ISO 19600, una norma para la Gestión del Compliance

La norma ISO 19600 es un punto de referencia para la gestión del Compliance. Recordemos que cuando hablamos de Compliance estamos hablando de cumplimiento normativo, incluyendo los requisitos legales, códigos de industria, estándares, ética, etc. El Compliance es por tanto el resultado de que una organización cumpla con sus obligaciones y la norma ISO 19600 es la herramienta que nos permite gestionar de manera adecuada este cumplimiento. Antes de pasar a analizar los aspectos fundamentales de la norma, es necesario puntualizar que no se trata de una norma certificable por una entidad externa, tal y como pasa con otros estándares ISO, y que, si bien puede ser aplicable a cualquier organización, donde tiene mayor engranaje, es en aquellas organizaciones con un marco regulatorio intensivo y en las que el incumplimiento de sus obligaciones puede poner en peligro la reputación y supervivencia de la organización.

En cuanto al contenido concreto de la norma, es muy complicado analizarlo en un escrito de estas dimensiones, pero los aspectos fundamentales a destacar serían los siguientes:

Alcance: La organización debe determinar cuál va a ser el alcance de su sistema de gestión de Compliance, determinando los límites y aplicabilidad del mismo. Para ello deberá considerar tres aspectos:

1-  El contexto externo e interno de la organización (no es el mismo contexto el de una empresa ubicada en Suiza que la de una empresa ubicada en República Dominicana).

2-  Las expectativas de las partes interesadas, es decir qué esperan de la organización sus clientes, proveedores, empleados, etc.

3-   Sus obligaciones de Compliance, determinadas por:

  •  Sus requisitos de Compliance, es decir todo aquello que es obligatorio para la organización (leyes, licencias, sentencias de juzgados y tribunales, planes de prevención de delitos, etc.).
  •  Los compromisos de Compliance, es decir, todo aquello que no es obligatorio, pero si conveniente (pensemos en la implantación de estándares ISO, compromisos ambientales, etc.).

Liderazgo: Es necesario que la alta dirección muestre su liderazgo con el sistema gestión de Compliance, este liderazgo debe traducirse no en una mera declaración de intenciones, sino en una serie de acciones establecidas en la cláusula 5.1 de la norma.

Roles y responsabilidades: Otro aspecto fundamental es el establecimiento de roles y responsabilidades en materia de Compliance en todas las estructuras de la organización, desde el órgano de gobierno hasta los empleados.

Gestión del Riesgo: El aspecto más crítico lo constituye el proceso de identificación, análisis, evaluación y tratamiento de los riesgos de Compliance. Es la fase más compleja y debe alinearse con los requisitos establecidos en la norma ISO 31000, que establece principios y directrices para la gestión del riesgo.

Competencia: La organización debe asegurar la competencia de su personal en materia de Compliance, y para ello se valdrá de dos herramientas fundamentales: la formación y la sensibilización.

Cultura: Debe ser un objetivo el desarrollo de una cultura de Compliance en la organización, lo que exige que el órgano de gobierno y la alta dirección tengan un compromiso visible y consistente.

Comunicación: Es necesario determinar las necesidades de comunicación en materia de Compliance y tener un plan preestablecido (qué comunicar, cuándo, quién y cómo). Pensemos en una organización que ha sido imputada en un proceso penal y que tiene que dar explicaciones a sus partes interesadas.

Documentación: El Sistema de Gestión de Compliance, debe apoyarse en documentación (políticas, normas, procedimientos, informes, etc.)

Operación: El tratamiento de los riesgos identificados de Compliance, requiere el establecimiento de controles para mitigar estos riesgos. Es decir, todo riesgo identificado, debe ser gestionado. Es necesario tener en cuenta que en materia de cumplimiento legal no hay apetito del riesgo, y por tanto todo riesgo identificado deberá ser tratado. Es muy importante controlar y hacer seguimiento de aquellos procesos externalizados por la organización.

Evaluación del Desempeño: Una vez desarrollado el sistema de Gestión debemos seguirlo, medirlo, analizarlo y evaluarlo. Un aspecto muy importante desde mi punto de vista en la definición de métricas e indicadores.

Auditoría interna y revisión del sistema por la dirección: Es un aspecto compartido por otros sistemas de gestión basado en normas ISO.

Mejora continua: Un aspecto vital es que el sistema de Gestión de Compliance sea mejorado de manera continua, el feedback lo daría el resultado de las mediciones realizadas, de las auditorías internas y de la revisión del sistema por la dirección.

En definitiva, esta norma permite a las organizaciones disponer de una herramienta para que Compliance sea “real y efectivo” en una organización.

Twitter Facebook