Cargando...

01
06/2017
Por qué es importante implementar la ISO 37001
Por: Global Forensic Auditing (GFA)
*Los contenidos que aparecen en esta sección en la página web de Huella Forense, son de exclusiva responsabilidad de los autores, por lo que estos no representan la opinión ni posición de este medio

Por: Carlos Andrés Gómez, gerente de riesgos en Global Forensic Auditing (GFA). 

La norma de sistemas de gestión antisoborno ISO 37001 estará disponible a mitad de año, tras su traducción y adopción, de acuerdo a lo que ya anunció Icontec, la institución encargada de realizar la normalización en Colombia. Por lo que esta entrada de blog estará dedicada al explicar el por qué las empresas deben empezar a analizar la implementación de esta norma muy seriamente.  (Ver:ISO 37001, la norma de sistemas de gestión antisoborno)

Para iniciar, vale la pena aclarar que la ISO 37001 es una norma enfocada única y exclusivamente a la prevención del soborno – entendido como cualquier regalo, bien o beneficio que puedas recibir para favorecerte o favorecer a otras personas-  y está asociada a las buenas prácticas empresariales. 

Lo que busca la norma es que las empresas se puedan certificar para, de esta forma, darles la tranquilidad a sus socios, accionistas, clientes o proveedores de que cuentan con políticas internas serias sobre el soborno y que los certificó un ente externo. 

Hoy en día existen varias normas que de una u otra forma están reglamentadas y son exigidas por la legislación colombiana, pero, la ISO 37001 no es exigible y tampoco es una Ley. Lo que podría ser positivo si se revisa que muchas empresas en realidad cumplen con las normas expedidas por el gobierno únicamente para evitar sanciones, pero no buscan que realmente exista a partir de estas un fin en la compañía, un beneficio interno.

La ISO 37001 busca que las empresas se apropien del tema. Al no ser exigible se genera en las compañías que se implemente, que todos, desde sus directivos hasta los empleados en el nivel más bajo, hagan parte del sistema. 
 
Al ser una norma certificable y auditable por una compañía externa se puede corroborar si lo establecido realmente es válido. Esa es la diferencia con una norma exigible por Ley, esto pues las normas estipuladas en las regulaciones colombianas se implementan pero nadie revisa si están aplicadas de cara a lo que realmente se está exigiendo o no.  

Implementarla, inicialmente, le va a dar un valor agregado a tú empresa, de esta forma también estás enviando un mensaje contundente: señores accionistas, señores que ingresan capital en esta compañía, seguimos una política de no soborno. Es decir, todas las transacciones, movimientos y acciones que se realizan en la empresa son legales y visibles, no hay nada por debajo de la mesa. 

De esta forma se crea un nivel de confianza y construyes una buena reputación sobre la cultura empresarial que tienes; lo que va muy enmarcado a lo que es el buen gobierno corporativo. 

La ISO 37001 es certificable y es certificable por un ente externo. La mayoría de las normas Icontec, como la ISO 9001 que es de calidad, se implementan más por buenas prácticas y se certifican a través de Icontec y Bureau Veritas, que dan un certificado de cumplimiento.  

Impleméntela bajo la asesoría de expertos 

Para implementar esta normativa es aconsejable que una compañía externa a la que la requiere aplicar esta norma, apoye la implementación, diseño y que tenga sobre todo experiencia en la implementación de los otros sistemas de riesgo.
En ese sentido, compañías como Global Forensic Auditing (GFA) -experta en implementación de sistemas Sarlaft, auditoría forense, entre otros- pueden llegar a brindarle un enfoque de aplicación de la norma que no esté dirigido únicamente al tema de soborno, sino que le ofrezca un mayor alcance frente a las buenas prácticas que como empresa puede fortalecer, aunque la norma no lo exija. Esto genera que la empresa cumpla adicionalmente con otras normas anticorrupción. 

Es fundamental, en este caso, el acompañamiento para diseñar, estructurar e implementar el sistema que será auditable; señalo que lo que se audita no es lo que se tiene, sino que lo se está aplicando. 

Además, se debe cumplir con ciertos lineamientos. Es allí en donde empresas especializadas entran a trabajar, ya que si no se cuenta con el conocimiento, entendimiento y la pericia, la implementación se convierte en un proceso denso, operativo e inoficioso al que después no se le querrá dar seguimiento. 

Ante el panorama descrito, sería importante que si no se está en la capacidad y que si no se conoce demasiado sobre el tema de riesgos, soborno, corrupción o fraude se busque apoyo en empresas especializadas. 

Lo que se gana implementando una norma como ISO 37001

La aplicación de la ISO 37001 se reconoce, como ya lo he mencionado, como una de las buenas prácticas que deberían realizar las empresas para generar tranquilidad interna y externa. Adicionalmente, el tener este sistema puede darle algunos puntos adicionales como compañía en los procesos de selección, licitaciones y sobre todo a futuro cuando estos empiecen a tomar madurez. 

A pesar de que no es exigible en cierta medida es una norma que fortalece las que ya ha emitido el gobierno nacional, contribuyendo incluso a la entrada del país en la OCDE. Esto pues, si las empresas en Colombia empiezan a implementar la ISO 37001 se puede construir una imagen de que la lucha contra el soborno está vigente y de que dichas prácticas no están acordes con las políticas del gobierno nacional. 

Puntos grises de la ISO 37001 

Como punto en contra de esta norma señalaría el hecho de que únicamente está asociada al soborno, pues el soborno es solo uno de los muchos temas que se deben trabajar para alcanzar la transparencia y tranquilidad en las transacciones. 

El soborno es una tipología de la corrupción, la ISO 37001 no cobija otros temas adicionales que aborda la corrupción y que incluyen una serie de tipologías como: la malversación, el fraude interno y externo, el hurto, robo, etc, una serie de elementos que otras normas del país ya cobijan. 

Si la 37001 hubiera integrado estos elementos las regulaciones emitidas por el gobierno que están vigentes habrían tenido más poder y fuerza; ya que certificarse habría sido un paso adicional. Si ya tienes un sistema y cumples con las normativas que te exige el gobierno, el certificarse significa haber estructurado de forma adecuada los lineamientos de la ISO.

La Superintendencia de Sociedades emitió la Ley de Transparencia, la Ley de Soborno Trasnacional, también la del programa de ética empresarial y tenemos la Ley Anticorrupción para el sector público, que es la Ley estatutaria 1778. Estos temas están de alguna u otra forma inmersos en las diferentes entidades o Superintendencias y si la ISO 37001 hubiera acogido o implementado esta serie de tipologías habría sido mucho más fácil, de pronto, para la adopción de la aplicación también de estas normas exigibles, y esta vez no por ser regulatorias sino por buenas prácticas.  

Debería ser obligatoria para las entidades públicas 

Hoy en día las entidades públicas deben darle cumplimiento a una serie de normas que fueron expedidas a través de la Ley Estutaria. Deben realizar, por ello, rendición de cuentas, generar estados financieros, generar informes y publicarlos. Además, están sujetos a la Ley antitrámite, entre otras. Pero, considero que de alguna u otra forma también deberían dar ese primer paso y ser líderes frente a la aplicación de normativas como la ISO 37001, que no son exigibles por Ley. 

En el país hemos visto que los casos de soborno se presentan en gran medida en la política, contratos y licitaciones, entre otros, pero si el sector público implementara un sistema como ISO 37001 automáticamente el camino se le haría más difícil a aquellos que quisieran cometer actos de soborno. ¿Por qué? porque para licitar se podría exigir la alineación del interesado con los procesos que el ente público maneja. 

Para concluir dejo una reflexión al respecto: ¿existe la posibilidad de que alguna entidad pública que obligue a la adopción de un sistema o a la implementación de las diferentes normatividades, internamente no las tenga adoptadas o que no las aplique cómo debe? ¿quién los está certificando o vigilando al respecto?

Twitter: Global Forensic Auditing

Síguenos en: