EL ESTÁNDAR 3806 CMS COMPLIANCE

                                                  UNA GUÍA A SEGUIR

Con la entrada en vigor del Código Penal que está en ciernes, la responsabilidad penal de la empresa cobrará un vigor especial en razón al nuevo art 286 seis que, en resumen, hace responsable al administrador, en última instancia y aparte de lo que pueda pasar con la compañía, de la falta de diligencia por los fallos del programa de prevención penal que hubiese implementado la compañía. La confusión reinante en la materia es tremenda, y las empresas se preguntan cómo formular un programa eficaz, conforme a qué criterios. ISO está preparando dos estándares diferenciando el soborno de la prevención del resto de delitos, el ISO DIS 19600 CMS y el ISO WD 37001 ABMS, mientras que el primero encuentra su más directa inspiración en el estándar británico que desarrolla la Bribery Act, el segundo se basa en el AS 3806-2006 Compliance, el estándar australiano de compliance, que brevemente analizaremos en este artículo por ser el germen de lo que está por venir.

La Standards Australia es la entidad de normalización australiana, que en 2006 publicó la modificación del primer texto del AS 3806-1998, que luego ha sido retocado otra vez en 2009 hasta tener su texto actual. Una serie de eventos en Australia; nueva regulación financiera (ASIC),  casos muy sonados o la actividad del regulador de competencia (ACCC), llevaron a la entidad normalizadora a desarrollar un patrón de conducta. Poco a poco se ha ido forjando un nombre en la comunidad internacional y hoy por hoy es el estándar más reconocido en la gestión del compliance a nivel global.

El modelo adoptado, como la mayoría, se basa directamente en la metodología PDCA, basada a su vez en el llamado ciclo de Deming de mejora continua, contempla 12 principios o estadios estructurados en 4 categorías que no son más que la traslación de las 4 etapas del método; para conseguir la eficacia ejecutiva del programa en la práctica, que es lo que, en definitiva, se persigue. Dichos principios son:

Compromiso, Commitment; que incluye desde la involucración de la directiva y el gobierno en el programa, que lo refrenda y su permeabilidad hacia el resto de la organización, que se suele expresar con la máxima tone from the top, alineamiento con la estrategia de la organización, pasando por la adecuada dotación de recursos, hasta la correcta definición y evaluación de tareas (Work breakdown structure).

Implementación, correcta asignación de responsabilidades, aseguramiento de que el personal asignado cuenta con la formación correcta, aseguramiento de comportamientos en torno al programa, aseguramiento de controles en puntos críticos (Critical pathway method).

Monitorización, medición, y reporte de la adecuada realización del programa, asegurándose de que la empresa puede acreditar el grado de cumplimiento que se haya marcado sobre el papel, mediante un correcto repositorio de evidencias.

Mejora continua, el estándar obliga a una revisión y mejora regular del programa, para ajustarse a los cambios en las condiciones que motivaron su adopción inicial.

El AS 3806 en su versión de 2009, coincidiendo con la primera versión de la norma ISO 31000 de Risk management, remarca y adopta definitivamente un enfoque de riesgos (risk based approach), fundamentando en éste la adecuación del resto del programa, de modo que prioriza el risk assesment como parte principal del programa.

La principal ventaja del estándar australiano, principal inspirador del que está llamado a ser el modelo global de cumplimiento el ISO 19600 CMS, según los principales expertos mundiales, estriba en el prisma práctico desde el que está redactado. Muy al estilo de las normas anglosajonas, está plagada de ejemplos prácticos, esquemas, e incluso plantillas para diseñar mapas de riesgos, repositorios de evidencias, etc. Es un modelo de cumplimiento práctico, enfocado, como su propio texto reconoce y recalca, a la eficacia. Pafraseando a Alain Casanovas, una de las autoridades de mayor relieve en la materia, no solo te dicen qué hay que hacer, te indican cómo hacerlo.

No obstante la cercanía del modelo australiano al futuro ISO DIS 19600 CMS, existen varias diferencias, como pej, el recorte en el número de principios rectores, haciéndolo más fácil de monitorizar y simplificando la concepción formal en beneficio de quienes lo habrán de aplicar. Hay dos cuestiones que interesa remarcar, de cara a ulterior aproximación más detallada sobre este modelo naciente; se trata de una norma no certificable (la nomenclatura terminada en 0 así lo indica), y se encuentra en un momento cercano a su finalización, como indica su apelativo DIS (Drafting international standard).

Pero la cuestión clave en este asunto, que dejamos abierta para una próxima entrega, es; se puede certificar la exoneración de responsabilidad penal? (A imagen y semejanza  de lo que en su día fueron las bulas papales …)