Certificación acreditada en Compliance
El primer estándar internacional de compliance, la conocidísima ISO 19600, supuso para muchos profesionales del Derecho la entrada de lleno en el mundo de los referenciales privados (pero muy reconocidos) en el ámbito de la autorregulación empresarial.
Una de las cuestiones que allá por 2014 y 2015 escuchábamos reiteradamente, era que la norma ISO 19600, si bien establecida las recomendaciones para implantar un sistema de compliance (sin referirse a un área en concreto), no sería certificable al encontrarnos ante una norma de directrices y no de requisitos.
Con la llegada el pasado octubre de la ISO 37001 sobre sistemas de gestión antisoborno y la reciente UNE 19601 sobre compliance penal publicada a mediados de mayo, los profesionales del compliance disponemos, por fin, de dos estándares que permiten la certificación de los sistemas implantados en las organizaciones.
Las preguntas lógicas que llegan ahora son las siguientes ¿en qué consiste la certificación de un sistema de gestión de compliance? y ¿Quién está habilitado para ofrecer ese servicio?
La certificación del sistema de una organización es el resultado de un proceso reglado de auditoría externa, imparcial e independiente, que evalúa la conformidad del sistema implantado conforme a los requisitos que establecen las normas (ya sea UNE 19601, ISO 37001 o ambas al mismo tiempo). En definitiva, se trata de una auditoría, dividida en dos fases, en la que se hace una evaluación tanto del diseño documental del sistema, como de su efectiva implantación en la organización, realizando visitas a los centros de trabajo, entrevistas con el personal, testing de los controles implantados, y, en resumen, recopilando evidencias que demuestran que el sistema no sólo se compone de manuales y políticas, sino que realmente se encuentra integrado en la realidad diaria de la organización.
A la segunda pregunta, debemos responder que para certificar con garantías el sistema implantado, los actores naturales para llevar a cabo dichos trabajos serán las entidades de certificación, y especialmente aquellas que se encuentren acreditadas ante la Entidad Nacional de Acreditación (ENAC). La certificación acreditada será aquella que, sometida a la supervisión de una entidad con potestad pública como es ENAC (Real Decreto 1715/2010, de 17 de diciembre), pueda servir para cumplir con eficacia los objetivos de someter los sistemas de compliance a procesos de certificación, estos es: dar confianza a jueces y fiscales, dar seguridad en el mercado y, presumiblemente en un futuro no tan lejano, servir para cumplir con requisitos para la contratación pública.
Jorge Alexandre González es abogado, compliance manager en EQA y doctor en Derecho penal. Para más información puede visitar www.certificacioncompliance.es