A la hora de implantar un Sistema de Compliance en nuestra empresa (o mantener y mejorar los procedimientos que ya tenemos), encontramos una gran diversidad de ámbitos que deben controlarse, actividades a abarcar, riesgos que debemos controlar, etc…
Es por ello que asentarnos sobre la base de una norma estandarizada, no sólo supondrá una cierta garantía (si el sistema está correctamente implantado y es eficaz) y reconocimiento, sino que nos facilitará esta compleja tarea de gestión y control.
Cada vez son más las normas publicadas a este respecto, que pasan desde la aportación de guías y pautas generales de actuación, hasta la regulación de requisitos de los ámbitos más concretos. Por ello, queremos aprovechar esta ocasión para indicar cuáles serían las principales normas a tener en cuenta cuando hablamos de un sistema de compliance:
- UNE-ISO 19600:2015, de Sistemas de Gestión de Compliance: es una guía internacionalmente reconocida que nos aporta los principios y pautas generales a seguir a la hora de desarrollar estos sistemas. Se trata, como decimos, de una guía y no es certificable.
- UNE-ISO 31000:2018, de Sistemas de Gestión de Riesgos: como en el caso de la anterior, se trata de una guía (no certificable), adaptable a cualquier tipo de empresa (independientemente de su tamaño y actividad) y reconocida internacionalmente que nos aporta las pautas necesarias para la gestión efectiva de los distintos riesgos que pueden estar presentes en nuestra organización (multas, sanciones, daños, etc…).
- UNE 19601:2017, de Sistemas de Gestión de Compliance Penal. Podríamos señalar esta norma como el pilar sobre el que se asientan los sistemas de Compliance que buscan adecuarse a las exigencias del Código Penal Español, en virtud del cual estos sistemas de prevención de comisión de delitos podrían evitar la condena de la persona jurídica implicada. Indica los “requisitos con orientación para su uso”; sí podemos certificar nuestro sistema basado en esta norma.
- UNE-ISO 37001:2017, de Sistemas de Gestión Antisoborno. Al igual que la 19601, aporta una serie de requisitos que se han de cumplir (es, por tanto, certificable) pero en esta ocasión centrándose de forma especial en los posibles riesgos vinculados al soborno y la corrupción. Junto a esta norma cabe nombrar otras de relevancia como puedan ser la metodología derivada de COSO ERM.
- UNE 19602:2019, de Sistemas de Gestión de Compliance Tributario. Indica los requisitos específicos a cumplir en el cumplimiento de la normativa tributaria española y comunitaria, y la gestión de riesgos a este respecto. Estas normas específicas (como la 37001) comparten estructura con normas más genéricas; de esta manera, si tenemos implantada una UNE 19601, nos resultará sencilla la implantación de estas normas ya que serán perfectamente acoplables entre sí, pudiendo entenderlo como una ampliación de la misma.
- ISO 27001:2017, de Gestión de la seguridad de la Información. Como las anteriores, busca concretar la gestión en un ámbito más específico, en este caso uno tan relevante en la era actual como es la seguridad de la información.
Es igualmente conveniente saber que, dada la creciente presencia y relevancia de los Sistemas de Cumplimiento, esta extensión normativa no puede por menos que seguir ampliándose y seguir ofreciendo respuesta a la incesante demanda al respecto. De esta manera, cabe mencionar algunos proyectos que próximamente podrían sumarse a este listado, entre ellos: ISO 37000, de Gobernanza de las Organizaciones; ISO 37002, de Denuncia de Irregularidades; o ISO 37301, de Sistemas de Gestión de Cumplimiento.
Como se puede observar, el abanico es muy amplio y es necesario contar con profesionales especializados que sepan llevar a cabo este desarrollo, evitando la implantación de meros “check list” carentes de contenido real y práctico, y convirtiendo estos sistemas en una verdadera garantía de control y cumplimiento dentro de nuestra organización.
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa