¿En qué me certifico? UNE 19601 – ISO 37001 – ISO 19600

¿Llegaron para quedarse? Esta podría ser la pregunta que nos plantearíamos hacer entre otras muchas cuestiones que nos vienen a la cabeza. Sin lugar a dudas, estas normas, otras nada recientes y alguna que está por llegar como la ISO 37301 que vendrá a sustituir la actual ISO 19600, constituyen lo que a nuestro entender son elementos casi indispensables del sistema de cumplimiento de nuestras organizaciones y cuyo valor no estriba en su obligatorio cumplimiento, sino en el prestigio y reconocimiento internacional que otorgan a las organizaciones.

Conviene matizar un par de cuestiones. En primer lugar, la ISO 19600 es una norma de directrices, no de requisitos, por lo que en teoría no es certificable. Lo que no impide por ejemplo, a una entidad de certificación hacer una “validación”  del sistema de Compliance. No obstante, la ya citada ISO 370301 sí será certificable lo cual supone un hito importante dado que trae consigo la presencia a nivel internacional de una norma adaptable a cualquier sistema jurídico, y otorgando por tanto homogeneidad a este sector normativo.

En segundo lugar, matizar también que la UNE 19601 es una norma española, certificable por aquellas entidades que acrediten ante los correspondientes organismos acreditadores y tras el cumplimiento de los requisitos oportunos que certificará el modelo.

Por tanto y dependiendo del interés, entendemos que las empresas que estén pensando certificarse lo que deberían hacer primero es seguir las directrices que marca la ISO 19600 o de su sustituta la ISO 37301, una vez haya sido publicada, para establecer lo que se denomina un Sistema de Gestión de Compliance (SGC). Seguidamente, lo que interesará ver es el alcance o ámbito de actividad de la empresa en cuestión para determinar si sus operaciones tienen una dimensión internacional. Si la respuesta es positiva, la forma de acreditar unas buenas prácticas de contratación internacional tiene que ser a través de la ISO 37001. Sin embargo, si el ámbito de actividad se ciñe a España, quizá no tenga sentido certificarse en la Norma ISO 37001 y podría ser suficiente con la certificación en UNE 19601. Conviene expresar que el alcance y significado de las normas no es idéntico y cada una sirve a una función, pero también es interesante comentar, que la certificación en un Sistema de Gestión de Prevención de Delitos es tomado como un elemento más del modelo que nos puede llevar a una exención o atenuación de Responsabilidad Penal caso que nuestra compañía fuera imputada penalmente todo ello en relación con el artículo 31 bis del Código Penal.

Dejando a un lado las consideraciones anteriores y centrándonos en el análisis más exhaustivo de las tres normas, los paralelismos y estructuras son muy similares. Por sólo entrar en algunos detalles y sin tener en cuenta nomenclatura, todas hacen referencia al objeto, normas de referencia y consulta, contexto y comprensión de la organización, así como de las partes interesadas.

Hablando de Sistema de Gestión, cada norma hace referencia al suyo, del liderazgo y compromiso así como de los órganos de gobierno y roles. Por supuesto, el compromiso de la dirección está siempre presente así como la política aplicable en su caso.

Como ya vamos acostumbrados, no hay Sistema de Gestión (ISO 9001, 14001, etc.)  que hoy día no venga aparejado de su correspondiente análisis de riesgos y estas normas no son una excepción, no se habla de metodologías concretas, pero sí de la necesidad de su realización.

Otro elemento común, es el establecimiento de objetivos, el apoyo y los recursos necesarios para conseguirlos.

La formación, como en todo sistema ISO es parte nuclear, así como la información documentada y los controles asociados al sistema que no tienen que ser comunes pero que deben existir.

Sin entrar en muchos más detalles, la creación de indicadores adecuados para evaluar el desempeño, así como los procedimientos de Auditoría Interna y revisión vienen a constituir lo que en definitiva se espera de un Sistema de Gestión, la mejora continua derivada de las revisiones por dirección y las no conformidades y acciones correctivas.

Para finalizar, señalar que deberá ser la propia organización dentro de sus objetivos y recursos la que establezca que modelo se adecua más a sus necesidades dependiendo de las necesidades del negocio, y por supuesto, lo que dicten las normas que si sean de obligado cumplimiento.