Michele La Neve explica porqué ISO37001 no sirve

¿Por qué es innecesario el ISO 37001?

This post is also available in: it fr

Quien haya leído este blog lo sabe, no tengo una gran opinión sobre las certificaciones, ya sea que se refieran  a temas de compliance, el blanqueo de capitales, la privacidad o la anticorrupción, pues es irrelevante. ( Aquí encontrarás un artículo mío en inglés https://compliancelaneve.com/2017/04/28/compliance-certifications-a-good-investment/ )

Lamentablemente, la industria de la certificación está en pleno apogeo.

Particularmente, el reglamento en materia de protección de datos personales e ISO 37001.

En este artículo, me centraré en este último.

Para 1991, las Directrices para la Formulación de Sentencias Federales de los Estados Unidos consideraba la posibilidad de atenuar la responsabilidad penal y, por tanto, la condena en presencia de un programa serio de compliance, que desde el punto de vista de anticorrupción, debería haber sido capaz de prevenir e identificar las patologías.

Al hacer esto, con los años, las organizaciones no fueron dejadas a sí mismas y han podido beneficiarse de las distintas directrices internacionales en las que el mismo ISO 37001 se inspira:

  • Federal Sentencing Guidelines (Directrices para la Formulación de Sentencias),
  • The Bribery Act Adequate Procedures (Ministerio de Justicia británico)
  • Good Practices Guidelines on International Controls (OECD)

Cabe recordar que dichas directrices internacionales están disponibles sin costo alguno y han sido emitidas por organismos públicos y que desde hace varios años, son consideradas como las directrices disponibles más relevantes.

Veamos pues por qué el estándar ISO 37001 no es un avance para prevenir la corrupción.

Los beneficiarios de #iso37001 son los que lo venden.

¿Cómo podría haber sido de otra manera? El estándar no tiene dignidad de Ley como se ha indicado arriba, y por lo tanto no es apto para innovar nada.

Es decir, ¿Para qué pagar unas directrices internacionales que ya están disponibles?

Los auditores.

Desde el momento de la publicación, el pasado octubre de 2016, les habrá pasado seguramente encontrar uno de varios artículos, post y debates que ponen de relieve su validez, sobre todo de la mano de quien propone tal servicio…

Sin embargo, la corrupción internacional es un problema muy serio que necesita del trabajo en equipo de varios especialista;

  • Legales, para comprender el cuadro en el que la empresa opera, incluso en el extranjero, además para comprender si se está enfrente de una posible extorsión,
  • No he visto nunca un soborno estar debidamente registrado; se necesitan profesionales para identificar (e investigar) pagos sospechosos o que pagos indebidos,
  • Informáticos. Ya nuestra vida fluye a través de nuestras computadores, smartphones y tablets y, en el caso de una investigación interior, es bastante común tener que analizar dichos soportes. Por la misma razón, es oportuno que estén profesionales en privacidad y protección de datos.
  • Expertos de seguridad en los lugares de trabajo. Es importante que los que lo produzcan lo hagan respetando las normas y no exploten a los trabajadores (una práctica, lamentablemente, aún común en muchas partes del mundo).

Sin poner en cuestión las competencias de los auditores ISO 37001, conviene recordar que las actividades anteriormente mencionadas, aunque no sean exhaustivas, deberían ser desarrolladas de manera constante y en intervalos regulares, posiblemente por un grupo de profesionales seleccionados ad-hoc.

Para más información, visita: https://compliancelaneve.com/2017/06/20/perche-non-far-certificare-il-proprio-programma-anticorruzione/

No excluye/mitiga los perfiles de responsabilidad.

Como ya se ha mencionado, solo un serio y efectivo programa de compliance podría.

Además, tanto el Departamento de Justicia estadounidense como la Agencia francesa anticorrupción , en sus directrices, han omitido totalmente el estándar.

Adicionalmente, eso es muy importante, la certificación ISO 37001 no excluye de las obligaciones de debida deligencia frente a terceros (debida deligencia es una inversión, créanme).

La privacidad.

Cualquier auditor exige el conocimiento de informaciones detalladas y confidenciales tales como la participación y la preparación de las licitaciones, balances, nombres y actividades desarrolladas por consultores externos. Estas son solo algunas informaciones que deberían ser emitidas a terceros.             Ya hemos visto que el estándar (solo) no excluye la responsabilidad, entonces, ¿para qué arriesgarse?

Algunas empresas certificadas están bajo investigación.

Se ha de especificar que las responsabilidades se definen después del juicio y no antes, por lo tanto, ¿como es posible certificar la adhesión a los más conocidos estándares de anticorrupción cuyas responsabilidades están todavía en fase de definición?

Sin molestar a Montesquieu, es evidente cómo el trabajo de los órganos jurisdiccionales debe aceptarse y ser respetado. Por eso, la certificación en tales circunstancias me parece inusual.

Responsabilidad del auditor.

Si un ingeniero certificara la utilización de un puente no conforme a las normas, él pagaría las repercusiones.   Pero, qué le pasaría a quién emitió la certificación ISO 37001 y el ente certificado fuera reconocido como responsable por corrupción?

Aunque puede existir alguna forma de responsabilidad contractual (obviamente deben verificarse), está claro que la responsabilidad por la supuesta corrupción se quedaría con el organismo. Entonces, ¿para qué certificarse?

Por fin, las razones anteriormente resumidas explican por qué el estándar ISO 37001 raramente puede ser considerado una base para combatir la corrupción y, con mayor razón, una base para las organizaciones que quieren certificarse.

La mejor manera para obtener tal objetivo es trabajar el tema de la cultura interior de la empresa, en la que la corrupción no es tolerada y en que nadie corre el riesgo de perder su trabajo solamente por tener una conducta (potencialmente) errada.

 

 

Published by

Michele La Neve

White Collar Crime Attorney at Whitecotton Law Dedicated to Helping Clients Overcome Unforeseen Business Risks.

Deja un comentario