Los sistemas de gestión anti soborno
Con la publicación recientemente de la nueva norma ISO 37001 sobre sistemas de gestión anti soborno, se ha conseguido establecer una guía para implantar en las empresas una cultura de cumplimiento y transparencia, que nos permitirá detectar y gestionar conductas delictivas en nuestras organizaciones. Como ya han dicho varios expertos en la norma, uno de los principales retos a nivel internacional ha sido ha sido la definición de soborno. En el contexto de esta norma se entiende como un ofrecimiento, concesión o una petición que de forma directa o indirecta suponga una violación de la legislación aplicable. Por ejemplo no aparecen los pagos de facilitación. ¿Por qué? Entre otras cosas porque en algunos países estos pagos no son ilegales.
Una norma es una especificación técnica que es voluntaria y está disponible al público, pero ojo, no es legislación. Incluyendo en la definición la coletilla de “la legislación aplicable” han conseguido poner de acuerdo a todos los países incluido China. Esta norma utilizo como punto de partida el estándar BS 10500 (British Standards Institution) y una de sus muchas aportaciones es la gestión de los riesgos. Establece que todos los riesgos que sean mayores que el riesgo bajo deben ser tratados y controlados y hay dos acciones que ayudan a graduar los riesgos que me han llamado la atención. Se deben determinar medidas dirigidas a las personas expuestas al riesgo y no solo a las actividades de riesgo, algo similar a lo que nos están demandando en la nueva GDPR (Global Data Protection Regulation) trasladando la gestión de los accesos y los datos a las personas.
El tratamiento de los socios de negocio o partners es algo en lo que también incide la nueva normativa. Si alguno de tus aliados no tiene la ISO 37001 deberías gestionar bien ese riesgo con medidas concretas. Debemos involucrar a nuestros partners y proveedores y tener controlado nuestro perímetro de influencia. Lo mismo ocurre a nivel interno, la norma ya te habla de un sistema de triple revisión en la que se debe involucrar al departamento de compliance, a la alta dirección y al órgano de gobierno. En todo Sistema de Compliance se debe lograr el apoyo de la alta dirección, que dote de presupuesto que nos permita certificar todos los años nuestro modelo, mantenerlo y mejorarlo en el tiempo. Los sistemas anti soborno deben estar integrados con lo que ya tenemos implantado en nuestra compañía y debemos ser capaces de medir los controles establecidos en nuestro sistema de Compliance.
Otro de los requisitos para poder certificarte es disponer de una política anti represalias. El canal de denuncias debe estar ligado a este tipo de políticas. Todavía no me he encontrado ningún cliente que tenga este tipo de políticas. Muchos hacen mención en su código ético o canal de denuncias a no tomar represalias, pero lo norma va más lejos.
Por último para poder valorar la importancia de esta norma a nivel internacional, decir que es de las pocas que van a tener una traducción oficial al español (de las más de 20.000 normas publicadas solo hay alrededor de 80 traducidas). Estará disponible a final de año y junto con la norma ISO la de gestión de Compliance (ISO 19600), tendremos unas directrices claras sobre como diseñar e implantar un Sistema efectivo de Compliance penal.