UNE 19601: 2017 - Compliance Penal

1.2.- El ADN del Compliance
En las normas ISO y UNE encontraremos compiladas las mejores prácticas aceptadas internacionalmente. Realizar un recorrido por los estándares genéricos y específi cos más importantes del mundo no sólo nos va a permitir reconocer e identifi car estas mejores prácticas (como si buscáramos un ADN común al Compliance), sino también acceder a recursos, soluciones y metodologías prácticas para diseñar, implementar y certifi car Compliance.

1.2.1.- Los procesos de mejora continua y Six Sigma
Debemos comprender siempre el Compliance como un Sistema de Gestión heredero de los sistemas de gestión universalmente aceptados en el mundo presarial. La metodología SIX SIGMA fue la precursora de los actuales procesos de mejora continua empleados en los sistemas de gestión empresarial.
El origen de Six Sigma lo hallamos en la empresa Motorola en el año 1988 cuando el ingeniero Bill Smith desarrolla un sistema de estrategia empresarial y mejora continua de la calidad basado en cinco etapas y denominado DMAIC por sus siglas en inglés: Defi ne - Measure - Analyze - Improve – Control. Este sistema ha evolucionado hacia el más reconocido PDCA: Plain-Do-Check-Act.
SIX SIGMA introduce los elementos más operativos de cualquer Sistema de Gestión. El ANEXO SL (cuyo Apéndice 2 recoge la Estructura de Alto Nivel ISO), es tributaria del Sistema SIX SIGMA y recoge en su formulación los principios esenciales que implementó Motorola en el ya lejano año 1988.
1.2.2.- COSO – Ambiente de control y análisis de riesgos
COSO es un estándar que aporta a los sistemas de Compliance el concepto de “ambiente de control” y el análisis de riesgos como metodología de enfoque y orientación del sistema.
Es obvio -por razones históricas ya explicadas- que COSO se nutre también de SIX SIGMA evolucionando desde la calidad hacia el control del fraude interno y adaptándose desde un enfoque basado en el cliente hacia un enfoque basado en el riesgo.
En este sentido debemos entender y apreciar los cinco componentes de COSO:
1. Ambiente de Control: concretado en Integridad y Valores Éticos, Capacitación de los responsables del control, el liderazgo, la asignación de funciones y responsabilidades, la organización y la defi nición de Políticas de personal.
2. Evaluación de Riesgos: identifi cación y evaluación de riesgos relevantes para la consecución de los objetivos, y cómo deben ser gestionados, y mecanismos para identifi car y afrontar los riesgos asociados al cambio.
3. Actividades de Control: políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar los riesgos en todos los niveles de la Unidad y en cada una de las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos.
4. Información y Comunicación: La Dirección debe comunicar en forma clara las responsabilidades de cada empleado y éstos tienen que comprender cuál es su papel en el Sistema de Control Interno y cómo sus acciones individuales están relacionadas con el trabajo del resto.
5. Supervisión y Monitoreo: un proceso que verifi que la vigencia del Sistema de Control a lo largo del tiempo.
Como comprobamos con facilidad, en COSO los principios de SIX SIGMA adquieren un componente de control que no tenían en sus orígenes, basado en la productividad y la calidad.
1.2.3.- ISO 31000
La evolución que supone COSO en la gestión del riesgo se ve reforzada con la publicación por ISO de la Norma ISO 31000:2009 junto con las ISO/IEC 31010 (evaluación técnica del riesgo) y ISO Guide 73:2009 (vocabulario), que vienen a dotar a los sistemas de Compliance de un completo arsenal de herramientas de análisis y tratamiento de riesgos.
Uno de los aspectos que aporta ISO 31000 al ADN del Compliance es el tratamiento del riesgo: Evitar, mitigar, transferir, compartir…  Si bien las normas ISO/UNE sobre Compliance no exigen la aplicación de los estándares de la familia 31000 en el tratamiento de los riesgos de Compliance, es cierto que se recomienda su lectura y toma en consideración.
1.2.4.- OCEG
El Red Book Capability Model de OCEG aporta a los Sistemas de Compliance una más intensa compenetración entre los requerimientos de Buen Gobierno (Governance), el análisis y tratamiento de riesgos (Risk) y el Cumplimiento de las Normas (Compliance).
Los sistemas de GRC evolucionan con respecto a COSO al tener en consideración los habituales silos que se producen en las grandes organizaciones entre los departamentos anteriormente indicados, pero también aportan una creciente importancia del Buen Gobierno como
componente inspirador de los Sistemas de Gestión.
En este sentido, podemos afi rmar que OCEG, a través del Red Book, da carta de naturaleza al Buen Gobierno como inspirador del Sistema de Gestión de Cumplimiento, evolución que se verá rematada en el estándar australiano AsS 3806.
Algunos de los componentes y requerimientos que encontraremos en ISO 19600 y UNE 19601 se correlacionan con la preocupación de OCEG por “cerrar brechas” en la gestión dispersa de Governance, Risk & Compliance.