Jacopo Cortinovis: “Los estándares internacionales son una herramienta imprescindible para los sistemas de ‘Compliance’”
Cortinovis explica la importancia de los sistemas ISO en la implementación del "Compliance".

Jacopo Cortinovis: “Los estándares internacionales son una herramienta imprescindible para los sistemas de ‘Compliance’”

|
24/8/2022 06:47
|
Actualizado: 25/8/2022 08:27
|

En los últimos años la actividad de normalización llevada a cabo por la Organización Internacional de Estandarización (en inglés, ISO) ha generado la aparición de diferentes estándares internacionales en materia de «Compliance» o cumplimiento normativo.

De hecho, hoy en día existen varios estándares en esta materia. Uno es la norma técnica ISO 37301:2021, sobre sistemas de gestión de cumplimiento; otra es la norma ISO 37002:2021 sobre sistema de gestión de denuncia de irregularidades; la norma 37001:2016 sobre sistemas de gestión anticorrupción; y la norma ISO 37000:2021 sobre gobernanza de las organizaciones.

Jacopo Cortinovis, abogado gerente en Ecix Group y socio de CUMPLEN es experto en protección de datos, gestión de riesgos y compliance y al mismo tiempo Vocal del Comité Técnico Nacional 165/SC 03 UNE Sistemas de gestión de «Compliance» y sistemas de gestión anticorrupción.

Eso le ha hecho participar en la revisión de las normas ISO 37301 e ISO 37002 .

Los estándares internacionales materia de «Compliance» y, en particular las normas ISO, «juegan un papel fundamental para el correcto diseño y funcionamiento de un sistema de cumplimiento por parte de las organizaciones. En el curso de los años los estándares internacionales se han trasformado en una herramienta fundamental y de obligado conocimiento para todos los profesionales de que se dedican a compliance”.

Cortinovis señala también que “otro aspecto importante a tener en cuenta es que algunos de los estándares ISO en materia de ‘Compliance’ se pueden certificar y otros no. Las ISO 37001 y 37301 se pueden certificar, sin embargo, la 37002 y la 37000 son normas que facilitan directrices no certificables”.

La certificación no debería ser «el único motivo de la implementación de una norma ISO sino el correcto diseño, implementación y mantenimiento de un sistema de gestión de compliance alineado a los requisitos y a las recomendaciones especificadas en las normas ISOs”.

37002:2021, un estándar para la gestión de los canales de denuncias

Respecto a la ISO 37002, es importante indicar que es una norma técnica que no se puede certificar: “Son directrices para implementar un sistema de gestión de denuncias de irregularidades en una organización”.

La norma ISO 37002 «presenta muchos puntos de contacto con la Directiva Europea 1937/2019 sobre protección de los informantes que ya ha entrado en vigor y que países como España tiene que transponer”.

“La utilidad de la norma es que explica con un enfoque más práctico de la Directiva Europea, como implementar y gestionar un sistema de gestión denuncias, aportando recomendaciones concretas sobre cómo llevar a cabo las diferentes fases de una denuncia de irregularidad y cómo implementar un sistema de gestión de denuncias basado en los principios de confianza, imparcialidad y protección”, aclara.

Para Cortinovis, “uno de los aspectos más destacables de la norma consiste en tratar los procesos relacionados con la gestión de las irregularidades de forma estructurada y sistemática. La norma señala también, en línea con la Directiva Europea 1937/2019, que la organización habrá que nombrar a un responsable de dicho sistema de gestión».

“La norma recomienda también en la fase de evaluación de la denuncia valorar el riesgo de posibles conductas perjudícales en contra del informante y encomendar a una persona de la organización con suficiente autoridad la protección del informante”, explica Cortinovis

En este caso la ISO 37002 indica que «podrá ser una persona interna o externa a la organización. Asímismo, la organización tendrá que crear mecanismos que consoliden su independencia e imparcialidad y permitan gestionar eventuales conflictos de interés”, subraya.

También señala que “la norma recomienda también en la fase de evaluación de la denuncia valorar el riesgo de posibles conductas perjudícales en contra del informante y encomendar a una persona de la organización con suficiente autoridad la protección del informante”.

La gestión de los canales de denuncias de irregularidades, por ejemplo, «podría encomendarse al ‘Compliance Officer’ [responsable de cumplimiento normativo], a otras funciones internas de la organización, a una figura creada ad hoc o a un asesor externo”.

En caso de nombramiento interno, «lo importante es implementar procesos para gestionar cualquier conflicto de interés que pudiese recaer sobre la persona responsable del canal y para garantizar la independencia de dicha función”, señala.

Cortinovis es partidario de que, para prevenir riesgos de conflictos de interes y falta de imparcialidad, «encomendar la gestión del canal, o por lo menos determinadas fases del ciclo de vida de una denuncia (en particular la fase de evaluación inicial y la investigación), a asesores externos especializados en la materia”.

Este especialista también destaca que la propia ISO recomienda a la organización, de acuerdo con los otros sistemas de gestión ISO dotados de una estructura de alto nivel.

Se trata de “implementar un proceso de evaluación del correcto funcionamiento del sistema de gestión de denuncias de irregularidades basado en la realización de auditorías, la identificación y análisis de indicadores de funcionamiento del canal, la elaboración de informes  de seguimiento y una revisión global del sistema por parte de la dirección”.

ISO 37301:2021 sistemas de gestión de «Compliance»

La norma ISO 37301 “representa el estándar más avanzado a nivel mundial en materia de ‘Compliance’ y es una herramienta imprescindible para todos los profesionales que se dedican a esta materia”.

Este jurista indica que “fue publicada en el 2021 y sustituye a una norma anterior que es la ISO 19600:2014. Este cambio ha sido importante porque esta nueva norma es una norma certificable lo que no era la anterior”.

A nivel de estructura “la norma se divide entre una parte -normativa- donde se enumeran los requisitos obligatorios que la organización debe cumplir para obtener un certificado de conformidad y otra parte -informativa- donde figura una guía para el uso muy útil para entender correctamente como implementar la norma”.

En cuanto a su alcance, para este experto “la norma 37301 es una norma bastante exigente puesto que requiere la implementación de un sistema de cumplimiento transversal que aplique a todos los marcos normativos que afectan a la organización y a los compromisos que la organización ha decidido asumir.

Cortinovis sostiene “que todas las organizaciones deberían definir dicho mapa e identificar los marcos normativos que se aplican a una organización y los compromisos que la propia entidad ha suscrito»

Un aspecto importante de la ISO 37301 es que “una de las primeras actividades que se deben realizar para su implementación es un mapa de las obligaciones de ‘Compliance» que aplicar a la organización”.

Y recuerda que “las obligaciones de ‘Compliance’ se dividen entre las normas que la organización debe cumplir («requirements»), por ejemplo, la normativa laboral, fiscal, protección de datos, etc., y los compromisos que una organización elige voluntariamente cumplir tales como Códigos de Conducta o Convenios, etc.”.

Cortinovis sostiene “que todas las organizaciones deberían definir dicho mapa e identificar los marcos normativos que se aplican a una organización y los compromisos que la propia entidad ha suscrito. La identificación de las obligaciones de ‘Compliance’ es la piedra angular sobre la que se construye todo el sistema de gestión de cumplimiento de una organización”.

Respecto a este tema, Cortinovis señala que no todas las organizaciones conocen los marcos legales que se les aplican.

Evaluar riesgos, es clave

Una vez identificadas «las obligaciones del ‘Compliance’ hay que realizar una evaluación de los riesgos de cumplimiento inherentes en términos de probabilidad e impacto al igual que identificar los controles existentes para cumplir con las obligaciones de ‘Compliance’ y llegar a obtener así el nivel de riesgo de cumplimiento residual. Este es un trabajo complejo que requiere mucho tiempo”.

La norma resulta de particular interés puesto que ayuda también a configurar correctamente la función de «Compliance» dentro la organización definiendo las funciones básicas que debería desempeñar. En este sentido, destacan las funciones de supervisión y vigilancia sobre el correcto funcionamiento del sistema de gestión de compliance y la revisión constante de las obligaciones de compliance y de la evaluación de los riesgos de cumplimiento.

“Entre los requisitos de la norma figura la obligación de implementar procesos para el planteamiento de inquietudes y procesos de investigación, es decir, canales para comunicar incumplimientos de las obligaciones de compliance y un sistema para evaluar el correcto funcionamiento del sistema liderado por la función de ‘Compliance’ y la dirección”.

Desde CUMPLEN se anima a las organizaciones a implementar estas normas. “Las organizaciones deberían hacer un esfuerzo para alinear sus actividades y los sistemas de gestión de ‘Compliance’ implementados a estas normas ISO que estamos comentando. Es una garantía que la entidad está haciendo bien su trabajo».

“Además, en algunos sectores ya se demanda este tipo de certificaciones para operar. Llevar a cabo una actividad de análisis de ‘gap’ [laguna] permitiría a las organizaciones y, en particular, a las áreas de ‘Compliance’ verificar la correcta configuración y funcionamiento de los sistemas de gestión de cumplimiento implementados”, comenta.

Otra cuestión que subraya ndica Cortinovis  es que “estas normas tienen una fuerza de atracción muy elevada no solo para las organizaciones sino también para legisladores locales”.

“En este sentido, se pueden encontrar puntos contactado entre normas ISO en materia de ‘Compliance’ (‘soft law’) y normas imperativas (‘hard law’) como es el caso del Reglamento de la Ley Número 30424, Ley que regula la Responsabilidad Administrativa de las Personas Jurídicas en Perú y la norma ISO 37001”, concluye.

En esta noticia se habla de:

Noticias Relacionadas:
Lo último en Áreas y sectores