Академический Документы
Профессиональный Документы
Культура Документы
internacionales
en compliance:
ISO 19600 y
37001
Serie Compliance avanzado – 7
www.kpmgcumplimientolegal.es
© 2018
Presentación
Es en el contexto de los mercados regulados donde encontramos
los primeros textos que nos hablan de una función estructurada de
Compliance. El Comité de Basilea de supervisión bancaria emitió en
2005 un interesante documento sobre la función de cumplimiento
en los bancos, fijando los diez principios esenciales que le eran
aplicables. Poco después, la International Organization of Securities
Commissions (IOSCO) emitió otro documento destinado a ayudar
Alain Casanovas a los intermediarios financieros a incrementar la efectividad de sus
Socio de KPMG Abogados
funciones de cumplimiento. En estos documentos ya vemos muchos
acasanovas@kpmg.es
Perfil en Linkedin de los elementos reconocibles en los Programas y Sistemas de
gestión de Compliance modernos. No obstante, aun siendo una
fuente de inspiración para cualquier organización, estaban ideados
para las que operaban en sus respectivos mercados y su nivel de
conocimiento o aplicación analógica fuera de ellos fue limitado.
Aunque el fenómeno de la proliferación y complejidad normativa
empezó afectando a algunos mercados, rápidamente devino una
situación generalizada a causa de la creciente complejidad de
las actividades empresariales, la irrupción de bloques normativos
nuevos (privacidad, prevención penal, etc) y la globalización de la
economía. Paralelamente, el incremento de los daños económicos y
reputaciones asociados al incumplimiento de las obligaciones de las
organizaciones, llevó a plantearse la aplicación de metodologías que
permitiesen gestionar esta nueva realidad. Algunas organizaciones
recurrieron a conocidos entornos de control, como COSO, para
definir un entorno de supervisión y gestión de riesgos de naturaleza
legal. En los estándares modernos sobre Compliance, también se
aprecian componentes que derivan de ellos y que forman parte de su
ADN actual.
En el año 2006 Australian Standards emitió un texto sobre Programas
de Compliance, su célebre estándar AS 3806. Recogía una serie
de buenas prácticas, destinadas a conformar un Programa de
Compliance aplicable a cualquier tipo de organización. Fue la primera
norma nacional de esta naturaleza y rápidamente adquirió notoriedad
Presentación
(cont.)
y disfrutó de una gran aceptación dentro y fuera de su jurisdicción de
origen. Constituyó un eslabón evolutivo significativo, pues hacía ya
innecesario recurrir a la interpretación analógica de otros textos para
gestionar la realidad del Compliance, especialmente cuando éstos
parecían más cercanos a otros ámbitos como el control financiero.
El estándar australiano se convirtió en el texto de partida del primer
estándar internacional sobre Compliance, la norma ISO 19600,
desembocando así en la nueva generación de estándares sobre
esta materia, que determinan el estado actual del arte sobre ella.
Conocer estos textos es indispensable para cualquier profesional
de Compliance, de modo que en este documento comentaré sus
fundamentos y contenido básico.
Índice
La actividad internacional de normalización 2
La estructura de alto nivel de los
sistemas de gestión 4
Diligencia debida 14
Serie Compliance 13
La actividad
internacional de
normalización
Las actividades de normalización son Unidos, BSI en el Reino Unido, DIN en
la respuesta a la inquietud social de Alemania, AFNOR en Francia, UNI en
dar un tratamiento homogéneo a Italia, etc. Estos organismos se agrupan
determinados aspectos técnicos. En la a nivel internacional en la Organización
esfera del Compliance, la proliferación Internacional de Normalización ISO.
de normas que afectan a las actividades Fundada en 1947, es una organización
empresariales ha justificado impulsar independiente y no-gubernamental que
directrices sobre el modo de gestionar aglutina a las entidades nacionales de
esta complejidad. Además, la normalización. Promueve la creación
irrupción del Derecho penal en la de estándares internacionales a
esfera económica ha incrementado tal través de un procedimiento regulado,
necesidad, contribuyendo a agravar las transparente y participativo. En
consecuencias adversas en los campos bastantes ocasiones, los procesos de
económicos y de reputación que se normalización internacional toman,
pueden derivar de los incumplimientos. como punto de partida, estándares
nacionales que han disfrutado de
Tal como expliqué en el Documento
gran reconocimiento en la comunidad
número 1 de esta Serie
internacional. Adoptando estos textos
(“Certificaciones y auditorías de
como base del primer “Working Draft”
Compliance”), los poderes públicos
(WD), se perfila progresivamente
pueden otorgar la capacidad de emitir
el contenido del documento hasta
normas técnicas a ciertas entidades
obtener un nivel adecuado de consenso
en su respectiva jurisdicción, con
entre los países que participan en él,
la finalidad de producir estándares
momento a partir del cual se publica
que determinen un lenguaje
como estándar.
de comunicación común en las
materias que lo precisen. En España El primer estándar nacional sobre
es la Asociación Española de programas de Compliance fue el
Normalización UNE, del mismo normalizado por Australian Standards,
modo que lo es ANSI en los Estados organización independiente sin ánimo
Estándares internacionales en Compliance: 3
ISO 19600 e ISO 37001
La estructura de alto
nivel de los sistemas
de gestión
ISO ideó la llamada estructura de alto definiciones (no las añadidas por motivo
nivel (High Level Structure, HLS) aplicable de especialidad). No obstante, el estándar
a los estándares sobre sistemas de ISO 19600 es un MSS de Tipo B (no
gestión (Management System Standard, certificable), mientras que el estándar
MSS) elaborados por dicha organización. ISO 37001 es de Tipo A (certificable).
La HLS permite que todos los sistemas
La HLS está organizada en 10 capítulos:
de gestión tengan una estructura y
definiciones básicas comunes, facilitando Introducción
su interpretación e integración. Consiste en una breve exposición de
ISO también distingue entre los MSS los motivos que justifican el estándar.
de tipo A y los de tipo B. Los primeros Es el lugar donde se encuentran algunas
proporcionan especificaciones y explicaciones acerca de su contenido
admiten certificar la conformidad con sus y argumentos sobre su utilidad. Es
contenidos, mientras que los segundos interesante para comprender el estándar
facilitan líneas directrices y no son y ayuda a interpretar su articulado en el
certificables. La HLS debe siembre sentido adecuado.
emplearse en los MSS ISO de tipo A, Objeto y campo de aplicación
y cuando sea posible también en los
de tipo B. Por eso, una de las primeras Determina el objeto del estándar y
labores que se desarrolló en los procesos quienes pueden ser sus destinatarios.
de normalización internacional sobre En los estándares de Compliance se
Compliance consistió en adaptar los clarifica que pueden aplicar a cualquier
contenidos de los estándares nacionales tipo de organización, tanto del sector
AS 3806 y BS 10500 a la HLS de ISO. Así, privado como del público, así como a las
comparten estructura (índice principal) organizaciones sin ánimo de lucro.
y también una buena parte de sus
Estándares internacionales en Compliance: 5
ISO 19600 e ISO 37001
Algunos principios
esenciales
Los estándares ISO 19600 y 37001 así venga reiterado continuamente en
comparten algunos fundamentos el cuerpo de los estándares.
esenciales que es preciso conocer para
Proporcionalidad
interpretar correctamente su contenido.
Aunque estos textos no se refieren Las referencias al principio de
expresamente a ellos, incorporan proporcionalidad son muy comunes
contenidos claramente vinculados con en los textos sobre Compliance,
su esencia. aunque en ocasiones se cite con
nombres diferentes (“flexibilidad”) o
Subordinación a Ley
incluso de forma implícita. En cualquier
Ningún estándar resultante de caso, la aplicación proporcional de
la normalización privada puede las buenas prácticas de Compliance
contravenir el Derecho positivo. pretende favorecer modelos adaptados
Aunque los estándares nacionales se a las circunstancias, tanto internas
producen por entidades nacionales como externas, de cada organización.
con capacidades de normalización Aunque la cifra de negocios y otras
reconocidas por los poderes públicos, magnitudes económicas son
sus normas forman parte de la esfera relevantes a la hora de aplicar este
privada y no son equiparables a principio, es erróneo basarse sólo en
Leyes. Lo mismo sucede con las ellas sin considerar otros factores
normas que se producen en el ámbito clave como el tipo de operaciones de
de ISO, que, como he explicado, la organización o los países donde se
es una organización independiente realizan, por ejemplo.
y no-gubernamental. Por lo tanto,
Ahora bien, la aplicación del principio de
la aplicación del contenido de los
proporcionalidad no puede interpretarse
estándares ISO 19600 e ISO 37001
como la capacidad de no aplicar
no puede conculcar las exigencias de
algunos requisitos de los estándares
Derecho positivo en la jurisdicción
ISO por considerarlos gravosos.
donde se apliquen. Si alguna directriz
Se aplicarán todos ellos, de forma
o requisito colisionara con la normativa
proporcional a las circunstancias de
local, se entendería que no procede su
cada organización.
aplicación, sin que sea necesario que
Estándares internacionales en Compliance: 8
ISO 19600 e ISO 37001
La Norma
ISO 19600
El estándar ISO 19600 sobre Es el primer texto en aclarar que las
Compliance Management Systems obligaciones de Compliance tanto
(CMS) es el resultado de un proyecto pueden provenir de obligaciones
de normalización que se inició en el impuestas o exigidas, como
año 2013 y concluyó en diciembre de de aquellas otras asumidas
2014. Partió del reconocido estándar voluntariamente. Por consiguiente,
australiano AS 3806:2006, adaptándolo un sistema de gestión de Compliance
a la HLS y mejorando su contenido no alineado con ISO 19600 contemplará
sólo para incorporar buenas prácticas ambos tipos con un mismo nivel de
adicionales sino para convertirlo en un exigencia. La necesaria evaluación de
sistema de gestión. riesgos tendrá en cuenta ese perímetro.
Se considera un estándar adecuado Es un MSS de Tipo B, es decir, de
para definir sistemas de gestión sobre directrices o recomendaciones, por
campos específicos de Compliance lo cual no puede emplearse en trabajos
que carezcan de un texto adaptado a de evaluación de la conformidad en
sus particularidades, y también para sentido estricto, aunque si pueden
construir superestructuras de vocación desarrollarse análisis de proximidad con
transversal, capaces de coordinar su contenido. No obstante, en algunas
diferentes bloques técnicos (privacidad, jurisdicciones se emiten certificaciones
competencia, prevención penal, etc.). no acreditadas. Sobre esta materia,
puedes consultar el Documento número
Como estándar internacional, rehúye
1 de esta Serie (“Certificaciones y
la utilización de conceptos jurídicos
auditorías de Compliance”).
que pudieran vincularlo con Leyes u
ordenamientos específicos. En cualquier El sistema de gestión que define
caso, las definiciones que incorpora no el estándar estará operado por una
son jurídicas sino organizativas: así, por función de Compliance. Se abandona el
ejemplo, el concepto de “organización” concepto de “Oficial de cumplimiento”
no es equivalente al de “persona empleado en textos anteriores,
jurídica”. apostando por el concepto de “función”
que brinda una mayor flexibilidad:
Estándares internacionales en Compliance: 11
ISO 19600 e ISO 37001
La Norma
ISO 37001
El estándar ISO 37001 sobre Anti- determinadas jurisdicciones. Al igual
Bribery Management Systems (ABMS) que sucede con otros estándares ISO,
es el resultado de un proyecto de sus definiciones no son jurídicas sino
normalización que se inició en el año organizativas.
2013 -muy poco después de haberse
El alcance objetivo del estándar
iniciado el proyecto referente al estándar
no coincide con las necesidades de
ISO 19600-, concluyendo en octubre
prevención en algunos ordenamientos
de 2016. Su punto de partida fue el
(el español, por ejemplo), donde los
estándar británico BS 10500:2010,
ilícitos penales vinculados con el
coetáneo de la UK Bribery Act, adaptado
soborno sólo son una pequeña parte
a la HLS de ISO.
de los que aplican a la persona jurídica
Este estándar ayuda a establecer y que deben ser objeto de cobertura.
y verificar sistemas de gestión de Al seguir una aproximación basada en
Compliance para la prevención, el riesgo, la evaluación de riesgos de
detección y gestión de riesgos de soborno se convierte en un ejercicio
soborno, tanto en el ámbito de la condicionante de buena parte de los
corrupción pública como privada. elementos y actividades derivadas del
Incorpora un anexo (no normativo) que sistema de gestión.
recoge una interesante taxonomía de
Es un MSS de Tipo A, es decir, de
transacciones conflictivas susceptibles
requisitos, pudiéndose emplear
de encubrir sobornos (regalos,
en trabajos de evaluación de la
hospitalidad, donaciones, etc). También
conformidad desarrollados por entidades
contempla la necesidad de controles no
independientes. No obstante, también
financieros, junto con los financieros
recoge algunas recomendaciones
que vienen siendo tradicionales en este
que ayudan a interpretar y aplicar el
tipo de textos.
estándar. Sobre esta materia, consulta
Evita recurrir a conceptos vinculados el Documento número 1 de esta
con la normativa anti-soborno de Serie (“Certificaciones y auditorías de
Estándares internacionales en Compliance: 13
ISO 19600 e ISO 37001
Serie Compliance
avanzado
1. Certificaciones y auditorías de 3. Corrupción: taxonomía moderna de
Compliance actividades conflictivas
La existencia de reconocidos estándares Los estándares modernos de
nacionales e internacionales sobre Compliance han ido perfilando
Compliance ha permitido desarrollar actividades aparentemente normales
trabajos tanto de diseño como de que, sin embargo, son propicias para
evaluación de programas y sistemas de encubrir comportamientos ilícitos.
gestión sobre la base de sus contenidos. Normalmente, no se trata de actividades
En relación con estas evaluaciones de necesariamente prohibidas, aunque
conformidad, existen diferentes enfoques y su desarrollo inadecuado puede llegar
alcances de revisión que brindan diferentes a canalizar actos de corrupción. Este
niveles de confort a las organizaciones. documento trata la taxonomía más
Este documento aborda las dudas más moderna de este tipo de actividades,
frecuentes sobre esta materia. de gran utilidad para la definición de
políticas anti-soborno y establecimiento
de controles tanto preventivos como
2. Psicología social y cognitiva en detectivos.
Compliance
Las organizaciones aglutinan a un
4. Carreras profesionales en Compliance
volumen cada vez mayor de personas.
En estos contextos, conocer aspectos La madurez de los cometidos asociados
que afectan tanto al comportamiento al Compliance abren la posibilidad
individual como al colectivo de las de diferentes carreras profesionales
personas es clave para una gestión en este ámbito, que van desde el
exitosa de Compliance. En este Compliance en ámbitos específicos por
documento se tratan algunos sesgos motivo de materia (prevención penal
relevantes a tales efectos, identificados general, prevención de la corrupción,
a lo largo de estudios y experimentos prevención del blanqueo de capitales y
desarrollados en los ámbitos de la financiación del terrorismo, protección
psicología cognitiva y de la psicología de la privacidad y los datos personales,
social. prevención medioambiental, etc) o
Estándares internacionales en Compliance: 16
ISO 19600 e ISO 37001
Bibliografía
del autor
Compliance Penal Normalizado – Control de Riesgos Legales en la
El estándar UNE 19601 empresa
Alain Casanovas Alain Casanovas
Prólogo de José Manuel Maza Martín Prólogo de Lord Daniel Brennan Q.C.,
former President of the Bar of England and
Coedición: Thomson Reuters Aranzadi,
Wales
AENOR Publicaciones.
Editor, Grupo Difusión
Madrid 2017
Difusión Jurídica y Temas de Actualidad, S.A.
Madrid 2008
Legal Compliance - Principios de
Cumplimiento Generalmente Aceptados
Alain Casanovas
Prólogo de José Manuel Maza,
Magistrado del Tribunal Supremo
Editor, Grupo Difusión
Difusión Jurídica y Temas de Actualidad, S.A.
Madrid 2013
Obra digital
del autor
Cuadernos sobre Cumplimiento Legal
Alain Casanovas
www.kpmgcumplimientolegal.es
Madrid 2013
Tests de Compliance
Alain Casanovas
www.kpmgcumplimientolegal.es
Madrid 2015
Perfil en
LinkedIn
© 2018 KPMG Abogados S.L.P. sociedad española de responsabilidad limitada profesional y firma miembro de la red KPMG
de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”), sociedad suiza. Todos los
derechos reservados
KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”),
sociedad suiza.
La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de
personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar
que siga siéndolo en el futuro o en el momento en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que
pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verificación de su realidad y
exactitud, así como del pertinente asesoramiento profesional.