Hay muchas razones para utilizar los estándares ISO para implementar modelos de ‘compliance’.
Hace algunas fechas mantenía una reunión con un profesional del compliance que actualmente ocupa un cargo relevante en una gran empresa. El objeto de la reunión era tratar aspectos sobre la certificación de su modelo de prevención de delitos. Fundamentalmente necesitaba información sobre cuestiones técnicas del proceso de auditoría, pero también debatimos largamente sobre el motivo por el cual, para certificar los modelos, estos debían implementarse siguiendo los estándares con estructura ISO. En este caso la ISO 37001 y la UNE 19601 sobre sistemas de gestión antisoborno y de compliance penal, respectivamente.
Esta inquietud, que es una constante en las charlas y conferencias que he mantenido con profesionales del compliance en el último año, deriva de una cuestión estructural de la mayor parte de los modelos de prevención de delitos de las empresas españolas, y es que estos no se han desarrollado siguiendo las metodologías de gestión empresarial de los estándares, por lo que ahora se enfrentan a la necesidad de transformar esos modelos preexistentes en sistemas de gestión con estructura ISO.
Lo cierto es que, como suele ocurrir cuando se juntan dos fieles creyentes en la necesidad de hacer negocio y ganar dinero sin dejarse los principios éticos en el intento, la reunión se alargó más allá de lo que teníamos planificado. Por suerte, llegamos a una idea interesante sobre la pregunta inicial. Utilizar sistemas ISO para establecer estructuras de compliance en las organizaciones es una buena idea porque se limita a llevar a este ámbito metodologías de gestión de empresas que llevan funcionando en las organizaciones desde hace décadas.
Se da la circunstancia de que en España todo lo que rodea al ámbito del compliance, especialmente cuando nos alejamos de ciertos sectores regulados, se vincula al campo de la responsabilidad penal de las personas jurídicas. Sin embargo, el establecimiento de estructuras organizativas para dar debido cumplimiento a requisitos que permitan a las organizaciones funcionar y alcanzar sus objetivos no es precisamente nuevo.
Ejemplo paradigmático de lo anterior son los sistemas de gestión de calidad, que llevan al menos desde 1987, cuando se publica la primera edición de la familia ISO 9000, estableciendo metodologías para que las organizaciones puedan desarrollar y ofrecer productos y servicios de forma satisfactoria en el mercado. Y, en realidad, desde antes, pues ya a finales de los años setenta se utilizaba el BS 5750, antecesor británico del estándar internacional.
Desde aquellos estándares hasta las versiones actuales los cambios han sido tan significativos como lo ha sido el cambio del mundo empresarial. Pero es relevante señalar que son producto de una evolución conjunta entre la empresa y la metodología de gestión empresarial, lo cual, sin duda, ha sido clave para el éxito de este tipo de estándares, cuyos certificados se pueden encontrar en un gran número de empresas. Inciso: como era de esperar, la empresa de mi interlocutor estaba certificada en ISO 9001.
Existen, desde luego, detractores de estas metodologías, y podemos estar de acuerdo con algunas de las objeciones que se platean a las mismas, pero su éxito no hubiese sido tal si no fuese porque las ventajas que suponen para las empresas en su gestión son sustancialmente superiores a las desventajas.
Volviendo a la reunión, y a la pregunta sobre el motivo para utilizar estándares con estructura ISO para implementar nuestros modelos de prevención de delitos, fuimos capaces de encontrar muchos motivos técnicos para ello, pero encontramos uno que era bastante intuitivo, de esos que te convencen con poca explicación. Y es que, si existen metodologías probadas que nos dicen cómo estructurar nuestras empresas para conseguir la satisfacción del cliente, por qué no íbamos a adaptar esas metodologías para trasladar la satisfacción del cliente con los productos y servicios a la satisfacción de la sociedad con su entorno empresarial. Eso es, precisamente, lo que pretenden los estándares de compliance.