La encuesta de DNV reveló que las empresas están más preocupadas por el cumplimiento, la reputación y los riesgos éticos. Cumplir los requisitos legales encabeza la lista (78%) de razones para aplicar medidas contra el soborno. No cabe duda de que la aplicación de buenas prácticas aceptadas, como las normas ISO, puede facilitar el cumplimiento de la normativa y mejorar la capacidad de gestionar también otros riesgos. Sin embargo, la adopción de la norma del sistema de gestión antisoborno fue inicialmente lenta, pero parece estar acelerándose. En 2018, solo 389 organizaciones estaban certificadas según la norma ISO 37001 y, aunque ese número alcanzó los 2.896 en 2021, sigue siendo minúsculo si se compara con el más de un millón de organizaciones certificadas a nivel mundial según la norma ISO 9001, la norma de sistemas de gestión de la calidad, por ejemplo.
Ventajas de un enfoque proactivo
Muchas empresas inician un viaje estructurado y tal vez la certificación ISO 37001 después de un incidente, que a menudo resulta en fuertes pérdidas financieras y multas, dentro de su organización. Esto parece indicar que la mayoría de las empresas se habrían beneficiado de un enfoque proactivo en lugar de reactivo.
La norma ISO 37001 proporciona requisitos y orientación para que cualquier organización establezca, implante, revise y mejore un sistema de gestión antisoborno. Los requisitos están diseñados para ayudar a prevenir, detectar y responder al soborno, así como para cumplir con las leyes antisoborno y los compromisos voluntarios. La certificación ISO 37001 garantiza a las partes interesadas, tanto internas como externas, que existen, se mantienen y se mejoran continuamente medidas eficaces contra el soborno.
Aunque la norma ISO 37001 cubre principalmente el soborno, otros aspectos como el fraude o el blanqueo de dinero pueden incluirse en el ámbito del sistema de gestión de acuerdo con la legislación y las mejores prácticas pertinentes.
El establecimiento de un sistema de gestión de reclamaciones ISO 37001 ayudará sin duda a comprender mejor los riesgos, tanto internamente como a lo largo de la cadena de suministro. Y lo que es más importante, permite un enfoque proactivo del problema en lugar de reactivo. Lo más frecuente es que los autores muestren banderas rojas de comportamiento. Es probable que un sistema de gestión que abarque la formación en sensibilización y los mecanismos de denuncia de irregularidades mejore la capacidad de cualquier organización para prevenir o descubrir problemas que deban gestionarse.
¿Qué descubren las empresas certificadas según la norma ISO 37001?
Profundizar en los datos de todas las auditorías de sistemas de gestión antisoborno realizadas por DNV en 2022 proporciona una visión única de las áreas que suponen un mayor reto para las empresas certificadas según la norma ISO 37001. Sin embargo, saber dónde están sus riesgos permite adoptar medidas de mejora eficaces.
Las áreas de la norma que más preocupan a las empresas son el Capítulo 7, Apoyo, y el Capítulo 8, Operaciones, en los que el 83% y el 88%, respectivamente, reciben hallazgos. Para aproximadamente el 50% y el 62% respectivamente de las empresas se trata de no conformidades, lo que significa que deben aplicarse medidas correctoras para cumplir plenamente los requisitos de la norma ISO 37001.
El Capítulo 4 Contexto de la organización y el Capítulo 5 Liderazgo también parecen causar problemas, con resultados del 76% (32% con no conformidades) y el 71% (34% con no conformidades) respectivamente.
Cabe señalar que estos cuatro capítulos, junto con el capítulo 9 Evaluación del desempeño, contienen un nivel de requisitos obligatorios muy superior al de los demás capítulos de la norma. Sin embargo, el elevado número de no conformidades en esos capítulos es casi con toda seguridad atribuible al nivel de madurez. Esto debería mejorar a medida que las organizaciones mejoren sus sistemas de gestión y su aplicación.
Si se profundiza en los subapartados de la norma, analizando las conclusiones y las no conformidades más comunes, queda claro que la diligencia debida, las evaluaciones de riesgos y los controles deben abordarse más a fondo en la mayoría de las empresas.
La mayor concentración de conclusiones en el capítulo 8 Operación se deriva del hecho de que este capítulo se aplica a todos los procesos de la organización. Por ejemplo, incluye la realización de la diligencia debida que se aplica a personas, socios comerciales, actividades, proyectos, transacciones y operaciones extraordinarias como fusiones y adquisiciones. Es habitual que la diligencia debida antisoborno se confunda con otras actividades de diligencia debida ya en uso en la organización, aunque los procesos sean diferentes y estén separados.
El elevado número de cuestiones en el capítulo 4 Contexto de la organización demuestra una falta de documentación en el sistema y en el capítulo 5 Liderazgo un escaso compromiso por parte del equipo directivo o una gestión incorrecta de los conflictos de intereses. El Capítulo 7 Apoyo contiene requisitos aplicables a los recursos humanos en cuanto a la gestión del proceso de selección, la contratación de personal, la comunicación interna, la gestión de las políticas de remuneración e incentivos y la formación en materia de lucha contra el soborno. Los resultados del capítulo 9, Evaluación del desempeño, se refieren a una supervisión deficiente del sistema de gestión de la lucha contra el soborno, que es esencial corregir para mejorar.
Aunque hay áreas centrales en las que las empresas certificadas pueden y deben mejorar, la ventaja que tienen estas empresas es que son conscientes de sus riesgos y de dónde concentrar los esfuerzos de mejora. Sin embargo, las empresas que sólo se conforman con aplicar una política antisoborno, como demostró la encuesta de DNV que es el caso de muchas, tienen poco control de sus riesgos o medios para descubrir y gestionar un incidente en caso de que se produzca.