de gobierno   y alta dirección.

MÁS INFORMACIÓN. Procedimiento de debida diligencia interna.

 Acerca  Ace rca de las cau cautel telas as de compliance compliance al  al seleccionar e incorporar personal personal   para la organización organización (procedimiento  (procedimiento de debidaendiligencia interna), véanse las explicaciones y los ejemplos que se exponen el apartado II.7.2.2 Proceso de empleo, empleo, de este libro.

MÁS INFORMACIÓN. Evaluación y supervisión en cascada.

Sobre el mecanismo de evaluación y supervisión en cascada que fija el estándar ISO 37301:2021 para diferentes colectivos dentro de la organización organización,, véanse las explicaciones vertidas anteriormente, en este mismo apartado de la obra.

158 La

redacción del anterior estándar ISO 19600:2014 era ambigua, limitándose a apuntar –como cometido del  órgano de gobierno gobier no y alta dirección direcc ión– que los comportamientos de incumplimiento se gestionarían adecuadamente. El estándar ISO 37301:2021 se refiere ahora a un mecanismo de atribución de responsabilidades y cita expresamente acciones disciplinarias. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   195

II.5.3.2. Función de compliance  compliance tiene encomendada la operación del sistema de gest gestión ión de comLa función de compliance . Por Por aplicación del principio princi pio de subordinación a Ley (véase el apartado I.6.2.1  I.6.2.1   pliance  Principio de subordinación a Ley , , de este libro), el estándar ISO 37301:2021 no puede imponer un órgano societario que, per se, disponga de capacidades y responsabilidades no amparadas por el ordenamiento jurídico de aplicación. La redacción de este apartado está influida por ello y evita emplear términos que inviten a la l a confusión159.  compliance es responsable de “operar” Ya desde su comienzo indica que la  función de compliance el sistema de gestión, que contrasta con el anterior texto del estándar ISO 19600:2014 que directamente se refería a las “responsabilidades” de la función.

 compliance ce supone dos niveles distintos Operar el sistema de gestión de complian distinto s de compromiso: • Uno mayor, mayor, que se corresponde con actividades que involucran directamente a la  función de  compliance. Su correcto cumplimiento reside en sus propias habilidades y competencias. • Otro menor, menor, que se corresponde con actividades actividades donde la función de compliance  compliance  se involucra indirectamente en la medida que no asume su ejecución, manteniéndose alerta de que otros sí lo hacen. Son actividades a impulsar por otras instancias en la  organización, donde la  función de  compliance  compliance vierte sus mejores esfuerzos para cuidar de que se ejecuten, pero de cuyo resultado no puede responsabilizarse. Por otra parte, en aras a la eficacia de la función de compliance  compliance, este apartado indica que la organización le procure legitimidad para desarrollar correctamente correctamente sus cometidos, en línea con lo establecido en el apartado 5.1.3

Gobernanza del compliance.

En cualquier caso, el listado de actividades que plantea el estándar ISO 37301:2021 es enunciativo enunciativ o y no limitativo. También También conviene convi ene recordar que la existencia de la función  de compliance  compliance y el desarrollo de sus actividades no exime al personal de la organización   compliance160. de conocer y cumplir las  obligaciones de  compliance

el proceso  de redacción del estándar se evitó utilizar el término “ ensure” referido a la función  de  compliance  compliance , por cuanto su posición no le brinda la capacidad de asegurar decisiones. Sin embargo, vemos que se utiliza este término en el apartado 5.3.1 Órgano de gobierno y alta dirección , 159 En

puesto son instancias dotadas legalmente de las capacidades de gestión social más elevadas. 160 Esteque apartado introduce una nota aclaratoria en tal sentido. Aunque no es contenido normativo, está alineado con la filosofía del estándar y con lo que aparece expresamente indicado en los apartados 5.1.1 Órgano de gobierno y alta dirección , 5.1.2 Cultura de compliance, 5.2 Política de   compliance  y 5.3.4 Personal, entre otros. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

196

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 Actividades que involucran directamente a la función de compliance • La func      función ión de comp  complian liance ce impulsará la identificación de las obl  obligaci igaciones ones de comp  complian liance ce  que afectan a la  organi  organización zación. En este contexto y dentro de un  sistem  sistemaa de gestión   compliance161, normalmente recurrirá al que cubra diferentes grupos de riesgos de compliance criterio experto de los responsables de la gestión y supervisión de los mismos.

 A CONSIDERAR. CONSIDERAR. Los dos niveles de análisis de riesgos de compliance.

El estándar ISO 37301:2021 ayuda al diseño, la implementación i mplementación y la evaluación de sis de sistema temass de ges gestió tiónn de compliance compliance de  de amplio espectro, esto es, los que proyectan sus actividades sobre los “principales” riesgos riesgos de  de compliance compliance que  que amenazan a la organización,, según clarifica el apartado 4.3 Determinación del alcance del sistema organización de gestión del compliance. compliance. Un primer ejercicio consiste en identificar cuáles son esos riesgos “principales” riesgos  “principales” críticos para la organización organización y,  y,(por por ejemplo, consiguiente, los grupos de obligaciones de ocompliance de  compliance vinculados  vinculados con ellos prevención del soborno, protección de la libre competencia, protección prot ección de la privacidad, prevención del blanqueo de capitales, prevención de daños al medio ambiente, etc.). Se determina así el perímetro técnico de supervisión sobre el que proyecta sus actividades el sistem el sistemaa de gest gestión ión de  de compliance compliance.. Al respecto, véanse también las explicaciones y los ejemplos en los apartados II.4.3 Determinación del alcance del sistema de gestión del compliance y compliance y II.4.5 Obligaciones de compliance, compliance, ambos de este libro. Hecho lo anterior, entra en juego la mecánica del apartado 4.6 Evaluación de los riesgos de compliance, compliance, para identificar, analizar y valorar las casuísticas de riesgo asociadas riesgo  asociadas a cada uno de los grupos de obligaciones de compliance dentro compliance dentro del perímetro técnico de supervisión. MÁS INFORMACIÓN. Identificación de los “principales” riesgos de compliance.

Sobre el ejercicio de identificación de los principales riesgos riesgos de  de compliance compliance que  que afronta una organización organización y  y los grupos de obligaciones de  de compliance compliance vinculadas  vinculadas con ellos, véanse los cometarios y ejemplos que se incluyen en el apartado II.4.3 Determinación del alcance del sistema de gestión del compliance, compliance, de este libro.

161 Ocasionalmente

y en sistemas jurídicos continentales, en forma de bloques de obligaciones reguladas en los diferentes códigos o grupos de normas. Sobre esta materia, véanse también los comentarios que figuran en el apartado II.4.3  Determinación del aalcance lcance del ssistema istema de ges gestión tión ddelel    compliance , de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   197

MÁS INFORMACIÓN. Evaluación de los riesgos de compliance.

Sobre la mecánica de evaluación de los riesgos riesgos  de de  compliance compliance,, para cada uno de los grupos de obligaciones identifi véanse nes y los ejemplos que recogepreviamente el apartadoidentificados, II.4.6 cados, Evaluación de las los explicacioriesgos de compliance,, de este libro. compliance • La  función de  compliance  compliance  se ocupará de la evaluación de  riesgo  riesgoss de   compliance  compliance , siguiendo lo establecido en el apartado 4.6 Evaluació  Evaluaciónn de llos os riesgos de complian compliance ce. Por consiguiente, aunque proceda involucrar a un criterio experto ajeno a la propia función para desarrollar este ejercicio, ejercicio, ejecutarlo es su responsabilidad, recurriendo,, si es preciso, al asesoramiento externo. recurriendo

MÁS INFORMACIÓN. Conceptos fundamentales fundamentales en la evaluación de riesgos. Sobre la metodología y conceptos básicos para la evaluación de los riesgos de  de  compliance,, véanse las explicaciones y los ejemplos que se recogen en el apartado compliance II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro.

 compliance velará por la alineación entre el  sistema de ge gestión stión de • La  función de  compliance  complian  comp liance ce y los objet  objetivos ivos de comp  complian liance ce. De otro modo, las actividades a desarrollar y las estructuras dispuestas para ello pueden ser inútiles para alcanzarlos.

 A CONSIDERAR. CONSIDERAR. Fijación de los objetivos de compliance. La fijación de los objetivos objetivos de  de compliance compliance no  no consta como un rol de la función de  compliance de compliance,, dado que su aprobación corresponde al órgano de gobierno y gobierno y la alta dirección (aunque dirección (aunque la función de  de compliance compliance pueda  pueda realizar propuestas). Sin embargo, sí debe preocuparse de que el sistema el  sistema de gestión de gestión de compliance compliance sea  sea capaz de progresar hacia ellos, fijando indicadores, midiendo midiendo lo  lo que efectivamen efectivamente te ocurre y siguiendo y siguiendo los  los resultados. En relación con ello, véanse las explicaciones y los ejemplos en el apartado II.9.1.3 Desarrollo de indicadores, indicadores, de este libro.

MÁS INFORMACIÓN. Objetivos de compliance.

En relación con la labor de la fijación de de los compliance objetivos d objetivos  dee, compliance compliance, siempre dentroy del marco que determina política compliance, véanse las ,explicaciones los ejemplos que se recogen en los apartados II.6.2 Objetivos Objetivos de  de compliance y planificación para lograrlos, lograrlos, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

198

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

• El estándar ISO 37301:2021 fija tres actividades consecutivas que incumben  función ón de  compliance  compli ance  y que recogen en su secuencia lógica:  segui  seguimiento miento a la  funci gestión stión de  compliance, lo que conlleva impulsar el del  desempeño del  sistema de ge establecimiento de indicadores; análisis de los datos resultantes, de modo que se pueda evaluar dicho desempeño, efectuando las correcciones precisas; y, finalmente, establecimiento del mecanismo de reporte que permita informar de ello y documentar el proceso. Estas obligaciones directas de la  función de  compliance  compliance  enlazan, pues, con lo indicado en el apartado 9.1.3  Desarro  Desarrollo llo ddee ind indicadore icadoress, así como en el apartado 9.1.4 Informes de compliance y también en el apartado 9.3 Revisión por la dirección. También También con lo establecido en los apartados 9.1.5  Mantenimiento  Mantenimien to ddee regist registros ros y 7.5 Información documentada, cuando corresponda.

MÁS INFORMACIÓN. Indicadores e informes de compliance.

En relación con el desarrollo de indicadores y indicadores y su plasmación en los informes de compliance, compliance , véanse los, comentarios y losde ejemplos en los II.9.1.3 Desarrollo de indicadores, indicadores II.9.1.4 Informes compliance compliance y  y apartados II.9.3 Revisión por la dirección, dirección, todos de este libro. • La  función de  compliance  compliance también se ocupa de que el  sistema de gestión g estión de  com pliance sea revisado periódicamente. Este apartado se refiere a sus revisiones “planificadas” (a intervalos predefinidos), predefinidos), mientras que el apartado 10.2  No  conformidades y ac acciones ciones correctivas, estipula las “sobrevenidas” (a raíz de cambios en las circunstancias de la organi  organización zación o de incidentes). En cualquier caso, ambas revisiones contribuyen a la mejora continua continua del sistema de gestión, guiándose por lo establecido en el apartado 10.1  Mejora continua.

 A CONSIDERAR. CONSIDERAR. Seguimiento vs. revisión del sistema de gestión.

Forma parte de los cometidos de “operación” “op eración” del del sist  sistema ema de gest gestión ión  de compliance compliance   el seguimiento el seguimiento de  de sus actividades yy,, en definitiva, de su desempeño desempeño.. Es una labor cotidiana cuyos resultados se reportan según lo establecido en el apartado 9.1.4 Informes de compliance. compliance. Al margen de esta actividad continua, las revisiones del  sistema de d e gestión gestión se  se realizan de forma planificada o sobrevenida, incluyendo las que se desarrollan en el contexto de la auditoría auditoría interna.  interna. MÁS INFORMACIÓN. Tipos de revisiones del sistema de gestión de  compliance.

Los diferentes de revisiones del  sistema ma gestión ión  de de  compliance compliance vienen  vienenVéanse explicados al iniciotipos del apartado II.4 del siste Contexto dede la gest organización organización, , de este libro. también los comentarios y los ejemplos en los apartados II.9.2 II.9.2 Auditoría  Auditoría interna interna  y II.10.2 No conformidades y acciones correctivas, correctivas, ambos también de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   199

 compliance se ocupará también del establecimiento de mecanismos • La función de compliance a través de los cuales pueden comunicarse y gestionarse inquietudes en materia de  compliance, al amparo de lo que prescribe el apartado 8.3  Planteamiento de comunicació n ya existen en la organización   inquietudes. Cuando estos canales de comunicación y están siendo gestionados por otras funciones, este  requis  requisito ito supone, como mínimo, mantenerse informado de sus actuaciones.  whistleblowing lines”.  A CONSIDERAR. CONSIDERAR. Planteamiento de inquietudes y “ whistleblowing Los procedimientos y mecanismos para el planteamiento de inquietudes a que se refiere el estándar ISO 37301:2021 incluyen, pero no se limitan a los denominados canales internos de denuncia (“whistleblowing (“whistleblowing lines”). lines”). Por tanto, admiten una variedad conceptual y tecnológica abierta a desarrollos futuros. Por otra parte, el apartado 8.3 Planteamient Planteamientoo de inquietudes inquietudes recurre  recurre al singular (“un proceso proceso…”) …”) por cuanto, como requisito requisito,, es el mínimo exigible a una organización organización.. Sin embargo, esto no impide la coexistencia de diferentes procesos procesos o  o canales a esos mismos efectos. gestión ión de canales  A CONSIDERAR. ISO 37001:2021 sobre  sistemas de gest para el planteamiento de inquietudes. El Comité Técnico de ISO/TC 309, dentro del que se encuadra el Grupo de trabajo WG 4 que ha desarrollado el estándar ISO 37301:2021, también acoge al Grupo de trabajo WG 3, que ha impulsado y redactado la primera norma ISO sobre sistemas de gestión de canales para el planteamiento de inquietudes, el estándar ISO 37002. Es positivo atender a su contenido, al ser una norma moderna y con amplio reconocimien r econocimiento to en la comunidad internacion internacional. al. Ahora bien, a efectos del estándar ISO 37301:2021, su cumplimiento no es preceptivo (no figura citada en el capítulo 2 Referencias normativas) normativas) y se trata, además, de un MSS de tipo B (de directrices, no certificable). MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.

 Acerca de las cara  Acerca caracter cterístic ísticas as y los ejem ejemplos plos sobre los cana canales les para el plan planteam teamient ientoo de inquietudes, incluido el eventual estatuto de protección al denunciante de buena fe que enmarca la Directiva Dir ectiva Europea 2019/1937 del Parlamento Europeo y del Consejo, véase el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.

 complianc e debe ocuparse de que el  persona  personall tenga acceso a los • La  función de  compliance recursos sobre  compliance , sus políticas,  procesos  y  procedimie  procedimientos ntos. El uso de las

tecnologías de la información y la comunicación permite realizar este ejercicio por vía electrónica, recurriendo normalmente a la intranet corporativa. Es una solución extendida y razonable cuando el  personal dispone de recursos informáticos para acceder a su contenido. co ntenido. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

200

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

MÁS INFORMACIÓN. La intranet corporativa como lugar de puesta a disposición de información clave de compliance.

En relación con los una también eventualen página web en intranet véanse corporativa, así como los contenidos que cabría de u bicar ubicar la página weblaexterna, las explicaciones y los ejemplos que figuran bajo el título “Materias “Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Polític Políticaa de compliance compliance,, de este libro.  A CONSIDERAR. CONSIDERAR. Las políticas, los procesos y los procedimientos de compliance.

No es mejor el sistema el sistema de gestión dotado gestión dotado de más políticas políticas,, procesos procesos y  y procedimientos de mientos  de compliance compliance,, sino aquel que dispone de los verdaderamente precisos, adecuados y que se cumplen correctamente. Para ello, es interesante considerar algunos relativos al idioma y, de el lenguaje apartadoaspectos II.5.2 II.5.2 Política  Política de compliance, compliance este libro.que se han explicado en el Lejos de tener un efecto positivo, la proliferación indiscriminada de políticas políticas,, procesos y procesos  y procedimientos procedimientos alimenta  alimenta la confusión y la incertidumbre en el seno de las organizaciones organizaciones,, mermando la eficacia eficacia del  del sistema  sistema de gestión. gestión. EN BUSCA DE LA EXCELENC EXCELENCIA. IA. Documentos de ayuda sobre las políticas.

En un entorno normativo complejo, puede resultar difícil redactar políticas políticas,, procesos y cesos  y procedimientos simples y fácilmente comprensibles. Este es un fenómeno frecuente en los mercados regulados. Cuando no es posible simplificar sumarios su contenido, es”), positivo resumir susademás mensajes clave distribuyendo documentos (“flyers”), (“flyers que señalarán, de la localización de las políticas políticas correspondientes,  correspondientes, los canales dispuestos para recibir asesoramiento o aclarar dudas en relación con ellas, e incluso, trasladar sospechas de contravención. • La función de compliance  compliance prestará asesoramiento a la organización en materias de  compliance. Esto significa estar abierto a recibir consultas de las personas vinculadas con ella, pero también a actuar proactivamente mediante su participación en foros decisorios de la organización, según se explica más adelante.

MÁS INFORMACIÓN. Visibilidad ante los órganos decisorios.

En relación con la comunicación comunicación fluida de la función de  de compliance compliance con  con las instancias decisorias dentro de la organización organización,, véanse también los comentarios y los ejemplos que se recogen en el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   201

 Actividades que involucran indirectamente a la función de compliance • La func  función ión ddee  comp  complian liance ce velará para que se asignen las responsabilidades de  com pliance en el seno de la  organización. Esto significa vigilar que en los distintos documentos organizativos (manuales de descripción de puestos, funciones, etc.),  compli plianc ancee que afectan a constan los roles, las responsabilidades y las autoridades de com los diferentes puestos en la org  organi anizac zación ión. En su defecto, también puede reflejarse en la propia documentación de comp  complian liance ce (en la polí  política tica de comp  complian liance ce, por ejemplo).

MÁS INFORMACIÓN. Roles, responsabilidades y autoridades.

Como se explica en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro, constituye un cometido de estas altas instancias de gestión social proceder a la asignación de roles, responsabilidades y autoridades en materia de compliance. compliance obstante, la función de compliance de  compliance vela  vela porque asignación se produzca. No y, eventualmente, informa de las incidencias en el tal desarrollo de este proceso proceso en  en el contexto, por ejemplo, de lo explicado en el apartado II.9.1.4 Informes de compliance, compliance, de este libro. En cuanto al lugar donde establecer estos roles, responsabilidades y autoridades, véanse los comentarios y los ejemplos recogidos en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, así como lo indicado bajo el título “ Aspectos a con siderar por el órgano de gobierno y la alta dirección dirección”” del apartado II.5.2 Política de  compliance de compliance,, de este libro. • Aunque el apartado 5.1.1 Órgano de gobierno y alta dirección del estándar ISO 37301:2021 asigna a dichas instancias la responsabilidad de integrar el sistema  de gestión de  compliance dentro de los  procesos de negocio de la  organización, la  función de compliance  compliance velará igualmente para que las obligaciones de compliance  compliance se encuentren reflejadas e integradas en ellos. Se quiere evitar que el sist  sistema ema de gest gestión ión  de compliance forme un entramado paralelo que permita ejecutar actividades sin dar cobertura a los requisitos de compliance que les afectan.

 A CONSIDERAR. CONSIDERAR. Procesos de negocio y procesos de compliance.

Puesto que no hay otra forma de desarrollar actividades que, cumpliendo con las normas, mantengan una conducta ética y alineada con las mismas es per se un se un proceso ordinario proceso  ordinario de negocio (véase el apartado I.6.1.6 Principio de sostenibilidad,, de este libro). Bajo esta perspectiva, es artificial diferenciar entre procesos dad procesos o  o

intereses y procesos procesos o intereses de abre compliance, compliance , dado que no pueden disociarsedelosnegocio unos de los otros. oLo contrario la posibilidad de desarrollar actividades ilegales, lo cual, no solo atenta contra la política de compliance compliance,, sino también, contra los objetivos objetivos que  que se derivan de su marco. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

202

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

MÁS INFORMACIÓN. Integración de los requisitos de compliance.

Como se explica en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de esterequisitos libro, es una labor de estas altasde instancias de gestión social laNo integración los de compliance dentro compliance  dentro los procesos procesos de  de negocio. obstante,de la función de  de compliance compliance vela  vela para que tal integración se produzca y eventualmente informe de las incidencias en el desarrollo de esta actividad al amparo, por ejemplo, de lo explicado en el apartado II.9.1.4 Informes de compliance, compliance, de este libro.  Véanse  Véa nse los come comentari ntarios os y los ejem ejemplos plos que allí se reco recogen gen,, así como los que figur figuran an en el apartado II.8.1 Planificación y control operacional, operacional, también de este libro.  procesos esos   EJEMPLO. Integración de los requisitos  de compliance  en los  proc ordinarios de negocio. Se tomará, por ejemplo, un proceso proceso simplificado  simplificado de homologación de proveedores. Se de vannegocio a ver lasy ladiferentes etapasenpor atraviesa  de el procedimiento procedimiento  ordinario incorporación él la deque los requisitos requisitos de compliance..   compliance Normalmente, dicho procedimiento procedimiento de  de homologación atraviesa por contrastar y documentar algunos aspectos básicos: • Que el proveedor existe como entidad legalmente constituida. • Que el proveedor lleva operando tiempo suficiente en el mercado como para garantizar la continuidad del suministro de sus bienes o servicios. • Que el proveedor dispone de las competencias técnicas para ofrecer la calidad requerida en cuanto a los productos o servicios a contratar. • Que el proveedor muestra solvencia económica suficiente como garantizar la continuidad de sus suministros. • Que el proveedor no presenta vínculos con personas de la organización organización rela relacionadas con el proceso proceso de  de su contratación (conflicto de intereses).  A estos requisitos requisitos,, frecuentes para la homologación de proveedores, cabría añadir algunos adicionales en materia de compliance compliance:: • Que el proveedor no se encuentra incluido en algún listado nacional o inter nacional de sujetos embargados o perseguidos por la justicia. Igualmente, que no presenta noticias negativas en medios de comunicación que hagan dudar de su alineación con los valores que defiende la organización organización.. • Que sus propietarios últimos últi mos están identificados y que ni ellos ni sus familiares f amiliares cercanos guardan están vinculados con funcionarios públicos u otras personas

públicamente expuestas respecto a las que deban adoptarse cautelas especiales. Una vez homologados los proveedores, procederá formalizar la relación r elación con ellos, introduciendo las cautelas contractuales oportunas en cuanto a su compromiso con la conducta ética y el respeto de las l as normas. En relación con las tres tr es etapas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   203

básicas en materia de evaluación de terceras partes (selección, partes (selección, formalización y seguimiento), véanse los comentarios y los ejemplos comprendidos en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. La integración de procedimientos procedimientos ordinarios  ordinarios de negocio con los los de compliance compliance no  no solo significa que se desarrollen ambos, sino, además, lo harán de manera coordinada. Es el único modo de garantizar la imposibilidad i mposibilidad de concluir la trtransacción ansacción (en este ejemplo, la homologación del proveedor) sin haber cubierto tanto los requisitos requisitos d  dee negocio como los de compliance compliance.. Las organizaciones organizaciones que  que los mantienen separados incurren en el riesgo riesgo de  de finalizar los procesos procesos de  de “negocio” –homologando al proveedor– sin haber concluido satisfactoriamente los de compliance compliance.. MÁS INFORMACIÓN. Procedimientos de debida diligencia.

Una buena parte de las cautelas de compliance compliance guardan  guardan relación con los procedimientos de mientos  de debida diligencia interna (los que se proyectan sobre las personas que se incorporan o promueven en la organización organización)) y externa (las terceras partes con partes con los que la organización organización quiere  quiere vincularse). En relación con ambos aspectos, véanse las explicaciones y los ejemplos contenidos en los apartados II.7.2.2 Proceso de empleo y empleo  y II.8.1 Planificación y control operacional, operacional, ambos de este libro.  A CONSIDERAR. CONSIDERAR. Utilidad de los “mapa “mapass de procesos”.

Los llamados “mapas de procesos procesos”” son la plasmación gráfica, normalmente en forma de flujograma, de los procesos procesos por  por los cuales la organización organización desarrolla  desarrolla sus actividades (compras, ventas, planificación y ejecución presupuestaria, control de tesorería y pagos, etc.). Ayudan a visualizar y comprender los hitos por los que atraviesan dichas actividades, así como los roles, r oles, las responsabilidades y las autoridades de las personas, las funciones o las áreas que intervienen en ellas. Constituyen una herramienta de utilidad para analizar las debilidades de algunos procesos en procesos  en términos de su eficiencia, de su eficacia eficacia y  y de su control. En la esfera del compliance compliance,, facilitan incorporar sus requisitos requisitos dentro  dentro de los flujos de actividad asociados a los procesos procesos ordinarios.  ordinarios. Sobre la utilidad de los mapas de procesos procesos véase  véase el apartado II.3.8 Proceso Proceso,, así como las explicaciones y los ejemplos que figuran bajo el título “ Actividades “ Actividades que involucran indirectamente a la función de compliance” compliance” del apartado II.5.3.2 Función de compliance y compliance y el apartado II.8.1 Planificación y control operacional, operacional, todos de este libro.

 funci nción ón de compl  complian iance ce velará por impulsar las actividades formativas que permitan • La fu al perso  personal nal abordar los riesg  riesgos os de complian  compliance ce a los que está expuesto por motivos de su ocupación, en línea que con que indica el apartado 7.2.3 Forma  Formación ción. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

204

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

MÁS INFORMACIÓN. Actividades de formación.

Las actividades de formación son especialmente importantes como apoyo al mantenimiento una adecuada culturaII.7.2.3 corporativa. Véanse comentarios y los ejemplos al de respecto en el apartado Formación, Formación , delos este libro. • La funci  función ón de compliance  compliance también se preocupará de que se establezcan indicadores con los que medir el  desempeño de las diferentes actividades en el contexto del  sistema de ggestión estión. No se configura como una obligación directa, en tanto en cuanto son actividades que pueden desarrollarse por otras áreas, departamentos o funciones.

EJEMPLO. Algunas actividades de formación.

Es posiblepero que de algunas de formación, normalmente sobre cuestiones técnicas, algúnactividades modo vinculadas con el compliance compliance, , sean desarrolladas por equipos en otras áreas de la organización organización.. En tales casos, al conocer su criticidad, la función de  de  compliance compliance velará  velará por que quienes las impulsan, fijen indicadores para medir su ejecución y aprovechamiento, aprovechamiento, siguiendo  siguiendo entonces  entonces los resultados que arrojen.

MÁS INFORMACIÓN. Indicadores e informes de compliance.

En relación con el desarrollo de indicadores y indicadores y su plasmación en los informes de compliance compliance,, véanse los comentarios y los ejemplos en los apartados II.9.1.3 Desarrollo de indicadores, indicadores, II.9.1.4 Informes de compliance y compliance y II.9.3 Revisión por la dirección, dirección, todos de este libro.

 Aspectos que incumben a la organización Existe una serie de elementos clave para dotar a la  función de   compliance  compliance de la operatividad necesaria. Son aspectos que corresponde proveer a la  organización, si bien su ejercicio por parte de dicha función está sujeto a los principios que informan el estándar ISO 37301:2021, en especial, el de responsabilidad 162.

relación con este particular, véanse los comentarios en el apartado I.6.1.5  Principio  ponsabilidad  ponsabilid ad, de este libro. 162 En

de res-

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   205

Corresponde a la organización: • Que la funció  funciónn de compliance  compliance disponga de la capacidad de informar y participar en las instancias y posiciones senior  que  que tengan atribuidas facultades deliberatorias o incluso, decisorias, pudiendo así prestar asesoramiento y actuar de manera preventiva.

 A CONSIDERAR. Participación en otros foros decisorios.

En el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro, se comenta la importancia de que dicha función tenga acceso directo y fluido con las instancias de gestión social. Sin embargo, el apartado II.5.3.2 Función de  de compliance compliance va  va más allá y exige que la organización organización asegure  asegure su acceso a las instancias senior  instancias  senior   de decisión, lo cual incluye, pero no se circunscribe necesariamente al órgano de gobierno y gobierno y a la alta dirección. dirección. EJEMPLO. Foros internos de debate y decisión.

Comités de inversiones, comités de gobernanza de producto (que valoran y siguen la secuencia que transcurre desde su creación hasta su comercialización), comités de investigación, comités de prospección de mercados y expansión, comités de ciberseguridad, etc. • Que la función de compliance  compliance pueda acceder a todos los niveles de la organizaci  organización ón, tanto desde una perspectiva funcional como geográfica.

 A CONSIDERAR. CONSIDERAR. La movilidad de la función de compliance. En organizaciones organizaciones grandes,  grandes, especialmente con múltiples emplazamientos físicos incluso en diferentes países, es importante que la función de  de compliance compliance   disponga de la capacidad para desplazarse y acceder de diferentes perfiles de personas. Es uno de los factores de autonomía, junto con otros que se han comentado como ejemplos en el apartado II.5.1.3 Gobernanza del compliance, compliance, de este libro.

Las diferencias culturales dificultan el asentamiento de una cultura común que ayude a observar correctamente los valores de la organización organización,, así como de las políticas y políticas  y procedimientos procedimientos que  que se derivan de ellos. La capacidad para realizar visitas y entrevistarse con personas de diferentes rangos y ocupaciones ayuda a

contrastar uniformidad y puede la consistencia su entendimiento aplicación. El presupuestolade compliance puede compliance contemplarenpartidas dedicadas ay ejecutar visitas o comprobaciones in situ de situ de forma planificada. Véanse también los comentarios y los ejemplos al respecto en el apartado II.7.1 Recursos Recursos,, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

206

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 función ión de  complianc  comp liancee tenga acceso al  pers  personal onal y documentación que • Que la  func precise con motivo de sus competencias. Aunque afecta a la organización en su conjunto, dar  eficacia a este requisito es algo que incumbe especialmente a las altas instancias de gestión social, según se establece en el apartado 5.1.1 Órgano  de gobierno y alta dirección.  A CONSIDERAR. CONSIDERAR. Acceso a todo el personal.

Es interesante subrayar que este apartado precisa que la organización organización brinde  brinde a la función de  de compliance compliance acceso  acceso al personal personal,, concepto que, como se ha explicado (en relación con la amplitud del concepto de personal personal,, véanse los comentarios recogidos en el apartado II.3.22 Personal Personal,, de este libro), tiene una notable amplitud. Por tanto, no se está circunscribiendo su actuación a la l a dirección o a los mandos, sino al conjunto de personal personal.. Normalmente, las solicitudes de información y documentación se canalizarán a través de los diferentes responsables. Pero el estándar ISO 37301:2021 abre la posibilidad de dirigirse a cualquier sujeto encuadrable como personal personal si,  si, por ejemplo, se sospecha que sus superiores obstruirán librar informaciones o documentos. MÁS INFORMACIÓN. Acceso a personas, informaciones y documentos.

En relación con el acceso de la función de  de compliance compliance a  a las personas, informaciones y documentos que precise con motivo del ejercicio de sus competencias, véanse también los cometarios cometari os y ejemplos que se recogen en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección , de este libro.

 función ión de compliance  compliance asesoramiento sobre el marco normativo, • Que se se brinde a la func las regulaciones y los estándares. Se trata de que pueda conocer e interpretar  compliance que derivan del mismo. correctamente las obligaciones de compliance EJEMPLO. Procurar asesoramiento interno y externo. Considerando el volumen y la complejidad normativa, disponer de un buen asesoramiento acerca de las obligaciones de compliance es compliance es clave para darles correcto cumplimiento. A tales efectos, el estándar ISO 37301:2021 plantea abiertamente esta actividad que, tanto puede canalizarse interna como externamente, o mediante una combinación de ambas opciones.

El asesoramiento internoalprocederá instancias de dentro de la de  propia organi-   zación  zación, , Como se explicó abordar ladeinteracción la función de  compliance compliance  con los grupos de interés interno en el apartado II.4.2 Comprensión de las necesidades y expectativas de las partes interesadas, interesadas , de este libro. En particular, el soporte por parte de la Asesoría Jurídica interna puede ser clave, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   207

especialmente cuando el perfil de las personas que ocupan posiciones de compliance no compliance  no es jurídico. Con independencia de lo l o anterior anterior,, la organización organización también  también debe procurar asesoramiento externo a la función la función de compliance. compliance. MÁS INFORMACIÓN. Recursos.

Sobre el asesoramiento interno o externo como partida a contemplar en el presupuesto de compliance compliance,, véanse las explicaciones y los ejemplos comprendidos en el apartado II.7.1 Recursos Recursos,, de este libro.

II.5.3.3. Dirección La dirección (“ man ”) no es un término definido en el estándar ISO 37301:2021,  manage agemen ment t ”) como tampoco en los precedentes163. Sin embargo, es un concepto que se utiliza en ellos (directivos relevantes o “ relevant management ”) ”) para referirse a los cargos dotados de capacidad de mando, subordinados al  órgano de gobierno y a la  alta dirección.  No obstante, el apartado 9.3 Revisión por la dirección hace un uso más amplio de este término no definido, incluyendo a los efectos de su estipulación al órgano de gobierno  y a la alta dirección. Este apartado es una reformulación y resumen del antiguo apartado 5.3.5  Respon sabilidades  sabili dades de la direc dirección ción del estándar previo ISO 19600:2014. Hace referencia a comportamientos que afectan a la dirección, siempre dentro del contexto de los roles que tenga encomendada en cada caso concreto: • Se espera de la dirección que no solo coopere con la función de compliance  compliance, sino que también anime a hacerlo al resto del personal. Es más, también que asegure que el personal a su cargo164 observe las obligaciones de compliance  compliance que le afectan, así como las políticas, los procesos y los procedimientos establecidos con tal fin por la  organización. En cualquier caso, participará activamente en la resolución de

término "Dirección" ( Management ) no forma parte de la HLS y no está definido en los estándares ISO 19600:2014 ni ISO 37001:2016. Sin embargo, ambos se refieren ocasionalmente al “ management ”. ”. Además, el estándar ISO 19600:2014 disponía del apartado 5.3.5 Responsabilidades  de la dirección direcc ión, equivalente al analizado en este apartado respecto al estándar ISO 37301:2021. 163 El

164 Lógicamente,

esta referencia al  personal  a su cargo conlleva que la propia Dirección observe las obligaciones de compliance  que le afectan, así como las  políticas , los procesos  y los procedimiento  procedimientoss establecidos para ello por la organización . En cualquier caso, es también una obligación que le viene dada por el carácter general de lo dispuesto en el apartado 5.3.4  Personal, que aplica al amplio conjunto que cubre este término definido. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

208

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 compliancee cuando así sea requerida. Esto incluye incidentes y cuestiones de  complianc también participar en  accion  acciones es correc correctivas tivas (eventual diseño e implementación práctica). • En sus labores diarias, procurará identificar los  riesgos de  compliance  compliance  relativos a las operaciones en las que interviene, comunicándolos a las instancias que  compliance. correspondan, incluida obviamente a la función de compliance • Procurará integrar las obligaciones de  compliance  compliance dentro de las propias prácticas operativas de la organización que afecten a su ámbito de actuación, de manera que se facilite su cumplimiento.

MÁS INFORMACIÓN. Integración de los requisitos de compliance.

En el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, de este libro, se explica que corresponde a dichas instancias procurar la integración de los requisitos requisitos   de compliance compliance dentro  dentro de los procesos procesos ordinarios  ordinarios de negocio. Es una labor que concierne a las máximas instancias de gestión social, soci al, pero por la que debe velar la función de  de compliance compliance,, según se ilustra con ejemplos en el título t ítulo “ Actividades que involucran indirectamente a la función de compliance” compliance” del apartado II.5.3.2 Función de compliance, compliance, de este libro. La dirección debe coadyuvar a dicha intei ntegración, formando parte de sus obligaciones. • Atenderá a los ciclos de formación sobre sobre complia  compliance nce y dará soporte a los mismos. Procurará, Procurará, además, que q ue el  personal a su cargo esté al corriente de las  obligacio nes de  compliance compliance que les afectan y les tutelará para que completen las acciones formativas que mejoren su nivel de competencia y cubran los  req  requisi uisitos tos  de capacitación precisos.

 A CONSIDERAR. CONSIDERAR. La formación como necesidad.

La formación en materia de compliance compliance no  no es una opción, sino una necesidad. De hecho, como se señala en el apartado II.5.3.4 Personal Personal,, de este libro, la asistencia debería ser obligatoria normalmente para el colectivo que sea requerido a ello. Como igualmente se explica con ejemplos en el apartado II.7.2.3 Formación Formación,, de este libro, la falta de formación equivale a una deficiente capacitación para

abordar los riesgos riesgos d  dee compliance compliance.. Por consiguiente, atender a los ciclos de formación e impulsar que también lo hagan los equipos a su cargo es una labor indispensable de la dirección.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   209

EN BUSCA DE LA EXCELENCIA. El liderazgo desde el ejemplo en la formación.

La no solo atiende a la formación e incentiva queEsotros lo que hagan, sinodirección que también puede participar activamente en estospara ciclos. sabido los mensajes de compliance compliance,, emitidos por personal personal no  no adscrito a la función, pueden causar un mayor impacto en los destinatarios por diferentes razones: proximidad, legitimidad, lenguaje lenguaj e empleado, etc. Por consiguiente, que la dirección asuma un rol participativo en los ciclos de formación de compliance compliance añade  añade valor y frescura a esta actividad. Sin perjuicio de lo anterior y considerando la diversidad y complejidad normativa, suele aconsejarse que esta actividad sea supervisada por la función de  de compliance compliance,, previniendo mensajes confusos o, simplemente, desacertados.

MÁS INFORMACIÓN. Formación. En cuanto a la obligación del personal personal de  de participar en los ciclos de formación, véanse las explicaciones del apartado II.5.3.4 Personal Personal,, de este libro. Acerca de las actividades formativas, formativ as, véanse las explicaciones y los ejemplos que se recogen en el apartado II.7.2.3 Formación Formación,, de este libro. • Alentará a las personas a su cargo cargo a comunicar inquietudes, inquietudes, dándoles el apoyo que precisen y evitando que sean objeto de represalias por ello.

MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.

Los canales para eltradicionales planteamiento de inquietudes pueden ser diversos, incluyendo mecanismos y también, medios informáticos. Normalmente, las organizaciones organizaciones utilizan  utilizan diferentes canales de comunicación interna de forma simultánea, a efectos de favorecer el traslado de dudas, inquietudes o denuncias. En relación con esta materia, véanse las explicaciones y los ejemplos que se recogen en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

210

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

II.5.3.4. Personal Este apartado es prácticamente coincidente con el apartado 5.3.6  Responsabilidad de  del antiguo estándar ISO 19600:2014. Se tratan aspectos que afectan a  los empleados todo sujeto encuadrable bajo la definición de personal que, no olvidemos, abarca cualquier tipo de relación contractual que qu e lo haga dependiente de la organización (véase el apartado II.3.22 Personal  Personal, de este libro). Visto así, las materias de este apartado aplican igualmente al órgano de gobierno, a la alta dirección y a la dirección, así como al resto de personas integradas en la organización, incluida la propia  función de  compliance  compliance: • Además de adherirse a las obl  obligac igacione ioness de complia  compliance nce que afectan a la orga  organiza nización ción, el  personall debe también hacerlo respecto a las pol  persona  políti íticas cas, los pro  proceso cesoss y los proc  procedim edimient ientos os  establecidos al efecto165. Esto supone comprometerse a seguir unos parámetros legales y éticos que no son abstractos, sino que derivan de este marco.

MÁS INFORMACIÓN. Declaraciones periódicas de conformidad. El proceso proceso de  de adhesión a las políticas políticas de  de compliance compliance se  se encuadra dentro de los procedimientos periódicos procedimientos  periódicos de declaración de conformidad, que se explican con ejemplos bajo el título “Materias “Materias relacionadas con su custodia y comunicación” comunicación ” dentro del apartado II.5.2 Polític Políticaa de compliance compliance,, de este libro.

 A CONSIDERAR. CONSIDERAR. Niveles de conformidad.

En relación con los procesos procesos de  de declaración de conformidad dirigidos al personal,, pueden plantearse varios alcances progresivos, a evaluar dependiendo del nal marco jurídico de aplicación. • Que las políticas políticas (expresamente  (expresamente indicadas) han sido puestas a su disposición. • Que las políticas políticas (expresamente  (expresamente indicadas) han sido puestas a su disposición y se ha adquirido conocimiento de su contenido. • Que las políticas políticas (expresamente  (expresamente indicadas) han sido puestas a su disposición, se ha adquirido conocimiento de su contenido y se está de acuerdo con él, manifestando que se ha cumplido con el mismo y comprometiéndose a continuar haciéndolo.

165 Esta

mención es nueva en ISO 37301:2021, en la medida que en el estándar ISO 19600:2014

solo se hacía referencia a la adhesión a las   . No obstante, el antiguo texto  compliance incluía un apartado, ahora desaparecido,  obligaciones que atribuíade como responsabilidad de los empleados de hacer uso de los recursos accesibles en el contexto del  sistema de gestión  de  compliance . Dentro de esos recursos cabía entender las  polít  políticas icas , los  proces  procesos os y los  proce  procedimie dimientos ntos  encuadrados en dicho  sistema de gestión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.5 Liderazgo   211

• Que las políticas políticas (expresamente  (expresamente indicadas) han sido puestas a su disposición, se ha adquirido conocimiento de su contenido, se está de acuerdo con él, manifestando que se ha cumplido con el mismo y comprometiéndose a continuar haciéndolo también, manifestando aeltravés compromiso de comunicar infracciones de las yque tenga conocimiento de los canales internos las de comunicación establecidos al efecto. • Comunicar inquietudes en materia de  com  complia pliance nce  o irregularidades. Es un compromiso para la utilización de los  procesos a que se refiere el apartado 8.3  Planteamiento de inquietudes.

MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.

 Acerca de las cara  Acerca caracter cterístic ísticas as y los ejem ejemplos plos sobre los cana canales les para el plan planteam teamient ientoo de inquietudes, incluido el eventual estatuto de protección al denunciante de buena fe que enmarca la Directiva Europea 2019/1937 del Parlamento EuEu ropeo y del Consejo, véase el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro.  A CONSIDERAR. CONSIDERAR. Canales abiertos a terceras partes.

Los canales abiertos a terceras partes, partes, esto es, aquellos que permiten cursar comunicaciones, no solo del personal personal,, sino también, de terceros terceros,, son especialmente eficaces para la gestión de compliance compliance.. Una parte notable de comunicaciones extremadamente detalladas de irregularidades procede de exempleados o incluso, de competidores, circunstancia que contribuye a su rápida investigación y conclusión. • El  personal  debe también participar en las actividades de formación que le afecten, que seguirán los parámetros establecidos en el apartado 7.2.3  For mación  maci ón.

MÁS INFORMACIÓN. Formación del personal.

Sobre las modalidades formativas, véanse las explicaciones y los ejemplos que figuran en el apartado II.7.2.3 Formación Formación,, de este libro.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.6

Planificación

Propósito de este capítulo  compliance ce no es simplemente un resultado, El estándar ISO 37301:2021 enfatiza que complian sino un  proceso. Así se refleja tanto en su  Introducción como en la propia definición 3.26 Compliance/Cumplimiento. En términos de buen gobierno, el cumplimiento de  compliance no debe ser casual, sino obedecer a una voluntad delibelas obligaciones de compliance rada de hacerlo. Para Para trascender de meras manifestaciones programáticas se precisa planificar las actividades necesarias para conseguirlo. Es a través de su planificación y posterior ejecución donde la organización refleja su voluntad y plena conciencia de observar las obligaciones de  compliance que le afectan.

Evolución respecto a ISO 19600:2014 Este capítulo aborda dichas actividades esenciales a través de dos apartados, coincidentes con las ya presentes en el estándar previo ISO 19600:2014.

II.6.1. Acciones para abordar los riesgos y

oportunidades  A diferencia diferencia del antiguo antiguo estándar ISO 19600:2014, cuyo título se circunscribía circunscribía a las acciones para “afrontar riegos”, el actual apartado 6.1 Acciones para abordar los riesgos y  oportu  opo rtunid nidade adess del estándar ISO 37301:2021 incluye también el término “oportunidades “oportunidades”, ”, Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

213

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

214

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

subrayando así que las labores de gestión de  riesgos entrañan siempre la posibilidad de mejorar el sistema de gestión, en línea con lo que postula el capítulo 10 Mejora. En general, las actividades planificadas deben ser acordes con las necesidades que derivan de las circunstancias internas y externas de la  organización, así como de los  requisitos que puedan provenir de las partes interesadas (en relación con los colectivos que integran el concepto de “ partes interesad interesadas as” y sus requisit  requisitos os, véase el apartado II.3.2   Parte  Parte interesada, dedicado a tal definición, de este libro). Como se ha explicado en el apartado I.6.1.2 Principio de proporcionalidad, de este libro, libro, estos elementos tienen un fuerte impacto a la hora de aplicar razonablemente el principio de proporcionalidad. Evaluar la armonía del  sistema de gestión  –en general–, así como la naturaleza y la extensión de sus actividades planificadas pl anificadas precisa revisitar los resultados de lo exigido en los apartados 4.1 Comprensión de la organización y de su contexto y 4.2 Comprensión . Solo teniendo estos factores en  de las necesidades y expectativas de las partes interesadas consideración, la  organización  puede confiar en la adecuación del  sistema de ge gestión stión 

 compliance que le afectan, detectando a de compliance para satisfacer las obligaciones de compliance tiempo no conformidades y no cumplimientos de compliance   compliance, previniendo o reduciendo sus consecuencias y mejorando continuamente.  Además del anterior anter ior marco interpretativ interp retativo o general, genera l, este apartado apart ado detalla detal la aspectos aspec tos concretos a considerar a la hora de planificar las actividades propias del  sistema de  gestión de compliance: • Las actividades planificadas deben guardar guardar relación con los  objeti  objetivos vos de  comtratan en el, de apartado siguiente II.6.2 Objetivos  pliance , que de compliance y   planificaci  planificación ón se para lograrlos este libro. Debe concurrir una correlación obv iay  obvia  objetivos tivos  pretendidos y la idoneidad de las actividades planificadas entre los  obje para lograrlos.

MÁS INFORMACIÓN. Actividades planificadas y enfoque basado en el riesgo.

 Aunque una parte de las actividades planificadas pueden ser de índole general y no responder a una necesidad concreta (la formación recurrente acerca del código ético o de conducta, a pesar de que no se hayan observado vulneraciones a su contenido), otra parte sí que debería estar enfocada a disminuir el nivel

de exposición a los riesgos riesgos   de de   compliance compliance que  que amenacen a la organización organización.. Sobre este particular, particular, véanse las explicaciones y llos os ejemplos que se inclu incluyen yen en el capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión y gestión y I.6.2.2 Enfoque basado en el riesgo, riesgo, ambos de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.6 Planificación

  215

 obliga igacio ciones nes de compli  complianc ancee iden• Las actividades planificadas guardan guardan relaci relación ón con las obl tificadas de acuerdo con el apartado 4.5 Obligaciones de complian  compliance ce. Aunque parece  requisito isito subraya la relación entre las actividades planificadas y una obviedad, este requ el core del comp    complian liance ce, esto es, atender las obli  obligacio gaciones nes de comp  complian liance ce: las primeras se proyectan sobre las segundas, siendo colateral cualquier otra cobertura adicional. EJEMPLO. Planificación de actividades no directamente relacionadas con compliance.

Un  sistema de gestión Un sistema gestión de  de compliance compliance puede  puede utilizarse para cubrir otras necesidades adicionales que no guarden estricta relación con las obligaciones las obligaciones de  de  compliance.. Sin embargo, esto no le debe restar foco ni recursos para el núcleo compliance de actividades que contempla el estándar ISO 37301:2021. Así, por ejemplo, se pueden planificar actividades para la prevención, detección y reacción ante otros riesgos distintos riesgos  distintos de los de compliance compliance (invertir  (invertir en productos financieros, detectar el internopor o evitar el lanzamiento de productos o serviciosson sinmás aceptación enfraude el mercado, ejemplo). Aunque estas y otras actividades propias de otros modelos de supervisión y control, eventualmente pueden hallarse en la órbita del sistema del  sistema de gestión gestión de  de compliance compliance por  por motivos puntuales de conveniencia. La planificación y el desarrollo de dichas actividades no pueden mermar los esfuerzos en compliance compliance ni  ni servir de excusa para justificar una supervisión deficiente de sus cometidos fundamentales. • Las actividades planificadas planificadas también guardan relación relación con el resultado de la evaluación de riesgos indicada en el apartado 4.6 Evaluación de los riesgos de com pliance. Puesto que el sistema de gestión de compliance sigue un enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro), tanto los objetivos de compliance como la planificación de actividades a desarrollar se ven fuertemente condicionadas por los resultados de la evaluación de  riesgos. No se comprenderá el establecimiento de objetivos ni la planificación de actividades disociadas del resultado de dicho ejercicio, en el sentido de que no sean apropiadas para disminuir el nivel de exposición de la  organización.

MÁS INFORMACIÓN. Actividades planificadas y evaluación de riesgos de compliance.

Puesto que el sistema el sistema de gestión de gestión de compliance compliance sigue  sigue un enfoque basado en el riesgo,, según se explica en el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo riesgo, de este libro, reviste una importancia capital, no solo la adecuación de la evaluación

de riesgos, riesgos , explicada y comentada conlibro, ejemplos encoherencia el apartadodeII.4.6 Evaluación de los riesgos de compliance, compliance , de este sino la las actividades planificadas con el resultado de dicho ejercicio, contribuyendo a disminuir el riesgo riesgo   residual de la organización organización.. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

216

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

De acuerdo con lo anterior, la  organización establecerá las actividades a planificar,, viendo cómo incorporarlas en los procesos del sistema de gestión y el modo ficar de medir su eficacia.

MÁS INFORMACIÓN. Integración de los requisitos de compliance en los  procesos ordinarios de la organización.

Sobre la integración de los requisitos requisitos de  de compliance compliance como  como parte de los procesos procesos y  y procedimientos habituales de negocio, véanse las explicaciones en el apartado II.5.1.1 Órgano de gobierno y alta dirección, dirección, así como los comentarios y el ejemplo que figura en el apartado II.5.3.2 Función de  de compliance compliance.. Véanse igualmente las explicaciones del apartado II.8.1 Planificación y control operacional, operacional, todos de este libro. MÁS INFORMACIÓN. Medición de eficacia e informes de compliance.

 Acerca establecimiento nto ddee in indicadores dicadores la eevaluación valuación ydel desempeño del  del  sistemadel de establecimie gestión gestión de  de compliance compliance, , véansepara las explicaciones losdesempeño ejemplos que se recogen en el apartado II.9.1.3 Desarrollo de indicadores, indicadores, de este libro. En relación con la traslación de su resultado en los informes i nformes de compliance compliance,, véanse las explicaciones y los ejemplos que figuran en el apartado II.9.1.4 Informes de compliance,, también de este libro. compliance

II.6.2. Objetivos de compliance y planificación para lograrlos Para progresar, las organiz  organizaciones aciones se fijan objetiv  objetivos os en diferentes esferas y la de compli  compliance ance  no es una excepción. Del mismo modo que existen objetivos para la generación de ingresos (planes comerciales, de expansión, etc.), también cabe establecer los objeti vos de compliance. Este paralelismo ayuda a comprender su correcto planteamiento y utilidad, como se explica a continuación. Los objetivos de  compliance no son una formulación ambigua, sino una concreción del marco previamente establecido por la organización a través de su política de  com pliance, como bien se deduce del apartado 5.2  Política  Política de compliance (en relación a la política de compliance como marco de referencia referencia para el establecimiento de objetivos,  Política de compliance, de este libro). Del mismo modo que los  véase el apartado II.5.2 Política lo s

 objetivos comerciales “vender más” o “vender mejor” resultan excesivamente vagos, los objetivos de compliance tales como la “tolerancia cero a los no cumplimientos cumplimientos de com com pliance” y “mejora de la l a cultura ética y del respeto a las normas”, resultan igualmente imprecisos. Pueden conformar un marco razonable de refere referencia ncia para determinarlos después (el primer requisito y más obvio es que los objetivos están alineados con Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.6 Planificación

  217

el marco que determina la política de  compliance), pero difícilmente reunirán todos los requisitos exigidos en este apartado: que sean medibles (cuando sea posible), que tomen en consideración los  requisitos que afectan a la  organización, que puedan ser objeto de seguimiento, que puedan ser comunicados y eventualmente actualizados.

EJEMPLO. Marco de determinación de objetivos y objetivos concretos.

El marco estratégico “vender más” dará lugar a objetivos objetivos potencialmente  potencialmente distribuidos en diferentes funciones y niveles. Así, al equipo comercial se le puede transmitir “vender más artículos de esta categoría en estas geografías”, mientras que al equipo de marketing marketing se  se le trasladará “desarrollar campañas específicas sobre tales productos con especial intensidad en estas geografías” y así sucesivamente en las diferentes áreas de la organización organización.. En compliance compliance procede  procede desarrollar un planteamiento análogo, con una capilaridad equivalente. Del modo que los objetivos  comerciales sino que  compliance. Como a unamismo estrategia circunstancial, tampoco lo sonnolosson decaprichosos, se obedecen explicaba respecto al apartado anterior anterio r, la determinación de objetivos es una actividad planificada que tiene en consideración: (i)

 políticaa Lo exigido por el marco general para su fijación que contempla la polític de compliance.

 obligacione cioness de  compliance  compli ance y los  ries  riesgos gos –de  no (ii) Otros factores como las  obliga  conformidad  confo rmidad es y  no cumplimi cumplimientos entos de  compliance  complia nce– aparejados con ellas. Siguiendo un enfoque basado en el  rie  riesgo sgo (véase el apartado I.6.2.2  I.6.2.2   Enfoque basado en el riesgo, de este libro), los objetivos deberían procurar la disminución del nivel de exposición a los  riesgos de  compliance  compliance de la  organización, pero no de una manera arbitraria, sino coherente con los resultados del ejercicio de evaluación de  riesgos. Puesto que el ejercicio de evaluación de rie  riesgos sgos debe desarrollarse periódicamente, también la fijación de objetivos para reducirlos. Del mismo modo que los objetivos comerciales evolucionan según las circunstancias y, por eso, no son siempre los mismos; igual sucede con los de compliance, según varían el contexto de la organización o sus riesgos.   A diferencia de la  política de  compliance y otras  políticas de alto nivel, que procuran una estabilidad espaciotemporal (en relación con la estabilidad espaciotemporal de ciertos documentos, véase el apartado II.5.2  Política  Política de compliance, de este libro), la fijación y documentación de objetivos de compliance opera de manera circunstancial, adaptándose así a las necesidades de cada ámbito y momento.

Dependiendo de su naturaleza, los  objet  objetivos ivos  de compliance pueden ser estratégicos o tácticos u operativos. Esta distinción permite aumentar su nivel de concreción, ayudando a planificar actividades y establecer indicadores para su  seguimie  seguimiento nto y la  medición de su eficacia. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

218

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

EJEMPLO. Marco de objetivos de compliance en la política de compliance.

Como se explica en el apartado II.5.2 Política de  de compliance compliance,, de este libro, la política política de  de compliance compliance incorpora  incorpora el marco para constituye la determinación de los objetivos objetivos  de compliance compliance. . De este modo, dicha política constituye política un documento dotado  de estabilidad espaciotemporal (en relación con la estabilidad espaciotemporal de ciertos documentos, véase el apartado II.5.2 Política de  de compliance compliance,, de este libro), mientras que el ejercicio de fijación de objetivos objetivos será  será circunstancial, esto es, vendrá condicionado por las necesidades variables que se manifiestan del ejercicio periódico de evaluación de los riesgos riesgos de  de compliance compliance..  V  Veamos eamos algunas declaraciones de valores susceptibles de constituir un marco de fijación de objetivos objetivos:: • Tolerancia cero a los no cumplimientos de  de compliance compliance.. • Mantenimiento de una cultura ética y de respeto a las normas. • Incremento de los umbrales de exigencia de la organización organización en  en materia de compliance,, por encima de los mínimos exigidos por la normativa de aplicación. compliance • Colaboración activa con las partes interesadas, interesadas, incluidas expresamente las autoridades, en materia de compliance compliance.. Liderazgo e impulso en este ámbito. • Traslado a las comunidades de los valores de compliance compliance,, para su difusión incluso fuera de la organización organización.. La política política de  de compliance compliance la  la aprueba el órgano de gobierno y gobierno y la alta dirección, dirección, lo que significa que tiene una marcada naturaleza estratégica.

EJEMPLO. Objetivos estratégicos de compliance, dentro del marco fijado en la política de compliance.

Imaginemos que el ejercicio de evaluación de los riesgos riesgos de  de compliance compliance de  de una organización muestra organización  muestra un nivel de riesgo riesgo elevado  elevado en cuanto a las operaciones que se llevan a cabo en determinada jurisdicción, por la posibilidad de infringir normas sobre defensa de la competencia. Esta situación sit uación amenaza el marco general fijado en la política de compliance compliance,, que establece tolerancia cero a los no cumplimientos de  de compliance compliance.. Derivado de lo anterior anterior,, entre los objetivos objetivos “estratégicos”  “estratégicos” de compliance compliance corres correspondientes a ese periodo (el ejercicio social, por ejemplo), se contará reducir el

nivel de exposición a esos potenciales no cumplimientos de  de  compliance compliance en  en las operaciones que se llevan a cabo en la jurisdicción bajo sospecha, en materia específica de defensa de la competencia. Esto no significa que este objetivo objetivo vaya  vaya a trasladarse a la política de  de compliance compliance,, pues se agotará una vez ejecutadas exitosamente las actividades para su mitigaEste documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.6 Planificación

  219

ción. Constará en el documento de objetivos objetivos del  del periodo y se mantendrá en él y en los siguientes mientras no se haya cubierto satisfactoriamente. Tampoco significa que no puedan establecerse otros objetivos objetivos igualmente  igualmente estratégicos, no vinculados necesariamente con los resultados del ejercicio de evaluación de riesgos riesgos de  de compliance compliance.. Así, por ejemplo, puede también contemplarse la reducción del nivel de exposición a esos mismos no cumplimientos de  de  compliance en compliance  en todas las jurisdicciones donde opera la organización organización.. Pero lo que verdaderamente permite operar al modelo de compliance compliance en  en clave sistémica es su capacidad para proyectarse en lo más relevante para ella, siguiendo un enfoque basado en el riesgo riesgo (véanse  (véanse el apartado I.6.2.2 Enfoque basado en el riesgo,, de este libro). riesgo EJEMPLO. Objetivos estratégicos de compliance, concretados en objetivos tácticos u operativos.

Siguiendo con el ejemplo anterior, el objetivo objetivo estratégico  estratégico derivará en objetivos objetivos   tácticos u operativos, a pequeña escala. Por ejemplo: • Impartir formación ad hoc en hoc en materia de defensa de la competencia al personal personal   directivo y a los mandos comerciales en la jurisdicción bajo sospecha. • Desarrollar actividades de concienciación sobre defensa de la competencia, especialmente enfocadas al colectivo comercial en general. • Asignar responsabilidades locales específicas en materia de seguimiento de  seguimiento del  del nivel de desarrollo y éxito de las medidas de formación y concienciación sobre defensa de la competencia. • en Realizar averiguaciones situcompetencia.  sobre el nivel de cumplimiento de la normativa materia de defensa dein lasitu sobre • Mejorar el asesoramiento jurídico jur ídico local en materia de defensa de la competencia.  Vemos que de un solo objetivo  Vemos objetivo estratégico  estratégico han derivado cinco objetivos objetivos tácticos.  tácticos.  A contin continuación, uación, se explica cómo se traduce traducenn eenn aactivid ctividades ades planif planificadas icadas que permitirán establecer indicadores de seguimiento de seguimiento y  y condicionarán el presupuesto de compliance compliance.. EJEMPLO. Transformación de objetivos en actividades planificadas y gestión presupuestaria.

 A cont continua inuación ción,, se verán los objetivos objetivos tácticos  tácticos transformados en actividades concretas, que forman parte de la planificación del ejercicio: • Selección y contratación de formadores locales y recursos de formación online online.. Diseño de los ciclos de formación ad hoc y hoc y su ejecución. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

220

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

• Selección y contratación de un proveedor con experiencia en el desarrollo de material de concienciación sobre la base de los contenidos formativos for mativos previamente diseñados. Ejecución de las campañas en forma de cartelería, vídeos en lugares comunes de descanso en la organización organización y  y material ad hoc ( hoc (flyers flyers,, fichas e incluso, merchandising merchandising).). • Identificación y designación formal del responsable de realizar un seguimiento de las acciones anteriores, valoración de su nivel de seguimiento de seguimiento y  y aprovechamiento e información sobre ello a la función de  de  compliance compliance.. Comunicación formal de la asignación de ese rol al personal personal local,  local, mediante carta del presidente otorgando importancia a la materia y al nombramiento. • Desarrollo un simulacro de “dawn “ dawn raid” raid” en las oficinas sitas en la jurisdicción bajo sospecha. Conexión de una plataforma informática de investigación forense a los equipos locales en búsqueda de términos sospechosos. Selección y contratación de un proveedor externo a tales efectos, ejecutando el servicio. • Selección y contratación de una firma jurídica jurí dica de prestigio para prestar asease soramiento de la calidad a la dirección local en materia de defensa de la competencia. En relación con cada actividad planificada se precisará prever los recursos que se precisan (internos y externos) para su ejecución y fijar indicadores de seguimiento.

 A CONSIDERAR. CONSIDERAR. Desarrollo de indicad indicadores. ores.

Para medir  el   el nivel de eficacia eficacia de  de las actividades acordadas para cubrir los objetivos de objetivos  de compliance compliance (tanto  (tanto generales como vinculados con los resultados del ejercicio de evaluación de riesgos riesgos   de compliance compliance),), procede desarrollar indicadores. El estándar ISO 37301:2021, en su anexo A.9.1.3 Desarrollo de indicadores, indicadores, ofrece diferentes ejemplos y distingue entre indicadores de actividad, reactivos y predictivos. Sobre esta materia y clasificación, clasifi cación, véanse las explicaciones y los ejemplos que contiene el apartado II.9.1.3 Desarrollo de indicadores,, de este libro. indicadores

 A CONSIDERAR. CONSIDERAR. Disminución del riesgo de compliance.

El ejemplo aanterior cómo una el conjunto de objetivos objetivos de  de compliance compliance no  no solo contribuye generarilustra y mantener cultura ética y de respecto a las normas, sino que disminuyen el riesgo riesgo residual  residual que expone a la organización organización.. No son objetivos objetivos   de naturaleza general o abstracta, sino con un motivo y orientación concretos. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.6 Planificación

  221

 A CONSIDERAR. CONSIDERAR. A efect efectos os de certificac certificación, ión, los requisitos ISO 37301:2021 no constituyen objetivos.

La obtención de una declaración de conformidad respecto a lostodos requisitos exirequisitos  exigidos por el estándar ISO 37301:2021 precisa que se hallen presentes en el modelo evaluado. Carencias en alguno de sus requisitos requisitos pueden  pueden impedir la emisión de una certificación por parte de un tercero independiente, aunque existan medidas previstas para cubrirlas en forma de objetivos objetivos.. Así, por ejemplo, la ausencia de una política de compliance compliance no  no puede suplirse por la existencia del objetivo “elaborar objetivo  “elaborar una política de compliance compliance”. ”. El detalle en los  objetivos de compliance: • Permite concretar concretar las actividades a planificar para alcanzarlos, señalando los hitos precisos y sus responsables, según apunta el apartado 6.1  Acciones para  abordar los riesgos y oportunidades. • Facilita el establecimiento de indicadores para medir el  desempeño de las acti vidades planificadas, no solo en cuanto a su grado de desarrollo, desarrollo, sino sino también al nivel de  eficacia conseguido, en línea con lo dispuesto en el apartado 9.1.3  Desarrollo de indicadores. • Ayuda a la gestión presupuestaria en cuanto a determinación de los recursos  que se precisarán para cubrir las actividades vinculadas con los l os objetivos fijados, conforme el apartado 7.1 Recursos. Los objetivos de  compliance constarán como información documentada (véanse los co Información   mentarios al concepto de Información documentada en el apartado II.3.10 Información  documentada  docume ntada, de este libro. También los comentarios al apartado 7.5  Inform  Información ación  documentada del estándar ISO 37301:2021, que figuran, con este mismo título, en el apartado II.7.5 Información documentada, de este libro).

II.6.3. Planificación de los cambios La introducción de cambios en el sistema de gestión de compliance se llevará a cabo de forma planificada. Para ello, no solo se definirá su propósito sino también los aspectos relacionados del diseño y efectividad del sistema, los recursos que se precisan para

introducirlos o la reasignación de responsabilidades y autoridades para ejecutarlos. Esta mecánica es aplicable a cualquier cambio que se pretenda introducir en el sistema  de gestión de compliance, incluyendo los asociados con su normal evolución (véase el apartado II.10.1 Mejora continua, de este libro). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

222

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 sistemaa de gestión, también se tenEn cuanto a los cambios que proceda introducir en el sistem drán en cuenta sus potenciales consecuencias: los requi  requisitos sitos que establecen los diferentes apartados del estándar ISO 37301:2021 se encuentran interconectados, de modo que la variación en alguno de ellos desencadenará consecuencias en otros. Por ello, antes de introducir cambios, conviene prever sus efectos sobre los  requisi  requisitos tos conexos. EJEMPLO. Reacción en cadena.

 A raíz de un incidente de compliance compliance,, una organización organización constata  constata su exposición a un riesgo de compliance que compliance que no ha sido adecuadamente identificado ni tratado tr atado en su sistema su  sistema de ggestión estión.. A partir de este hallazgo se genera una reacción en cadena, susceptible de afectar a múltiples componentes del sistema. Ve Veamos amos los más inmediatos: • Recomposición del ejercicio de evaluación de los riesgos riesgos de  de compliance compliance de  de acuerdo con eldehallazgo por tanto, de la priorización el tratamiento riesgos y riesgos  yy, medidas dereconsideración control. Es una materia tratada enen el apartado II.4.6 Evaluación de los riesgos de compliance compliance, de este libro. • Análisis e introducción de eventuales variaciones en el árbol de políticas políticas de  de compliance,, de modo que comprenda políticas compliance políticas y  y procedimientos procedimientos que  que determinen parámetros de conducta conducta adecuados  adecuados para el tratamiento del riesgo riesgo.. Es una materia tratada en el apartado II.5.2 Polític Políticaa de compliance compliance,, de este libro. • Reflexión crítica sobre los controles que se proyectan para mitigar ese riesgo riesgo,, en términos de su prevención, detección y gestión temprana. Reformulación de la matriz de riesgos riesgos y  y controles. Es una materia tratada en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. • Eventuales cambios en los objetivos objetivos de  de compliance compliance,, con las variaciones que suponen a efectos de actividades planificadas, recursos necesarios para su ejecución y diseño de indicadores para medir su nivel de consecución. Es una materia tratada en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro. • Variaciones en las actividades de seguimien de seguimiento to y  y auditoría del del sistema  sistema de gestión, gestión, de forma que brinden confort sobre el control del nuevo riesgo riesgo.. Es una materia principalmente tratada en el apartado II.9.2 II.9.2 Auditoría  Auditoría interna, interna, de este libro. • Cambio en los informes de compliance compliance,, derivados de la identificación y el  seguimiento del  seguimiento  del nuevo riesgo riesgo.. Es una materia tratada en los apartados II.9.1.4

Informes de compliance y compliance y II.9.3 Revisión por la dirección, dirección, ambos de este libro. • Modificaciones en los ciclos de formación formaci ón para que los colectivos afectados por el riesgo riesgo dispongan  dispongan de capacitación para afrontarlo y eventual lanzamiento de campañas de concienciación. Es una materia tratada en los apartados II.7.2.3 Formación y Formación  y II.7.3 Toma de conciencia, conciencia, ambos de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.6 Planificación

  223

• Comunicaciones internas y externas relacionadas con el riesgo riesgo y  y las actividades puestas en marcha relativas al mismo, incluyendo las dirigidas a las partes interesadas (que interesadas  (que comprenden a las autoridades). Es una materia tratada tr atada en el apartado II.7.4 Comunicación, Comunicación de este libro. Este ejemplo no solo ilustra la ,variedad de componentes afectados afectados por una situación sobrevenida, sino también, cómo cada uno de ellos guarda relación con los demás. No son acciones individuales, sino que deben observar una coherencia de conjunto.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR   

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7

 Apoyo

Propósito de este capítulo El correcto desarrollo de las actividades planificadas para disponer de un  sistema de  gestión acorde con el estándar ISO 37301:2021 precisa disponer de ciertos elementos clave de apoyo, sin los cuales difícilmente se alineará con el sentido de la norma. Su calificación como elementos de “apoyo” puede alimentar una imagen de accesoriedad que no se corresponde con la realidad, pues son factores fundamentales a considerar en forma de  requ  requisit isitos os. De hecho, como se infiere de la  Intro  Introducci ducción ón del estándar (véanse los apartados I.5.1  El estándar ISO 37301:2021 la cultura II.0  Introducción , de este libro), establecer o mantener unaycultura cultu ra éticadey compliance de respeto ya las normas es una finalidad trascendente del compliance, que guarda estrecha relación con las actividades tanto de formación como de toma de conciencia establecidas en este capítulo166. Por ello, el término “apoyo” que proviene de la HLS se aproxima más a su acepción de “puntal” que a la de simple “ayuda”.

finalidad trascendente de un modelo de  compliance  es el establecimiento, mantenimiento o mejora de una cultura ética étic a y de respeto a las normas. Para ello, es importante desarrollar actividades formativas y de toma de conciencia. Esta aproximación, que algunos denominan de “ integridad” se 166 La

contrapone a la aproximación clásica basada en el “ control”. Parte de considerar que los controles tienen límites inherentes que difícilmente se pueden soslayar, arrojando mejores resultados las acciones que cultivan la integridad de los sujetos. Los enfoques de las normas ISO son híbridos, pues junto con las actividades de mejora de la integridad (formación y toma de conciencia tratadas en el capítulo 7  Apoyo, por ejemplo) se reconoce la necesidad de fijar controles (en el capítulo 8 Operación, por ejemplo). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

225

Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

226

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Los elementos tratados en el capítulo 7  Apoyo del estándar ISO 37301:2021 que afianzan el sistema de gestión son: • La asignación de recursos recursos para el sistema de gestión. • Procurar las competencias de las personas de la  orga  organizac nización ión  en materia de  compliance. • Cultivar la toma toma de conciencia sobre compliance en quienes se vinculan con la  organización. • Desarrollar labores labores de comunicación en materia materia de  compliance dentro y fuera de la organización. • Mantener información documentada de los elementos clave del sistema de gestión, incluyendo, pero no limitándose a los requisitos que demanda el propio estándar.

Evolución respecto a ISO 19600:2014 Dichos aspectos se tratan en cada una de los cinco apartados en los que está dividido el capítulo 7  Apoyo del estándar ISO 37301:2021, coincidentes en esencia con los que contemplada el anterior estándar ISO 19600:2014, 1 9600:2014, pero resumidos y adaptados al nivel de concreción que precisa un MSS de tipo A (certificable).

II.7.1. Recursos El establecimiento y la implementación de un sistema de gestión de compliance precisa recursos y corresponde a la organización determinarlos y facilitarlos. El estándar ISO 37301:2021 recurre al término “recursos”, que es deliberadamente amplio, incluyendo los materiales y humanos. Cabrá prever partidas presupuestarias para cubrir el coste de las actividades planificadas, pues son importantes para la consecución con secución de los objetivos de compliance.

 A CONSIDERAR. CONSIDERAR. Partidas presupuestar presupuestarias. ias.

El concepto “recursos” es deliberadamente amplio y suele asociarse con la gestión presupuestaria. A efectos de conocer los gastos e inversiones que precisa la función de  de compliance compliance,, cabe prever tres grandes capítulos:

• Partidas dirigidas al mantenimiento ordinario del sistema del sistema de gestión. gestión. • Partidas directamente relacionadas con la ejecución de las actividades planificadas. • Partidas para gastos o inversiones imprevistas. i mprevistas. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo

 

227

EJEMPLO. Partidas para al mantenimiento ordinario del sistem  sistema a de gestió gestión n. Mantener la operatividad del sist del sistema ema de gest gestión ión precisa  precisa gastos e inversiones, como: • Revisión anual del sistema del  sistema de gestión gestión de  de compliance compliance,, incluyendo el ejercicio de reevaluación de riesgos riesgos.. • Auditoría  Auditoría interna  interna del sistema del sistema de gestión de gestión de compliance compliance.. • Asesoramiento externo recurrente en materia de compliance compliance.. gestión, si la organización organización así • Certificación del sistema del sistema de gestión,  así lo decide. • Suscripciones a bases de datos de integridad, como elemento de apoyo a los procedimientos procedimie ntos de debida diligencia. • Suscripciones a servicios de actualización normativa, jurisprudencial y doctrinal. • Diseño y desarrollo de los planes de formación general en materias de compliance, tanto online pliance, online como  como presenciales. • Formación externa recurrente para la función de  de compliance compliance.. • Otros servicios recurrentes.

EJEMPLO. Partidas específicas. objetivos d compliance variarán Las partidas específicas vinculadas con los objetivos  de e compliance  variarán según cuáles se fijen para cada periodo. Serán gastos e inversiones relacionados con las actividades para reducir riesgos riesgos concretos  concretos que exponen a la organización organización,, según el resultado del último ejercicio de evaluación llevado a cabo.  Véanse ejemplos de actividades planificadas a presupuestar presupuestar vinculadas con los objetivos de objetivos  de compliance compliance,, en las explicaciones y los ejemplos que desarrollo en el apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, de este libro.

EJEMPLO. Imprevistos. Lamentablemente, la experiencia demuestra que los gastos y las inversiones imLamentablemente, previstas son más frecuentes de lo esperado. Cuando determinados conceptos adquieren recurrencia, dejarán de ser imprevistos para constituir una partida presupuestaria de mantenimiento ordinario, dimensionada dimensionada según la traza histórica. Así, por ejemplo:

• Investigaciones. • Asesoramiento externo ad hoc, hoc, incluyendo informes específicos. • Desarrollos informáticos.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

228

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Repercusión interna de costes.

Las partidas relacionadas con la carga salarial del personal personal de  de compliance compliance,, junto con otros gastos (ocupación, en etc.), otros pueden gastos comunes, cargosa repercutidos internamente por participación otras funciones, también llegar integrarse en el presupuesto de compliance compliance..  Aunque este apartado dirige el mandato mandato a la organización, el rol del órgano de gobierno  dirección ción  es capital para su fijación y puesta a disposición. El anterior y de la  alta direc estándar ISO 19600:2014, en su apartado análogo, indicaba expresamente que la dirección, en general, debería determinar determin ar y proporcionar el despliegue de los recursos necesarios para el sistema de gestión de compliance167 . Esta referencia desaparece en este apartado del estándar ISO 37301:2021, al figurar ya contemplada como requisito en el apartado 5.3.1 Órgano de gobierno y alta dirección. Sin perjuicio de lo anterior anterio r, para la determinación de los recursos precisos cabe escuchar a la propia función de compliance  compliance, como principal conocedora de sus necesidades. Por Por otra parte, la estimación de un presupuesto no implica que dejen de cubrirse costes no presupuestados, cuando son necesarios. No en vano el apartado se titula “recursos” y no simplemente “presupuesto”.

 A CONSIDERAR. CONSIDERAR. El “tiempo” como recurso.

Entre los recursos que precisa el sistema el  sistema de gestión de gestión de compliance compliance para  para operar correctamente está el tiempo de dedicación dedicació n de las personas que integran la función de  compliance de compliance.. Aunque no es una materia que los l os textos de compliance compliance aborden  aborden explícitamente, la falta de tiempo del personal personal adscrito  adscrito a compliance compliance equivale  equivale a una carencia de recursos humanos, que es uno de los conceptos expresamente citados en el apartado A.7.1 Recursos Recursos del  del anexo A (informativo) Guía para el uso de este documento, documento, del estándar ISO 37301:2021. Los recursos destinados a  complia  compliance nce deben administrarse bajo los principios que informan el estándar ISO 37301:2021, en especial el de responsabilidad (véase el apartado I.6.1.5 Principio de responsabilidad, de este libro).

el apartado 7.1  Recur  Recursos sos  del anterior estándar ISO 19600:2014 se refería a la  alta  dirección  direcci ón, también hacía un llamamiento a cualquier otra instancia directiva, con la finalidad de prevenir cualquier tipo de traba administrativa interna en la liberación de recursos. 167  Aunque

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   229

 A CONSIDERAR. CONSIDERAR. Rendición de cuentas.

La dotación de recursos para el sistema el  sistema de gestión de gestión de compliance compliance que  que administrará la función de compliance de  compliance según  según presupuestari presupuestarias, as, node  un cheque  en blanco. Al tratarse de recursos dedirectrices la organización organización, , la función dees compliance compliance  adquiere un deber de diligencia en su gestión frente a quien se los ha proporcionado (la organización organización,, a través de sus órganos decisorios, según lo indicado en el apartado 5.3.1 Órgano de gobierno y alta dirección), dirección), lo que significa que: • La función de  de  compliance compliance debe  debe rendir cuentas sobre la aplicación de los recursos puestos a su disposición, al órgano de que dependa funcionalmente y, en última instancia, al órgano de gobierno y gobierno y a la alta dirección. dirección. Un marco adecuado para hacerlo son los informes a la dirección, según se explica en el apartado II.9.3 Revisión por la dirección, dirección, de este libro. • La correcta utilización del presupuesto de compliance compliance puede  puede ser auditado internamente, o incluso, por terceros externos. Desde luego, ambos aspectos son absolutamente corrientes en cualquier otra función en el seno de la organización organización..

II.7.2. Competencia Competencia es un término definido que guarda relación con los conocimientos y habilidades que se precisan para conseguir los resultados previstos. El apartado 7.2 Competencia no se limita a establecer los conocimientos que la org  organi anizac zación ión debe procurar a determinadas personas con el fin de que puedan abordar los riesgos de  complianc  compliancee  que les afectan. A diferencia del antiguo estándar ISO 19600:2014, que circunscribía su explicación al marco general y a la formación, el estándar ISO 37301:2021 aborda también el  proceso de incorporación o promoción del  personal. En cualquier caso, el concepto general de “ competencia” no se refiere exclusivamente a la formación, sino también, a la experiencia exigible a las personas que desempeñan determinados roles.  No es una reflexión reflexión intrascendente, intrascendente, puesto que el correcto correcto desempeño desempeño de los roles roles de  compliance, tanto en el fondo como en la forma, precisan experiencia, siendo esta una cualidad especialmente valorada en los procesos de búsqueda de talento.

II.7.2.1. Generalidades

 Aunque la redacción  Aunque redacción del apartado apartado 7.2.1 7.2.1 Generalidades en el estándar ISO 37301:2021 parece similar a la de su antecesor ISO 19600:2014, 1 9600:2014, existe una gran diferencia entre ambos textos: ahora, se aplica a las “ personas” que están bajo control de la  organiza ción y no sobre los “ empleados” a los que se refería el estándar previo. Recordemos Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

230

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

que el concepto de “ empleado” implicaba entonces un vínculo jurídico-laboral con la  organización  organizació n (definición 3.5 de ISO 19600:2014). Por tanto, las medidas generales que plantea este apartado resultan de aplicación a cualquier persona que preste sus servicios bajo el control de la organ  organizació ización n, con independencia de la naturaleza jurídica de su vínculo. Evidentemente, esto supone su proyección frente a terceras partes, en la medida que pueda ejercitarse control control sobre ellas.

 A CO CONS NSID IDER ERAR AR.. Asi Asime metr tría ía en la lass ca capa paci cida dade dess de ac actu tuac ació ión n so sobr bree “p “per erso sona nas” s”.. Las organizaciones organizaciones deben  deben procurar que las personas que se vinculan con ellas riesgos   dispongan de las competencias precisas para afrontar exitosamente los riesgos que las exponen. Ahora bien, no disponen de la misma capacidad para procurar esta capacitación de todos los sujetos. Así, por ejemplo, las posibilidades son mayores con el personal personal,, dadas las capacidades de dirección y supervisión del mismo. Sin embargo, el apartado 7.2.1 Generalidades Generalidades se  se refiere a “personas”, lo que abre la puerta a procurar y supervisar las competencias de terceras partes. partes. En tales casos, esa capacidad variará dependiendo de la relación con ellas: por ejemplo, la posibilidad de actuar sobre un proveedor es normalmente mayor que sobre un cliente, siendo ambos, terceras partes. partes.

 A CONSIDERAR. Capacidad Capacidad de direc dirección ción y dependencia económica.  Algunos siste  Algunos sistemas mas jurídico jurídicoss trazan trazan cier ciertos tos límites límites sobre sobre las capa capacidad cidades es de direcció dirección n o supervisión de las actividades de terceras partes, partes, sobrepasados los cuales se desencadenan consecuencias legales, normalmente normalmente en forma de adquisición de responsabilidades. Los ejemplos más comunes son: • Los del ámbito laboral: instruir y supervisar al personal personal de  de terceras partes puede partes puede terminar provocando que la organización organización absorba  absorba legalmente su relación laboral. • Los vinculados con el derecho de la competencia: sobrepasa sobrepasados dos determinados porcentajes de dependencia económica respecto a la organización organización,, esta puede asumir determinadas obligaciones obligaciones legales de las entidades dependientes.

MÁS INFORMACIÓN. “Contagio” de responsabilidades responsabilidades.. Cuanto mayor sea la capacidad de supervisión que se pueden ejercer sobre una tercera parte, parte, mayores son las probabilidades de que sus eventuales malas praxis ocasionen daños de reputación o incluso, traspasen responsabilidades legales a la

organización por organización  por falta de supervisión. Sobre esta materia, véanse las explicaciones y los ejemplos que se desarrollan en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. En relación con la necesidad de establecer controles sobre las transacciones con terceras partes, partes, véanse igualmente las explicaciones recogidas el apartado II.8.1 Planificación y control operacional, operacional, también de este libro.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   231

La organización debe conocer las competencias en materia de compliance que precisan las personas que trabajan bajo su control, asegurándose de que disponen de ellas por haber recibido educación o formación, así como de la experiencia precisa. Les facilitará estos elementos de apoyo si lo precisan, valorando la eficacia de las actividades desarrolladas. Mantendrá informac  información ión document documentada ada sobre todo ello (véanse los comentarios al concepto de información documentada en el apartado II.3.10  Información  Información    documentada  docume ntada, de este libro. También los comentarios al apartado 7.5  Inform  Información ación  documentada del estándar ISO 37301:2021, 37301:2021 , que figuran, bajo este mismo título, en el apartado II.7.5 Información documentada, de este libro).

II.7.2.2. Proceso de empleo La anterior norma ISO 19600:2014 no hacía referencia a esta cuestión, pero sí lo hace el estándar ISO 37001:2016 dentro de su apartado 7.2 Competencia. Podríamos decir que el círculo de debida diligencia en  compliance se cierra manteniendo control (véase la figura 19): 19): • Sobre las personas que se incorporan o promocionan promocionan en el seno de la organiza ción. A este conjunto aplican los procedimientos de debida diligencia interna genéricos del apartado 7.2.1 Generalidades, como los específicos de este apartado, que se refieren al “ personal” y no al concepto con cepto más amplio de “personas”. • Sobre las terceras partes con las que se vincula o pretende vincularse la organiza ción. A este conjunto aplican también las generalidades establecidas en el apartado 7.2.1 Generalidades, pero especialmente las medidas de debida diligencia externa tratados en el apartado 4.6  Evaluación de los riesgos ri esgos de compliance. Esta actividad se conoce comúnmente como “third party management ” o “third party  due diligence” en los entornos anglosajones168.

Interna

Sobre el personal

 Apartado 7.2.2 Proceso de empleo

Externa

Sobre las terceras las terceras partes

 Apartado 4.6 Evaluación de los riesgos de compliance

Debida diligencia

colectivos ctivos susceptibles Figura 19. Al ejercer debida diligencia sobre los dos cole de amenazar a la organización  (su personal o las terceras partes con las que

mantiene vínculos) se cierra el círculo de control en esta materia. este particular véanse, por ejemplo, las directrices sobre “ Third party management ” del apartado E en de la Sección I del documento de directrices  Evaluati  Evaluation on of Corpora Corporate te Complian Compliance ce  Programs (updated (updat ed June 2020) del US Department of Justice-Criminal Division. 168 Sobre

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

232

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 procesos sos  de debida diligencia  A CONSIDERAR. Etapas comune comuness en los  proce interna y externa. Frecuentemente, organizaciones fijan  fijan requisitos de requisitos  de separados. debida diligencia para el personal y personal  y paralaslasorganizaciones terceras partes en partes  en sus procedimientos A pesar de ello, siguen una estructura esencial parecida, que atraviesa por tres actividades básicas consecutivas (véase la figura 20 20): ): • La adecuada evaluación del personal personal o  o de terceros. La mejor cautela que puede observar una organización organización comprometida  comprometida con la ética y el cumplimiento de las normas es evitar vincularse con sujetos (personal ( personal   o terceras partes) partes) cuyo bagaje o perfil cuestionen su capacidad para cumplir las obligaciones de   compliance de compliance que  que les afectan o no se muestren alineados con su cultura de compliance. compliance. • La formalización jurídica del vínculo con el personal personal o  o las terceras partes, partes, incorporando las cautelas contractuales precisas en relación con las obligaciones de compliance que compliance que deben asumir. • El seguimiento El  seguimiento de  de la relación que se mantiene con el personal personal o  o las terceras partes,, para satisfacerse de que su perfil no ha variado negativamente desde partes la evaluación inicial que justificó vincularse jurídicamente con ellos y que han cumplido aquellas cautelas contractuales acordadas. Son actividades sucesivas, de forma que el establecimiento de cautelas contractuales, por ejemplo, solo tiene sentido tras haber superado satisfactoriamente la evaluación del sujeto.  A CO CONS NSID IDER ERAR AR.. De Debi bida da di dililige genc ncia ia in inte tern rna a en in incor corpo pora raci cione oness y pr prom omoc ocio iones nes..

Los procedimientos procedimientos generales  generales de debida diligencia interna aplicarán, tanto a nuevas incorporaciones como a promociones para nuevas posiciones que así lo precisen.

Proceso de Proceso  de debida diligencia Selección

Formalización

Seguimiento

r

r

Figura 20. Los procesos de debida diligencia referidos tanto al personal como terceras partes con las que se pretenden mantener vínculos, atraviesan por tres hitos básicos consecutivos: una adecuada selección, la formalización de la relación con las cautelas contractuales oportunas y su seguimiento. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   233

 procedimientos entos de debida diligencia interna, la organizaci  organización ón debe En relación con los procedimi establecer las condiciones que precisa el  personal  para cumplir, no solo con las  obli  compliance (, políticas sino también, los elementos en el sistema  gaciones de  gestión dede compliance , procesoscon  y  procedimie  procedimientos ntos).establecidos Para ello precisará conocer el nivel de exposición a riesgos de compliance  compliance que entrañan los roles que van a desarrollar. Evidentemente, aplicando el principio de proporcionalidad (véanse el apartado I.6.1.2  Principi  Principioo de proporci proporcionalidad onalidad, de este libro) y siguiendo un enfoque basado riesgo esgo, de este libro), las en el  riesgo  (véase el apartado I.6.2.2  Enfoque basado en eell ri condiciones exigibles para la contratación o promoción de personal serán más severas cuanto más expuesta a  riesgos de  compliance  se halle la posición a cubrir.

 A CONSIDERAR. CONSIDERAR. Actividades expuestas a riesgos de compliance.

El conocimiento de las posiciones o de los roles asociados a riesgos riesgos d  dee compliance compliance   puede derivar del propio ejercicio de evaluación de riesgos riesgos,, ayudando a: • Delimitar los procesos procesos y  y procedimientos procedimientos de  de negocio asociados con esas actividades. • Identificar los roles expuestos a esos riesgos riesgos.. • Comprobar si las medidas dispuestas por la organización organización para  para la prevención, detección y reacción temprana de esos riesgos riesgos son  son suficientes y eficaces eficaces.. La identificación de los sujetos con roles, rol es, responsabilidades y autoridades en actividades de riesgo riesgo permite  permite fijar y seguir  y seguir  requisitos requisitos en  en cuanto a sus competencias (por ejemplo, formación y experiencia mínima requeridas) 169. MÁS INFORMACIÓN. Evaluación de los riesgos de compliance y personas expuestas.

Sobre este particular, véanse las explicaciones y los ejemplos que figuran en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. Igualmente, en un periodo razonable desde su incorporación, se debe facilitar al per sonal la política de compliance, entregándole una copia (soporte físico) o facilitándole el acceso (soporte online) y formación sobre la misma.

169  En

tal caso, posiblemente pasarán a constituir un requisito de información documentada. Véanse los comentarios al respecto en el apartado II.7.5  Información documentada , de este libro, así como el anexo I Información documentada docume ntada. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

234

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

MÁS INFORMACIÓN. Puesta a disposición de la política de compliance y otros documentos clave.

En relación con la puesta a disposición de la política de  de  compliance compliance y  y otros documentos clave, en lo que habitualmente se conoce como “welcome “welcome pack”, pack”, véanse los comentarios y los ejemplos que desarrollo bajo el título “Materias “ Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Política de  compliance de compliance,, de este libro.

MÁS INFORMACIÓN. Declaraciones de conformidad del  personal sobre  políticas clave.

Sobre los procedimientos procedimientos de  de declaración formal de la conformidad del personal personal   con documentos clave de la organización organización,, incluyendo eventualmente la política de compliance compliance,, véanse los comentarios y los ejemplos recogidos bajo el título “Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Política de  de compliance compliance,, de este libro. Siendo coherente con lo establecido en el apartado 5.2  Política de   compliance  compliance 170, la  organización  organizaci ón aplicará medidas disciplinarias a quienes incumplan las  obligacione  obligacioness de   compliance  compli ance, así como las polític  políticas as, procesos o procedi  procedimientos mientos establecidos al efecto, es decir, conformidades y no cumplimientos de compliance  compliance  la organización debe reaccionar ante no conformidad (véase el apartado I.5.3  Las no conformidades y los no cumplimientos de compliance, de este libro). Es especialmente importante recordar que este requisito: • Tendrá las limitaciones intrínsecas de aplicar el principio de subordinación a Ley (véase el apartado I.6.2.1 Principio de subordinación a Ley, de este libro). • También estará limitado por el estatuto de protección protección a denunciantes de buena fe171, según lo indicado en el apartado 8.3  Planteamiento de inquietudes.

170 Sobre

la política de compliance , en general y acerca de su indicación de las consecuencias de in-

cumplir las obligaciones de  y procedimie al efecto, d e  compliance , o las políticas , procesos  procedimientos ntosli establecidos  véanse los comentarios en el apartado II.5.2 Política de  compliance  compliance , de este libro. bro. 171 Merece la pena considerar los contenidos de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   235

MÁS INFORMACIÓN. Acciones correctivas e incentivos.

 Acerca del régimen disciplinario, así como de incentivos a los comportamientos alineados con“Condicionantes los objetivos objetivos  de compliance compliance, , véanse las explicaciones los ejemplos bajo el título “Condicionantes de su contenido” contenido ” dentro del apartadoyII.5.2 Política de  compliance de compliance,, de este libro.  A CONSIDERAR. CONSIDERAR. Punto de especial interés para llas as autoridades.

Es interesante saber que bastantes autoridades nacionales 172, evalúan la reacción del órgano de gobierno y gobierno y de la alta dirección frente dirección frente a irregularidade irregularidadess de compliance previas, compliance  previas, como indicador, indicador, no solo de su nivel de compromiso con una gestión ética y respetuosa con las normas, sino también, de eficacia eficacia del  del propio modelo de compliance compliance.. MÁS INFORMACIÓN. Importancia de la información documentada  a efectos de prueba.

 Acreditar las medidas adoptada adoptadass ante los no cumplimientos de  de compliance compliance,, incluyendo las que afectan al personal personal y  y a terceras partes, partes, corrobora el compromiso de la organización organización y  y de su equipo de gestión en materia de compliance compliance.. Sobre este particular, véanse las explicaciones en los apartados II.3.10 Información documentada,, II.7.5 Información documentada y documentada documentada y anexo I Información documentada,, de este libro. tada En el proceso de contratación y promoción de los empleados, dependiendo del nivel de exposición de su posición, se desarrollarán procedimientos de debida diligencia para valorar si su perfil es coherente co herente con los roles de compliance que asumirán. Se trata de evitar incorporar en  procesos de  riesgo de compliance de la  organización a personas de las que se conozca o podría haberse conocido que sus antecedentes no avalan su adecuación para desempeñar sus cometidos173.

172 Por

ejemplo, US Department of Justice-Criminal Di ejemplo, Division. vision. Evaluation of Corporate Compliance

 Programs, Guidance Guida nce Document , junio 2020. Véanse los comentarios en los apartados A y C de la Sección II del documento  Is the Corporation’s C orporation’s Compli Compliance ance Program Adequately Re Resourced sourced and Em powered to t o Function Effecti Effectively? vely?, así como el apartado C de la Sección III del documento  Does the Corporation’s Compliance Program Work in Practice?. 173 Así lo señalan, por ejemplo, la US Sentencing Commission, Guidelines Manual, Chapter Eight “Sentencing of Organizations, 1 de noviembre de 2016. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

236

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. Las formas más rápidas de destruir una buena cultura corporativa.

En esencia, existen dos modos de enterrar rápidamente una buena cultura corporativa: • Incorporando a la organización organización personas  personas cuyos antecedentes no avalan su idoneidad para el cargo a ocupar, desde una perspectiva de compliance compliance.. Cuando no solo se mantienen, sino que promocionan o se les recompensa dentro de la organización organización,, desmotivan al personal personal alineado  alineado con la cultura de compliance. compliance. El peor caso se produce cuando se reproducen conductas inadecuadas del pasado –en empleadores anteriores– que, además, son premiadas en la organización organización actual.  actual. • En ocasiones, las organizaciones organizaciones no  no incorporan perfiles nocivos, pero los generan sobre la base de políticas políticas de  de incentivos retributivos que inducen conductas contrarias a los objetivos objetivos de  de compliance compliance.. Lamentablemente, los objetivos objetivos   comerciales muy agresivos constituyen un ejemplo común. Como se expone en el apartado II.5.3.1 Órgano de gobierno y alta dirección, dirección, de este libro, el órgano de gobierno debe gobierno debe asegurarse de que el desempeño de la alta dirección es dirección  es también medido conforme al nivel de consecución de los objetivos objetivos   de compliance compliance.. Se trata de una evaluación y supervisión en cascada, pues la alta dirección debe dirección  debe hacer lo propio sobre el resto del personal personal..

II.7.2.3. Formación

La  Introducción del estándar ISO 37301:2021 remarca la importancia de la  cultura  de compliance  compliance como factor de éxito de las organizaciones. En este sentido, su apartado 5.1.2 Cultura de compliance abunda en que la organ  organizac ización ión debe promover una adecuada cultura a través del ejemplo respecto a unos valores de exigencia general. De hecho, el apartado 5.1.1 Órgano de gobierno y alta dirección subraya que es responsabilidad del órgano de gobierno establecer y mantener ese conjunto conju nto de valores.  Asentada la relevancia del liderazgo l iderazgo desde el ejemplo, ej emplo, no cabe duda d uda de que qu e la formación es una palanca importante para la difusión de los valores de la  organización 

y el mantenimiento de la cultura de compliance compliance. Se encontraba también estipulada en la anterior norma ISO 19600:2014, pero el estándar ISO 37301:2021 resume sus contenidos y traslada otra parte al apartado A.7.2.3  Formación  Formación del anexo A (informativo) Guía para el uso de este documento, siguiendo la dinámica observada en los apartados previos. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   237

 Aunque este apartado impone  requisitos a la  organización (en general), no debemos olvidar que, según reza el apartado 5.3.2  F  Función unción de compliance, la formación es una 174

de las actividades que corresponde promover a dicha función . Como ya sucedía en el estándar ISO 19600:2014, también ahora el apartado 7.2.3  Formación  Formación se ubica dentro del apartado 7.2 Competencia. Por consiguiente, una persona no formada es una persona no capacitada para afrontar las situaciones de riesgo  que le afectan en la  organización. Para Para evitar el olvido de los contenidos formativos, o que por causa de rotación o promoción exista  personal en activo no capacitado, las actividades formativas se deben desarrollar periódicamente. De este entendimiento derivan las tres consecuencias que indica este apartado: • La formación no es una exigencia exigencia generalizada, sino que solo af afecta ecta al personal cuyas tareas están expuestas a riesgos de compliance  compliance. Por consiguiente, consiguiente, no todo el debe recibir formación aquellasPor posiciones que  personal  compliance participan en procesos  vinculadosdecon  riesgos de, sino estasolo naturaleza. este mismo motivo, tampoco los contenidos formativos deben ser iguales para todos, sino que estarán adaptados a los roles y situaciones que afectan a cada colectivo, siguiendo así un enfoque basado en el  riesgo (en relación con el significado y relevancia de este particular, véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro).

174 Impulsar

las actividades de formación correspondientes es una actividad activi dad que el apartado 5.3.2  Función de compliance  compliance del estándar ISO 37301:2021 atribuye a la misma. Se trata de una actividad act ividad que se comenta bajo el título  Actividades que involucran indi indirectamente rectamente a la función de compl compliance iance” del apartado II.5.3.2  Función de   complian  comp liance ce, de este libro. Esto significa que, aunque impulse dichas actividades: (i) En muchas ocasiones corresponde organizarlas e impartirlas a otros sujetos, departamentos,

áreas o funciones de la organización . (ii) No puede garantizar la asistencia y el aprovechamiento de las mismas, que dependerá el esfuerzo de sus distinatarios, sus competencias previas y actitudes. (iii) Son el  órgano de gob gobierno ierno  y la  alta direcc dirección ión las instancias que juegan un rol trascendente en el establecimieno de los valores de la  organiz  organización ación  y la consolidación de la  cultura   de  de  compliance  compli ance. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

238

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

EJEMPLO. Estructura razonable de los contenidos formativos.

En líneas generales, los contenidos formativos de compliance compliance (véase  (véase la figura 21 21): ): • Señalan cuáles son las obligaciones de compliance que compliance que afectan a la organi zación,, de forma que sus destinatarios adquieran conocimiento, no solo de  zación su contenido, sino del modo de comportarse ante circunstancias que puedan producir su incumplimiento. En este sentido, se indican los parámetros de conducta,, tanto deseados como no tolerados por la organización conducta organización.. Sí incluirán ejemplos de casos o situaciones que ilustren estas explicaciones, robusteciendo su componente práctico y utilidad real. Puede tratarse de ejemplos sectoriales o de experiencias vividas en la propia organización organización.. • Relacionan los elementos de ayuda para comprender el contenido de las obligaciones de compliance y compliance y lo que se espera del personal personal,, en términos de políticas,, procesos políticas procesos o  o procedimientos procedimientos vinculados  vinculados con los riesgos de compliance. compliance. Se indica su localización a efectos de consulta. • Apuntan las consecuencias derivadas de no observar tanto las obligaciones de compliance ( (no compliance no cumplimientos de  de compliance compliance)) como los requisitos requisitos del  del sistema  sistema de gestión dispuestos gestión dispuestos para facilitar su cumplimiento (no (no conformidades). conformidades). Se explicitan las eventuales consecuencias de diferente naturaleza ante tales casos (laboral, administrativa, mercantil, civil o incluso, penal). • Subrayan la existencia de un sistema un sistema de gestión gestión de  de compliance compliance operado  operado por la función de  de compliance compliance,, sus competencias y tanto la identidad como la localización de sus responsables. Inciden en su disponibilidad para consultas y las consecuencias que pueden derivarse ante la adopción de decisiones de riesgo riesgo   sin asesorarse previamente.

Contenido formativo

Obligaciones de compliance

Casos y ejemplos

Elementos de ayuda

Políticas, procesos Políticas, procesos,, procedimientos,, etc. procedimientos

Consecuencias de los no cumplimientos de compliance y de las no conformidades Elementos organizativos

Sistema de gestión de compliance y función de compliance

Posibilidades de consulta

Planteamiento de inquietudes

Figura 21. Contenido formativo básico. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   239

• Señalan, finalmente, los canales a través de los cuales se pueden realizar consultas, plantear comentarios e incluso, denunciar posibles irregularidades. Se explican sus características y, en todo caso, el estatuto de protección a los comunicantes de buena fe.  Algunas de estas ideas pueden emplearse también en ciclos de formación para terceras partes, partes, siempre que no conculquen su autonomía.

 A CONSIDERAR. CONSIDERAR. La formación es selectiva.

 Aunque algunas organizaciones organizaciones planean  planean ciclos de formación en compliance compliance de  de contenido común para todo su personal personal,, en verdad: • No todo el personal personal precisa  precisa formación en compliance compliance.. • Ni la formación en compliance compliance es  es la misma para el personal personal que  que la necesita. En aplicación del principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporcionalidad, proporcionalidad, de este libro) y para organizaciones organizaciones pequeñas  pequeñas y medianas, pueden ser razonables enfoques generales. Sin embargo, a medida que se incrementa la complejidad de la organización organización –en  –en términos de riesgos de compliance–– es razonable plantear la formación de manera selectiva. compliance • Por un lado, se identifican las obligaciones de compliance compliance dentro  dentro del perímetro técnico del sistema del sistema de gestión y gestión y las casuísticas con capacidad de producir escenarios de riesgo de compliance. compliance. • A continuación, se identifican los procesos procesos que  que se ven afectados por las casuísticas de riesgo riesgo.. • Para Para finalizar, se identific identifican an los colectivos potenci potencialmente almente afectados por lo loss riesgos de compliance identificados compliance identificados anteriormente. Serán normalmente posiciones con roles relevantes en los procesos procesos afectados  afectados por dichos riesgos riesgos.. Se obtiene así una matriz de formación, que permite asociar los riesgos riesgos de  de compliance con pliance  con las categorías o grupos del personal personal afectados  afectados por ellos, diseñando así ciclos de formación adaptados.

MÁS INFORMACIÓN. Casuísticas de riesgo y colectivos afectados.

casu casuísticas ísticas de de evaluación riesgo como riesgo  comodelosriesgos colectivos afectados .deberían conocerse aTanto partirlasdel ejercicio de compliance. compliance Sobre esta materia en particular, particular, véanse las explicaciones y los ejemplos en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

240

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

• Considerando que una persona persona no formada equivale equivale a una persona no capacicapacitada para afrontar los riesgos de su posición, la organización debe asegurarse del aprovechamiento deselos ciclos de formación. Por tanto, impulsar gracias la formación es insuficiente si no mide el nivel de conocimientos adquiridos a ella.

 A CONSIDERAR. CONSIDERAR. Asistencia vs. aprovechamiento.

Los listados de asistentes proporcionan información de las personas que han realizado la formación, pero no acerca del nivel de aprovechamiento. Un modo habitual de medirlo es mediante exámenes sobre las materias impartidas.  A CONSIDERAR. CONSIDERAR. Indicadores de activid actividad ad y reactivos o de eficacia.

Las evidencias sobre el nivel de asistencia a los ciclos de formación permiten desarrollar indicadores de actividad (se demuestra la realización de la actividad activi dad planificada). Pero no demuestran que haya sido eficaz eficaz.. Los resultados de las pruebas realizadas tras la formación sí constituyen indicadores de eficacia eficacia (o  (o reactivos), que unidos con otros indicadores de la misma naturaleza (el descenso de las incidencias relacionadas con las materias impartidas, por ejemplo) brindan una idea de la eficacia eficacia de  de esta acción planificada. Sobre los indicadores de compliance compliance,, véanse las explicaciones del apartado II.9.1.3 Desarrollo de indicadores, indicadores, aunque también del apartado II.6.2 Objetivos de compliance y planificación para lograrlos, lograrlos, ambos de este libro.

 A CONSIDERAR. Obligatoriedad Obligatoriedad d dee la formación. Puesto que las personas no formadas son personas no capacitadas para afrontar los riesgos de compliance que compliance que les afectan, la organización organización debe  debe plantearse qué ciclos de formación deben ser obligatorios, respetando siempre lo establecido en el marco jurídico laboral. Para determinado tipo de actividades y materias, tal formación puede ser una exigencia legal, lo que justifica todavía más su obligatoriedad.

 A CONSIDE CONSIDERAR. RAR. Observac Observaciones, iones, dudas y pr preguntas eguntas durante la formación.

Los asistentes a los ciclos de formación pueden formular observaciones o plantear dudas o preguntas en relación con las materias tr atadas. tratadas. Este tipodedepreocupación comentarios constituyen una fuente de información para identificar aspectos (incluyendo eventuales malas praxis), componentes del del sistema  sistema de gestión gestión que  que no se comprenden (políticas (políticas complejas  complejas o mal comunicadas) así como cualquier cualqui er otro déficit. Por eso, los comentarios durante la formación están contemplados Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   241

en el apartado 9.1.2 Fuentes 9.1.2 Fuentes de opinión sobre el desempeño del compliance y compliance y pueden también constituir información reportable según reza el apartado 9.1.4 Informes de compliance, compliance, ambas del estándar ISO 37301:2021. EN BUSCA DE LA EXCELENCIA. Formación certificada.

Las partes interesadas, interesadas, incluidas las autoridades correspondientes, pueden tener dudas acerca de la calidad de los ciclos de formación impulsados impul sados y desarrollados internamente por las organizaciones organizaciones.. En algunos sectores se valora positivamente la formación certificada por terceras partes, partes, de modo que un tercero independiente se ocupa de diseñar, impartir y evaluar el aprovechamiento de los ciclos de formación. Esto traslada mayor confianza al mercado.

EN BUSCA DE LA EXCELENCIA. Pruebas redundantes. Puesto que debe medirse el aprovechamiento de la formación, normalmente se prepararán pruebas a completar por los convocados tras recibir las sesiones correspondientes. Algunas organizaciones organizaciones desarrollan  desarrollan pruebas antes y después de los ciclos de formación, para así medir mejor la adquisición de conocimientos por su impartición. • Puesto que las obligaciones de compliance evolucionan, también deben variar los contenidos formativos, de forma que se adapten a las circunstancias de la  organización  organi zación , con la lógica que determina el apartado 4.1 Comprensión de la  organización y de su contexto.

 A CONSIDERAR. CONSIDERAR. Revisión de los contenidos formativos.

Los contenidos formativos no deberían mantenerse inalterados con el paso del tiempo. Debido a la rapidez y al número de cambios en las obligaciones obligaciones d  dee compliance,, es raro que no se produzcan cambios, no solo en las compliance l as circunstancias externas de la organización organización (en  (en entorno normativo, por ejemplo), sino también, en las internas (cambios estructurales, nuevas actividades, etc.). Tales Tales novedades deberían considerarse en los contenidos formativos. El personal personal agradece  agradece que se señalen expresamente los cambios respecto a las l as sesiones formativas previas en lugar de limitarse a reiterar sus contenidos.

EN BUSCA DE LA EXCELENCIA. Aprender de la experiencia.

Es positivo aprovechar las sesiones formativas planificadas o convocar sesiones ah hoc para hoc para analizar incidentes o casi-incidentes reales de compliance compliance que  que hayan afectado a la organización organización o  o al sector, para extraer lecciones de ellas. Son Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

242

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

actividades muy enriquecedoras, que pueden proyectarse sobre colectivos especiales de riesgo riesgo o  o que se hayan visto involucrados i nvolucrados en las experiencias narradas. Sobre los casi-incidentes, véanse también las explicaciones y los ejemplos en los apartados II.9.3 Revisión por la dirección y dirección y II.10.2 No conformidades y acciones correctivas,, ambos de este libro. correctivas

 A CONSIDERAR. CONSIDERAR. Periodicidad de la form formación. ación.

El estándar ISO 37301:2021 señala que "la organización organización debe  debe proporcionar formación al personal personal pertinente  pertinente de forma regular”, pero no concreta una periodicidad exacta. Aunque existen varios factores que condicionan la periodicidad, como la rotación del personal personal o  o la criticidad de los contenidos formativos, se suele considerar razonable la formación planificada anual.

EN BUSCA DE LA EXCELENCIA. Formación de inducción.

Si la única formación en compliance compliance es  es de naturaleza planificada, no disfrutarán disfrutar án de ella las personas que se hayan incorporado o promocionado en la organización tras ción  tras su impartición. Sabiendo que una persona no formada equivale a una persona no capacitada, tal circunstancia obligaría a posponer su involucración involucració n en los procesos procesos d  dee riesgo riesgo hasta  hasta la celebración de la siguiente formación planificada. Esto no entraña un problema para las organizaciones organizaciones que  que la imparten con una periodicidad inferior al año, pero sí lo suele ser para el resto. Para soslayar este inconveniente, algunas organizaciones organizaciones se  se plantean ciclos de formación ejecutivos de corta duración, personal personalizados izados y centrados en aspectos clave, que se imparten regularmente a pequeños grupos grupo s de personas que, por los motivos indicados, no pudieron disfrutar de los contenidos planificados. Aplicarán las cautelas ordinarias en cuanto a asistencia y aprovechamiento.

EN BUSCA DE LA EXCELENCIA. Formación promovida a raíz de indicadores predictivos.

Cuando las organizaciones organizaciones disponen  disponen de indicadores de compliance compliance predictivos,  predictivos, pueden plantearse ciclos de formación ad hoc si hoc si concurren circunstancias que lo aconsejan. Por ejemplo:

• han Indicadores predictivos externos:tipo en eldesector dondedeopera la organización organización se  se materializado determinado incidentes compliance. compliance . Junto con otras medidas preventivas, posiblemente sea el momento de plantear pl antear sesiones formativas ad hoc para hoc para fortalecer el nivel de concienciación y la alerta sobre estas materias. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   243

• Indicadores predictivos internos: se ha observado un incremento estadísticam estadísticamente ente destacable de consultas en la intranet corporativa sobre determinadas políticas políticas   relacionadas con el compliance compliance.. Tal Tal vez sea el momento de plantear una formación ad hoc sobre hoc sobre los contenidos de la política política,, eventualmente proyectada a los colectivos de donde surgen las consultas. Sobre los diferentes tipos de indicadores (de actividad, de eficacia eficacia y  y predictivos), véanse también los comentarios en el apartado II.9.1.3 Desarrollo de indicadores, indicadores, de este libro. EN BUSCA DE LA EXCELENCIA. Periodos formativos individuales.

Mediante herramientas informáticas es posible realizar seguimiento y trazabilidad individualizada de la formación (on-line ( on-line),), de manera que se recuerde y ejecute para cada empleado en virtud de sus circunstancias (en el momento de su incorporación o promoción, por ejemplo). partir momento, pueden computar plazos para su repetición periódica Aque, pordeloese tanto, serían distintos para cada empleado. Esta mecánica evita que existan empleados no formados, a la espera de realizar formaciones grupales o por periodos. Señalaba anteriormente que las actividades de formación siguen un enfoque basado en el  riesgo (véase el apartado I.6.2.2  Enfoque basado en el riesgo, de este libro). La consecuencia lógica, ló gica, también indicada en este apartado, es que no solo se proyectarán sobre el personal que participa en proc  procesos esos expuestos a riesg  riesgos os de complian  compliance ce, sino también, sobre terceras partes cuya relación con la organización es susceptible de exponerla. Esta era una cuestión no tratada en el apartado equivalente del estándar ISO 19600:2014, que solo se proyectaba sobre los empleados. Existen riesgos de  compliance  compliance –tanto de trasmisión de responsabilidades legales como de daños en la reputación– que pueden venir inducidos por terceras partes con las que se mantienen vínculos; de ahí la importancia de los procedimientos de debida diligencia de proyección externa que contempla el apartado 8.1 Planificación y control  operaciona  opera cionall. Dado que las terceras partes pueden exponer a las organ  organizacio izaciones nes, igualmente cabe proyectar actividades formativas sobre ellas.

 A CONSIDERAR. Prioridad sobre terceras partes que entrañan riesgos de compliance.

 Al igual que los ciclos de formación destinados al personal personal,, aquellos que se proyectan sobre terceras partes deben hacerlo especialmente sobre las que presentan riesgos de riesgos  de compliance compliance,, de acuerdo con el resultado del ejercicio de evaluación de riesgos de compliance, compliance, que se explica con ejemplos en el apartado II.4.6 Evaluación de los riesgos de compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

244

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

MÁS INFORMACIÓN. Actividades formativas sobre terceras partes y efectos jurídicos derivados.

Dependiendo de su enfoque y de las circunstancias, las acciones formativas destinadas a terceras partes pueden partes pueden ser interpretadas como un indicio de que, en verdad, forman parte de la organización organización,, con las consecuencias jurídicas que se derivan de ello. Este puede ser el caso cuando: • La formación es obligatoria, de modo que algunos terceros terceros deben  deben realizarla para mantener su vínculo con la organización organización.. • La formación incluye referencia a políticas políticas,, procesos procesos y  y procedimientos de la organización,, con contenidos y un nivel de detalle análogo al que utiliza para organización su personal personal.. Este tipo de circunstancias puede comprometer la independencia de las terceras partes y partes  y desencadenar consecuencias legales para la organización organización.. Sobre este particular, véanse las explicaciones y los ejemplos que recoge reco ge el apartado II.7.2.1 Generalidades,, de este libro. Generalidades Impartir formación a terceras partes es una decisión delicada. En ocasiones, no es posible posib le obligarles a ello y, en otros casos, puede ser considerado una invasión a su autonomía empresarial. empresar ial. Consciente de esta problemática, el estándar ISO 37301:2021 establece las actividades de formación, pero también, las de concienciación con cienciación con terceras partes, brindando la flexibilidad de ambas opciones. Los registros relativos a la formación deben mantenerse como información documentada (véase el apartado II.3.10 Información documentada, de este libro, y también los lo s comentarios al apartado 7.5 Información documentada del estándar ISO 37301:2021, que figuran, de este libro).bajo este mismo título, en el apartado II.7.5 Información documentada,

II.7.3. Toma de conciencia Las actividades de concienciación se encuadran en el apartado 7.3 Toma de co concienc nciencia ia del estándar ISO 37301:2021, distinto del apartado 7.2 Competencia, que es donde se ubica la formación. Esta separación separació n subraya la diferencia conceptual entre unas activi-

dades y otras: mientras que la formación es una forma de capacitación para afrontar las situaciones  que afectan a sus destinatarios, la  compliance concienciación un estado general de de riesgo conocimiento sobre aspectos básicos de  y de induce vigilancia ante su contravención. De este modo, cualquier persona, tanto dentro como fuera de la organización, conocerá el marco esencial de compliance de la organización y sabrá cómo comportarse ante situaciones que la amenacen. Esta distinción conceptual con ceptual no Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   245

es tan evidente en el estándar ISO 37001:2016, que trata conjuntamente la formación y la concienciación (apartado 7.3 Toma de conciencia y formación. Es un apartado separado del 7.2 Competencia, que no aborda esta materia).

 A CONSIDERAR. CONSIDERAR. Dificultad en la evaluac evaluación ión de su aprovechamiento.

 A diferencia de las actividades de formación, las de concienciación no van necesariamente dirigidas a colectivos concretos, sino a una pluralidad plur alidad anónima de destinatarios. En este caso, la aplicación del enfoque basado en el riesgo riesgo (véase  (véase el apartado I.6.2.2 Enfoque basado en el riesgo, riesgo, de este libro) pivota más sobre las materias difundidas que en la especificidad de sus destinatarios 175. Por estos motivos, habitualmente no dan lugar a listados de asistentes ni evidencias de aprovechamiento.  Aunque es difícil di fícil medir  su  su desempeño desempeño,, puede vincularse a indicadores de actividad (el mero lanzamiento de campañas, por relacionados ejemplo) y también eficacia   eficacia (comprobación de la disminución de incidentes con la de campaña). Pero su relación causa-efecto es más difícil de constatar y de medir  que  que en los de formación selectivos. EN BUSCA DE LA EXCELENCIA, Materiales para la toma de conciencia dirigidos al personal.

Existe pluralidad de materiales que pueden dar soporte a campañas de concienciación eficaces eficaces,, la mayoría de los cuales no requiere grandes desembolsos económicos. Es erróneo pensar que las actividades de formación y de toma de conciencia son patrimonio de las grandes organizaciones organizaciones,, pues también las pequeñas y las medianas recurren a ellas aplicando el principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporcionalidad, proporcionalidad, de este libro).  Veamos algu algunos nos ejemp ejemplos los de mater material iales es que puede puedenn sopor soportar tar campa campañas ñas de concienciación eficaces eficaces:: • Preparación y colocación de cartelería con mensajes de compliance compliance en  en lugares visibles de acceso común en la organización organización (salas  (salas de descanso, comedores, coffeee points, points, salas de reuniones, pasillos, etc.). • Elaboración de vídeos y proyección de los l os mismos en los monitores de lugares l ugares visibles de acceso común en la organización organización (salas  (salas de descanso, comedores, coffeee points, points, salas de reuniones, monitores de ascensores, monitores en los

medios colectivos de transportes de la organización organización,, etc.). 175  Pueden

planificarse actividades selectivas de toma de conciencia, por ejemplo, localizando cartelería  ad hoc  en ciertos emplazamientos de la  organización , en los que únicamente concurren ciertos colectivos. No obstante, la trazabilidad de su aprovechamiento es limitada. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

246

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

• Preparación de frases con citas o mensajes de compliance compliance,, a elaborar mediante letras transferibles ubicables en las paredes de emplazamientos de uso profesional común (salas de juntas, salas de reuniones, pasillos, etc.). • Elaboración de mensajes y consejos de compliance compliance,, a proyectar como salvapantallas en los monitores de la organización organización,, cuando están desatendidos. • Elaboración de merchandising merchandising con  con mensajes de compliance compliance,, como calendarios, mugs,, lápices y bolígrafos, stick-notes mugs bolígrafos, stick-notes,, etc. • Elaboración y difusión de elementos físicos de ayuda, tales como flyers flyers o  o fichas refrescando el contenido esencial de políticas políticas y  y procedimientos procedimientos de  de compliance compliance,, recordando su ubicación en la intranet y señalando canales de atención ante dudas de su contenido. • Publicación de artículos en los medios de comunicación corporativos (revistas internas), con noticias sobre compliance compliance que  que afectan a la organización organización,, comunicaciones sobre novedades o logros conseguidos. • Lanzamiento de concursos internos para promover mejoras en compliance compliance   (mejora de políticas políticas,, procesos procesos o  o procedimientos procedimientos,, por ejemplo) o de reconocimiento de las conductas más alineadas con los objetivos objetivos de  de compliance compliance,, en el último periodo.  Algunas de estas ideas puede  Algunas puedenn emple emplearse arse tambié tambiénn para campa campañas ñas de concie conciencia ncia-ción dirigidas a terceras partes, partes, siempre que no conculquen su autonomía legal. El estándar ISO 37301:2021 resume los contenidos del antecedente ISO 19600:2014 y traslada una buena parte de ellos a los apartados A.7.3 Toma de cconcie onciencia ncia y A.5.1.2 ambas del de anexo A (informativo) Cultura compliance Guía para el uso de este docu mento , endelínea con la, naturaleza un MSS de tipo A (certificable). Dejando de lado estas adaptaciones, este apartado continúa siguiendo el mismo enfoque de su norma antecesora, al proyectarse sobre las personas que trabajen bajo el control de la organización. No recurre al concepto de “ personal” deliberadamente, para enfatizar que las actividades para la toma de conciencia tienen un perímetro natural de aplicación mucho más amplio, proyectándose tanto a individuos encuadrables bajo baj o esa categoría como a “terceras partes”.

EJEMPLO. Actividades de toma de conciencia dirigidas a terceras partes.

Las actividades de toma de conciencia dirigidas a terceras partes no partes no suelen presentar la problemática asociada a las acciones formativas for mativas que se han explicado en el apartado anterior de este libro. Su finalidad esencial suele ser: • Dar a conocer a los terceros terceros los  los valores de la organización organización y  y la falta de tolerancia a las conductas que los amenacen. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   247

• Cubrir las obligaciones obligaciones de  de compliance compliance que  que les incumben. Si procede, explicar cómo figuran establecidas en la relación jurídica que les vincula con la organización y nización  y las consecuencias de no observarlas. • Dar a conocer mecanismos de control interno que las terceras partes pueden partes pueden desarrollar en sus organizaciones organizaciones,, en el caso de que carezcan de ellos. Todo ello recogiendo los contenidos básicos que relaciona el estándar ISO 37301:2021 y que se explican más adelante. EN BUSCA DE LA EXCELENCIA. Ayudar a la difusión del compliance en terceras partes.

 Algunas organizaciones organizaciones desarrollan  desarrollan ciclos de concienciación a sus proveedores acerca de la importancia y los contenidos cont enidos esenciales de los modelos de compliance compliance,, de forma que adquieran conciencia sobre su utilidad y se planteen dotarse de ellos. En ocasiones, estas iniciativas se desarrollan junto con plataformas sectoriales que impulsan las buenas prácticas sobre gobierno corporativo y la mejora de la competitividad. El estándar ISO 37301:2021 plantea contenidos básicos de las actividades de toma de conciencia. De acuerdo con ellos, sus destinatarios (sean personal o terceras partes) deberían terminar conociendo: • La existencia y el contenido esencial de la  política de  compliance . Esto llevará normalmente aparejada su puesta a disposición.

MÁS INFORMACIÓN. Contenido de la  política de compliance.  Acercaa del conte  Acerc contenido nido que el están estándar dar ISO 37301 37301:2021 :2021 exige a la política de  de compliance,, véase el apartado II.5.2 Política de  pliance de compliance compliance,, de este libro, que divide su contenido en tres grupos: “ Aspectos a considerar por el órgano de gobierno  y la alta dirección”, dirección”, “Condicionantes “Condicionantes de su contenido” contenido” y “Materias “Materias relacionadas con su custodia y comunicación”. comunicación”. • Cómo impactan los contenidos de la  política de  compliance y las obligaciones de   compliance en su rol concreto con la  organización.

EJEMPLO. Concreción de mensajes.

Los destinatarios de las actividades de toma de conciencia no deberían percibirlas como un cúmulo de mensajes cargados de buenas intenciones, sino como cuestiones que afectan a su rol respecto a la organización organización y  y sobre las que debe mantenerse alerta. Así, por ejemplo, la tolerancia cero a los no cumplimientos de  de  Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

248

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

compliance declarada en la política de compliance compliance declarada compliance puede  puede vincularse, en casos de subcontratistas de obra, a que se vigilará especialmente y no se permitirá que infrinjan, entre otras, las obligaciones relacionadas en cuanto a seguridad e higiene en el trabajo. • La importancia que tiene tiene su conducta para la eficacia del  sistema de gestión de  compliance de la organización. Se trata de evitar que las actividades de toma de conciencia se consideren alejadas de su actividad o incumbencia. • Los beneficios que acarrea acarrea un desempeño de compliance mejorado.

EJEMPLO. Beneficios de un buen desempeño de compliance.

Evidenciar conductas conductas ejemplares  ejemplares o mejorar las que se habían estado observando puede reportar ventajas, tanto para el personal personal como  como para terceras partes. Para el personal personal pueden  pueden fijarse mejoras en términos salariales salari ales o de capacidades de promoción a determinadas posiciones, respetando el marco jurídico laboral aplicable. Para terceras partes, partes, una mejora en su puntuación en los procesos procesos   de contratación u otros beneficios que sean legítimos conforme a la normativa administrativa o mercantil176. • Las consecuencias de no cumplir con aquellos  requisitos  del  sistema de ggestión estión  de  compliance que les afecten, advirtiendo de la reacción que puede presentar la  organización ante tales supuestos, en línea con lo también establecido en el apartado 5.2 Pol  Política ítica de  compliance.

 A CONSIDERAR. CONSIDERAR. Consecuencias legales.

Las consecuencias derivadas de las no conformidades y conformidades y los no cumplimientos de  de  compliance pueden compliance  pueden tener alcance legal, en el ámbito laboral, administrativo, civil e incluso, penal. Es importante que los destinatarios de la política de  de compliance compliance y  y de las actividades de formación y concienciación adquieran conocimiento conocimi ento de ello.

176  Conviene

recordar siempre que todos los requisitos o recomendaciones del estándar ISO 37301:2021 deben estar amparados por el marco legal de aplicación, sin necesidad de que se reitere este condicionante de manera continua. Sobre este particular, véanse los comentarios en el apartado I.6.2.1  Principio de subordinac subordinación ión a Ley , de este libro. li bro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   249

MÁS INFORMACIÓN. Incentivos y correctivos.

En relación con el régimen sancionador asociado con vulneraciones de la política de compliance compliance,, véanse las explicaciones y los comentarios que figuran bajo el título “Condicionantes “Condicionantes de su contenido” contenido” dentro el apartado II.5.2 Política de  de  compliance,, de este libro. Desde una perspectiva más amplia, véanse también las compliance explicaciones y los ejemplos en materia de incentivos i ncentivos y correctivos que aparecen en el apartado II.5.3.1 Órgano de gobierno y alta dirección, dirección, también de este libro. • Los medios o herramientas puestos a disposición para que puedan trasladar  organización zación , en línea con lo establecido en el apartado 8.3 inquietudes a la  organi  Planteamiento de inquietudes.

MÁS INFORMACIÓN. Planteamiento de inquietudes.

En relación con los mecanismos para el planteamiento de inquietudes, véanse las explicaciones y los ejemplos del apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro. • La trascendencia que tiene todo lo anterior, anterior, no como conjunto de prácticas aisladas,  cultur turaa de com compli plianc ancee. La toma de consino como factores determinantes de una  cul ciencia será plenamente efe  efecti ctiva va cuando sus destinatarios destinatarios interioricen la importancia de mantener una  cult  cultura ura de com complia pliance nce, no solo por obligación y en cuanto a su relación concreta con la orga  organiz nizació aciónn, sino para ellos mismos y sus relaciones.

MÁS INFORMACIÓN. Medición del nivel de cultura de compliance.

 Acerca de la cultura de compliance y compliance y su forma de medición medición (indiciaria  (indiciaria o basada en el agregado de opiniones), véanse las explicaciones del apartado II.5.1.2 Cultura de compliance, compliance, de este libro.

II.7.4. Comunicació Comunicación n El principio de transparencia (véase el apartado I.6.1.4 Principio de transparencia, de

este libro) guarda especial relación con lo indicado en el apartado 7.4 Comunicación del ISO 37301:2021. El normal desarrollo de las actividades planificadas en elestándar  sistema de gestión  de compliance  conlleva realizar comunicaciones tanto internas como externas a la organización. Como se explicará más adelante, existen numerosos aspectos a comunicar en ambas esferas, hasta tal punto que su ausencia es sospechosa en cuanto a la funcionalidad del sistema de gestión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

250

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

El estándar ISO 37301:2021 establece de manera conjunta las comunicaciones internas y externas, en lugar de segregar su tratamiento, como hizo antes el estándar 19600:2014. parteahora de esos coapartado contenidos, ntenidos,A.7.4 más propios de un MSS de Tipo B (no certificable), seUna ubican en el Comunicación  del anexo A (informativo) Guía para el uso de este documento. En materia de complia  compliance nce, la organiz  organización ación debe reflexionar sobre los aspectos relevantes a comunicar, concluyendo qué informaciones o hechos deberán comunicarse, cuándo deberá hacerse, así como a quién irán dirigidas y de qué manera. Este guion básico es el mismo, tanto para las comunicaciones internas como para las externas.

 A CONSIDERAR. CONSIDERAR. Cómo comunicar. Rompiendo barr barreras. eras.

Es fundamental que las actividades de compliance compliance lleguen  lleguen a sus destinatarios. No es solo cuestión de facilitarles materiales en forma de acciones formativas o de concienciación, etc., sino también, de hacerlo en los idiomas adecuados, utilizando un lenguaje y un vocabulario que faciliten su comprensión. La mejor comunicación no es siempre la más técnica, sino la que se comprende mejor. En relación con el modo de mejorar el entendimiento de los documentos de compliance,, véanse también las explicaciones y los ejemplos que figuran bajo compliance el título “Condicionantes “Condicionantes de su contenido” contenido” dentro del apartado II.5.2 Política de compliance,, de este libro. compliance  Adicionalmente, se espera de las organizaciones organizaciones que  que ayuden a la integración de personas discapacitadas, lo que implica mejorar las opciones de accesibilidad a las diferentes actividades y comunicaciones.

 A CONSIDERAR. CONSIDERAR. Departamentos de comunicac comunicación ión o equivalentes.

Las actividades de comunicación en materia de compliance compliance,, tanto internas como externas, suelen constituir un ámbito de colaboración con los departamentos internos de relaciones institucionales, relaciones con inversores, comunicación y equivalentes. Sobre las interacciones con estos equipos, véanse las explicaciones y los ejemplos que se desarrollan en el apartado II.4.2 Comprensión de las necesidades y expectativas de las partes interesadas, interesadas, de este libro.

EJEMPLO. Algunas comunicaciones internas.

 A continuación, continu ación, se muestran al algunos gunos ejemplos de comuni comunicaciones caciones internas de naturaleza general: • Comunicado de designación de los miembros de la función de  de  compliance compliance,, sus competencias y la obligatoriedad de colaborar con ellos. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   251

• Comunicado de nuevas incorporaciones o sustituciones sustituciones en el equipo de compliance compliance.. • Comunicado sobre los objetivos objetivos d  dee compliance compliance.. Qué se espera de las personas que se vinculan a la organización organización en  en cuanto a los mismos. • Comunicado del lanzamiento nuevas políticas políticas,, procesos procesos o  o procedimientos procedimientos,, de aplicación general. • Comunicado informando del resultado de la aplicación de determinados controles, señalando objetivos objetivos conseguidos  conseguidos y aspectos a mejorar (cuando son conclusiones de incumbencia general). • Comunicado del resultado de auditoría auditoríass de compliance compliance,, señalando logros y aspectos de mejora (cuando son resultados de incumbencia general). • Comunicado de logros de compliance compliance de  de interés general, especialmente cuando hayan supuesto evitar o minimizar daños económicos o de reputación. • Comunicado de nuevos requisitos requisitos de  de compliance compliance que  que afectan al personal personal o  o a terceras partes. partes. • Comunicado de ciclos de formación, obligatorios y voluntarios. • Comunicado de incidentes de compliance compliance con  con repercusión mediática, tanto de competidores como eventualmente propios, facilitando información que ayude a su gestión. Otras comunicaciones también internas, pero destinadas a colectivos específicos son: • Comunicado sobre aquellos objetivos objetivos de  de compliance compliance tácticos  tácticos u operativos, que afectan a determinados colectivos en parti particular cular.. • Comunicado del lanzamiento de nuevas políticas políticas,, procesos procesos o  o procedimientos procedimientos   que afectan solo a determinados destinatarios. • Comunicado informando del resultado result ado de la aplicación de determinados concontroles, señalando objetivos objetivos conseguidos  conseguidos y aspectos a mejorar (cuando aplican a un colectivo acotado). • Comunicado del resultado de auditoría auditoríass relacionadas con compliance compliance,, señalando logros y aspectos de mejora (cuando son resultados que afecten exclusivamente a un determinado colectivo). • Comunicado de nuevos requisitos requisitos de  de compliance compliance que  que afectan exclusivamente

a ciertos colectivos, actividades o procesos procesos.. • Comunicado de los ciclos de formación, obligatorios y voluntarios, dirigidos a colectivos específicos. • Comunicación de incidentes de compliance compliance que  que no afectan a toda la organización,, sino solo a determinadas áreas, unidades de negocio o funciones. nización Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

252

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

Finalmente se muestran algunos ejemplos de comunicaciones de compliance compliance   relacionadas con la cadena interna de información, en línea con lo indicado en el capítulo 9 Evaluación del desempeño: desempeño: • Reportes operativos de compliance compliance.. • Memorias anuales de compliance compliance.. • Documentos o informes ad hoc de hoc de compliance compliance.. • Resultado o recomendaciones de las auditoría auditoríass relacionadas con compliance compliance.. Normalmente, esta información o documentación estará anexada a cualquiera de las comunicaciones anteriores.

EJEMPLO. Algunas comunicaciones externas.

 Algunos casos de comunicaciones externas frecuentes son: son: • Comunicados dirigidos a medios, de forma voluntaria o como reacción frente a comunicados previos o incidentes de compliance compliance.. • Comunicados obligatorios o voluntarios dirigidos a las partes interesadas, interesadas, especialmente a las autoridades regulatorias o de supervisión. • Comunicaciones que se añaden obligatoriamente a la cadena de información info rmación externa (estados de información no financiera, por ejemplo), o voluntariamente como información adicional que ayuda a interpretar la gestión de la organización organización..

 A CONSIDERAR. CONSIDERAR. Reiteración de comunicaci comunicaciones. ones. Reiterar determinadas comunicaciones puede ser una actividad saludable: obligatoriedad de la formación, existencia de determinada política política o  o procedimiento procedimiento,, necesidad de consultar a la función de  de  compliance compliance ante  ante dudas en su materia, etc. En ocasiones, aspectos que fueron correctamente comunicados se olvidan por el transcurso del tiempo o debido a la rotación del personal personal..

 A CONSIDERAR. CONSIDERAR. Soporte explícito a di directivos, rectivos, mandos intermedios y al  personal.

Es una buena práctica que el órgano de gobierno y gobierno y la alta dirección acompañen dirección acompañen y den soporte a directivos y mandos intermedios en cuestiones relacionadas r elacionadas con el compliance compliance.. Este tipo de soporte explícito, no solo hace visible su compromiso con impulsar una cultura de compliance, compliance, sino que refuerza la eficacia eficacia de  de las comunicaciones. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   253

EN BUSCA DE LA EXCELENCIA. Soporte explícito a la función de compliance.

 Algunas  Algu nas organizaciones organizaciones incrementan  incrementan el empoderamiento y la legitimidad de la función de  de  compliance compliance,, poniendo en valor sus cometidos y logros mediante comunicaciones internas. Así, por ejemplo, se puede difundir internamente la consecución de un certificado o sello de la calidad en materia de compliance compliance,, la mención o el otorgamiento de premios o menciones externas a la función de  de  compliance,, méritos obtenidos por cualquiera de sus miembros (obtención de compliance cualificaciones, etc.), su participación en cursos o eventos destacados, la contribución de la función de  de compliance compliance para  para solventar algún incidente relevante, etc. EN BUSCA DE LA EXCELENCIA. Los sites internos y externos de compliance  a efectos de comunicaciones.

El uso dede sites tecnologías la información permite que las organizaciones organizaciones dis dis-  pongan delas  sites internos  internos ydeexternos donde figura la información de compliance compliance  y donde también se pueden publicitar comunicaciones relacionadas con esta materia. En relación con los contenidos de una eventual página web en la intranet corporativa, así como los que cabría ubicar u bicar también en la página web externa, véanse las explicaciones y los ejemplos que figuran bajo el título “Materias “Materias relacionadas con su custodia y comunicación” comunicación” dentro del apartado II.5.2 Política de  de compliance compliance,, de este libro. Un aspecto novedoso que introduce el estándar ISO 37301:2021 es la n necesidad ecesidad de tener en cuenta aspectos de diversidad y barreras que puedan afectar a la comunicación. Este  requisito implica considerar múltiples cuestiones prácticas susceptibles de erosionar la eficacia de las comunicaciones. Los procesos de comunicación, tanto interna como externa, deben formar parte de la cultura de la  organización, sus  objetivos y obligaciones. Es un modo de impulsar los principios de buen gobierno (véase el apartado I.6.1.1 Principio de buen gobierno, de este libro) y transparencia (véase el apartado I.6.1.4 Principio de ttransparencia ransparencia, de este libro) del estándar ISO 37301:2021. No se quiere asociar compliance con la opacidad o la ocultación de incidentes por vergüenza. Sin embargo, embargo, para que este enfoque no se convierta en un ejercicio prematuro prematuro o irresponsable, es preciso que la organización 

reflexione previamente sobre qué, cuándo, a quién y cómo cursar tales comunicaciones.  También  T en esta est a línea, la organización  debe asegurar que la información comunicada esambién coherente con la tratada en el sistema de gestión  de compliance  y que es fiable. Estos últimos aspectos implican establecer medidas para garantizar que la información de  compliance  no se omite, altera o corrompe en el transcurso hacia su comunicación (interior o exterior). Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

254

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Fiabilidad de la infor información mación no financiera.

Cada vez más reguladores inciden en la importancia de que las organizaciones organizaciones   no solo aseguren la calidad de la información financiera, sino también, de la no financiera (incluyendo aspectos de compliance compliance).). A tales efectos, suele recomenr ecomendarse que los controles desarrollados por los departamentos de auditoría auditoría interna  interna se proyecten sobre ambas esferas para ofrecer aseguramiento de la fiabilidad de las informaciones clave que se manejan en la organización organización..

EJEMPLO. Revisión de información relativa a compliance  utilizada por otras funciones. 

 Algunas funciones de la organización organización pueden  pueden precisar incorporar informaciones de compliance compliance en  en los informes internos o externos que elaboran. Las funciones sinérgicas que figuran con ejemplos en el apartado II.4.2 Comprensión de las necesidades y expectativas de las partes interesadas, interesadas, de este libro, son un ejemplo de algunas que pueden precisar tales informaciones. El principio de transparencia que contempla el estándar ISO 37301:2021 abogaría por compartir la información de compliance compliance internamente,  internamente, salvo cuando existan motivos fundados para no hacerlo (confidencialidad, por ejemplo). Sin perjuicio de lo anterior anterior,, no deberían comunicarse datos o informaciones de compliance compliance que  que no hayan sido supervisados por la función de  de compliance compliance.. En cuanto a las l as comunicaciones internas, es importante que lleguen a los diferentes niveles de de la organiza quetrasladar se brindeinquietudes, al personal laen posibilidad el sistema  organización ción y yde  de gestión  compliance línea con de lo mejorar establecido en el apartado 8.3 Planteamiento de inquietudes.

EJEMPLO. Sesiones de trabajo (Workshops y Forum groups).

Con ocasión de explicar novedades o incidentes que afectan a grupos de personas, es interesante plantear sesiones de trabajo (“Workshops (“ Workshops”) ”) o de debate (“ (“Forum Forum groups”), groups”), donde tengan ocasión de trasladar sus opiniones y sugerencias de mejora. Son buenos entornos para dedicar un tiempo a las “lecciones “ lecciones aprendidas”, esto es, analizar o compartir las causas raíz de los lo s incidentes de

aprendidas , esto es, analizar o compartir las causas raíz de los lo s incidentes de compliance,, aspectos que no han funcionado correctamente, acciones correccompliance tivas que se derivaron, etc. No solo se abre un espacio de comunicación, sino tivas que también, una vía para obtener información relevante, en línea con las explicaciones y los comentarios del apartado II.9.1.2 Fuentes de opinión sobre el desempeño del compliance, compliance, de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   255

MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.

En relación con los canales dispuestos por la organización organización para  para el planteamiento de inquietudes (que incluyen, pero no se limitan a los conocidos comúnmente como “canales de denuncia”), véanse los comentarios y los ejemplos que se recogen en el apartado II.8.3 Planteamiento de inquietudes, inquietudes, de este libro. En cuanto a las comunicaciones externas, el estándar ISO 37301:2021 señala también como novedad su eventual enlace con los procesos de comunicación ya existentes en la  organización y a la necesidad de hacer referencia a la cultura de compliance, así como los objetivos de compliance y obligaciones.

 A CONSIDERAR. CONSIDERAR. Coordinación en la elabora elaboración ción de informes externos.

Cadaque vez trascienda son más frecuentes fr ecuentes exigencias legales acerca deorganizaciones publicitar información los datoslaseconomicofinancieros de las organizaciones. . En muchas ocasiones, disponer de información contable no permite conocer bien la calidad de la gestión, precisándose información adicional que valoran las partes interesadas.. Por este motivo, tanto la normativa como los órganos reguladores interesadas y supervisores tienden a establecer requisitos requisitos de  de comunicación pública de información no financiera, en gran medida vinculada con el compliance compliance.. Puesto que estas nuevas informaciones se añaden al proceso proceso interno  interno de recolección y consolidación de datos que ya se estaban ejecutando desde otras áreas (principalmente sobre materias financieras), es importante impulsar una interacción fluida con la función de  de compliance compliance que  que garantice la calidad de los datos que se harán públicos y evite la desconexión entre flujos de informaciones. No debería hacerse público ningún dato o información de compliance compliance que  que no haya supervisado la función de  de compliance compliance.. La  org  organi anizac zación ión  mantendrá sus comunicaciones como  inf  inform ormaci ación ón doc docume umenta ntada da  (véanse los comentarios al concepto de Información documentada en el apartado II.3.10 Información documentada. de este libro. También También los comentarios al apartado 7.5  Información documentada del estándar ISO 37301:2021, que figuran, bajo este mismo título, en el apartado II.7.5 Información documentada, de este libro).

II.7.5. Información documentada  compliance iance es una cuestión de fondo, Generar o mantener una cultura de compl fon do, no de formas. Siendo este el objetivo trascendente de todo modelo de compl  compliance iance, podría conseguirse descuidando evidencias documentales. Sin embargo, embargo, este escenario plantearía problemas Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

256

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 organizac ización ión sufrir apuros a la hora de demosde prueba ante terceras partes, pudiendo la organ trar su cuidado al respecto. respecto. Por eso, eso, no es extraño que algunos textos legales vinculen el el mantenimiento de ciertas evidencias por documentales. El estándar ISO  compliance  compl iance conarticula 37301:2021 un MSS de tipo A (certificable), lo que mantener documentación acerca del sistem  sistemaa de gestión constituye un factor importante de cara a la revisión por parte de un tercero independiente. Cabe recordar que uno de los principios que invisten todo trabajo de revisión o auditoría es el de escepticismo profesional, que obliga a poner en duda cualquier manifestación que no venga refrendada documentalmente.

 Información documentada d ocumentada es un concepto definido dentro del capítulo 3 Términos y  definiciones del estándar ISO 37301:2021 (véase el apartado II.3.10 Información do cumentada, de este libro). Este apartado 7.5 Información documentada documentada desarrolla sus características que, no olvidemos, aplican sobre (esta distinción proviene de la nota 2 a la definición 3.10 Información documentada): • “El sistema de gestión (3.4), incluidos los procesos (3.8) relacionados. • La información creada creada para que la organización opere (documentación). • La evidencia de los resultados resultados alcanzados (registros)”. (registros)”. Como sucede también en otros apartados, el estándar ISO 37301:2021 recoge los contenidos de su antecesor ISO 19600:2014, aunque localiza algunos de ellos en el comúnmente apartado A.7.5 Información documentada del anexo A (informativo) Guía para el uso de este documento, al tratarse más bien de ejemplos que ilustran la aplicación práctica de los conceptos. Por lo demás, su estructura general y contenidos son esencialmente coincidentes.

II.7.5.1. Generalidades La organización debe mantener información documentada sobre aquellos requisitos que  Información   señala el estándar ISO 37301:2021. 37 301:2021. Figuran relacionados en el anexo I Información  documentada, de este libro.

 A CONSIDERAR. CONSIDERAR. Repositorio clave de evidencia evidencias. s.  Al margen margen ddee que sea preciso disponer de eellas llas pa para ra obten obtener er una declaración de conformidad por parte de un tercero independiente (certificación), los requisitos requisitos d  dee

información documentada que documentada que exige el estándar ISO 37301:2021 son también un modo de asegurarse de que la organización organización dispone  dispone de un repositorio de calidad con evidencias de su diligencia en materia de compliance compliance.. Por consiguiente, más allá de su utilidad a efectos de certificación, certif icación, debe interpretarse la necesidad de información documentada como documentada como una salvaguarda para la organización organización ante  ante situaciones que cuestionen su gestión. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   257

 A CO CONS NSID IDER ERAR AR.. La información documentada no es un simple requisito formal.

La información documentada acredita documentada acredita que la organización organización ha  ha observado los requisitos del requisitos  del estándar ISO 37301:2021 y, sobre todo, ha desarrollado las actividades asociadas con los mismos.  A CON CONSIDE SIDERAR. RAR. La rela relación ción de información documentada disponible como primera aproximación.

Un modo rápido de comprobar el nivel de proximidad de un sistema un sistema de gestión  gestión  respecto al estándar ISO 37301:2021 consiste en validar la concurrencia de la información documentada que requiere. De esta manera, un listado con los requi sitos de  sitos  de información  información documentada conforma documentada conforma un guion guio n de utilidad para observar, en una primera aproximación, si el sistema el sistema de gestión a gestión a analizar dispone de un marco documental aparentemente robusto. Por eso, no es extraño que algunas entidades de certificación soliciten esta información antes de comprometerse a desarrollar sus servicios de evaluación de la conformidad. Véase el anexo I Información documentada, documentada, de este libro.  Junto con los requisitos requisitos de información documentada que se señalan en cada apartado del estándar ISO 37301:2021, cabrá añadir aquellos otros que el propio  sistema de  gestión de cada organización haya incorporado.

 A CO CONSI NSIDER DERAR. AR. Información documentada necesaria, más allá del estándar.

Cuando la organización se organización  seen autoimpone requisitos adicionales  adicionales a los fijados por el estándar ISO 37301:2021 materia derequisitos información documentada, no cumplirlos compromete la evaluación de conformidad del sistema del sistema de ge gestión stión,, puesto que su existencia, características y adecuado mantenimiento pasan a ser obligatorios, en virtud de lo establecido en el apartado 7.5 Información documentada. documentada.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

258

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 información ción document documentada ada, variará en aplicación En cuanto al nivel de detalle de la  informa del principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporciona177 

, de este libro), que viene implícitamente reconocido en este apartado . Por  lidad consiguiente, no es raro observar grandes diferencias de  informa  información ción documenta documentada da  entre organizaciones, aunque siempre deberá reflejar razonablemente los requisitos de donde trae causa178.

II.7.5.2. Creación y actualización de la información documentada Cualquier evidencia no reviste automáticamente la calificación de  información docu mentada. Para que se adecúe al concepto, debe estar claramente identificada, utilizar un soporte adecuado e incorporar constancia de su revisión y aprobación.

EJEMPLO, Cajetín con información esencial.

Muchos documentos organizativos, incluidas especialmente las políticas políticas y  y los procedimientos,, incorporan un cuadro con información esencial acerca del texto. procedimientos Son contenidos típicos de este tipo de cajetines los siguientes datos: • Identificación de la norma, esto es, el nombre de la política política o  o procedimiento procedimiento.. • Naturaleza y alcance de la norma: política política o  o procedimiento procedimiento,, global o local. • Versión de la norma. • Fecha y órgano de aprobación de la norma. Suelen aparecer los cargos y las firmas de los miembros del órgano responsable de su aprobación como evidencia de su validez. • Fecha de aplicación, a partir de la cual es obligado el contenido de la norma. Habitualmente coincide con la fecha de aprobación. • Norma de cobertura: apartado del código ético o de conducta de donde deriva, o de la norma nor ma superior superior,, en caso de existi existirr textos intermedios. 177  La

nota única de este apartado hace referencia a las grandes variaciones en los contenidos de la información documentada doc umentada en virtud de factores muy habituales en la aplicación del principio de

proporcionalidad; por ejemplo: el tamaño de la  organización  y a su tipo de actividades,  procesos , productos y servicios, la complejidad de  procesos  e interacciones, la competencia de las personas  vinculadas con la organización, etc. 178 Aun rigiendo el principio de proporcionalidad, organizacione  organizacioness pequeñas pueden experimentar problemas a la hora de reflejar documentalmente algunos requisitos, circunstancia a considerar por el auditor para apuntar una  no conformidad conformi dad en su ejercicio de evaluación de la conformidad. Véanse también los comentarios en el apartado I.6.1.2 Principio de proporcionalidad prop orcionalidad , de este libro. Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

II.7 Apoyo   259

• Normas que sustituye o deroga, en el caso de que deje sin efecto textos antiantiguos. Puede derogar solo una parte del contenido de otros textos, aunque no es una técnica que favorezca un árbol de políticas políticas ordenado.  ordenado. • Normas relacionadas, incluyendo otras que pueden ser útiles a efectos interpretativos o que son necesarias para su aplicación, o textos que desarrollan sus contenidos. • Unidad de negocio a la que afecta. Normalmente Nor malmente aplicarán a toda la organización,, pero es posible que sean normas destinadas a cuestiones de compliance ción compliance   específicas de ciertas unidades de negocio. • Personal Personal al  al que afecta, que en normas de amplio espectro será todo el de la organización,, pero que puede estar limitado al personal organización personal de  de alguna unidad de negocio, a ciertas categorías profesionales, etc. • Responsable principal de la norma, que será el área, la unidad o la función que debe cuidar por su aplicación y a la que cabe plantear dudas o cuestiones acerca de su contenido. Es importante que este cajetín quede unido o asociado con la norma, ya sea en formato físico o electrónico. Algunas organizaciones organizaciones reproducen  reproducen en todas las páginas de sus normas internas (en su cabecera, por ejemplo) algunas de sus informaciones relevantes, como el título del documento, su número de versión y su fecha de emisión o aprobación. No cumplen los requisitos requisitos de  de identificación aquellos documentos soportados únicamente en hojas sueltas o ficheros informáticos que generen dudas sobre el origen y la naturaleza del texto.

II.7.5.3. Control de la información documentada La inf  inform ormaci ación ón doc docum ument entada ada debe estar bajo control, de manera que sea localizable, pueda ser empleada cuando se precise y esté protegida para evitar su pérdida o que se corrompa. El control de  informac  información ión documentad documentadaa supone darle la distribución y permitir los accesos legítimos, garantizar su almacenamiento y preservación, mantener el control de cambios, de forma que solo puedan introducirlos las personas autorizadas y un adecuado mantenimiento y custodia. Constituye también un modo de proteger la  compliance. El capítulo 9 Evaluación del desempeño se labor que desarrolla la función de compliance refiere a la información documentada que refleja el rendimiento del sistema de gestión y cuya alteración se quiere evitar incluso cuando es obra de los órganos reportados179.

el contenido de los informes de  comp  complian liance ce supone una contravención directa a la independencia de la función que se le reconoce en el apartado 5.1.3 Gobernanza del compliance y que se explica más detalladamente en el apartado A.5.1.3  La gobernanza del complianc compliancee del anexo  A (informativo) Guía para el uso de este documento. Sobre este particular, véanse las explicaciones que recoge el apartado II.5.1.3 Gobernanza del compliance, de este libro. li bro. 179  Alterar

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 

 

260

Guía práctica de compliance compliance según  según la Norma ISO 37301:2021

 A CONSIDERAR. CONSIDERAR. Transparencia y confidenci confidencialidad. alidad.

 Aunquee el estánd  Aunqu estándar ar ISO 3730 37301:2021 1:2021 ci cite te el princip principio io de transp transparenc arencia ia (véas (véasee el I.6.1.4de Principio de transparencia, transparencia , de este libro), no significa que alosconsuldatos eapartado informaciones compliance puedan compliance  puedan comunicarse o abrirse li bremente libremente tas, en especial cuando contienen información confidencial, incluyendo, pero no limitándose, a datos personal personales es o que pueden afectar a la intimidad de las personas.  A causa causa de lloo an anterio teriorr, eenn compliance compliance rige  rige el axioma “need “need to know ”, ”, esto es, solo deberían facilitarse el acceso a datos e informaciones de compliance compliance a  a aquellos sujetos que los precisen y que estén legitimados para recibirlos. En algunos casos, puede ser el personal personal en  en su conjunto (es el caso de la política de compliance compliance,, por ejemplo), pero, en otros supuestos, el acceso puede estar restringido (es el caso, por ejemplo, del documento que recoja la evaluación evalu ación de riesgos de  de compliance compliance,, las investigaciones o los informes de compliance compliance).). Los datos e informaciones relacionadas con los canales para el planteamiento de inquietudes son también ejemplos muy evidentes de información sensible en extremo y eventualmente protegida por Ley. Por consiguiente, se trata de garantizar que solo acceden a los datos e informaciones de compliance compliance quienes  quienes lo necesitan realmente y disponen de la legitimidad (autorización) pertinente, sin que esta puesta a disposición pueda suponer la pérdida de trazabilidad (conocer quién accede a ella) y atentar contra su integridad (por la eventual alteración de su contenido, corrupción del fichero, fi chero, etc.). Por aplicación del principio de subordinación a Ley (véase el apartado I.6.2.1 Principio de subordinación a Ley, Ley, de este libro), la información infor mación documentada debería considerar las medidas de protección tanto físicas como lógicas exigidas por el marco jurídico vigente. Es una circunstancia a tener especialmente en cuenta en materia de protección de datos personal personales. es. Es muy interesante la desaparición de la mención del estándar ISO 19600:2014 según la cual la información document documentada ada podría ser preparada para que tuviese la calificación de asesoramiento legal y disfrutase del “ legal privilege”. Era, sin duda, una reflexión inquietante habida cuenta que: (i)

La norma no vinculaba el compliance con la defensa jurídica de la orga nización ni con cualquier otro cometido que precisara de privilegio180.

(ii) No parecía parecía coherente coherente con un entorno colaborativo con las autoridades, autoridades, alineado con la filosofía de los estándares sobre sobre compliance.

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF