¿Cómo funciona una auditoría ISO 37001, cómo puede prepararse y qué valor añadido aporta una auditoría ISO 37001, más allá del certificado?
Para averiguarlo, hemos hablado con Chong-Lai Kim, representante de la central de compras de Veolia, que desempeñó un papel clave en una auditoría ISO 37001, y con Hubert Spahn, auditor de DQS.
Como resultado de la auditoría, tres filiales de Veolia obtuvieron la certificación según la norma ISO 37001:2016 para sistemas de gestión antisoborno.
Pero no queremos adelantarnos demasiado. Así que primero, una pregunta para Chong-Lai Kim: ¿Puede contarnos cómo fue el proceso?
Kim: Claro. El departamento central de compras sacó el tema a concurso. Revisamos las ofertas y nos decidimos por DQS como proveedor, lo que dio lugar al contrato. A continuación se planificó la certificación. Hubert Spahn, el auditor de DQS, lo hizo directamente junto con los compañeros de los departamentos especializados, ya que son responsables del contenido y los aspectos técnicos de la auditoría. Tenemos una estructura corporativa muy compleja, por lo que fue un enorme esfuerzo de coordinación.
¿Y qué reveló la auditoría en Veolia?
Spahn: La auditoría demostró que el Grupo Veolia dispone de un sistema de gestión anticorrupción profesionalmente estructurado y gestionado conforme a la norma ISO 37001. La coherencia de la documentación en las distintas empresas garantiza el cumplimiento de la Ley Sapin II y de la norma ISO. La auditoría permite a Veolia demostrar por primera vez a terceros la funcionalidad de su sistema de gestión antisoborno con la ayuda de un certificado independiente y creíble.
La sociedad matriz Veolia S.A. es una empresa que cotiza en bolsa con sede en París. Como gran empresa establecida en Francia con más de 500 empleados y un volumen de negocios anual de al menos 100 millones de euros, la sociedad matriz de Veolia está sujeta a las disposiciones más estrictas de la Ley Sapin II. La ley también se aplica a las empresas del mismo tamaño que pertenecen a una sociedad matriz con sede en Francia.
La Loi Sapin II es la ley francesa para combatir la corrupción y proteger a los denunciantes. Está en consonancia con la evolución de las normas mundiales de lucha contra la corrupción y se basa en gran medida en la FCPA (US Foreign Corrupt Practices Act §§ 78dd-1, et seq.) y la Bribery Act del Reino Unido. Éstas definen normas para la prevención y detección del soborno y la corrupción a través de una mayor transparencia empresarial. La Ley también prevé un mayor control interno y una mejor protección de los denunciantes.
Las empresas afectadas están obligadas a introducir un programa de cumplimiento exhaustivo. Este debe incluir los siguientes puntos
a) un código de conducta para combatir la corrupción,
b) Un mecanismo de evaluación de riesgos,
c) Procedimientos para llevar a cabo la diligencia debida sobre terceros,
d) Formación en materia de cumplimiento para los directivos,
e) un procedimiento de denuncia a través de una línea directa interna para proteger la confidencialidad de los denunciantes,
f) un procedimiento para medir la eficacia del programa anticorrupción.
Si no se toman medidas para prevenir y detectar casos de corrupción, la ley prevé sanciones de hasta un millón de euros para las empresas y de hasta 200.000 euros para los directivos, tanto para empresas como para particulares. El incumplimiento puede acarrear incluso penas de prisión. La aplicación de las medidas anticorrupción de la Loi Sapin II está supervisada por la recién creada autoridad nacional "Agence Française Anticorruption" (AFA).
Esta legislación integral es pionera en Francia. Significa que todas las empresas con sede en Francia o con vínculos con Francia deben revisar sus programas de cumplimiento y asegurarse de que cumplen las normas anticorrupción y antisoborno de la Loi Sapin II.
En primer lugar, enhorabuena a Veolia por el resultado positivo. Tengo una pregunta más para usted, Hubert Spahn. ¿Podría explicarnos cómo funciona una auditoría ISO 37001?
Spahn: Sí, en primer lugar me gustaría dejar claro que una auditoría de un sistema de gestión para luchar contra la corrupción conforme a la norma ISO 37001 no es una auditoría forense, es decir, no se investigan posibles actosdelictivos . No obstante, la auditoría puso de manifiesto que todos los implicados en la misma, en particular los auditados, deben ser conscientes de que no son sospechosos ni acusados ni se les pone bajo sospecha general, ya que, en última instancia, la norma ISO 37001 sólo puede auditarse "hacia atrás". Esto significa que el auditor debe examinar los procesos y la norma desde una perspectiva "penal". El objetivo es averiguar dónde podrían estar en la empresa los posibles puntos débiles y los riesgos, las puertas de entrada o los indicios de las llamadas "banderas rojas" de la corrupción. Esto repercute directamente en el empleado auditado, ya que debe suponerse que tiene intenciones delictivas para poder calcular el riesgo. Resultó que a menudo los empleados apenas eran capaces de imaginar dónde podría producirse un posible intento de corrupción.
Auditoría al revés: ¿Qué le pareció a usted, Chong-Lai Kim?
Kim: Por supuesto, hay preguntas que quizá resulten desconocidas al principio, que no te plantean todos los días y que dan que pensar. Para mí, personalmente, fue un nuevo tipo de pregunta. Una auditoría de este tipo pone de relieve la importancia del tema, incluso en todos los departamentos. Al fin y al cabo, Ventas estaba implicado, al igual que Contabilidad Financiera y Recursos Humanos. Todos tuvieron su entrevista con Hubert Spahn.
La auditoría me hizo tomar conciencia de nuevo de algunas cosas, en particular de lo atento y cuidadoso que hay que ser al tratar con los proveedores. Después de la entrevista, también abordé este tema en mi equipo. Al fin y al cabo, las compras, al igual que las ventas, son especialmente vulnerables cuando se trata de corrupción.
Si está considerando implantar un sistema de gestión antisoborno o está en proceso de obtener la certificación, nuestro libro blanco le proporcionará un resumen de gestión de las principales consideraciones.
¿Y cuál fue la reacción?
Kim: Todo el mundo era ya consciente de ello, pero ha sido una llamada de atención. Una cosa es oír hablar del tema en un curso de formación y otra cuando un auditor pregunta directamente sobre ello en una auditoría.
Spahn: Aunque en Veolia se imparte una formación de gran calidad, la auditoría ha sensibilizado aún más a los empleados sobre posibles casos de corrupción. En particular, la identificación de "banderas rojas", es decir, indicios o pistas en la auditoría de comportamientos delictivos por parte de empleados, colegas o socios, aumentó la concienciación y se consideró un valor añadido.
¿Dónde es generalmente alto el riesgo de corrupción?
Spahn: Especialmente en el caso de empresas y grandes organizaciones con procesos de aprobación en varias fases, hay que ser consciente de que la corrupción sólo es posible con un alto nivel de energía delictiva por parte de las personas implicadas. Esto se debe a que la corrupción suele ser sólo el "delito inicial". Con frecuencia se cometen delitos posteriores, como el fraude (artículo 263 del Código Penal alemán (StGB)), posiblemente en forma de delincuencia organizada. El objetivo de la corrupción es persuadir a la persona sobornada para que actúe en beneficio del sobornador, lo que suele ir en detrimento de la empresa o del público en general. A una persona con un alto nivel de energía criminal y la voluntad de obtener una ventaja personal no la detendrá nada, hay que ser consciente de ello. Exponer esta energía criminal en una situación de auditoría abierta de una certificación ISO 37001 es muy poco probable y no es el objetivo de una auditoría ISO. Pero con un sistema de gestión anticorrupción, puede dificultar estos actos y aumentar la probabilidad de detección, y ese sólo puede ser el objetivo.
Los recientes acontecimientos en el Parlamento Europeo en particular, muestran lo susceptibles que son las personas y los sistemas a la corrupción y el daño que esto causa a la imagen de las organizaciones afectadas. Con la certificación ISO 37001, las empresas pueden generar confianza y transparencia con sus clientes y socios. La auditoría independiente contribuye al desarrollo continuo del sistema de gestión y, por tanto, al cumplimiento dentro de la organización.
La entrevista fue realizada por Constanze Illner.
Hubert Spahn es auditor certificado desde 2006 y trabaja para DQS, entre otras cosas, en las áreas de ISO 37001 Anticorrupción e ISO 37301 Gestión del Cumplimiento.
Como abogado plenamente cualificado y licenciado con formación adicional como compliance officer, el Sr. Spahn está altamente cualificado para auditar sistemas de gestión del cumplimiento.
Nuestros clientes aprecian enormemente su enfoque respetuoso y orientado al valor de la auditoría.
DQS es un organismo de certificación acreditado para la norma ISO 37001. Con auditores cualificados en todo el mundo, estamos a su disposición. Póngase en contacto con nosotros, estaremos encantados de hablar de sus planes.
¿Debo implantar un sistema de gestión anticorrupción o un sistema de gestión de cumplimiento? ¿Cuáles son las diferencias entre ambas normas y cómo se puede determinar qué norma es más adecuada para cada empresa? Hablamos con Hans-Jürgen Fengler sobre estas y otras cuestiones. Es auditor tanto de la norma ISO 37001 como de la ISO 37301 y, por lo tanto, es exactamente la persona adecuada con la que hablar.
Constanze Illner
