domingo, 7 de octubre de 2018

¿POR QUÉ ISO 37001 NO ES LA RESPUESTA?

Estándar
Página Principal World Compliance Association

No hay modelo de cumplimiento que proteja a una organización que tiene la voluntad manifiesta y consciente de delinquir


De nuevo al ataque contra el “fenómeno HATER”, que invade las redes sociales,.Últimamente se ha hecho muy popular un pequeño video en inglés, “WHY ISO 37001 IS NOT THE ANSWER?”, video que me han hecho llegar más de diez personas diferentes por correo, linkedin, whastapp y demás medios con cierto tono de ironía o de humor según el caso. En unos casos por desconocimiento y en otros por exceso de humor, conviene perdonarles a todos.
 En cualquier caso, si esto sirve para ayudar a atajar de forma temprana el fenómeno “hater” que invade nuestro mundo y, de paso, aprender un poco, utilizaré los argumentos que aporta este mini video como estructura de análisis.
1.      NO ES VÁLIDO COMO DEFENSA EN CASO DE CONDUCTA INADECUADA
Bueno, lo cierto es que la gran mayoría de los países en los que está desarrollado el principio de la atenuación total o parcial de responsabilidad de la persona jurídica en los casos de responsabilidad penal por corrupción, vienen a indicar que es la propia organización (la persona jurídica) quien debe DEMOSTRAR y aportar EVIDENCIAS de que, con carácter previo a la comisión del delito, disponía de un modelo de prevención de delitos adecuado y proporcional a su actividad y características.
Desde luego a mí se me ocurren pocas pruebas más CONTUNDENTES que la organización pueda aportar una evidencia tan clara de la existencia de ese modelo como es la superación de auditoría periódicas, realizadas por una entidad imparcial e independiente  que justo busca demostrar que la organización dispone de un sistema de prevención (compliance) el cual, a priori, se adapta a sus características y cumple requisitos internacionalmente aceptados. No digo que sea el único elemento probatorio válido, lo que digo es que negar su validez es de un nivel de ceguera o cinismo fuera de todo límite y criterio profesional.
 2.      SUS PRINCIPIOS Y REQUISITOS YA SON TRATADOS EN OTROS MODELOS (SEC GUIDELINES, OCDE, UKBA, ….)
¡Faltaría más! Este argumento lo cierto es que me causó una gran carcajada. Está claro que quien lo escribe o defiende no sabe mucho de normas internacionales.
Las normas ISO no pretenden ser ningún tipo de INVENTO, justo al contrario. Las normas ISO pretenden recoger las mejoras prácticas internacionales en materia de gestión de diferentes objetivos, en este caso el objetivo es ni más ni menos que la lucha contra el soborno y la corrupción. Las normas ISO son normas de “CONSENSO” y si quien redactó ese video hubiera invertido un poco de tiempo se hubiera dado cuenta de que en su propia publicación ya se indica que se tomaron en cuenta modelos previos como el de la OCDE, la SEC, la UNODC, la BS 10500 en relación a la UKBA, etc., ya que ISO 37001 pretende ser justo eso, una norma de consenso INTERNACIONALMENTE RECONOCIDA Y ACEPTADA que se alimenta de las mejores prácticas en esta materia.
 3. ORGANIZACIONES IMPUTADAS O EN INVESTIGACIÓN PUEDEN SER CERTIFICADAS
Este argumento es “otro de los buenos”. Pues bien, resulta que a juicio de este señor debe ser que, si un miembro o grupo de miembro de cualquier organización comete un acto delictivo, ya sin jueces ni tribunales ni criterios de proporcionalidad o daño, debe ser condenada a “muerte”.
Quizás el problema radique en que personalmente por principios éticos estoy en contra de la pena de muerte que este argumento me parece una auténtica barbaridad, pero más allá de apreciaciones personales entremos en el análisis,
Ningún modelo de prevención GARANTIZA la eliminación absoluta de las conductas delictivas que puedan cometer las personas, ni ISO 37001, ni las recomendaciones de la SEC, ni BS 10500 ni ningún otro……
Estos modelos pretenden REDUCIR RIESGOS mediante la prevención, gestión y respuesta ante este tipo de incidentes.
Aconsejo un poco de sentido común ya que tras las organizaciones en muchos casos hay miles de familias que dependen de las mismas, y la conducta de unos pocos podría tener consecuencias catastróficas para todas ellas si no se manejan este tipo de asuntos con cierto criterio y proporcionalidad (que para eso ya están los jueces y fiscales).
¿Qué debemos hacer con entidades como WALMART, BAYERN, MICROSOFT, JHONSON & JHONSON, incluso por qué no, la tan “nombrada” ODEBRETCH? ¿Las condenamos a muerte porque han tenido incidentes de corrupción supuestamente cometidos por algunos de sus directivos? Cabe reseñar que algunas de estas organizaciones ya tenían modelos como los que recomienda este señor y ninguna de ellas tenía ISO 37001 cuando se produjeron los incidentes (cuestión de fechas…)
La certificación de ISO 37001 pone en evidencia que la organización dispone de una cultura general de cumplimiento y de un sistema de prevención, gestión y respuesta ante ciertas situaciones de corrupción, pero ni es un salvoconducto, ni es la “garantía absoluta”, básicamente porque tal cosa no existe.
Importante recordar algo que en muchas conferencias les recuerdo a directivos de muchas organizaciones, “no hay modelo de cumplimiento que proteja a una organización que tiene la voluntad manifiesta y consciente de delinquir”.
 Lo mejor de este “mini video” es su final con la correspondiente frase lapidaria,
“La Certificación sirve para el propósito de quien la vende”
Pues debe ser que yo no me he enterado y el resto de modelos/sistemas que menciona son gratis.
No se dejen engañar, ISO 37001 quizás no sea la norma/modelo perfecta, pero es lo mejor que existe en la actualidad para proteger a una organización frente a este tipo de situaciones, justo por los propios argumentos por los que unos pocos la atacan, porque se nutre directamente de otros modelos previamente existente y porque en la actualidad es el ÚNICO MODELO INTERNACIONALMENTE RECONOCIDO Y EVALUABLE DE FORMA OBJETIVA Y CONTIENE MÁS REQUISITOS ESPECÍFICOS QUE NINGUNO DE SUS PREDECESORES…
Iván Martínez López
Presidente World Compliance Association
CEO INTEDYA Internacional

No hay comentarios.:

Publicar un comentario