La nueva normativa ISO 37.301:2021 de los planes y programas de prevención penal a los sistemas de gestión de riesgos (penales) en las organizaciones.
Como ya tuvimos ocasión de exponer en anterior post, AENOR (Asociación Española de Normalización y Certificación) publicó la Norma Española UNE 19601:2017 procedente de la ISO 19601:2014, que pretendía dar respuesta la imperiosa necesidad de implementar medidas o programas de cumplimiento normativo que analizaran y previeran el riesgo de la comisión de determinados delitos en las empresas tras la Ley de Reforma del Código Penal que entró en vigor había entrado vigor en julio de 2016 y por la que se introducía en nuestro sistema criminal la Responsabilidad Penal de las Personas Jurídicas.
Pues ha sido este pasado mes de abril de 2021 cuando, tras varios intentos, finalmente, se ha aprobado la primera edición de la Norma ISO 37301 que anula y sustituye a la Norma ISO 19600:2014, que ha sido revisada técnicamente y cuyos principales cambios respecto de la Norma ISO 19600:2014 son los siguientes:
— este documento contiene ahora requisitos y orientación adicional basada en los mismos;
— este documento sigue los requisitos de ISO para una estructura armonizada para las normas de sistemas de gestión.
Como reza la presentación de la propia organización ISO, las organizaciones que pretenden ser exitosas a largo plazo necesitan establecer y mantener una cultura de cumplimiento, considerando las necesidades y expectativas de las partes interesadas. El compliance, por tanto, no sólo es la base, sino también una oportunidad para una organización exitosa y sostenible. El compliance es un proceso continuo y el resultado de que una organización cumpla con sus obligaciones. El compliance se hace sostenible a través de su integración en la cultura de una organización y en el comportamiento y la actitud de las personas que trabajan para ella. Mientras se procure y mantenga su independencia, es preferible que la gestión del compliance esté integrada con los demás procesos de gestión de la organización y en sus requisitos y procedimientos operacionales. Su efectiva implementación en la organización es tenida en cuenta en varias jurisdicciones a la hora de determinar la sanción a imponer por contravenir las leyes pertinentes por parte de los tribunales.
Así mismo el documento de la Norma ISO 37301 especifica requisitos y, además, proporciona una guía de los sistemas de gestión del compliance y prácticas recomendadas. Se pretende que tanto los requisitos como la guía que proporciona dicho documento sean adaptables, y su aplicación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión del compliance de una organización y del contexto, la naturaleza y la complejidad de las actividades y los objetivos de la organización.
La siguiente Figura proporciona una visión general de los elementos comunes de un sistema de gestión del compliance.
Figura: https://www.iso.org/obp/ui/es/#iso:std:iso:37301:ed-1:v1:es
Estructura de la Norma ISO 37301 y la relación con la Norma de referencia en Compliance Penal Español
La Estructura de la Norma ISO 37301, es la siguiente: 1. Objeto y campo de aplicación 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión del compliance 4.4 Sistema de gestión del compliance 4.5 Obligaciones de compliance 4.6 Evaluación de los riesgos de compliance 5 Liderazgo 5.1 Liderazgo y compromiso 5.2 Política de compliance 5.3 Roles, responsabilidades y autoridades 6 Planificación 6.1 Acciones para abordar los riesgos y oportunidades 6.2 Objetivos de compliance y planificación para lograrlos 6.3 Planificación de los cambios 7 Apoyo 7.1 Recursos 7.2 Competencia 7.3 Toma de conciencia 7.4 Comunicación 7.5 Información documentada 8 Operación 8.1 Planificación y control operacional Planificación y control operacional 8.2 Establecimiento de controles y procedimientos 8.3 Planteamiento de inquietudes 8.4 Procesos de investigación 9. Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por la dirección 10. Mejora 10.1 Mejora continua 10.2 No conformidades y acciones correctivas. Anexo A Guía para el uso de la Norma
La norma, como se menciona en su primer apartado, específica los requisitos y proporciona directrices para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión del compliance eficaz dentro de una organización siendo aplicable a toda clase de organizaciones independientemente del tipo, tamaño y naturaleza de la actividad, así como a organizaciones del sector público, privado o sin fines de lucro. Las referencias a un órgano de gobierno se aplican a la alta dirección en aquellos casos en los que una organización no tenga un órgano de buen gobierno como función independiente. Está claramente imbuida de la familia de las normas de sistemas de gestión de riesgos (de cumplimiento) y proclama la idea de sistema como un todo interconectado en la organización y también con su entorno de cumplimiento.
Por su parte, la UNE 19601:2017, norma Española compatible con la UNE-ISO 19600:2014, tiene la siguiente estructura: 1. Objeto y campo de aplicación 2. Normas para consulta 3. Términos y definiciones 4. Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión del compliance 4.4 Sistema de gestión del compliance penal 5. Liderazgo 5.1 Liderazgo y compromiso 5.2 Política de compliance penal 5.3 Roles, responsabilidades y autoridades 6 Planificación 6.1 Acciones para abordar los riesgos y oportunidades 6.2 Evaluación de riesgos penales 6.3 Planificación de los cambios 7. Apoyo 7.1 Cultura de Compliance. 7.2 Recursos 7.3 Competencia 7.4 Formación y concienciación en compliance 7.5 Comunicación 7.6 Información documentada 8. Operación 8.1 Planificación y control operacional 8.2 Diligencia Debida 8.3 Controles financieros. 8.4 Controles No financieros 8.5 Implementación de controles en las filiales y socios de negocio 8.6. Condiciones contractuales 8.7 Comunicación de incumplimientos e irregularidades 8.8. Investigación de incumplimientos e irregularidades 9. Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por el órgano de compliance 9.4 Revisión por la alta dirección. 9.5 Revisión por el órgano de gobierno 10. Mejora 10.1 No conformidades y acciones correctivas.10.2 Mejora Contínua. Anexos A,B,C,D,E,y F.
Como se aprecia de este crossover entre ambas normas y a los efectos de lo que aquí interesa (el compliance penal español) no existen diferencias significativas a la hora de abordar los riesgos (penales) de la organización y todas aquellas organizaciones que estén trabajando con la UNE 19601 o la ISO 19600 mantendrán sus aspiraciones a poder certificarse, ahora sí, con este nuevo estándar internacional.
Y es que, como ya señalábamos en algún post anterior, “es la EFICACIA de los programas de cumplimiento normativo tendentes a evitar la comisión de estos delitos en el seno de las empresa y organizaciones, la que se torna en el factor clave del éxito del cumplimiento normativo a efectos de exonerar a la organización ante actos de terceros, por lo que la profesionalidad y experiencia de aquellos llamados a diseñar e implementar tales normas y programas debe ser tenida muy en cuenta en aras a asegurar esa eficacia del plan de prevención penal o programa de cumplimiento en términos de salvaguardar a la organización de actos de sus directivos y/o empleados. De otro modo, con modelos de copiar y pegar, plantillas y programas informáticos milagrosos que se venden en la red, tendremos al descubierto todo el patrimonio y eventual futuro de la organización para el caso de la comisión de un delito de los que generan esta responsabilidad”.
La adopción de estándares internacionales comúnmente adoptados por estados y organizaciones como “mejores prácticas” para afrontar gestión de riesgos, como es el caso, permite, por un lado, objetivar y demostrar la eficacia de los planes de prevención (sistemas de gestión de riesgos) implantados en la organización a través de su certificación por un tercero independiente conforme a dichos estándares y, por otro, limitar la discrecionalidad de los Tribunales a la hora de “enjuiciar” o valorar esa idoneidad del sistema para evitar el delito que finalmente se perpetró en el seno de la misma. Y aunque la mera certificación no será el supuesto de hecho que automáticamente determinará la exención de responsabilidad para la persona jurídica como no lo es la certificación en otros ámbitos toda vez que, como herramientas que son, dicen mucho acerca de la “voluntad cumplidora” de aquél que las incorpora a su organización sin duda el Tribunal deberá tenerlo en cuenta.
Juan José Cortés
Of Counsel del Área Compliance y Legaltech de Devesa & Calvo Abogados