5 cosas que debes saber de la ISO 37001

Bill Dedman no se equivoca al decir que nunca se puede comprar a un hombre que no está a la venta.

Según ISO, el soborno es un fenómeno generalizado que plantea una serie de preocupaciones sociales, morales, económicas y políticas, socava el buen gobierno, dificulta el desarrollo, distorsiona la competencia, deteriora la justicia, debilita los derechos humanos y es un obstáculo para el alivio de la pobreza. También aumenta el costo de hacer negocios, introduce incertidumbres en las transacciones comerciales, incrementa el costo y disminuye la calidad de los bienes y servicios, lo que puede llevar a la pérdida de vidas y riquezas, destruye la confianza en las instituciones e interfiere con el funcionamiento justo e eficiente de los mercados.

ISO, la Organización Internacional de Normalización, fue creada en 1947 tras una conferencia mundial a la que asistieron representantes de 25 países en 1946 en Londres. ISO se ha establecido como la principal organización de normalización a nivel global y ha emitido más de 21,000 normas como, ISO 9001 – Gestión de la calidad, ISO 19600 – Gestión del cumplimiento, ISO 2600 – Orientación sobre responsabilidad social, ISO 31000 – Gestión del riesgo y, desde octubre de 2016, ISO 37001 – Gestión antisoborno.

La norma ISO 37001 trata de «establecer, implementar, mantener, revisar y mejorar el sistema de gestión contra el soborno», ya sea como una iniciativa independiente o como parte de un programa más amplio de cumplimiento contra la corrupción. La nueva norma proporciona requisitos y directrices para que las organizaciones prevengan, detecten y aborden las contingencias relacionadas con el soborno, mitigando así el riesgo general de la empresa y los costos asociados.

Por qué las organizaciones deben adoptar la ISO 37001

Muchas organizaciones tienen operaciones, subsidiarias, proveedores u otros asociados de negocios ubicados en países donde el riesgo de corrupción y soborno es alto. Estas empresas se beneficiarían enormemente adoptando la ISO 37001 o evaluando y certificando su programa de gestión contra el soborno en comparación con la norma ISO.

La norma beneficia a una organización al proporcionar:

• Requisitos mínimos y directrices de apoyo para la implementación o la evaluación comparativa de un sistema de gestión contra el soborno.
• Garantía para la gerencia, los inversionistas, los empleados, los clientes y otras partes interesadas sobre las medidas razonables que una organización está tomando para prevenir el soborno.
• En caso de una investigación, provee evidencia de que una empresa ha implementado mecanismos para prevenir el soborno.

Datos sobre ISO 37001

• Es el primer estándar internacional para sistemas de gestión antisoborno.
• Ha sido redactado con aportaciones de 59 países y 8 organizaciones mediadoras.
• La norma puede ser usada por cualquier organización, grande o pequeña, en el sector público, privado o voluntario, en cualquier país.
• Pretende prevenir el soborno de y por parte de una organización.

ISO 37001 aborda:

• El soborno por parte de la organización, su personal o socios comerciales que actúen en nombre de la compañía o para su beneficio.
• El soborno de la organización, su personal o socios comerciales en relación con sus actividades.

La organización debe implementar una serie de medidas de manera razonable y proporcionada para ayudar a prevenir, detectar y tratar el soborno, incluyendo:

• Política antisoborno.
• Liderazgo, compromiso y responsabilidad de la dirección.
• Control de personal y formación.
• Evaluaciones de riesgo.
• Diligencia debida en proyectos y socios comerciales.
• Controles financieros, comerciales y contractuales.
• Reporte, monitoreo, investigación y revisión.
• Acción correctiva y mejora continua.

Aunque varias organizaciones de certificación han ofrecido recomendaciones para implementar el estándar, todavía existen preguntas:

• ¿Existe valor en la certificación ISO 37001 o las empresas se deben enfocar en su uso para fortalecer los programas de cumplimiento anticorrupción existentes, independientemente de la certificación?
• ¿Qué sugiere la norma que no estén haciendo ya las compañías?
• ¿Cuáles son los beneficios de implementar completamente la norma relativa a los costos?

Deloitte ofrece cinco maneras de ayudar a las marcas a abordar estas y otras preguntas importantes que puedan tener:

1. Empezar por entender cómo se ajusta la norma en el ecosistema regulatorio y de cumplimiento.

Desde una perspectiva reguladora estadounidense, la guía definitiva sobre el cumplimiento de anticorrupción está contenida en la información emitida por el Departamento de Justicia de los Estados Unidos y la Comisión de Valores y Bolsa en el 2012, «A Resource Guide to the U.S. Foreign Corrupt Practices Act». Esta Guía de Recursos, junto con las Guías de Sentencia de los Estados Unidos actualizadas, el «Memorándum de Yates» y otras guías autoritativas, proporcionan una compilación de datos sobre las provisiones y el cumplimiento de la FCPA, así como un recurso esencial referente a los elementos fundamentales y características de un programa eficaz contra la corrupción.

La Guía de Recursos proporciona una orientación basada en principios, no en reglas, para fomentar la implementación de programas de cumplimiento contra la corrupción que se ajusten a las necesidades de una empresa. No hay una respuesta de «talla única». Al hacerlo, efectivamente desalienta la idea de que, al cumplir cualquier conjunto de «reglas», una empresa ha hecho todo lo necesario. Las circunstancias cambian y los programas de cumplimiento corporativo deben evolucionar y adaptarse a las nuevas circunstancias.

Este conjunto de directrices y normas, incluidas las establecidas en la ISO 37001, deben considerarse e implementarse según corresponda en el contexto del perfil de riesgo específico de una empresa. Los reguladores evaluarán los hechos de cómo una compañía implementa un programa de cumplimiento, adaptado a su perfil de riesgo específico para determinar su efectividad.

2. ISO 37001 no excluye la necesidad de una evaluación de riesgos de un programa de cumplimiento existente.

La norma ISO 37001 solo aborda los sistemas de gestión contra el soborno, no de fraude más amplio ni otras cuestiones de corrupción. Obtener la certificación o implementar los requisitos de la norma tiene que verse como una forma de mejorar, no reemplazar, los programas de cumplimiento de anticorrupción existentes de una compañía.

La oportunidad y el desafío para las empresas es evaluar y priorizar todos los riesgos relacionados con la lucha contra la corrupción. Luego pueden revisar y evaluar cómo su programa de anticorrupción actual aborda esos riesgos:

• Primero, en el contexto de una guía reguladora específica.
• Segundo, teniendo en cuenta las orientaciones y normas no reglamentarias.
• Tercero, con el menor número posible de despidos.

Si después de que una empresa finaliza su revisión y evaluación del programa existente, determina que se ha considerado la orientación reglamentaria y no reglamentaria disponible, no se necesitarán más medidas. Sin embargo, para compañías que pueden tener programas de anticorrupción menos maduros, la ISO 37001 puede ser una guía efectiva para mover rápidamente la curva de madurez sin invertir tiempo en vadear el ecosistema regulador y no regulador para desarrollar su enfoque.

3. La certificación no es obligatoria, pero la presión para obtenerla puede crecer.

Muchas empresas consideran la certificación ISO el cumplimiento de un estándar muy alto de prácticas líderes para los sistemas y procesos empresariales. Como resultado, algunas compañías pueden considerar la ISO 37001 como una especie de «póliza de seguro» que se usará con los investigadores reguladores u otros corporativos que realizan la debida diligencia de terceros, como parte de sus propios programas de anticorrupción. Si el número de empresas que aspiran a la certificación aumenta con el tiempo, la presión podría crecer para que otras sigan el ejemplo. Por lo tanto, es importante que las empresas supervisen:

• ¿Qué esfuerzo se requerirá?
• ¿Qué costos se incurrirán?
• ¿Cómo podrían otras empresas considerar la certificación?
• ¿Cómo la certificación puede contribuir al programa de cumplimiento de la compañía en general y sus esfuerzos contra el soborno específicamente?

Las respuestas de cada empresa a estas preguntas pueden ser muy diferentes.

4. Un enfoque de checklist no será suficiente.

Independientemente de los objetivos de una empresa para solicitar la certificación ISO 37001, simplemente marcar las casillas de un formulario no será suficiente. Los requisitos de la norma contienen muchos calificativos, tales como «apropiado» y «razonable», al describir los elementos de los sistemas de gestión eficaces, dejando mucha subjetividad en cómo se diseñan y despliegan dichos mecanismos. La eficacia del enfoque de una empresa, por lo tanto, dependerá de:

• La profundidad, amplitud y minuciosidad general del proceso de certificación que realiza.
• Los métodos para abordar los calificativos «apropiados» y «razonables».
• Cómo se implementan, documentan, monitorean y evalúan los resultados con el tiempo.

Es importante entender que la sustancia, no la forma, de un programa de cumplimiento es lo que determina su eficacia, no la certificación por sí sola.

5. No importa si una empresa quiere obtener la certificación ISO 37001 o no, estos pasos son importantes.

Para evitar un enfoque de «marcar casillas», el proceso de la certificación ISO 37001 necesita comenzar con un chequeo de cumplimiento, evaluación de madurez o de riesgos. Dicha valoración debería incluir un inventario detallado a nivel global de las áreas de riesgo de corrupción, incluidos los puntos de contacto gubernamentales y los perfiles de riesgo desglosados por geografía y operaciones comerciales. Igualmente, debe incluir una evaluación detallada de los controles internos, los procesos empresariales y la tecnología que respalda el programa de cumplimiento contra la corrupción de la compañía.

Como parte de un chequeo de salud de ejecución, las compañías tienen que examinar la presencia y calidad de otros elementos importantes del programa:

• Compromiso de la alta gerencia y el consejo, y un tono claramente comunicado relacionado con la corrupción.
• Código de conducta, políticas y procedimientos de cumplimiento.
• Recursos del programa y autonomía.
• Comunicación, capacitación y conciencia de los empleados.
• Incentivos y medidas disciplinarias.
• Procedimientos de auditoría y vigilancia de terceros.
• Informes confidenciales y mecanismos internos de investigación y respuesta.
• Mejora continua, incluyendo auditoría periódica, pruebas y análisis de las brechas de control.
• Para fusiones y adquisiciones, diligencia previa de preacquisición e integración postacquisición.
• Tecnología utilizada para fortalecer programas de cumplimiento de anticorrupción, abarcando herramientas para detectar banderas rojas en estados financieros, y análisis de datos utilizados para abordar el riesgo de corrupción y facilitar la evaluación y monitoreo de riesgos.

Los requisitos y orientación de la ISO 37001 están diseñados para ayudar a las empresas a prevenir, detectar y responder al soborno mientras cumplen con las leyes contra él.

Muchos corporativos multinacionales están considerando cómo abordar la recientemente emitida ISO 37001. CPA Global, líder en tecnología IP, se convirtió en una de las primeras empresas en obtener la certificación ISO 37001 de sistemas antisoborno. Logró este reconocimiento después de una auditoría multipaís, de varios días, realizada por auditores independientes con experiencia contra el soborno.

Después de que Microsoft y Wal-Mart anunciaron sus planes de obtener la certificación ISO 37001, muchas otras organizaciones están siguiendo el ejemplo.

Esperemos que Joanne Harris esté muy equivocada al decir que una manzana al día mantiene alejado al médico, pero que nadie es inmune al soborno.