¿ISO 37001? “no hay evidencia empírica ni estadística para demostrar que sea eficaz” dice Hui Chen
Hui Chen fue la primera experta en legal compliance del Departamento de Justicia (DOJ) de los Estados Unidos . Antes de integrarse al Departamento de Justicia, Hui ocupó puestos directivos principales a nivel mundial en Microsoft, Pfizer y Standard Chartered Bank.
Fuente: Bloomerg Law, enero 2018
Traducción libre del equipo de Prelafit Compliance
Ver versión en inglés acá
En octubre de 2016, la Organización Internacional de Normalización (“ISO”) publicó la norma ISO 37001: “Sistemas de gestión contra el soborno: requisitos con orientación para el uso”. Este conjunto de normas y directrices no ha recibido poca atención en la lucha contra el Anti-Bribery and Corruption (“ABC”). De particular interés es la disponibilidad de certificaciones del programa de cumplimiento ABC de una compañía en comparación con los estándares. De lo que no ha habido un debate suficiente son las cuestiones relacionadas con la transparencia de su proceso de desarrollo, la evidencia de su eficacia y cómo afecta a la organización implementadora en su conjunto.
ISO 37001 es un proyecto impresionantemente multilateral, que involucra a 37 países participantes, 22 países observadores y ocho organizaciones de enlace, incluidas la OCDE y Transparency International. Sin embargo, no he visto mucha transparencia en cuanto a la experiencia real disponible, los intereses que se han representado y cómo se compensó a los participantes en el proceso de desarrollo. Existe una falta de transparencia similar en cuanto a la metodología. ISO 37001 pretende “reflejar las buenas prácticas internacionales”. ¿Cómo se juzgó que una práctica era “buena” en función de cuántos delegados le gustaban / usaban, o de pruebas empíricas o análisis de datos? Esta falta de transparencia para un estándar anticorrupción parece irónica.
Más importante aún, no ha habido evidencia empírica o estadística para demostrar que ISO 37001 es realmente eficaz. Neill Stansbury, quien dirigió el comité de desarrollo ISO 37001, afirma que “no se puede medir la prevención de sobornos como las vacunas”. Esa declaración contradice años de trabajo de medición de prevención no solo en salud pública, sino en prevención del delito (el soborno es, después de todo, un crimen ) Para empezar, se podría medir la percepción del compromiso de una empresa con ABC. La percepción, como cualquiera que haya citado alguna vez el Índice de Percepción de la Corrupción anual de Transparency International sabría, puede medirse, al menos en términos relativos. Del mismo modo, ciertos indicadores comunes de transacciones potencialmente corruptas se pueden identificar y auditar. Los datos de informes e investigación también proporcionan medidas de cómo y qué empleados informan y responden a dichos informes. La capacitación puede medirse probando el desempeño de los empleados en las actividades que se están capacitando. Estas son algunas de las medidas que se pueden tomar antes y después de la implementación de un sistema para evaluar su efectividad.
Finalmente, las mediciones no deben detenerse en el sistema de cumplimiento ABC en sí, sino que deben tomarse para evaluar el impacto del sistema ABC en la organización como un todo. Suponiendo que los recursos son finitos, una inversión en un sistema representa una opción de asignación de recursos que probablemente afecte a otras partes de la organización. ¿Es posible que enfocarse en un sistema de cumplimiento de ABC tenga un costo de otro tipo de cumplimiento u otros aspectos críticos de las operaciones de la compañía? ¿La obtención de una certificación de cumplimiento ABC elimina recursos y atención de otros programas igualmente importantes o tiene un efecto multiplicador positivo? Que yo sepa, no se han realizado estudios de impacto general para medir los efectos de un sistema de cumplimiento especializado en la organización como un todo, sin embargo, creo que esta información sería fundamental para determinar la sostenibilidad de cualquier sistema de cumplimiento, así como su valor a la organización.
¿Por qué centrarse en ISO 37001? Como muchos han señalado acertadamente, ninguna de las orientaciones emitidas por agencias u organizaciones gubernamentales como la OCDE ha sido probada empíricamente. “Nunca lo hemos hecho antes”, sin embargo, es una excusa pobre para rechazar la búsqueda de pruebas: la profesión médica había estado dejando que la sangre fuera un tratamiento común durante siglos hasta que la medicina basada en la evidencia comenzó a desafiar su validez. Creo que la ISO 37001 sería un buen lugar para comenzar a buscar el cumplimiento basado en la evidencia porque: (1) de la naturaleza multilateral de su desarrollo, (2) va precedida de décadas de lecciones aprendidas y debería haberse beneficiado de los datos previos del sistema y (3) fue publicado por una organización que comenzó su trabajo en manufactura y tecnología, donde los datos y las pruebas empíricas han demostrado su valor. En otras palabras, probar un sistema de cumplimiento con el modelo ISO es una oportunidad demasiado buena para desperdiciarla.
Puedo pensar en algunos campos científicos donde los estándares con aplicaciones globales se implementarían sin pruebas empíricas. También esperaría que los líderes empresariales responsables cuestionen cualquier inversión que aún no haya demostrado su valor. Sería tremendamente esclarecedor si pudiéramos implementar un estudio piloto de varios años de ISO 37001, con un equipo que represente la experiencia en contabilidad forense, psicología social, estadísticas y cumplimiento corporativo. El equipo definiría una metodología y un conjunto de métricas, las aplicaría a cinco a diez organizaciones de diferentes tamaños, industrias y geografías, y compararía las mediciones de línea de base previas a la implementación con las mediciones posteriores a la certificación.
Lo que debemos temer en un ejercicio de este tipo es descubrir que nuestras “buenas prácticas” podrían no estar a la altura de nuestras expectativas. Si ese fuera el caso, significaría que finalmente podemos dejar de dar sangre y centrarnos en encontrar tratamientos que realmente funcionen. Si funcionan, tendríamos evidencia para mostrarlo.