Cinco años después de la histórica publicación de la norma ISO 19600, diferentes expertos reunidos en este II Congreso de Compliance organizado por el Colegio de Abogados de Barcelona y ASCOM analizaron hacia dónde apunta la normalización internacional y su impacto en empresas y organizaciones de todo el mundo. Al mismo tiempo abordaron Trataron también las nuevas normas ISO 31022.
En dicha mesa redonda intervinieron· Sylvia Enseñat, Presidenta de ASCOM. Carlos Rozen, Socio de BDO Argentina y Director de Certificación de la Asociación Argentina de ética y Compliance. Alain Casanovas, Socio de KPMG y vocal de la sección de compliance del ICAB y Marta Fernández Servicios y Responsabilidad Social en Asociación Española de Normalización, coordinados por Francisco Bonatti, Vicepresidente de la Sección de Compliance ICAB, Secretario de la Junta Directiva de ASCON.
Para Carlos Rozen, “Una de las características salientes es la implementación de programas de compliance como medio para reducir o eliminar el impacto de la responsabilidad y consecuentes sanciones en caso de demostrar la organización la adecuación de su programa. Sin embargo es complicado determinar si son adecuados. En este escenario, Las normas ISO podrían ser de gran ayuda para esto también, sobre todo considerando esquemas certificables”.
Desde su punto de vista y ante el impacto del coronavirus considera que “en toda esta problemática el compliance se constituye en un método de lucha contra estos flagelos como las mismas vacunas para la salud. Estándares robustos como ISO 19600 e ISO 37001 pueden ser la llave para un compliance más fuerte”.
¿Podría resumirnos cuáles son las principales conclusiones de la mesa redonda en la que ha participado?
Los estándares internacionales vinculados con compliance que constituyen “sistemas de gestión” están estableciéndose como una poderosa alternativa en forma creciente para hacer frente a la problemática de los típicos “programas” o “planes” que no trascienden de meras formalidades sin una utilidad significativa.
Estas normas siguen en evolución y muy pronto tendremos a disposición el primer estándar integral certificable bajo la denominación de ISO 37301 (como evolución de la más reconocida ISO 19600).
La comunidad de negocios ha aceptado en muchos países ISO 37001 (Sistema de Gestión Antisoborno), estándar certificable como medio para implementar prácticas anticorrupción de manera sólida, robusta y demostrable. Y entendemos que esta tendencia se irá acentuando en los próximos años por la confianza que puede brindar a las partes interesadas.
En ese debate se ha hablado de la normativa ISO 19600 y sus cinco años de implementación. ¿Qué balance puede hacer de ello?
En la Región Latinoamericana (sitio en el cual me desempeño con mayor asiduidad y para lo cual fui convocado a esta mesa), con todos los matices, no hemos pasado de tener guías de aplicación de las leyes sancionadas, que, lejos están de ser verdaderos sistemas de gestión resultan en un conjunto de herramientas y recomendaciones para evaluar o poner en uso cada una de ellas.
Y así como durante los últimos años, en particular y junto a mi equipo, nos ha tocado implementar y revisar una cantidad importante de programas de compliance.
Cuando comenzamos a sistematizar los resultados de los trabajos realizados, llegamos a una rápida conclusión: muchos se están vistiendo para la fiesta (y así todos somos elegantes); pero “el programa hay que mirarlo cuando se levanta por la mañana, despojado de maquillaje, sencillamente, como es” solemos decir como analogía.
Fue en ese momento que comenzamos a estudiar con más profundidad como un plan o un programa de compliance, llevado a un verdadero sistema de gestión, puede dar un increíble valor a compliance.
En Argentina estas políticas y programas destinados a evitar la comisión de delitos es una necesidad por 3 posibles motivos: En primer lugar, porque lo estipula la Ley, y en algunos casos con carácter de obligatoriedad;
Otro elemento era por exigencias de la Administración Pública al formar parte de procesos licitatorios con el Estado Nacional (y provincias que adhieran), incluyendo casos donde sin existir obligación por ley estos procesos lo requieren.
Y por último, por exigencias de terceros, tales como proveedores, clientes, bancos (a la hora de otorgar financiación bancaria a las empresas) o aseguradoras (como requisito para asegurar la responsabilidad civil de la alta dirección).
En definitiva y con todo lo bueno que tiene para dar la ISO 19600, en Argentina y en el conjunto de América Latina tampoco tuvo un gran vuelo, excepto por la pasión de algunos profesionales (entre los cuales me gusta incluirme) que intentaron empujar y que trabajaron para tener la versión local (la misma con el prefijo IRAM, nuestro organismo normalizador oficial).
De hecho en Argentina tuvimos progresos concretos utilizando la 19600, que se limitaron, como dijimos, a lo académico principalmente: tanto como parte de la currículo de la Certificación Internacional en Ética y Compliance; como una comisión de Estudios de la AAEC (Sistemas de Gestión de Compliance y también como una norma IRAM ISO conformando el Comité de Normalización en Argentina.
¿Qué ventajas consiguen las empresas con dicha certificación ISO 19600?
Como seguramente sabrán, los países de Europa y Norte América, incluyendo Australia, tienen un índice de corrupción mucho menor que los países de África, Asia y Latinoamérica según lo expresan los informes anuales de Transparencia Internacional.
Y también sabemos que en la región a la cual pertenezco, muchos países se han subido a esta ola del legislar la responsabilidad de las organizaciones respecto de determinados delitos, principalmente el de corrupción: Chile, Brasil (legislación del tipo administrativa), México, Ecuador, Bolivia, Perú, Argentina y Colombia.
Una de las características salientes es la implementación de programas de compliance como medio para reducir o eliminar el impacto de la responsabilidad y consecuentes sanciones en caso de demostrar la organización la adecuación de su programa.
Estas regulaciones presentan para la Justicia la gran dificultad de determinar cuándo un programa de compliance es “adecuado” o “proporcional”. Las normas ISO podrían ser de gran ayuda para esto también, sobre todo considerando esquemas certificables.
Estas normas van con mayor profundidad “al hueso” como solemos decir por estas latitudes. Aborda temas tales como Contexto interno y externo; partes interesadas relevantes; Revisiones por la dirección y alta gerencia; mejora continua; entre otros.
Permite integrarse con otros sistemas de gestión que tienen la misma “estructura de alto nivel” como lo llaman las normas, con un mismo ordenamiento, texto común, y definiciones. Otra de las ventajas que supone la integración de sistemas de gestión es que todas son auditadas bajo las mismas directrices de la 19011.
Además, la norma 19600 presenta otros temas muy disruptivos a la hora de hablar de compliance, como lo son el mensaje de no tolerancia ante el incumplimiento, o las descripciones de puestos y bonos que se sugiere, deben considerar compliance.
¿Cómo cree que la pandemia del coronavirus puede afectar a este tipo de certificaciones y su evolución posterior?
Creo que el impacto del coronavirus puede afectar de múltiples maneras a estas certificaciones. En muchos países, y en Latinoamérica en particular, la exposición al riesgo que tiene la apropiación indebida y desviación de recursos es alarmante.
Tan solo para citar ejemplos donde nos toca muy de cerca, a mayor demanda de medicamentos y equipos, mayor es el riesgo potencial de colusión entre proveedores y funcionarios públicos para fijar precios más altos y apropiarse de una “tajada”, aprovechando que los gobiernos tienen la presión de comprar y pagar.
Otro mecanismo para atender la crisis del COVID-19 es la ayuda humanitaria. Durante una epidemia el crecimiento del número de enfermos es exponencial, lo cual puede desbordar la infraestructura de la salud en materia de camas, medicinas, reactivos y material de laboratorio clínico, entre otros.
Esto requiere un flujo de recursos económicos y logísticos de despliegue rápido, algo en que la industria de la ayuda humanitaria tiene experticia ganada por décadas.
Sin embargo, la entrega masiva de ayudas es especialmente vulnerable a corrupción debido a la carencia de mecanismos de rendición de cuentas y la rápida ejecución de recursos requerida para atender emergencias.
En toda esta problemática el compliance se constituye en un método de lucha contra estos flagelos como las mismas vacunas para la salud.
Estándares robustos como ISO 19600 e ISO 37001 pueden ser la llave para un compliance más fuerte.
¿Qué papel juega un compliance officer cuando una organización decide certificarse? ¿Cómo saber si el proceso se está haciendo de forma adecuada?
Al hablar de certificación, debemos referirnos hoy, al menos en la Región Latinoamérica, a ISO 37001.
Tal es el cambio propuesto por estos estándares en cuanto a la transformación de un programa hacia un modelo de gestión, que, muchas veces, se requiere de una superestructura que integre a los expertos en compliance junto con los de sistemas de gestión (en especial si la organización tiene otras normas certificadas, Ej. calidad, medioambiente, seguridad y salud).
El compliance officer tiene un rol concreto que estas normas contemplan: “la función de compliance” que tiene roles y responsabilidades. Estos estándares dejan a criterio de la organización, definir sus propios requisitos, obviamente, siempre alineados a lo que la norma pide (Ej. experiencia, alcance de la función, roles específicos).
El compliance officer entonces tendrá la misión de planificar en forma detallada.
No todas las organizaciones crearán una función de compliance separada, algunas pueden asignar esta función a una posición preexistente. La función de compliance, trabajando conjuntamente con la dirección, debería ser responsable de un conjunto de cuestiones tales como identificar las obligaciones de compliance y traducir esas obligaciones en políticas, procedimientos y procesos viables.
Junto con ello deben formar continuamente a los colaboradores y terceros relevantes; promover la inclusión de las responsabilidades de compliance en las descripciones de puestos de trabajo y en los procesos de gestión del desempeño de los empleados; poner en marcha un sistema de información y documentación de compliance; desarrollar e implementar procesos para gestionar reportes de conductas problemáticas.
También pueden implementar indicadores de desempeño de compliance y supervisar y medir el desempeño de compliance; identificar la necesidad de acciones correctivas; identificar los riesgos de compliance y gestionar aquellos riesgos que relacionados con terceras partes (a los que ISO 37001 llama “socios de negocios”).
Otra cuestión que pueden impulsar es el asegurar que el sistema de gestión de compliance se revisa a intervalos planificados; y podemos seguir con la lista de actividades que compliance debería llevar a cabo, pero en una posición deseable de independencia, autonomía y objetividad, cuestión que también debería reflejar el diseño organizacional y su descripción de funciones.
¿Qué se espera de las nuevas normas ISO 31022 en materia de cumplimiento normativo?
Aunque se trata de un estándar bastante debatido a nivel mundial ISO 31022 de Directrices para la Gestión del Riesgo Legal en las organizaciones presenta un enfoque muy original y de cuyo análisis y discusión entre expertos irá evolucionando con el tiempo.
Basado en 31000 (Gestión de Riesgos), ISO 31022 aplica a todo tipo de actividades de compliance; incorpora los principios de ISO 31000 (orientada a lo legal, regulatorio, contractual y también otros derechos y obligaciones no contractuales).
Se espera que este estándar no certificable (al menos en esta primer versión) pueda ayudar a las organizaciones a identificar, anticipar, administrar y minimizar los efectos de los riesgos legales, reconociendo la complejidad y el costo de los procedimientos legales, e intentando buscar oportunidades para evitar disputas legales, regulatorias, y contractuales.
Esto que podría ser repudiado por expertos litigantes, muestra una tendencia que es muy afín a compliance: “hacer las cosas bien para evitar el conflicto”, por más que algunos asesores más envalentonados quieran ir al “terreno del cuadrilátero” donde las partes suelen terminar lastimadas por más que una de ellas sea vencedora.
¿Cómo deben implementarlas las organizaciones para que sean útiles en su actividad diaria en favor de la gobernanza y de la reducción de riesgos legales?
El propio título de la norma refiere a un tema que es esencial en la buena gobernanza de las organizaciones: “la gestión del riesgo”.
La gestión del riesgo legal (en el caso que nos convoca) debe ser parte integral de la gobernanza y gestión de una organización.
Las actividades del proceso de gestión de riesgos legales deberían integrarse en ejercicio de planificación estratégica, la toma de decisiones y los procesos de gestión de la organización (y dentro de estos procesos de gestión, integrar un sistema de gestión de riesgos legales luce como algo innovador y digno de tener en cuenta).
Esto podría ayudar a las organizaciones a minimizar de forma sustancial los riesgos de derivados de posibles incumplimientos, así como a poner orden y simplificar las complicaciones que propone un entorno legal y regulatorio que rodea la actividad de muchas organizaciones, con un conjunto de partes interesadas dignas de analizar en profundidad.