Nuevas normas de compliance: herramientas de buena gobernanza

Podemos considerar la “confianza” como la esperanza firme que se tiene en algo o en alguien que “cumple”, que no falla. Se trata de un sentimiento fundamental para nuestra sociedad sin el cual no podríamos convivir. Pero la confianza es necesaria no solo en el ámbito de las relaciones entre las personas; también lo es cada vez más en el de las relaciones entre organizaciones y en el de las relaciones entre estas y sus partes interesadas. Por ello, las organizaciones tienen la necesidad de demostrar a su entorno, que son “creíbles” en sus compromisos; que la confianza que se deposita en ellas es merecida.

Compliance quiere decir “cumplimiento de obligaciones”, entendiendo por tales tanto exigencias que vienen impuestas de forma externa, vía legislación o vía contrato, por ejemplo, como aquellas que tienen su origen en compromisos asumidos de forma voluntaria (incluidas las de carácter ético).

La primera norma internacional en materia de compliance, la Norma ISO 19600 Sistemas de gestión de compliance. Directrices, publicada en 2014 y adoptada en 2015 como UNE-ISO 19600, proporcionaba “recomendaciones” a organizaciones de cualquier tipo sobre sobre cómo implantar un sistema de gestión de compliance. Varios años después de su publicación, y respondiendo a necesidades del mercado, se sustituirá por la Norma ISO 37301 Sistemas de gestión de compliance. Requisitos con orientación para su uso, que se publicará próximamente.

La diferencia más obvia entre ambas es que la Norma ISO 37301, al establecer “requisitos”, permite que las organizaciones puedan demostrar ante sus partes interesadas, a través de una certificación del sistema que hayan implantado, su compromiso de cumplir y su capacidad de reducir al máximo el “riesgo de cumplimiento”.

Profundizando en el contenido técnico de las dos normas, observamos que la ISO 37301 incorpora novedades que ofrecen una visión actualizada y más madura de la disciplina del compliance. Así, por ejemplo, dibuja de forma más clara y definida las responsabilidades de la función de compliance; impulsa, como veremos más adelante, los sistemas para el planteamiento de inquietudes (también denominados canales de denuncias) como herramienta fundamental para el control y la generación de una cultura de compliance; e incluye la conducta de las personas como elemento que hay que incorporar en el análisis de los riesgos de compliance.

Con la próxima publicación de la UNE-ISO 37301, que permite implantar un compliance transversal que abarque diferentes ámbitos, es fácil que muchas organizaciones se pregunten cuál es la relación que guarda esta norma con otras normas preexistentes que abordan ámbitos específicos del compliance. Que una organización tenga implantado un sistema de gestión transversal no implica que necesariamente esté dando satisfacción a todos los requisitos y controles específicos que establece la Norma UNE-ISO 37001 para la prevención del soborno, la UNE 19601 para el compliance penal o la UNE 19602 para el compliance tributario. De hecho, podría suceder que una misma organización tuviera varios sistemas de gestión de compliance implantados de forma integrada para cubrir y gestionar diferentes bloques de riesgos. Será elección de cada organización decidir qué sistema o sistemas implantar en función de sus necesidades y riesgos.

Al hablar de los nuevos avances de la normalización en materia de compliance, es obligado dar visibilidad a dos nuevos proyectos de ISO íntimamente relacionados con esa disciplina.

La futura ISO 37002 proporcionará una guía para que las organizaciones puedan establecer un sistema de gestión de los canales de denuncias basado en los principios de confianza, imparcialidad y protección.

Será útil para aquellas organizaciones que, de forma voluntaria, quieran mejorar sus políticas y procesos en relación con los canales de denuncia y para quienes deseen aplicarla con el fin de dar respuesta eficazmente a exigencias de la legislación. Es el caso de la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

Al establecer únicamente recomendaciones no será una norma certificable. Se adoptará como Norma UNE-ISO 37002 y su publicación está prevista para el segundo semestre de 2021.

El segundo proyecto de norma ISO al que queremos referirnos es el ISO/DIS 37000 Gobernanza de las organizaciones. Son los órganos de gobierno de las organizaciones los que, con el fin de contar con una cultura de cumplimiento e integridad, impulsan desde el más alto nivel la implantación de sistemas de gestión del compliance, y así lo indica esta futura norma.

Pero el valor real de la futura UNE-ISO 37000 se centra en orientar a las organizaciones acerca de su “propósito”, de su razón de ser. Establece principios, prácticas y un marco de referencia para ayudar a sus órganos de gobierno a llevar a cabo una buena gobernanza que cree valor en el largo plazo de forma coherente con las expectativas de sus partes interesadas.

No incorpora un sistema de gestión y tampoco se trata de una norma certificable y su publicación se prevé para el segundo semestre de 2021. Cuatro años ha empleado ISO en su desarrollo; pero el esfuerzo habrá merecido la pena, pues marcará un hito al lograr un lenguaje común, un consenso global a la hora de entender qué es la buena gobernanza de las organizaciones, con independencia de su tipo, tamaño, ubicación, estructura o propósito.

Las normas y proyectos internacionales que se han presentado en este artículo son competencia del comité internacional ISO/TC 309 Gobernanza de las organizaciones, integrado por 56 países activos y 21 actuando como observadores. España participa activamente en él a través de los subcomités CTN/165 SC 1 Gobernanza y canales de denuncia y CTN/165 SC 3 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, cuya secretaría desempeña UNE.

Todos estos trabajos de normalización ayudan a un comportamiento ético, un desempeño eficaz y una administración responsable de las organizaciones, logros necesarios para hacer realidad el gran reto global de nuestros días: la consecución de la agenda 2030 planteada por Naciones Unidas a través de los Objetivos de Desarrollo Sostenible (ODS). Contribuirán, de forma muy especial, a “la reducción sustancial de la corrupción y el soborno en todas sus formas (16.5)”, “la creación a todos los niveles de instituciones eficaces y transparentes que rindan cuentas (16.6)” y a “la adopción en todos los niveles de decisiones inclusivas, participativas y representativas que respondan a las necesidades (16.7)”, todas ellas, metas del ODS 16 Paz, justicia e instituciones sólidas.

Sería equivocado considerar que el nuevo Estándar ISO 37301:2021 sobre sistemas de gestión del compliance, publicado pasado 13 de abril, es una actualización superficial de la norma antecesora ISO 19600:2014, o su mera conversión a formato certificable. Sus contenidos se reformulan para adecuarlos al estado actual del arte, y una buena parte de ellos pasan a integrarse en un nutrido anexo informativo. Además, incorpora novedades relevantes, como son los apartados dedicados a los procesos para el planteamiento de inquietudes, procedimientos de investigaciones o las cautelas que hay seguir en la contratación o promoción de personas. Son, todos ellos, aspectos que han ganado relevancia en los últimos años y que no estaban suficientemente tratados en el texto inicial.

El Estándar ISO 37301:2021 sigue la senda que inició su norma antecedente en cuanto a la importancia de los aspectos culturales para lograr los objetivos de compliance. Queda patente que una adecuada cultura corporativa solo se genera o mantiene cuando los máximos órganos de gestión social fijan los valores de la organización, los difunden y se preocupan porque deriven en conductas alineadas con ellos, predicando siempre desde el ejemplo. Es significativo que este estándar sea el primero de los publicados hasta ahora por ISO en materia de compliance que incorpora “conducta” como término definido. Es, sin duda, una indicación de la importancia que está tomando el compliance como palanca para cultivar la integridad de las personas y no como simple herramienta de control o penalización.

Las primeras normas internacionales que afectaban directamente a las responsabilidades de los Compliance Officers fueron la ISO 37001 de sistemas de gestión antisoborno y la ISO 19600 de sistemas de gestión del compliance, ambas publicadas en 2014. Estos dos textos supusieron un importante hito en la profesionalización de la función de compliance en España, ya que contar con estándares acordados en el ámbito internacional en los que se definen los criterios para medir la efectividad de los sistemas de gestión del compliance conlleva la definición de las tareas y requisitos que debe cumplir el responsable de la función.

Unos años después comenzaron los trabajos para elaborar otras tres normas de gran importancia para nuestra función, que se publicarán en 2021. Se trata de la ISO 37301 de sistemas de gestión del compliance que, además de ser una norma certificable, amplía y mejora de forma muy sustancial el contenido de la ISO 19600; la ISO 37002 de sistemas de gestión de denuncias de irregularidades y la ISO 37000 de guía para la gobernanza de las organizaciones.

Estas tres nuevas normas consolidan la definición del marco de actuación de los Compliance Officers, al aclarar y especificar muchos aspectos de crucial importancia para nuestra profesión. La ISO 37301, tras definir los requisitos que debe cumplir un sistema de gestión del compliance, incluye como anexo una completísima guía que detalla muchos conceptos y aporta ejemplos que ofrecen gran valor a las personas que deben aplicarlos. Por su parte, la ISO 37002 analiza los requisitos que deben cumplir los canales de denuncias, algo esencial para la función de compliance; y la ISO 37000 da recomendaciones sobre cómo cumplir con los principios que hay que respetar al definir los ámbitos de gobernanza en una organización, pilar sobre el que debe sustentarse un sistema de gestión del compliance eficaz.

Resulta difícil cuestionar la relevancia que está adquiriendo el Compliance. Pero, aun siendo esta una realidad, también lo es la necesidad de contar con un marco común que sirva de guía en el proceso de asimilación de la función por las estructuras organizativas.

Esa necesidad podría solucionarse mediante una aproximación jurídica. Sin embargo, pecaría, en mi opinión, de cierta artificialidad (por qué regular esta función y no otras), y, asimismo, comprometería la necesaria flexibilidad que requieren los programas de Cumplimiento.

La actividad normalizadora es, sin duda, una herramienta idónea para suplir esa falta de regulación jurídica. Pero, con una virtud adicional, pues la ISO 37301 es un instrumento aplicable a todas aquellas disciplinas que, de acuerdo con la imprescindible evaluación de riesgos, hayan podido definirse en la política de Compliance de una organización, y en sus normas de desarrollo.

Además, sus planteamientos deben ser bien recibidos. Especialmente, sus reflexiones acerca de: las obligaciones implícitas en la función (algunas directas, como la necesaria evaluación de riesgos, y, las más, obligaciones de desplegar una actividad exenta, por imposible, de garantías en cuanto a su resultado); el valor del propio producto de Compliance, mayor cuanto más fundamentado en la legitimidad del ejercicio de dicha función; el principio de priorización que nos recuerdan las guías emitidas por autoridades anglosajonas; y la concepción del Cumplimiento como una herramienta al servicio del reforzamiento de la cultura empresarial.

Pudiera parecer que las grandes organizaciones, que han venido desarrollando sus programas en los últimos años, no apreciarán esta iniciativa. Sin embargo, mi conclusión es la inversa: la norma será recibida por ellas como agua de mayo (pues en mayo se publicará), no solamente por su contribución a la flexibilidad en cuanto al concepto de “organización”, sino también por su versatilidad para acoger las diferentes sensibilidades de cada compañía.

Hace ya más de diez años que entró en vigor en España la reforma del Código Penal de 2010, que introdujo por primera vez en nuestro Derecho una exigencia de carácter general que obligaba a las empresas a implementar un sistema eficaz de supervisión y control de cumplimiento normativo y de prevención del delito, lo que frecuentemente denominamos Corporate Compliance. Sin embargo, la reforma del Código Penal se limitaba entonces a la imposición del deber, pero era completamente inexplícita en la definición de los requisitos que debía cumplir el modelo de compliance que hay que implementar.

La reforma del Código Penal del año 2015 corrigió en cierta medida este déficit normativo, aunque solo muy parcialmente: apenas dedicó un único artículo a una definición raquítica sobre el contenido y requisitos que debían cumplir los modelos de compliance en las empresas.

Desde entonces, la jurisprudencia y la Fiscalía General del Estado (su Circular 1/2016 es el mejor exponente) han colaborado sin duda a concretar el alcance de la exigencia normativa de compliance. Pero la jurisprudencia y el Ministerio Público son lentos y las empresas demandan con urgencia unas pautas claras y precisas, un marco de referencia que les permita cumplir con sus obligaciones normativas, además de fortalecer su cultura corporativa y de cumplimiento.

Los esfuerzos de estandarización y normalización impulsados en España por la Asociación Española de Normalización, UNE, han suplido en gran medida la falta de seguridad jurídica existente. La UNE 19601, la ISO 37001, la UNE 19602 y, últimamente, la ISO 37301 son las únicas guías consolidadas, indispensables y de aceptación general existentes para la interpretación, actuación, implantación y diseño de programas de compliance.