Embed Size (px)
Citation preview
Gu
ía práctica de complian
ce según
la Norm
a ISO 3730
1:2021
Guía práctica de compliance según la Norma ISO 37301:2021
Alain Casanovas Ysla
Guía práctica de compliance según la
Norma ISO 37301:2021
Guía práctica de compliance según la
Norma ISO 37301:2021
Alain Casanovas Ysla
Título: Guía práctica de compliance según la Norma ISO 37301:2021
Autor: Alain Casanovas Ysla
© AENOR Internacional, S.A.U., 2021
Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR Internacional, S.A.U.
ISBN: 978-84-17891-37-4
Depósito legal: M-13268-2021
Impreso en España – Printed in Spain
Edita: AENOR Internacional, S.A.U.
Maqueta: BLOCK Comunicaciones
Diseño de cubierta: AENOR Internacional, S.A.U.
Impresión: StockCero
Nota: AENOR Internacional, S.A.U. no se hace responsable de las opiniones expresadas por el autor en esta obra.
Génova, 6. 28004 Madrid Tel.: 914 326 036 • [email protected] • www.aenor.com
Dedicado a la comunidad de compliance
Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Abreviaturas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Parte I Historia y características del estándar ISO 37301:2021
I.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25I.1.1. El estándar AS 3806:2006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25I.1.2. El estándar ISO 19600:2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
I.2. La HLS de ISO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27I.3. El proceso de normalización del estándar ISO 37301:2021. . . . . . . . . . . . 31I.4. El estándar ISO 37301:2021 como sistema de gestión. . . . . . . . . . . . . . . . 33
I.4.1. De los programas de compliance a los sistemas de gestión . . . . . . . . . 33I.4.2. La normalización internacional en materia de compliance tiende a los sistemas de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
I.4.3. El estándar ISO 37301:2021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35I.5. Singularidades del estándar ISO 37301:2021 . . . . . . . . . . . . . . . . . . . . . . 37
I.5.1. El estándar ISO 37301:2021 y la cultura de compliance . . . . . . . . . . . 37I.5.2. Las dos fuentes de obligaciones de compliance . . . . . . . . . . . . . . . . . . 40I.5.3. Las no conformidades y los no cumplimientos de compliance . . . . . . . . 42
I.6. Principios rectores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45I.6.1. Principios explícitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
I.6.1.1. Principio de buen gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . 46I.6.1.2. Principio de proporcionalidad . . . . . . . . . . . . . . . . . . . . . . . . 46
Índice
9
Guía práctica de compliance según la Norma ISO 37301:202110
I.6.1.3. Principio de integridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
I.6.1.4. Principio de transparencia . . . . . . . . . . . . . . . . . . . . . . . . . . 50
I.6.1.5. Principio de responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . 50
I.6.1.6. Principio de sostenibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . 51
I.6.2. Principios implícitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
I.6.2.1. Principio de subordinación a Ley . . . . . . . . . . . . . . . . . . . . . 52
I.6.2.2. Enfoque basado en el riesgo . . . . . . . . . . . . . . . . . . . . . . . . 53
I.6.2.3. Principio de seguridad razonable . . . . . . . . . . . . . . . . . . . . . 58
I.6.2.4. Principio de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . 60
Parte II Comentarios al contenido del estándar ISO 37301:2021
II.0. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
II.1. Objeto y campo de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
II.2. Referencias normativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
II.3. Términos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
II.3.1. Organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
II.3.2. Parte interesada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
II.3.3. Alta dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
II.3.4. Sistema de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
II.3.5. Política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
II.3.6. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
II.3.7. Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
II.3.8. Proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
II.3.9. Competencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
II.3.10. Información documentada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
II.3.11. Desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
II.3.12. Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
II.3.13. Eficacia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
II.3.14. Requisito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
II.3.15. Conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
II.3.16. No conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
II.3.17. Acción correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
II.3.18. Auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
II.3.19. Medición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
II.3.20. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
II.3.21. Órgano de gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Índice 11
II.3.22. Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97II.3.23. Función de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98II.3.24. Riesgo de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100II.3.25. Obligaciones de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101II.3.26. Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102II.3.27. No cumplimiento de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 104II.3.28. Cultura de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105II.3.29. Conducta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106II.3.30. Tercera parte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107II.3.31. Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
II.4. Contexto de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111II.4.1. Comprensión de la organización y de su contexto . . . . . . . . . . . . . . . 114II.4.2. Comprensión de las necesidades y expectativas
de las partes interesadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116II.4.3. Determinación del alcance del sistema de gestión del compliance . . . 121II.4.4. Sistema de gestión de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 126II.4.5. Obligaciones de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127II.4.6. Evaluación de los riesgos de compliance . . . . . . . . . . . . . . . . . . . . . 130
II.5. Liderazgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149II.5.1. Liderazgo y compromiso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
II.5.1.1. Órgano de gobierno y alta dirección . . . . . . . . . . . . . . . . . 151II.5.1.2. Cultura de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164II.5.1.3. Gobernanza del compliance. . . . . . . . . . . . . . . . . . . . . . . . 167
II.5.2. Política de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171II.5.3. Roles, responsabilidades y autoridades . . . . . . . . . . . . . . . . . . . . . . 190
II.5.3.1. Órgano de gobierno y alta dirección . . . . . . . . . . . . . . . . . . 191II.5.3.2. Función de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . 195II.5.3.3. Dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207II.5.3.4. Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
II.6. Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213II.6.1. Acciones para abordar los riesgos y oportunidades . . . . . . . . . . . . . . 213II.6.2. Objetivos de compliance y planificación para lograrlos . . . . . . . . . . . 216II.6.3. Planificación de los cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
II.7. Apoyo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225II.7.1. Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226II.7.2. Competencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
II.7.2.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Guía práctica de compliance según la Norma ISO 37301:202112
II.7.2.2. Proceso de empleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231II.7.2.3. Formación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
II.7.3. Toma de conciencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244II.7.4. Comunicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249II.7.5. Información documentada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
II.7.5.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256II.7.5.2. Creación y actualización de la información documentada . . 258II.7.5.3. Control de la información documentada . . . . . . . . . . . . . . . 259
II.8. Operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261II.8.1. Planificación y control operacional . . . . . . . . . . . . . . . . . . . . . . . . . 262II.8.2. Establecimiento de controles y procedimientos . . . . . . . . . . . . . . . . . 265II.8.3. Planteamiento de inquietudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267II.8.4. Procesos de investigación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
II.9. Evaluación del desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283II.9.1. Seguimiento, medición, análisis y evaluación . . . . . . . . . . . . . . . . . . 284
II.9.1.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284II.9.1.2. Fuentes de opinión sobre el desempeño del compliance . . . 287II.9.1.3. Desarrollo de indicadores . . . . . . . . . . . . . . . . . . . . . . . . . 289II.9.1.4. Informes de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 290II.9.1.5. Mantenimiento de registros . . . . . . . . . . . . . . . . . . . . . . . . 293
II.9.2. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293II.9.3. Revisión por la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
II.10. Mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311II.10.1. Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312II.10.2. No conformidades y acciones correctivas . . . . . . . . . . . . . . . . . . . . 313
Anexo I. Información documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Anexo II. Preguntas frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Sobre el autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
13
Presentación
Los principios sobre los que se fundamenta la credibilidad y confianza de la activi-dad de normalización: la transparencia, el consenso, la imparcialidad, la apertura y diversidad, han evidenciado en estos últimos años su enorme potencial para aportar soluciones a los grandes temas que preocupan a la sociedad y a las empresas para llegar a crear normas en disciplinas como la ética, la responsabilidad social, la gober-nanza y el compliance. La normalización da respuesta eficaz a los grandes desafíos de las organizaciones.
La normalización posibilita que las partes interesadas pongan en común sus necesi-dades y sus conocimientos para ofrecer soluciones técnicas (las normas) que ayudan a lograr un mundo más seguro, desarrollado y sostenible; y es por ello, que terminará estando presente en cualquier ámbito en el que se detecte la necesidad de llevar a cabo una ordenación o de establecer un lenguaje común.
El compliance irrumpe en el mundo de la normalización internacional en el año 2013 en el que, desde la Organización Internacional de Normalización (ISO), dando respuesta a las necesidades del mercado, se decide empezar a trabajar en una norma que pueda convertirse en referente internacional para las organizaciones a la hora de entender qué es el compliance y cómo gestionar los riesgos de cumplimiento a los que se enfrentan.
España, a través de la Asociación Española de Normalización, UNE, y del ahora órgano técnico CTN 165/SC3 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, se sumó entonces de forma inmediata y activa a los trabajos interna-cionales. En 2014, se publicó la Norma ISO 19600 Sistemas de gestión de compliance. Directrices, posteriormente adoptada como norma española UNE-ISO 19600. Este documento ayudó a que en nuestro país el compliance pasase, de ser una disciplina prácticamente exclusiva de empresas multinacionales o de sectores muy regulados,
Guía práctica de compliance según la Norma ISO 37301:202114
a ser foco de interés para todas aquellas organizaciones preocupadas por sus riesgos corporativos, especialmente tras la reforma del Código Penal de 2015.
Esta norma proporcionaba únicamente recomendaciones en materia de compliance y de ahí que pocos años después de su publicación, y respondiendo a la demanda del mercado, haya sido preciso trabajar en su revisión para transformarla en una norma también de requisitos. Es así como se llega a la publicación de la Norma ISO 37301 Sistemas de gestión de compliance. Requisitos con orientación para su uso. Esta norma ofrece una visión más madura y evolucionada del compliance, pero no sólo eso, el sistema de gestión que establece permite a las organizaciones demostrar su compromiso para cumplir con las leyes y con otros compromisos asumidos de forma voluntaria (incluidos lo de carácter ético) y poder hacer visible ese compromiso ante sus grupos de interés a través de una posible certificación.
Como Director General de UNE y como miembro del Consejo de Administración de ISO, es para mí un enorme honor prologar la Guía práctica de compliance según la Norma ISO 37301:2021, de Alain Casanovas, que va a permitir a las organiza-ciones y a los expertos en compliance entender, interpretar y aplicar esta norma, tan necesaria.
La Norma ISO 37301:2021, por su carácter de norma de alto impacto, cuenta con una versión ISO oficial en español, fruto del trabajo del grupo de traducción al es-pañol, ISO/TC 309/STTF (Spanish Translation Task Force), compuesto por 12 países de habla hispana. La Norma ISO 37301 en español ha sido adoptada como Norma UNE-ISO 37301, con contenido idéntico.
En este libro encontramos un contenido privilegiado. La actuación de su autor como presidente del órgano técnico de normalización nacional de compliance (CTN 165/SC3), su participación como delegado y experto español en el comité internacional y los grupos de trabajo que la han elaborado (ISO/TC 309 Governance of organizations), así como su dilatada experiencia profesional en la implementación de sistemas de gestión de compliance, le hacen poseedor de un conocimiento único sobre la letra y el espíritu de la norma a nivel internacional, y sobre cómo trasladar ese conocimiento de forma práctica.
Antes de despedir estas líneas no quiero dejar de plasmar algunos agradecimientos: gracias a ISO por continuar atendiendo los retos de la sociedad aportando soluciones globales; gracias a las entidades españolas del CTN 165/SC3, por hacer posible la participación española en los foros internacionales de normalización en el ámbito del compliance; gracias a Alain Casanovas por compartir su sabiduría y su dilatada expe-riencia; y gracias a la Dirección de Servicios de Información Sectorial y a la editorial de AENOR por contribuir a la difusión de la normalización y del conocimiento con el rigor de siempre.
Presentación 15
Confío en que tanto la norma, como este libro, impulsen de manera definitiva a nivel mundial la cultura del compliance, y con ella la de la integridad y la sostenibilidad. Algo coherente con la misión de UNE de impulsar la mejora de la competitividad de nuestros sectores económicos y el bienestar social.
Javier García
Director General
Asociación Española de Normalización, UNEy miembro del Consejo de Administración de ISO
17
Prólogo
La evolución de un estándar
El impacto del estándar australiano AS 3806:2006 Compliance Programs trascendió sus fronteras. Sería equivocado decir que fue el primer texto sobre compliance, pues era una materia ya tratada en documentos de recomendaciones tanto nacionales como internacionales. Sin embargo, estos textos hacían referencia a mercados o sectores regulados (banca, principalmente) o a riesgos de compliance específicos (especialmente los de soborno). El acierto del estándar australiano fue brindar una visión del com-pliance apta para cualquier tipo de organización y materia.
Tanto ISO como las entidades de normalización nacionales que la integran solo redactan estándares cuando advierten su conveniencia: su objetivo no es generar necesidades, sino dar respuesta a las mismas. Por su gran aceptación, está claro que el estándar AS 3806:2006 fue una respuesta acertada a la demanda de los agentes sociales y econó-micos. Considerando el éxito que había tenido en otros países, se valoró y aceptó producir un estándar internacional que lo tomaría como punto de partida. Así, en 2013 se obtuvo el consenso para iniciar el proceso de elaboración del estándar ISO 19600. En aquel momento no se consideró que fuese preciso configurarlo como un MSS de tipo A (certificable), al no percibirse tal necesidad. Sucedió lo contrario con el estándar ISO 37001 sobre sistemas de gestión antisoborno donde, comenzando su proceso de normalización muy poco tiempo después, sí se convino que fuera certificable.
La divulgación general del compliance en la sociedad suele darse a raíz de regulaciones que afectan a un amplio espectro de sujetos. La lucha contra la corrupción y la preven-ción de determinados actos criminales está provocando la exigencia de mecanismos de compliance en entidades de cualquier tamaño y sector en diferentes países. Esto contribuye a generalizar este concepto de compliance.
No obstante, y una vez puesto el foco inicial en la prevención de los no cumplimien-tos de compliance más graves –los de naturaleza criminal–, la progresión normal en
Guía práctica de compliance según la Norma ISO 37301:202118
la curva de madurez de las organizaciones lleva a poner medios para la prevención, detección y gestión temprana del resto de no cumplimientos de compliance que pueden comprometerlas igualmente. En este escenario, adquiere importancia disponer de un estándar capaz de generar confianza en el mercado, susceptible soportar procedimientos de verificación de la conformidad con su contenido. Es decir, la necesidad de facilitar al mercado un estándar certificable.
Esta evolución, junto con la constante progresión de las buenas prácticas en materia de compliance, propició la revisión de la norma ISO 19600:2014. Esta iniciativa coin-cide con la agrupación de los estándares ISO sobre compliance bajo la serie 37000 de normas, encabezada por el primer sistema de gobierno de las organizaciones.
Desde una perspectiva muy simple, se podría pensar que el estándar ISO 37301:2021 es solo la versión certificable de la norma previa ISO 19600:2014. Pero esta visión sería completamente errónea: su contenido no solo aborda materias que no fueron reguladas con anterioridad (como los procesos de empleo, el proceso para el planteamiento de inquietudes o el de investigaciones, por ejemplo), sino que también se tratan las clásicas de manera distinta (el gobierno de compliance o la cultura de compliance, por ejemplo). Se hace eco de nuevas prácticas generalmente aceptadas en la comunidad internacional, de un tiempo a esta parte.
Responsabilidad frente a la comunidad de compliance
Al haber participado como experto en los comités de normalización de los estándares ISO 19600:2014 e ISO 37001:2016, era depositario de una responsabilidad ante la comunidad de compliance: trasladar la trascendencia del estándar ISO 37301:2021 y brindar informaciones útiles para su interpretación.
Como partícipe en los debates entre expertos que han concluido en el texto actual, me sentía obligado a trasladar la lógica de sus disposiciones, el porqué de su redacción y, sobre todo, señalar sus omisiones deliberadas. Solo así se adquiere plena conciencia de su orientación. El lector puede así disfrutar de una visión de primera línea de la norma, que le ayudará a aplicarla de forma certera.
Algunas convenciones
Los estándares son de aplicación voluntaria y no tienen ni la vocación ni la naturaleza de un texto jurídico. Sus conceptos son siempre organizativos y huyen de términos legales que vinculen el contenido de las normas a una tradición jurídica o que con-dicionen la interpretación de sus requisitos. Esto se observa en la propia definición de organización que emplean los sistemas de gestión ISO, que no es equivalente a la de persona o entidad jurídica que se halla en algunos textos legales sobre compliance.
Prólogo 19
Sin perjuicio de lo anterior y a efectos didácticos, a lo largo de este libro me refiero ocasionalmente a algunas normas de Derecho comparado o conceptos que provienen del mundo legal. Así, mencionaré la willful blindness (ignorancia deliberada, véase el apartado II.4.6 Evaluación de los riesgos de compliance, de este libro), el duty of enquiry (deber de mantenerse informado, véanse los apartados II.5.1.1 Órgano de gobierno y alta dirección y II.5.1.3 Gobernanza de compliance, ambos de este libro) o la business judgement rule (discrecionalidad empresarial, véanse los apartados II.4.6 Evaluación de los riesgos de compliance y II.9.3 Revisión por la dirección, ambos de este libro), por ejemplo. Son conceptos habituales en la esfera legal, aunque no están vinculados a ningún sistema jurídico en concreto.
Los ejemplos
Las diferentes circunstancias que afectan a las organizaciones y la aplicación del prin-cipio de proporcionalidad (véanse los comentarios del apartado I.6.1.2 Principio de proporcionalidad, de este libro), llevan inevitablemente a que existan infinitas maneras de plasmar los requisitos del estándar ISO 37301:2021 ante casos concretos. Bajo este entendimiento, carece de sentido proponer “modelos” de sus diferentes requisitos, que pueden ser excesivos para algunas organizaciones o insuficientes para otras. Proponer “modelos” evoca el one fit all, que es precisamente lo que tratan de evitar los siste-mas de gestión ISO. La adaptación de los requisitos del estándar a las circunstancias concretas de cada organización es clave para su eficacia.
No obstante, este libro incorpora abundantes ejemplos puntuales, reflexiones e incluso propuestas en búsqueda de la excelencia en compliance. Son formas de completar las explicaciones aportando una visión práctica, que en modo alguno pretende ser la única y excluir otras muchas aproximaciones.
Mis deseos respecto a este libro
Confío en que este libro resulte de utilidad a los profesionales comprometidos con el compliance. He tratado de volcar en él mi experiencia y conocimientos del estándar ISO 37301:2021, habiendo vivido no solo su desarrollo, sino también, el de normas precedentes. Soy consciente de lo difícil que es cubrir exhaustivamente todos sus aspectos y brindar ejemplos que encajen en la totalidad de casuísticas. Conocedor de mis limitaciones al respecto, mi pretensión se ha centrado en redactar una obra rigurosa que ayude a interpretar y aplicar este estándar de compliance global. Si su contenido ayuda verdaderamente al lector, además de un objetivo cumplido será una gran satisfacción personal.
Alain Casanovas
Parte I
Historia y características del estándar
ISO 37301:2021
25
I.1
El estándar ISO 37301:2021 es el resultado de un proceso de normalización interna-cional sobre sistemas de gestión de compliance cuyo objeto era actualizar y sustituir a la norma ISO 19600:2014. Este texto fue el primero en el que se utilizó la denominada “estructura de alto nivel” (High Level Structure, HLS), sobre la que se hablará en el capítulo I.2 La HLS de ISO, de este libro, para articular un sistema de gestión dedicado exclusivamente al compliance. Esta norma, a su vez, estaba basada en los contenidos del estándar nacional AS 3806:2006 2.
I.1.1. El estándar AS 3806:2006
La norma australiana AS 3806:2006 es el primer estándar nacional que se proyecta en el ámbito del compliance con un enfoque general. Australian Standards, reputada orga-nización independiente sin ánimo de lucro, reconocida por el Gobierno de Australia y miembro de ISO, encomendó este proyecto de normalización a su comité especializado QR-0143. El texto del estándar fue aprobado en el Consejo de dicha organización celebrado el 23 de enero de 2006, sustituyendo a la antigua norma AS 3806:1998.
2 Cuando se aprecia la utilidad internacional de un estándar publicado por una entidad nacional de normalización, se puede impulsar un proyecto de normalización internacional (ISO) sobre la base de sus contenidos.3 Es significativa la composición del grupo de trabajo que otorgó al estándar sobre programas de compliance una fuerte legitimidad: Australian Competition and Consumer Comisión, Australian Com-pliance Institute, Australian Record Industry Association, Australian Securities and Investments Commis-sion, Australian Taxation Office, Consumer’s Federation of Australia, Law Council of Australia, Society of Consumer Affairs Professionals, The Institute of Internal Auditors-Australia, University Western Sydney.
Antecedentes
Guía práctica de compliance según la Norma ISO 37301:202126
Esta norma brindaba principios para desarrollar y mantener programas de compliance eficaces, tanto para organizaciones públicas como privadas. A tales efectos, articulaba doce principios fundamentales que apuntalaban un programa de compliance, vinculando cada uno de ellos con determinadas buenas prácticas. No obstante, toda esta serie de elementos estaba regulada en forma de programa y no como un sistema de gestión (véanse los comentarios del capítulo II.4 Contexto de la organización, de este libro).
Pese a ser un estándar local, este texto adquirió una notable difusión internacional, no solo por ser el primero de amplio alcance objetivo y subjetivo4, sino también, por la claridad y el enfoque práctico de sus contenidos.
I.1.2. El estándar ISO 19600:2014
El estándar australiano AS 3806:2006 fue la base de trabajo para elaborar el primer estándar internacional en materia de compliance: la que sería norma ISO 19600:2014. A tales efectos, ISO constituyó el Project Committee ISO/PC 271, presidido por Mar-tin Tolar5 y que acogió a expertos de 14 países. El texto australiano AS 3806:2006 fue adaptado a la HLS (véase el capítulo I.2 La HLS de ISO, de este libro), objeto de debate en diversas sesiones plenarias6, publicándose finalmente en diciembre de 2014 bajo la forma de un MSS de Tipo B7 (no certificable).
4 El texto fue diseñado para proyectarse sobre un amplio espectro de organizaciones y materias. No era un estándar sectorial destinado a cubrir ciertos ámbitos regulatorios, en particular. 5 Martin Tolar ha ostentado cargos directivos en el GRC Institute (Australia), vinculado con la creación del AS 3806:2006. También ha presidido la International Federation of Complace Associations (IFCA).6 Se mantuvieron tres sesiones plenarias. La primera tuvo lugar del 8 al 12 de abril de 2013 en Sídney, Australia, siendo Australian Standards la entidad anfitriona. La segunda se celebró del 14 al 18 de octubre de 2013 en París, Francia, siendo la Association Française de Normalisa-tion (AFNOR) la entidad anfitriona. La tercera y última sesión plenaria se mantuvo del 7 al 11 de julio de 2014 en Viena, Austria, siendo la organización anfitriona el Austrian Standards Institute (ASI).7 El diseño de un MSS de Tipo B o de directrices, no es adecuado para que su aplicación sea objeto de certificación. En el momento de iniciar la normalización del estándar, no se consideró que existía justificación suficiente (demanda social) para generar un estándar certificable (los estándares ISO no pretenden generar necesidades sino responder a ellas). Por otra parte, tomaba como punto de partida la norma local AS 3806:2006, que tampoco era certificable.En relación con las diferencias entre Management System Standards (MSS) de tipo A y de tipo B, véanse las explicaciones en el capítulo I.2 La HLS de ISO, de este libro. En cualquier caso, el empleo de la HLS era potestativo en MSS de tipo B, a pesar de lo cual se decidió aplicar.
27
El Grupo ISO de coordinación técnica sobre sistemas de gestión ideó la llamada estructura de alto nivel (High Level Structure, HLS) para que los estándares sobre sistemas de gestión (Management System Standards, MSS) elaborados a través de dicha organización tuvieran una estructura común, así como unas definiciones y unos contenidos básicos equiparables8.
La regulación sobre la HLS distingue entre en MSS de tipo A y B9, siendo los primeros aquellos que proporcionan especificaciones y admiten certificar la con-formidad con sus contenidos, mientras que los segundos brindan líneas directrices y no son certificables10.
I.2La HLS de ISO
8 La HLS regula en el documento ISO/IEC Directives–Part I–Consolidated ISO Supplement -Proce-dures specific to ISO, Annex L Appendix II High level structure, identical core text, common text and core definitions, 10.ª ed., 2019. Es un documento de acceso público a través de internet, que incluye sus eventuales revisiones. Los MSS (Management System Standards) de tipo A (certificables), como lo es el estándar ISO 37301:2021, deben seguir la HLS, mientras que es una opción potestativa para los MSS de tipo B (no certificables), como la anterior norma ISO 19600:2014. 9 ISO/IEC Directives-Part I-Consolidated ISO Supplement-Procedures specific to ISO, Annex L Ap-pendix II High level structure, identical core text, common text and core definitions”, 10.ª ed., 2019. Esta distinción entre MSS de tipo A y B viene establecida en los apartados L. 2.5 y L 2.6 del anexo L del documento.10 Sin perjuicio de esta clasificación general, los MSS de tipo A pueden igualmente incorporar líneas directrices que ayuden a la interpretación y a la aplicación de sus requisitos. Normal-mente, tal circunstancia se aprecia en el propio título del estándar, como sucede en la Norma ISO 37001:2017 titulada Sistemas de gestión antisoborno. Requisitos con orientación para su uso. Los contenidos no normativos suelen introducirse a través de notas aclaratorias a los diferentes apartados o de anexos finales (normalmente identificados como “no normativos”).
Guía práctica de compliance según la Norma ISO 37301:202128
Emplear la HLS brinda uniformidad a los MSS, exigiéndose su empleo en los de tipo A y, cuando sea posible, también en los de tipo B. La HLS puede enrique-cerse con contenidos adaptados a cada sistema de gestión, pero no admite alterar su contenido básico.
Cuando es necesario desviarse de la HLS por causas excepcionales, se precisa infor-mar de ello a ISO, razonando los motivos. Desde una perspectiva práctica, cuando los procesos de normalización internacional adoptan como punto de partida, una norma nacional, la adaptan primero a la HLS y señalan los contenidos inalterables por tal motivo11. Como se ha anticipado, esto es lo que sucedió con el estándar ISO 19600:2014 (sobre Compliance Management Systems, CMS), cuyo primer borrador de trabajo (Working Draft, WD) surgió de acomodar el contenido del estándar nacional AS 3806:2006 a la HLS. Lo mismo ocurrió después con el estándar ISO 37001:2016 (sobre anti-bribery management systems, ABMS), que partió de adaptar la norma nacional BS 10500:2011 –specification for an anti-bribery management system (ABMS)– a la HLS. Por ello, estos textos internacionales sobre compliance, así como ahora el estándar ISO 37301:2021, dividen su contenido en los diez capítulos que determina la HLS y recurren a un núcleo común de definiciones y regulación. A pesar de ello, cada estándar dispone del contenido adaptado a su naturaleza y finalidad, lo que hace muy necesario prestar atención a sus definiciones y requisitos singulares.
En cualquier caso, el empleo de la HLS permite armonizar e integrar sistemas de gestión gracias a su estructura y a los contenidos comunes. De hecho, ISO publica una guía que ayuda a realizar estas integraciones12. Es algo especialmente útil en el ámbito del compliance, donde un sistema de gestión general puede, a su vez, integrar otros sistemas de gestión específicos que se proyectan sobre ciertos riesgos u obligaciones de compliance en particular. Esto puede suceder con mucha facilidad con el estándar ISO 37301:2021, llamado a aglutinar mecanismos que garanticen el cumplimiento de las principales obligaciones de compliance que afectan a la organización. Una correcta integración facilita:
• Aglutinarloselementoscomunesdetodoslossistemas de gestión en el modelo del alcance general, evitando así el tratamiento redundante de las cuestiones comunes. De este modo, los elementos organizativos y documentales de cada grupo de riesgos u obligaciones de compliance quedan reducidos a sus sin-gularidades, ayudando a prevenir modelos de compliance innecesariamente voluminosos.
11 En los Project Committees (PC) de ISO se señalaron los contenidos inalterables de los docu-mentos de trabajo en un color distinto, conocidos como blueprints.12 ISO, ISO Handbook–The integrated use of Management System Standards (IUMSS), 2nd ed., 2018-11.
I.2 La HLS de ISO 29
EJEMPLO. Modo de integrar políticas de compliance.
De este modo, la política de compliance general o “transversal” recogerá aspectos comunes que no se replicarán entonces en las políticas exigidas en los sistemas de gestión que aplican sobre diferentes riesgos de compliance, que se reducen a su esencia por motivos técnicos. Esta mecánica de “traspasos” a la estructura general o “transversal” de compliance aplicará igualmente con el resto de requi-sitos, de modo que los sistemas de gestión que eventualmente operen sobre los distintos grupos de riesgos u obligaciones de compliance queden reducidos a su mínimo exponente por motivos técnicos El resto de contenidos queda en la parte general o común para todos ellos.
• Obtenerunavisiónconjuntadelascuestionesdecompliance referidas a las principales obligaciones de naturaleza que afectan a la organización y reportarla de forma integrada. Esto brinda una imagen completa que ayuda a priorizar correctamente las acciones y decisiones, mejorando notablemente la calidad en la gestión.
EJEMPLO. Reportes consolidados de compliance vs. múltiples líneas de reporte.
Los estándares sobre sistemas de gestión de compliance en materias concretas precisan reportar sus actividades al órgano de gobierno y a la alta dirección. A la larga, esto supone la multiplicación de informes de compliance, con los inconvenientes que entraña. Un informe consolidado de compliance evita esta dispersión y brinda una visión general con mayor valor añadido en el proceso de toma de decisiones.
• Optimizarlaspolíticas, los procedimientos y los controles de compliance cuando pueden cubrir las necesidades derivadas de obligaciones de compliance de diferentes ámbitos. Evita redundancias innecesarias de control, inconsistencias y también, lagunas.
EJEMPLO. Políticas y procedimientos innecesariamente redundantes o inconsistentes.
La ausencia de una visión o coordinación transversal de las actividades desarrolla-das para promover el cumplimiento de las diferentes obligaciones de compliance favorece la producción de políticas, procedimientos y controles redundantes, eventualmente inconsistentes, así como posibles lagunas por una deficiente asignación de roles y responsabilidades.
Guía práctica de compliance según la Norma ISO 37301:202130
Los componentes que aparecen reflejados en la HLS de ISO se pueden interpretar y aplicar en clave de ciclo Deming13, que pretende la mejora continua en la gestión mediante cuatro etapas: planificar, hacer, verificar y actuar14.
13 William Edwards Deming (Sioux City Iowa, 1900-Washington D. C. 1993, EE. UU.). Esta-dístico y profesor universitario, presentó en la década de 1950 el denominado PDCA (Plan, Do, Check, Act) para la mejora continua en todo tipo de situaciones, creado y publicado en 1939 por W. A, Shewhart. De ahí que sea referido indistintamente como ciclo Deming o ciclo Shewhart.14 En la primera etapa (planificar) se determinan qué elementos y actividades serán precisos para alcanzar los resultados pretendidos. A continuación, se llevan a la práctica dichas actividades (ha-cer) para verificar después si se están cumpliendo las expectativas esperadas (verificar). A partir del análisis de la información obtenida se pueden idear las actuaciones necesarias para corregir las desviaciones indeseadas (actuar), lo que nuevamente conducirá a una etapa para planificar los elementos y actividades que se precisan para llevarlas a cabo (planificar).
31
15 Desempeñando la secretaría la institución británica BSI (British Standards Institution), que ya lo había hecho en el antiguo e ISO/PC 278 sobre sistemas de gestión antisoborno. No es así en el anterior ISO/PC 271 sobre sistemas de gestión de compliance cuyo desempeño de la secretaría recayó en la entidad australiana SA (Standards Australia).16 Un sistema de gestión difícilmente operará correctamente en organizaciones desestructuradas desde una perspectiva de gobierno. A partir de esta idea, se constató la importancia de que todos los sistemas de gestión en compliance orbitaran alrededor de la familia de normas 37000, encabezada por el primer “sistema de gobierno” de ISO. El sistema establece parámetros para el buen gobierno de las organizaciones, bajo cuya correcta interpretación y aplicación cabe desarrollar actividades de gestión a través de los correspondientes “sistemas de gestión”. De ahí emerge la lógica del estándar de gobierno ISO 37000 y de los estándares de gestión bajo su órbita: ISO 37001, ISO 37002 e ISO 37301.
I.3 El proceso de normalización
del estándar ISO 37301:2021
En el contexto de la reunión 67 del Technical Management Board de ISO, celebrado en Beijing (China) el 10 de septiembre de 2016, se adoptó la decisión de establecer el nuevo comité técnico (Technical Committee, TC) ISO/TC 309 sobre el gobierno de las organizaciones15. Acabaría comprendiendo cuatro grupos de trabajo (Working Group, WG), proyectados sobre diferentes materias técnicas:
• ISO/TC309WG1Guía para el gobierno de las organizaciones, orientado a definir el primer “sistema de gobierno” ISO 37000, como fundamento de toda la serie de “sistemas de gestión” bajo su cobertura16.
• ISO/TC309WG2sobresistemasdegestiónantisoborno,comocontinuacióndel antiguo ISO/PC 278.
• ISO/TC309WG3sobresistemasdegestióndecanalesparaelplanteamientode inquietudes, que se orientaría a producir el estándar ISO 37002 de directrices sobre dicha materia.
Guía práctica de compliance según la Norma ISO 37301:202132
• ISO/TC309WG4sobresistemasdegestióndecompliance, como seguimiento del antiguo ISO/PC 271, cuya aprobación se comunicó por la secretaría del ISO/TC 309 el 20 de septiembre de 201817 y que produciría el estándar ISO 37301:2021.
El proceso de revisión y transformación de la norma ISO 19600:2014 en el nuevo estándar ISO 37301:2021 atravesó por seis reuniones plenarias18, de las cuales la última tuvo que celebrarse telemáticamente debido a las restricciones de movilidad derivadas del covid-19.
A lo largo de este proceso de maduración, no solo se revisaron los contenidos del anterior estándar ISO 19600:2014 a la luz de las buenas prácticas surgidas desde su publicación19, sino que también se reestructuraron sus contenidos para hacerlos adecuados para un MSS de tipo A (certificable). Esto significó trasladar una buena parte de su contenido inicial al nuevo anexo A (informativo) Guía para el uso de este documento, dejando en el cuerpo de la norma los requisitos esenciales. Recordemos que el estándar ISO 19600:2014, un MSS de tipo B (no certificable) no disponía de un anexo semejante y todo su contenido (de recomendaciones) se encuentra recogido en su articulado.
Como estándar certificable bajo la órbita de la familia de normas 37000, se le otorgó la numeración 3730120 y finalmente ha sido publicado el 13 de abril de 2021.
Debido al interés que despertó esta norma en países de habla hispana, el 23 de no-viembre de 2020 se constituyó el ISO/TC 309/STTF (Spanish Translation Task Force), presidido por la Asociación Española de Normalización, UNE, y cuya secretaría ostenta el Servicio Ecuatoriano de Normalización (INEN). Gracias a esta iniciativa, se dispone de una versión oficial ISO en español, que será adoptada como norma UNE-ISO 37301:2021, con contenido idéntico.
17 Se designó coordinador de dicho grupo a Martin Tolar, que fue el presidente del antiguo ISO/PC 271 que proyectó su actividad en la elaboración del estándar ISO 19600:2014, precursor del ISO 37301:2021. Es interesante señalar que para la coordinación adicional se designó al Dr. Yiyo Wang de China, lo que demuestra el interés en dicho país por el estándar.18 La primera tuvo en lugar en Londres, Reino Unido, del 9 al 11 de noviembre de 2016; la segunda en Quebec, Canadá, del 22 al 26 de mayo de 2017; la tercera en Shenzhen, China, del 12 al 17 de noviembre de 2017, la cuarta en Sydney, Australia, del 2 al 9 de noviembre de 2018 y la quinta en Nueva Delhi, India, del 3 al 9 de noviembre de 2019. La sexta y última tenía que celebrarse en Viena, Austria, en junio de 2020, pero se suspendió por motivo de las restricciones a la movilidad derivadas del covid-19. 19 Algunas de ellas reflejadas en el estándar ISO 37001:2016, que igualmente se recogen ahora en el estándar ISO 37301:2021.20 En línea con las prácticas de ISO, debería procurarse que los MSS de tipo A (certificables) ter-minasen en 01. Al ya existir el estándar 37001:2016 (sobre sistema de gestión antisoborno), se escogió el número 37301.
33
I.4 El estándarISO 37301:2021 como
sistema de gestión
Al hablar de modelos de compliance es común referirse a "programas" como si sólo existiese esta forma de concebirlos. Sin embargo, los estándares ISO determinan sistemas de gestión, cuyos componentes y sus interacciones redundan en una mayor eficacia de los modelos respecto de "programas" clásicos.
I.4.1. De los programas de compliance a los sistemas de gestión
El transcurso de la última década muestra la evolución de los modelos de compliance: primero, en forma de programas y recientemente, articulados como sistemas de gestión. Así, el primer estándar general sobre compliance, la norma australiana AS 3806:2006, versaba sobre “programas” de compliance; más tarde, la recomenda-ción de la OCDE para fortalecer la lucha contra el cohecho21 también empleó el concepto de “programas”; como, del mismo modo, vienen haciendo las adminis-traciones norteamericanas: tanto en las líneas directrices publicadas anualmente por
21 El texto de la recomendación de la OCDE para fortalecer la lucha contra el cohecho se localiza en la página web www.oecd.org. El anexo II a dicha recomendación de 2009 hace referencia a los “programas de ética y cumplimiento”.
Guía práctica de compliance según la Norma ISO 37301:202134
la US Sentencing Commission22, como en los documentos producidos por el US Department of Justice (DoJ)23.
Un programa de compliance aglutina una serie de componentes considerados idóneos para alcanzar determinada finalidad. Un “sistema de gestión”, además de fijar estos elementos clave, pone énfasis en la interrelación que debe existir entre ellos y en la lógica que inviste al conjunto. En bastantes ocasiones, el sentido de estas relaciones radica principalmente en un enfoque basado en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro), que condiciona la orientación de diferentes componentes: aunque las acciones formativas están ampliamente referenciadas en los textos sobre compliance, cualquier actividad de formación no es objetivamente idónea, debiendo cubrir las materias que exponen a la organización e impartirse a las personas que desempeñan un rol relevante en los procesos expuestos a riesgo. Este tipo de consi-deraciones, que se entenderían como recomendables en el contexto de un programa de compliance, se multiplican y son indispensables para un sistema de gestión. Tanto el diseño como la evaluación de un modelo de compliance en clave sistémica precisan atender a estas interacciones y, por eso, no pueden realizarse atendiendo solamente a la concurrencia de elementos aisladamente considerados.
I.4.2. La normalización internacional en materia de compliance tiende a los sistemas de gestión
La actividad de normalización es un fenómeno que da respuesta a la inquietud social por homogeneizar el tratamiento de determinadas materias técnicas. Con esta finalidad, los Estados pueden atribuir capacidades de producción normativa a entidades de sus respectivos territorios: es el caso de la Asociación Española de Normalización, UNE, como también lo es el de la Association Française de Normalisation (AFNOR) en Francia, el del Deutsches Institut für Normung en Alemania, el del Ente Nazionale
22 Así, por ejemplo, US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of Organizations, noviembre de 2018. El apartado 2 de dicho capítulo hace referencia a los “effective compliance and ethics programs”.23 El texto de la Resource Guide to the US Foreign Corrupt Practices Act publicado conjuntamente por el US Department of Justice (DoJ) y la Securities and Exchange Commission (SEC) en el año 2012, se refiere a los “corporate compliance programs”. También se refiere a estos, el documento titulado Evaluation of Corporate Compliance Programs, Guidance Document, emitido por su Criminal Division (actualización del mes de junio de 2020, que estuvo precedido de versiones previas publicadas en 2019 y 2017). Estos documentos se localizan en la página web www.justice.gov.
I.4 El estándar ISO 37301:2021 como sistema de gestión 35
Italiano di Unificazione UNI en Italia, el del American National Standards Institute ANSI en los Estados Unidos y un largo etcétera. Las entidades de normalización se agrupan en la International Organization for Standardization (ISO), que es una organización no gubernamental independiente de la que forman parte actualmente 164 miembros24.
Cuando en el año 2013 ISO decidió estandarizar sobre compliance, adoptó como documento de partida la norma australiana AS 3806:2006 Compliance Programs, (sobre “programas” de compliance), pero adaptó sus contenidos a la denominada “estructura de alto nivel” (High Level Structure, HLS) que ISO emplea en sus sis-temas de gestión. Sobre esta base, se refinó el documento hasta publicar la norma ISO 19600:2014 Compliance management systems-Guidelines, primer estándar inter-nacional sobre sistemas de gestión de compliance. El caso de la norma ISO 37001:2016 sobre sistemas de gestión antisoborno fue distinto, dado que adoptó como partida el moderno estándar británico BS 10500:2011, que también articulaba un sistema de gestión, aunque este no estaba basado en la HLS. Desde entonces, otros estándares ISO siguen adoptando la forma de sistemas de gestión, como la norma ISO 37002 sobre sistemas de gestión de canales para el planteamiento de inquietudes (MSS de tipo B, no certificable) o el estándar ISO 37301:2021 que ahora nos ocupa (MSS de tipo A, certificable).
I.4.3. El estándar ISO 37301:2021
El estándar ISO 37301:2021 articula un sistema de gestión y así lo subraya en múlti-ples ocasiones:
• Demanerageneral,cuando,porejemplo,elapartado4.4Sistema de gestión del compliance no solo insta a la organización a impulsarlo, sino que llama a atender las interacciones precisas. Insta, como condicionante de partida, a considerar en su diseño lo indicado en el apartado 4.1 Comprensión de la organización y de su contexto, no solamente para fundamentar un sistema de gestión basado en interacciones, sino para que, además, se adecúe a las circunstancias de la orga-nización. Puesto que es clave entender bien tales circunstancias para establecer un sistema de gestión y sus componentes, el citado contenido del apartado 4.1 Comprensión de la organización y de su contexto aparece referenciado en diversos apartados del estándar (los apartados 4.3 Determinación del alcance del sistema
24 Actualmente existen 194 países soberanos reconocidos por la ONU. Por consiguiente, acogiendo a 164 países, ISO es una plataforma internacional ampliamente reconocida.
Guía práctica de compliance según la Norma ISO 37301:202136
de gestión del compliance, 4.4 Sistema de gestión del compliance y 6.1 Acciones para abordar los riesgos y oportunidades de la norma).
• Deformaespecífica,cuandoenalgúnrequisito se indica tener en cuenta otro. Esto sucede con el apartado 4.6 Evaluación de los riesgos de compliance, que se cita explícitamente en otros lugares de la norma (los apartados 5.3.2 Función de compliance, 6.1 Acciones para abordar los riesgos y oportunidades y 9.1.2 Fuentes de opinión sobre el desempeño del compliance), como también sucede con otros muchos apartados del estándar25.
• Finalmente,tambiéncabeconsiderarmultituddereferenciasimplícitasque,sin referirse explícitamente a otros apartados, emplean su vocabulario o citan sus materias; por citar un ejemplo, cuando en el apartado 7.2.3 Formación se apunta que debe ser adecuada a los roles del personal y los riesgos de compliance a los que están expuestos, esto lleva a tener en consideración, como mínimo, la identificación de roles de riesgo de compliance del personal que se establece en el apartado 7.2.2 Proceso de empleo, así como el resultado de aplicar el apartado 4.6 Evaluación de los riesgos de compliance, aunque ninguno de estos dos apartados estén expresamente citados.
El contenido del estándar y la interacción de sus componentes puede interpretarse en clave de ciclo Deming, que, como se explicó anteriormente en el capítulo I.2 La HLS de ISO, de este libro, al tratar la HLS, pretende la mejora continua a través de cuatro etapas: planificar, hacer, verificar y actuar. De hecho, la Introducción de la nor-ma ISO 37301:2021 incorpora un novedoso esquema en este sentido, distinto del que plasmó la norma ISO 19600:2014. Encontramos reflejados los componentes que se asocian con cada una estas etapas, ilustrando el modo en que opera el sistema de gestión como algo “vivo”.
25 A los lectores no acostumbrados a los sistemas de gestión, las continuas referencias cruzadas (que interrelacionan componentes) dan una sensación inicial de falta de sistematicidad en la redacción de los estándares. Cuando se comprende la operativa sistémica de sus componentes, se entiende también la necesidad de establecer estas correlaciones.
335
Alain Casanovas Ysla es abogado y experto acreditado. Actualmente es socio responsable de Servicios de Compliance de KPMG en España y, a lo largo de su carrera profesional, ha diseñado e implementado tanto sistemas de compliance transversales (superestructras de compliance) como específicos en el ámbito de la prevención penal y del soborno.
En el ámbito de la normalización internacional, ha venido actuando como jefe de la delegación española del grupo de trabajo WG 4 del comité técnico ISO/TC 309, responsable de la elaboración del estándar ISO 37301:2021. Además ha participado en los comités de proyecto ISO PC 271 e ISO PC 278, que desarrollaron los estándares ISO 19600 e ISO 37001.
En el seno de la Asociación Española de Normalización, UNE, preside los subcomités CTN 165/SC 3 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción y el CTN/SC 1 Gobernanza canal de denuncias.
Fruto de su experiencia, es autor de diversos libros como son Compliance penal normalizado-El estándar UNE 19601, Legal Compliance-Principios de cumplimiento generalmente aceptados, Control Legal Interno, y Control de riesgos legales en la empresa. Entre su obra digital, destacan sus Cuadernos de Compliance y sus diferentes series de vídeos didácticos sobre esta materia.
Es codirector de los dos primeros programas de posgrado de Compliance en España, en la Universidad Carlos III de Madrid y en la Universitat Pompeu Fabra (UPF) de Barcelona.
Sobre el autor
La Norma ISO 37301:2021 Sistemas de gestión del compliance. Requisitos con orientación para su uso es el fruto de la revisión profunda de la Norma ISO 19600:2014.
Este nuevo estándar no es solamente la versión certificable del anterior, sino que recoge una serie de buenas prácticas que se han consolidado en la comunidad internacional durante este periodo de tiempo, convirtiéndose así en la expresión del estado del arte en su materia a nivel internacional.
Este libro explica de manera práctica su contenido y vinculación con la norma precedente y con otras normas relacionadas tanto nacionales como internacionales. Ofrece una visión de gran valor para su correcta interpretación, que se facilita a través de más de veinte esquemas; trescientas reflexiones útiles en forma de ejemplos, aspectos a considerar, prácticas excelentes e información adicional; y dos anexos con informa- ción complementaria, incluyendo preguntas frecuentes sobre el estándar.
Una obra completa e indispensable para cualquier profesional dedicado al compliance.
Sobre el autor
Alain Casanovas Ysla es abogado y experto acreditado. Actualmente es socio respon- sable de Servicios de Compliance de KPMG en España y, a lo largo de su carrera profe- sional, ha diseñado e implementado tanto sistemas de compliance transversales (superestructras de compliance) como específicos en el ámbito de la prevención penal y del soborno.
En el ámbito de la normalización internacional, ha venido actuando como jefe de la delegación española del grupo de trabajo WG 4 del comité técnico ISO/TC 309, respon-sable de la elaboración del estándar ISO 37301:2021. Además ha participado en los co- mités de proyecto ISO/PC 271 e ISO/PC 278, que desarrollaron los estándares ISO 19600 e ISO 37001.
En el seno de la Asociación Española de Normalización, UNE, preside los subcomités CTN 165/SC 1 Gobernanza y canal de denuncias y CTN 165/SC 3 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción.
Asimismo, es autor de diversos libros y codirector de los dos primeros programas de posgrado de compliance en España en la Universidad Carlos III de Madrid y en la Universitat Pompeu Fabra (UPF) de Barcelona.
Gu
ía práctica de complian
ce según
la Norm
a ISO 3730
1:2021
www.aenor.com
ISBN: 978-84-17891-37-4
![341cticaTMA GENERAL.ppt [Modo de compatibilidad])...24 Evaluación • Informe de Práctica: Debe desarrollarse según la pauta del “Reglamento de Práctica” • Informe periódico](https://img.pdfslide.net/doc/110x75/610810ebf69d001ba55cb254/341cticatma-modo-de-compatibilidad-24-evaluacin-a-informe-de-prctica.jpg)
