¿Crees en el médico que no toma su propia medicina?, ¿puede algo ser bueno para el resto y no para él? Son las elementales preguntas que surgen en un mercado inundado de ofertas de compliance, hay compliance a la carta, de todo y para todos. Abogados, auditores, corporativos, asesores, todos predicando la ética y golpeándose el pecho, “van a misa”, pero llegan a casa y “no creen en Dios”, sus organizaciones no tienen programas de compliance, menos una certificación ISO, pero se la venden al resto con gran devoción. Sacerdote en la calle, pecador en su casa.
En estos tiempos está claro el desvalor e inutilidad de los programas fraudulentos (fake compliance), de papel (paper compliance) o sólo con fines publicitarios (cosmetic compliance). Pero tampoco creo en los programas que sólo persiguen “el bien” o “un mundo mejor”, la autorregulación regulada, el compliance, tiene un solo objetivo, la sujeción a la ley, la prevención mediante el gerenciamiento del riesgo. Por eso suele decirse que es un traje a la medida (tailor made), lo que demanda conocer y adaptar el programa según el tipo de organización, pero a la vez existe una técnica, una gramática común o universal que podemos encontrar, en el plano general en la norma ISO 19600 de Sistemas de Gestión de Compliance (SGC) y, en la norma ISO 37001 de Sistemas de Gestión Antisoborno, ambas metodológicamente fundadas en el conocido ciclo de Edwards Deming o circuito PDCA de mejora continua: planear (plan), hacer (do), verificar (check), actuar (act).
En ese sentido, la implantación y certificación de un programa de cumplimiento es una labor abstracto/concreta, implica la aplicación de procesos estandarizados por las normas ISO, pero con el previo conocimiento del ADN de la organización. Y si bien se trata de normas de soft law que no son de obligatorio cumplimiento, sintetizan un conjunto de reglas técnicas para, concretamente en el caso de la ISO 37001, la prevención de la corrupción en las entidades públicas y privadas. La mejora continua alcanza a la propia norma, su contenido es provisional, habrá futuras versiones que mejoren sus lineamientos.
El contenido y potenciales beneficios, la reducción o exención de sanciones, de obtener la certificación ISO 37001, es una materia bastante difundida. Interesa ahora poner de relieve los problemas de implementación, considerando la experiencia de asesoría en compliance por más de 12 años, y la de haber obtenido para Caro & Asociados la certificación IS0 37001 en julio de 2018, convirtiéndonos en la primera firma del Perú en alcanzarla. Hasta donde alcanzo a ver, son seis los principales problemas:
- El compromiso de la alta dirección. No se trata de obtener un acuerdo de directorio o una orden de la gerencia, tampoco de ir a misa en conjunto y asumir un compromiso con el más allá. Debe comunicarse a toda la organización, desde la alta dirección, que la implementación del sistema es una política trascendental, permanente y sin vuelta atrás. En segundo término, no hay compromiso sin recursos, no solo dinerarios, sino y en especial los recursos humanos de la propia organización. Completar los procesos demanda cientos de horas de las diferentes áreas de la entidad, si lo colaboradores no ven esto como parte de su trabajo, habrá demoras, brechas y deficiencias.
- El contexto, el conocimiento de la organización. Es algo elemental pero complejo en la práctica, la información de la organización no siempre está actualizada, centralizada, estructurada ni procesada. No es tarea del asesor recuperar esa data, tampoco del área de cumplimiento de la organización. Se necesita la participación de las diferentes secciones, como la financiera, de recursos humanos, auditoría interna o legal, con la finalidad de estandarizar procesos. Con dos ejemplos, no se necesita un Código de Conducta laboral y otro antisoborno, segundo, no se necesita que los colaboradores suscriban diferentes compromisos o declaraciones de intereses, uno por cada área, sino uno que satisfaga los intereses en conjunto de la entidad.
- La selección de procesos a certificar. Un programa de cumplimiento no puede abarcarlo todo, es innecesario, el arte estriba en seleccionar los más importantes, los procesos con mayor riesgo de exposición hacia el soborno. Si se trata por ejemplo de una empresa minera, el trato con las autoridades debe ser regulado, los trámites para obtener los permisos. La matriz de riesgos debe identificar claramente cada uno de ellos, su cualificación/cuantificación, las medidas de mitigación y los responsables. Ninguna organización certifica todos los procesos, se debe ser modesto en los objetivos, ver el compliance como el kotatsu, la calefacción japonesa del piso hacia arriba, empezar con muy pocos procesos y conforme se vayan alcanzado los objetivos, ampliar la matriz.
- La caja dos. Ya se sabe que los controles financieros deben evitar el uso de recursos para pagos corruptos, pero quién controla “la caja chica”, “las facturas de favor” de proveedores fantasma, o la caja personal del accionista o del dueño de la organización. Es un problema infrecuente en las empresas con una alta estructura corporativa, pero bastante común en las demás, y son la mayoría. Es el constante riesgo de un paper compliance, incluso con certificación ISO 37001, no es por ello baladí que la propia norma indique en la Introducción que “La conformidad con este documento no garantiza que el soborno no haya ocurrido o no ocurrirá en relación con la organización, ya que no es posible eliminar por completo el riesgo de soborno”. Una alternativa para mitigar los riesgos de una caja 2 es que las declaraciones juradas y compromisos se extiendan a los accionistas, inversores, socios de negocios y administradores de hecho de la sociedad, un compromiso de inexistencia de cajas 2 o 3, “fondos de reserva”, cuentas en offshore, y de no uso de los recursos personales para pagos corruptos en favor de la organización.
- “Si vis pacem, para bellum” (“si quieres la paz, prepara la guerra”). La ISO 37001 es un sistema cerrado, pensado para tiempos de paz, nada dice sobre los procedimientos a seguir en caso se descubra un delito. No incluye un mecanismo de whistleblowing o de denuncia (autodenuncia) hacia las autoridades. El éxito del sistema implica crearlo e implementarlo como parte del SGA, se debe establecer por ejemplo que ante una alerta confirmada por el gestor de cumplimiento, frente a los indicios de cohecho, éste debe comunicarlos al directorio o a la gerencia, con protección del cargo, y si éstos hacen caso omiso podrá/deberá comunicarlo al Ministerio Público.
- Engañar al auditor. Todos sabemos que la auditoría opera por muestreo. La primera etapa de la certificación ISO 37001 es netamente documentaria, formal, la etapa dos o de campo implica conocer cómo funcionan los procesos en la práctica. El éxito de la certificación depende de la técnica del auditor para seleccionar la muestra, si éste se limita a pedir las evidencias sin un sistema, sin un orden, sino por intuición o corazonadas, se corre el riesgo de que la organización solo le deje ver lo que quieren que vea.
Con todo, la calidad no es un fin sino un camino, la propia ISO 37001 está bajo revisión, pronto tendremos una versión mejorada, de modo que estamos, podría decirse, ante los iniciales problemas de aplicación. Pero la agenda es bastante amplia, el reto principal sigue siendo como evitar que la certificación ISO se convierta en una simple careta, una estrella de US Marshal, una carta de buena ciudadanía o un certificado de buena conducta. Es momento de evitar los fake certification, los paper certification o los cosmetic certification, y trabajar por la vigencia de modelos de certificación exigentes, que operen como una verdadera barrera o traba contra el comportamiento corrupto en las organizaciones.
.