Qué aporta la ISO 37301 al Área de Cumplimiento

El mundo del cumplimiento está actualmente en proceso de digitalización con el objetivo para aportar precisión, agilidad y ahorro, en especial mediante la eliminación de tareas repetitivas y de escaso valor añadido al Área de Cumplimiento (pulsa aquí si quieres calcular tu indicador de automatización del cumplimiento).

Pero antes de meternos en la arena de las herramientas de automatización y de cómo seleccionar la más adecuada, vamos a comentar los principios, objetivos y medios de los que se sirve el cumplimiento, y para ello hemos recogido en este artículo las recomendaciones que la propia ISO 37301:2021 ofrece, que a diferencia de la ISO 19600:2014 en la que se inspira, ésta sí es certificable (1).

Para empezar, vamos a comentar los principios que enumera esta norma, que distingue entre principios explícitos e implícitos:

Como principios explícitos menciona:

• Buen gobierno: la gestión ética, el marco normativo que le afecte y la transparencia de gestión e información a las partes interesadas deben guiar la gestión del cumplimiento.

• Proporcionalidad: cada entidad, en función de su propio contexto, tiene buscar el equilibrio entre los resultados y el coste para conseguirlos. 
• Integridad: las acciones tienen que estar necesariamente en consonancia con los valores declarados por la entidad.
• Transparencia: la transparencia implica la no ocultación de decisiones que afecten a las partes interesadas (empleados, accionistas, resto de la sociedad) y sobre todo debe evitar la ocultación de situaciones reprobables (aquí puede ayudar la implantación del canal ético).
• Responsabilidad: las personas son responsables de sus actos y para ello se debe con un sistema que gestione la trazabilidad de las decisiones tomadas.
• Sostenibilidad: las acciones cortoplacistas no deben poner en peligro a la entidad a largo plazo y ahí también se encuadra el consumo razonable de recursos naturales no renovables.

Y como principios implícitos enuncia:

• Subordinación a la ley: uno de los requisitos de partida es el cumplimento de la ley casi como primer requisito.
• Basado en el riesgo: el diseño de las medidas de mitigación de riesgos debe realizarse conforme a la estructura e importancia de los riegos detectados pero, y esto es muy relevante, según el contexto de cada entidad (debe ser un traje a medida, no vale el de las demás). Conviene además no dejarse en el tintero los provenientes de terceras partes.
• Seguridad razonable (2): la seguridad 100% si existe, sería inasumible. Luego hay que encontrar un punto de equilibrio para cada riesgo entre asumir, y cuánto, y el coste de eliminarlos o minimizarlos. Existe una tercera opción que es la delegación en un tercero mediante seguros, si en primera instancia no es asumible el coste de los controles.
• Mejora continua (3): realizar la revisión permanente de los requisitos normativos e internos, y medir, medir y medir son la base para saber si tienes algo que corregir o reenfocar.

Buenas prácticas de cumplimiento

No era intención de este artículo comentar todas las particularidades de esta norma, sino hacer un extracto de las recomendaciones más relevantes, según nuestro punto de vista, que aporten guías y criterios de trabajo para enfocar correctamente la función de cumplimiento.

Siguiendo este criterio he recopilado las siguientes recomendaciones:

Cultura de cumplimiento

Consiste en reforzar la cultura de cumplimiento basada en la formación de todo el personal, e incluso de los proveedores, y en la implantación de un canal ético garantista y bien gestionado como medio de detección no estructurada de indicios de incumplimiento y la aplicación de las medidas disciplinarias establecidas llegado el caso. Asumir esa cultura debería implicar que la unidad de gestión del cumplimiento es independiente, dispone de presupuesto propio y tiene acceso a las personas e información que requiera para el ejercicio de sus competencias.

Perímetro de cumplimiento

Consiste en determinar claramente el alcance en el sistema de gestión de cumplimiento que queremos implantar, es decir, qué ubicaciones geográficas, organizaciones o negocios se incluyen para determinar el traje a medida requerido para este alcance.

Compromiso y transparencia

Es prioritario el disponer de órganos de gobierno comprometidos, responsables y transparentes, con clara delimitación de responsabilidades por roles, tanto de la dirección como del resto de los empleados.

Control del cumplimiento

Debe realizarse un control de la calidad de los controles que incluya la medida objetiva de su eficacia, para corregir aquellos casos de ineficacia.

Contabilidad del cumplimiento

Es la eterna discusión entre gasto o inversión. Esta suele ser la primera batalla a ganar dentro de cada una de las empresas. Aquellas que determinen que es un gasto, lo enfocaran como forma de protegerse ante el coste (4) de los incumplimientos. Mientras que aquellas que apuesten por asumirlo como una inversión entrarán en la dinámica de la mejora continua, ya que además de asegurarse el cumplimiento normativo, les ayudará a medir el cumplimiento de muchos otros objetivos corporativos y corregir con agilidad las desviaciones detectadas, y ese es un argumento muy vendible a la alta dirección y por ésta a las partes interesadas (5).

Cumplimiento continuo

No se trata tanto de obtener una “foto” en un momento dado, sino de hacer una “película”. Es decir, se debe plantear el cumplimiento como una evaluación continua y eso, hacerlo sin herramientas, puede ser en muchos casos pesada o inasumible con los recursos internos existentes.

Seguimiento

Se define como “la capacidad de determinación del estado de un sistema, proceso o actividad” y por ellos es un complemento claramente necesario para hacer una buena gestión. De nada sirve detectar problemas en los controles si luego no se ejerce un seguimiento para saber hasta qué punto se han implantado las acciones demandadas o conocer las dificultades encontradas y así poder tomar la mejor decisión posible.

Cómo elegir la herramienta adecuada

Si realmente queremos dar el paso hacia la automatización del cumplimiento, qué le tenemos que pedir a la herramienta que elijamos:

• Que permita medir, lo que facilitará la implementación efectiva de la mejora continua (si no mido, entonces ¿qué corrijo?) que preconizan los últimos estándares ISO.
• Medir qué: la eficacia de los controles, sí la de esos que nos ha constado un pastizal implementar.
• Para qué: para determinar qué controles no cumplen su función y así poder lanzar acciones de remediación.
• Cómo: recogiendo los datos necesarios para valorar objetivamente la eficacia de cada control.
• Que nos determine el nivel de riesgo de cada norma cuando nos interese.
• Y además, que consolide un repositorio de cumplimiento, es decir que contenga la información del modelo de cumplimiento establecido, de los datos y evidencias recolectadas, de las ineficacias detectadas (no cumplimientos y no conformidades) y de las acciones de remediación ejecutadas y no ejecutadas.

¿Aún no tienes una herramienta para el control de cumplimiento que mida la eficacia de los controles ayudando al cumplimiento normativo y a los objetivos corporativos? ¿Quieres implementar un cumplimiento continuo pero no tienes recursos para hacerlo? ¿Conoces nuestra solución Motor de Cumplimiento? Habla con nosotros y estudiamos tu caso.

Como en todos los artículos, podéis dejar vuestra opinión en los comentarios que seguro serán útiles para todos los lectores.

1. El concepto de “certificable” implica que un tercero, como certificador acreditado por una entidad oficial (ENAC en España), puede verificar el cumplimiento de la norma y otorgar, si así fuera, el certificado correspondiente.
2. Aunque el estándar no habla de “eficiencia” por no anteponerlo a eficacia, no debe olvidarse de que los controles tienen un coste asociado que tiene que contraponerse con el beneficio de la mitigación que aportan, porque sostenibilidad también es tener una buena cuenta de resultados cada año.
3. Este estándar distingue entre “no cumplimiento” y “no conformidad”. Un “no cumplimiento” implica que algún requisito no se cumple, mientras que una “no conformidad” se deriva de la no consecución de alguna exigencia del propio sistema de gestión declarada por la propia área de cumplimiento. Normalmente una “no conformidad” sin corregir (inexistencia de una acción correctiva asociada o no ejecutada) puede derivar en un “no cumplimiento”. Por ello las “no conformidades” y pueden ser usadas como detector anticipado de un “no cumplimiento”.
4. El coste de los incumplimientos puede ser monetario, penal o reputacional.
5. Son partes interesadas aquellas afectadas por las decisiones de la entidad, siendo las más relevantes sus accionistas y empleados.