ISO 37301. Norma comodín y cambio de paradigma para los sistemas de gestión tradicionales

El estándar ISO 37301 sobre Sistemas de Gestión de Compliance ya está aquí. Sucesor del conocidísimo estándar ISO 19600, especifica los requisitos y proporciona orientación para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz dentro de una organización.

Al igual que la mayor parte de los estándares de sistemas de gestión, adopta la estructura de alto nivel (HLS) desarrollada por ISO para mejorar el alineamiento entre sus normas nacionales e internacionales, pero con una peculiaridad que lo hace diferente a todos ellos.

Y es que, mientras que cada estándar de sistema de gestión establece asimismo su alcance material, es decir, para qué aspectos, áreas o procesos está destinado -gestión de la calidad, gestión ambiental, gestión antisoborno, gestión de la seguridad y salud en el trabajo, gestión de la seguridad de la información y así un larguísimo etcétera- el estándar ISO 37301 se limita a señalar que servirá como un estándar para gestionar el compliance (la conducta y no tanto el cumplimiento, que dirían los más románticos) dejando en manos de cada organización decidir qué concretas áreas de cumplimiento desean gestionar bajo la estructura propuesta por el estándar.

En realidad, el propio estándar señala que deberán ser objeto de la estructura propuesta las principales áreas de riesgo de la organización, pero tal afirmación resulta de difícil aplicación en la práctica en la medida de que cada organización tiene la potestad de decidir sobre qué riesgos prioriza su atención, dando lugar a que organizaciones que se dediquen exactamente a lo mismo, consideren como main compliance risks -en palabras del estándar- unas áreas normativas u otras en función de sus prioridades de negocio, las crisis pasadas sufridas, o por el simple hecho de que cada persona o grupo de personas pueden percibir el riesgo de diferente forma. Además, obligar a la aplicación del estándar para los riesgos principales parece chocar con la propia idiosincrasia de los estándares ISO, en los cuales el alcance del sistema (es decir, a qué actividades, procesos o emplazamientos se aplica el sistema de gestión), al fin y al cabo, y aunque con limitaciones para algunos esquemas, es decisión de la propia organización.

Ello, inevitablemente, y en nuestra opinión muy favorablemente, nos aboca a una doble utilización de este estándar por parte de las organizaciones:

1. Por un lado, servirá para generar superestructuras de cumplimiento que engloben el control y cumplimiento de diferentes áreas de obligaciones bajo una misma estructura. Por ejemplo, integrar la prevención del delito corporativo, el cumplimiento ambiental, o la protección de datos, en un solo sistema. Pudiendo, en definitiva, certificar que existe un sistema integrado de gestión que engloba distintos ámbitos, lo cual no era posible hasta ahora.

En este caso, las áreas concretas que quedarán englobadas por el sistema serán decididas por la organización. Este proceso de integración que, de facto, ya existe para sistemas de gestión tradicionales como ISO 9001, ISO 14001 o ISO 45001, podrá ser premiado a través de una certificación que, en definitiva, evidencie que no existen pequeños ‘reinos’ de cumplimiento dentro de la empresa, sino que todos orbitan entorno a la misma cultura -y estructura- de compliance. Para estas organizaciones, quizá el gran reto a partir de ahora será hacer convivir los sistemas de gestión más tradicionales con los nuevos sistemas de gestión, a menudo no integrados con los anteriores, tales como la ISO 27001 sobre seguridad de la información, o los estándares de compliance UNE españoles o la propia ISO 37001 antisoborno.

2. Por otro lado, la estructura propuesta también permitirá acoger una concreta área de obligaciones para la que una organización quiere crear un entorno de control bajo prácticas reconocidas internacionalmente y para la que no existen estándares en su ámbito particular. Por ejemplo, el cumplimiento con la legislación en materia de competencia, o en materia de consumidores y usuarios, o para la prevención del blanqueo de capitales, etc.

Es decir, ya no habrá que esperar a que ISO o los normalizadores nacionales elaboren un estándar particularizado para cada ámbito (que en todo caso, de existir, serán siempre recomendables sobre la ISO 37301, pues presumiblemente profundizarán de mejor manera en sus propios ámbitos de actuación) sino que servirá de comodín para evidenciar que una organización ha establecido un entorno de control para un ámbito concreto para el que no existían otras herramientas en la normativa o en la autorregulación empresarial.

En este sentido, y a la vista de que presumiblemente la Protección de Datos pueda finalmente acabar cobijada bajo el estándar ISO 27701 sobre privacidad, me gusta especialmente la idea de utilizar el estándar ISO 37301 como marco o paraguas para implementar bajo una estructura ISO perfectamente reconocible todas las obligaciones legales en materia de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo en la medida de que, actualmente, existen muchas obligaciones que cumplir, pero no existe una propuesta clara de estructura de control para las mismas en la legislación vigente. El recorrido no se acaba ahí, por supuesto, pues para cada área concreta de obligaciones podrá utilizarse este estándar como marco para la implementación de una estructura de control… otro ejemplo podría ser el ámbito regulatorio en el mundo farma donde se podrían integrar los Códigos de buenas prácticas existentes en una estructura de alto nivel ISO gracias a este estándar… y así tantos otros ámbitos normativos como se nos puedan ocurrir y que, hasta la fecha, no cuenten con una norma legal o de autorregulación específica que establezca una propuesta de estructura de control.

Y todo lo anterior ello sin olvidar -y este es un enorme avance respecto de su predecesora- que este estándar se basa en los principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad y está catalogado como un estándar de sistemas de gestión de tipo A, es decir, que su real implementación se podrá evaluar a través de auditorías de certificación llevadas a cabo por entidades de certificación como EQA. En este aspecto, las entidades de certificación deberemos establecer mecanismos que permitan conocer al mercado, con exactitud y transparencia, para qué ha utilizado cada organización el estándar ISO 37301, evitando mensajes confusos o engañosos sobre el alcance que se le ha dado a la estructura o superestructura de compliance.

Con este panorama, creemos, yo creo profundamente, que la ISO 37301 va a marcar un antes y un después en la forma en que las organizaciones afrontan el control interno y el cumplimiento de sus obligaciones así como del peso de los procesos de auditoría de tercera parte y certificación como herramientas para evidenciar ante terceros de toda índole que, efectivamente, una organización ha utilizado todas las herramientas que estaban a su alcance para generar una estructura de compliance, sea en el ámbito normativo que sea, basada en prácticas internacionalmente reconocidas.