Certificaciones de Compliance en España

Según el diccionario de la lengua española, “certificar” es asegurar, afirmar o dar por cierta alguna cosa. Y el certificador es quien emite tal testimonio.

En la última sesión del KPMG Compliance Think Tank, comenté los diferentes estadios de tramitación de las normas ISO sobre Compliance, y surgieron algunas dudas sobre las posibilidades de certificación que existen o existirán en España en relación con las mismas. Para comprender el alcance de las diferentes opciones al respecto, es conveniente prestar atención a tres aspectos clave: (i) la entidad que certifica, (ii) el proceso de certificación que utiliza, y (iii) la norma o estándar sobre la base del cual emite su certificación.

En primer término, la entidad de certificación es la que emite un juicio de certeza, cuyo valor guarda cierta relación con el reconocimiento que le dispensa el mercado. Si nos quedamos aquí, sin considerar el resto de aspectos señalados anteriormente, una entidad puede certificar la razonabilidad de un modelo de Compliance, atendiendo a sus propios procedimientos de certificación y criterios técnicos. Existen diversas opciones de esta naturaleza a nivel internacional, algunas de ellas notablemente reputadas por considerar las recomendaciones emanadas de plataformas internacionales tan importantes como la OCDE.

Los siguientes peldaños en la cadena de apreciación de una certificación se suben sumando un procedimiento de trabajo tasado, y considerando el estado del arte que definen los expertos en la materia: es la emisión de una certificación sobre la base de un estándar derivado de una normalización ordenada, en lugar de hacerlo según especificaciones privadas.

Puesto que los criterios para “dar por cierta una cosa” –utilizando los términos de la Real Academia Española- pueden no corresponder necesariamente con la opinión de quienes más conocen sobre ella, adquieren sentido e imprimen valor las revisiones guiadas por estándares, es decir, desarrolladas atendiendo a los criterios fijados por expertos a través de un proceso de normalización.

La normalización es la actividad destinada a elaborar y aprobar normas ante determinados problemas o necesidades de orden tecnológico, político o económico. Los diferentes Estados otorgan esta capacidad a organismos que, a través de un proceso regulado, transparente y participativo, asumen dicho rol. En España, las normas UNE son, precisamente, las creadas por Comités Técnicos de Normalización.

Del mismo modo que ciertos organismos nacionales tienen la capacidad de emitir estas normas, pueden igualmente impulsar y participar en la elaboración de normas internacionales, esto es, normas ISO. En cualquier caso, tanto las normas nacionales como las internacionales se elaboran incorporando expertos conocedores de la materia objeto de las mismas. Es más, normalmente toman parte en ellas los agentes sociales más vinculados con ellas, incluida la representación de las propias entidades que serán sus destinatarias. De ahí que el proceso de normalización sea enriquecedor, y como resultado del mismo se emitan normas robustas, que reflejan el estado del arte transmitido por las voces más cualificadas en sus respectivos ámbitos. Emitir una certificación sobre la base de una norma nacional o internacional destierra sospechas de mediocridad, y de ahí la gran difusión que han tenido estándares internacionales, como lo son el grupo de normas ISO 9000 sobre calidad o las normas ISO 14000 sobre sistemas de gestión medioambiental, ambas auténticos referentes internacionales sobre sus respectivas materias. ¿Quién no las conoce?

Pero volvamos al tema que nos ocupa, que son las certificaciones en materia de Compliance en España. Actualmente no existe en España una norma UNE sobre Compliance, ni de alcance general ni en el ámbito concreto de la prevención penal. Por otra parte, no podemos todavía recurrir a normas internacionales, puesto que las dos únicas normas ISO sobre el particular se encuentran hoy en fase de preparación: la ISO DIS 19600 sobre Compliance Management Systems (CMS) y la ISO WD 37001 sobre Anti-Bribery Management Systems. Además, el primero de dichos estándares no será certificable, por los motivos que apunté en mi post anterior.

Así las cosas, no pueden emitirse todavía en España certificaciones sobre la base de normas UNE (nacional) ni ISO (internacional) en los ámbitos indicados, por los motivos que acabo de explicar. Mientras tanto, disponemos en España de opiniones o certificaciones basadas en especificaciones o requisitos de carácter privado, con las limitaciones inherentes a dichas aproximaciones. Si no queremos esperar a la emisión de dichas normas, debemos al menos ser conscientes de las limitaciones indicadas, evitando situaciones de falso confort y sorpresas desagradables.

Con independencia de lo anterior, ya existen organizaciones que soportan la razonabilidad de sus estructuras de Compliance no sobre la base de certificaciones sino en opiniones de auditoría, lo cual nos lleva a hablar de los estándares de assurance en dicho ámbito, materia suficientemente compleja como para dedicarle un post monográfico más adelante…