ISO 19600, una norma para la Gestión del Compliance

Compliance Penal

La norma ISO 19600 es un punto de referencia para la gestión del Compliance. Recordemos que cuando hablamos de Compliance estamos hablando de cumplimiento normativo, incluyendo los requisitos legales, códigos de industria, estándares, ética, etc. El Compliance es por tanto el resultado de que una organización cumpla con sus obligaciones y la norma ISO 19600 es la herramienta que nos permite gestionar de manera adecuada este cumplimiento. Antes de pasar a analizar los aspectos fundamentales de la norma, es necesario puntualizar que no se trata de una norma certificable por una entidad externa, tal y como pasa con otros estándares ISO, y que, si bien puede ser aplicable a cualquier organización, donde tiene mayor engranaje, es en aquellas organizaciones con un marco regulatorio intensivo y en las que el incumplimiento de sus obligaciones puede poner en peligro la reputación y supervivencia de la organización.

En cuanto al contenido concreto de la norma, es muy complicado analizarlo en un escrito de estas dimensiones, pero los aspectos fundamentales a destacar serían los siguientes:

El Compliance ad extra, es el que se desarrolla para evitar la responsabilidad penal de la persona jurídica.Las empresas implantan un Compliance ad extra para prevenir y detectar los delitos cometidos en su seno, por sus directivos y empleados. Se trata de prevenir la comisión de todos los delitos establecidos en el catálogo del Código Penal. Si nos damos cuenta, la comisión de estos delitos lesiona bienes jurídicos de terceros y no perjudica a la empresa en sí misma. Recordemos que para imputar responsabilidad penal a la empresa siempre los delitos han de ser cometidos en beneficio de la empresa. Pensemos por ejemplo en los delitos contra la Hacienda Pública, la elusión del pago de tributos en principio beneficia a la empresa y perjudica al orden socio-económico ( a no ser que te condenen por la comisión del delito).

Alcance
La organización debe determinar cuál va a ser el alcance de su sistema de gestión de Compliance, determinando los límites y aplicabilidad del mismo. Para ello deberá considerar tres aspectos:
  • El contexto externo e interno de la organización (no es el mismo contexto el de una empresa ubicada en Suiza que la de una empresa ubicada en República Dominicana).
  • Las expectativas de las partes interesadas, es decir qué esperan de la organización sus clientes, proveedores, empleados, etc.
  • Sus obligaciones de Compliance, determinadas por:
    • Sus requisitos de Compliance, es decir todo aquello que es obligatorio para la organización (leyes, licencias, sentencias de juzgados y tribunales, planes de prevención de delitos, etc.).
    • Los compromisos de Compliance, es decir, todo aquello que no es obligatorio, pero si conveniente (pensemos en la implantación de estándares ISO, compromisos ambientales, etc.).
Liderazgo
Es necesario que la alta dirección muestre su liderazgo con el sistema gestión de Compliance, este liderazgo debe traducirse no en una mera declaración de intenciones, sino en una serie de acciones establecidas en la cláusula 5.1 de la norma.
Roles y responsabilidades
Otro aspecto fundamental es el establecimiento de roles y responsabilidades en materia de Compliance en todas las estructuras de la organización, desde el órgano de gobierno hasta los empleados.
Gestión del Riesgo
El aspecto más crítico lo constituye el proceso de identificación, análisis, evaluación y tratamiento de los riesgos de Compliance. Es la fase más compleja y debe alinearse con los requisitos establecidos en la norma ISO 31000, que establece principios y directrices para la gestión del riesgo.
Competencia
La organización debe asegurar la competencia de su personal en materia de Compliance, y para ello se valdrá de dos herramientas fundamentales: la formación y la sensibilización.
Cultura
Debe ser un objetivo el desarrollo de una cultura de Compliance en la organización, lo que exige que el órgano de gobierno y la alta dirección tengan un compromiso visible y consistente.
Comunicación
Es necesario determinar las necesidades de comunicación en materia de Compliance y tener un plan preestablecido (qué comunicar, cuándo, quién y cómo). Pensemos en una organización que ha sido imputada en un proceso penal y que tiene que dar explicaciones a sus partes interesadas.
Documentación
El Sistema de Gestión de Compliance, debe apoyarse en documentación (políticas, normas, procedimientos, informes, etc.)
Operación
El tratamiento de los riesgos identificados de Compliance, requiere el establecimiento de controles para mitigar estos riesgos. Es decir, todo riesgo identificado, debe ser gestionado. Es necesario tener en cuenta que en materia de cumplimiento legal no hay apetito del riesgo, y por tanto todo riesgo identificado deberá ser tratado. Es muy importante controlar y hacer seguimiento de aquellos procesos externalizados por la organización.
Evaluación del Desempeño
Una vez desarrollado el sistema de Gestión debemos seguirlo, medirlo, analizarlo y evaluarlo. Un aspecto muy importante desde mi punto de vista en la definición de métricas e indicadores.
Auditoría interna y revisión del sistema por la dirección
Es un aspecto compartido por otros sistemas de gestión basado en normas ISO.
Mejora continua
Un aspecto vital es que el sistema de Gestión de Compliance sea mejorado de manera continua, el feedback lo daría el resultado de las mediciones realizadas, de las auditorías internas y de la revisión del sistema por la dirección.

En definitiva, esta norma permite a las organizaciones disponer de una herramienta para que Compliance sea “real y efectivo” en una organización.

  • 18 Diciembre, 2015
  • Olga Martínez
  • Blog
  • 4 min
Volver al blog