ISO 37001: un paso histórico en la lucha contra el soborno

El pasado día 13 de octubre se publicó el estándar ISO 37001 sobre sistemas de gestión anti-soborno (Anti-bribery Management Systems –ABMS-). Es el resultado de un laborioso proceso de normalización internacional que adopta y mejora los últimos adelantos en sistemas de lucha contra el soborno, reflejados en normas y estándares nacionales como como el British Standards 10500 del año 2011.

El estándar ISO 37001 adopta la estructura de alto nivel (High Level Structure – HLS-) de ISO/IEC, que permite a todos los modelos de gestión de ISO disponer de estructura y contenidos esenciales comunes. Esto no sólo facilita comprender el estándar a quienes estén familiarizados con otros sistemas de gestión (de medio ambiente, por ejemplo), sino que simplifica la integración de modelos. En el ámbito del Compliance, tal circunstancia es especialmente útil para encajar el ABMS dentro de una superestructura de Compliance que coordine diferentes sistemas de gestión en aspectos de cumplimiento específicos. El propio estándar reconoce que el ABMS tanto puede integrarse en un sistema de gestión más amplio como operar aisladamente. Técnicamente, la norma ISO 37001 establece un sistema de gestión (Management System Standard –MSS-) de tipo A, esto es, de especificaciones (núcleo duro) susceptibles amparar una certificación de conformidad. No obstante, incorpora algunas directrices e informaciones interpretativas adicionales (núcleo blando), que no sólo ayudan a comprender las especificaciones sino a implantar buenas prácticas adicionales. Quien vaya a evaluar el sistema de gestión atenderá a los elementos que conforman su núcleo duro, que deberán estar adecuadamente soportados como información documentada del sistema.

Aunque el estándar incorpora una definición de soborno, está estrechamente vinculada con los comportamientos prohibidos en las jurisdicciones donde vaya a aplicar. Esto significa que sólo pueden considerarse sobornos las conductas concordantes con la definición que sean ilegales, aunque la organización puede elevar voluntariamente ese umbral a otras conductas que, encajando en la definición, no están prohibidas en algunas jurisdicciones. Es una opción que se adopta frecuentemente para evitar inconsistencias intra-grupo.

El estándar contempla una serie de componentes que, articulados sobre la base del principio de proporcionalidad, dan lugar a sistemas muy variados, adaptados a las circunstancias internas y externas de cada caso. Sin embargo, se ha querido evitar el llamado “cherry-picking”, es decir, la aplicación de sólo algunos de estos componentes por cuestión de conveniencia. Por eso, los aspectos que vienen regulados en los Capítulos 4 a 10 del estándar se aplicarán en su integridad, aunque de manera proporcional. Muy relacionado con ello está la aproximación basada en el riesgo que también sigue el estándar, en el sentido que tanto el diseño como la operación del sistema de gestión están condicionados por los riesgos de soborno a prevenir, detectar y responder. Esto precisa identificarlos y evaluarlos para darle de un enfoque razonable y contribuye, de paso, a modular correctamente la proporcionalidad de sus contenidos. En este sentido, el estándar declina imponer una metodología de risk assessment concreta, consciente de que podría ser un gravamen excesivo para algunas organizaciones, pero liviano para otras. En cualquier caso, el estándar recurre al principio de seguridad razonable frente a la absoluta, declarando explícitamente que cumplir con sus contenidos no significa que no se hayan producido o no vayan a producirse sobornos, siendo su finalidad ayudar a poner en práctica medidas razonables para prevenirlos, detectarlos y responder frente a ellos. Evidentemente, el sistema de gestión debe ceñirse a las cambiantes circunstancias de la organización y mejorar con el paso del tiempo, fijando mecanismos para monitorizarlo y adecuar sus contenidos de forma recurrente.

El estándar puede aplicar a cualquier organización y sector, incluyendo tanto el privado como el público e incluso las organizaciones sin ánimo de lucro. Como en otros estándares de gestión, el concepto de organización es deliberadamente amplio, lo que posibilita implantar sistemas anti-soborno en grupos de empresas, en una sola empresa o incluso en parte de ella, facilitando así la adoptar la opción más eficaz.

Como elementos reseñables del modelo destacan la importancia del apoyo de alto nivel, la exigencia de una función de Compliance anti-soborno dotada de recursos, la obligación de una política anti-soborno, la necesidad de identificar y evaluar los riesgos de soborno, así como el establecimiento de procedimientos de diligencia debida tanto en relación con las personas de la organización como de las partes externas con las que se mantienen relaciones. También se consolida la importancia de las acciones formativas y de concienciación como aspectos clave del sistema.

Desde una perspectiva de implementación, estos y otros elementos del estándar pueden vertebrarse atendiendo al conocido ciclo Deming, que diferencia cuatro etapas: planificar, hacer, verificar, actuar (plan, do, check, act).

Finalmente, el estándar incorpora una relación de beneficios que pueden encubrir o ser percibidos como formas de soborno. Enriquece así la taxonomía moderna que ya reflejó el estándar BS 10500 en el año 2011, ampliando los conceptos que deberían estar sujetos a procedimientos de control para evitar su utilización como vías de soborno (favores personales, información confidencial como medio de intercambio para un soborno, etc).