La nueva certificación AENOR de Sistema de Gestión de Compliance basada en la Norma UNE-ISO 37301, que en los próximos días publicará la Asociación Española de Normalización, UNE, se suma a las soluciones incluidas en la Plataforma de confianza: “Escalar valores corporativos” con el objetivo de impulsar la cultura del cumplimiento en un sentido amplio, facilitando la identificación y actualización de las principales obligaciones que afectan a las actividades, productos o servicios de las organizaciones.
AENOR, enfocado desde su origen en aquellas necesidades que tiene el tejido empresarial por dar respuesta a las demandas de la sociedad, no ha sido ajeno a la creciente preocupación social y empresarial por disponer de herramientas que mejoren los sistemas de vigilancia y transparencia del buen gobierno.
La nueva Norma UNE-ISO 37301 sustituye a la UNE-ISO 19600:2015, que constituía una guía de directrices para la implantación de sistemas de gestión de compliance en las organizaciones, pero que no era certificable. Y es que, la Norma UNE-ISO 37301 al contener requisitos, sí lo es. Además, completa su contenido con una guía que recoge directrices no obligatorias, pero que pueden resultar de gran ayuda para la aplicación y correcta interpretación de dichos requisitos.
Asimismo, la Norma UNE-ISO 37301 comparte la Estructura de Alto Nivel de las normas de sistemas de gestión internacionales ISO, lo que favorece la integración con otros sistemas.
Identificación de obligaciones
Como en otros sistemas de gestión, partiendo de un análisis de contexto y de partes interesadas, el sistema de gestión de compliance descrito en la UNE-ISO 37301 implica que la organización debe contar con una sistemática para la identificación y actualización de las principales obligaciones que afectan a sus productos, actividades o servicios.
Cuando se habla de obligaciones, la Norma UNE-ISO 37301 no pone el foco solo en las derivadas de leyes o reglamentos, sino en aquellas otras obligaciones relevantes para la organización y que pueden provenir de compromisos adquiridos por vía contractual, por ejemplo. La organización tiene que realizar una evaluación para analizar y valorar los riesgos derivados de los posibles incumplimientos de esas obligaciones, establecer los mecanismos de control adecuados para evitar o minimizar esos riesgos, y verificar periódicamente que esos controles son eficaces.
Como en otras soluciones de compliance son muy relevantes los requisitos relativos al liderazgo -ya que estos sistemas deben ser impulsados desde los órganos de gobierno-, los requisitos de cultura de compliance (formación, sensibilización, comunicación al personal) y la necesidad de poner a disposición los canales de comunicación adecuados para facilitar que se pueda informar de posibles incumplimientos o irregularidades.
En los Sistemas de Compliance Penal UNE 19601 y Gestión Antisoborno UNE-ISO 37001, las organizaciones tienen que identificar las potenciales situaciones de riesgo a las que podrían enfrentarse y evaluar el riesgo de que se materialicen. Con la UNE-ISO 37301, las organizaciones tienen que identificar las obligaciones y evaluar los riesgos asociados a sus posibles incumplimientos.
Además, la Norma UNE-ISO 37301 establece el conjunto de requerimientos de gestión del cumplimiento. Es decir, no se trata de cumplir con las obligaciones, sino de acreditar que se dispone de los recursos, procedimientos y procesos adecuados para gestionar adecuadamente ese cumplimiento.
Probablemente, los elementos de control que se asocian a los riesgos en las Normas UNE 19601, UNE-ISO 37001, UNE 19602 y UNE-ISO 37301 van a ser coincidentes total o parcialmente. Esto que facilita la integración de todas las soluciones de compliance, además de otros requisitos entre las distintas normas.
Función de cumplimiento
La Norma UNE-UNE-ISO 37301 contiene algunos requisitos que necesariamente implican una cierta estructura de la “función de cumplimiento”, si bien es la propia norma la que contempla su aplicación a organizaciones de todos los tamaños. Por tanto, debemos tener en cuenta que lo relevante en esa “función de cumplimiento” será que cada organización disponga de los recursos adecuados. Pero, sobre todo, que haya una formalización de esta función en su nombramiento y que se asegure su autonomía e independencia, entendidas como el acceso directo al órgano de gobierno y como ausencia de interferencia/presión indebida en relación con el ejercicio propio de la función.
Otra cuestión que se plantea en la Norma UNE-ISO 37301 es el alcance del sistema de gestión de compliance que define la organización. Este alcance debe alcanzar, como mínimo, las obligaciones más relevantes a las que la organización debe hacer frente en el ejercicio de sus actividades, elaboración de sus productos o prestación de sus servicios. Es decir, el sistema de gestión de compliance debe tener una cobertura razonable de las obligaciones cuyo incumplimiento supone un riesgo importante para la organización, tanto por las posibles sanciones derivadas como por el impacto reputacional y de pérdida de confianza que puede causar en sus partes interesadas.
La auditoría externa de certificación del sistema de gestión de compliance de acuerdo con la Norma ISO 37301 realizada por un tercero independiente, como es el caso de AENOR, es una de las maneras más fiables, eficaces y transparentes de evidenciar el compromiso explícito y público de la organización y sus líderes con la cultura de cumplimiento.
El próximo 17 de junio a las 12h AENOR y Lefebvre celebran el webinar gratuito relacionado con la materia "ISO 37301 vs. 19600: Las principales claves de la nueva norma de sistema de gestión de compliance".
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación