Auditoría de tercera parte en compliance sí, pero no a cualquier precio
La auditoría y certificación de conformidad van a resultar un elemento esencial del compliance de las organizaciones Existe cierto desconocimiento de los sujetos, reglas y particularidades que se siguen la auditoría de tercera parte
Me permito la licencia de comenzar estas líneas afirmando que cuando hablamos de compliance ya no estamos hablando de un desconocido, sino de un concepto que debe estar muy presente en la gestión de nuestras organizaciones.
No sorprendo a nadie si afirmo -también- que la cultura de compliance ha invadido nuestra lectura, tanto desde el punto de vista puramente jurídico, como desde otros ámbitos tales como la gestión empresarial, el análisis de riesgos o las prácticas éticas en la forma de afrontar las oportunidades de negocio.
Toda esta literatura ha surgido de forma paralela a la construcción de un nuevo mercado, centrado en una primera fase en las labores de consultoría, y que poco a poco ha ido dando entrada a múltiples ámbitos estrechamente vinculados, como pueden ser la investigación de denuncias, el desarrollo de herramientas de software de gestión de compliance, la custodia de evidencias o la auditoría de tercera parte como elemento de consolidación.
Y es en este último aspecto, la auditoría -y concretamente la de tercera parte- sobre el que ahora me interesa aclarar algunas ideas. Quizá porque es el último campo en desarrollarse -por pura lógica- dado que para que haya algo que auditar, alguien tiene que haber implantado con anterioridad un modelo auditable; o quizá porque las auditorías de tercera parte no financieras no son tan conocidas en el sector jurídico (motor de la implantación del compliance en nuestras organizaciones); lo cierto es que en el ámbito del compliance existe cierto desconocimiento de los sujetos, reglas y particularidades que se siguen en el mundo de la auditoría de tercera parte.
Conocer este mundo y ser riguroso en el mismo, resulta especialmente relevante para ofrecer la garantía de generar confianza en los operadores jurídicos -especialmente jueces y magistrados-, dar seguridad en el tráfico mercantil entre particulares, y finalmente cumplir los presumibles requisitos de contratación pública que están por llegar. Pero, sobre todo, conocer bien este ámbito puede evitar en buena medida riesgos innecesarios que acaben por suponer gastos extraordinarios y/o sustos indeseables.
En el ámbito propio y tradicional de los sistemas de gestión (calidad, medioambiente, sistemas de información, etc.), es habitual que el resultado de la auditoría de tercera parte dé como resultado la expedición de una certificado de conformidad del sistema implantado en la organización. Esta pauta, de forma análoga, es la que se va a imponer en el ámbito del compliance en España a la vista de que los estándares desarrollados hasta la fecha (UNE 19601 de Compliance Penal e ISO 37001 Antisoborno) adoptan la forma de sistemas de gestión, cuya conformidad se puede evaluar a través de una auditoría de tercera parte, enfocada a obtener un certificado.
La auditoría y certificación de conformidad van a resultar un elemento esencial del compliance de las organizaciones, pues serán determinantes a la hora de valorar el compromiso de la organización con una cultura ética y de cumplimiento (perspectiva general), pero también supondrán una herramienta efectiva de supervisión y verificación periódica, a través de la detección y corrección de eventuales no conformidades del sistema (perspectiva específica). No sólo será necesario disponer de un sistema de compliance, sino que deberá estar implementado conforme a un estándar reconocido, y además deberá estar auditado y certificado anualmente por una entidad independiente.
Sentada esa idea, nos debemos preguntar ¿Quién puede auditar mi Sistema de Gestión de Compliance? y ¿Todas las auditorías tienen el mismo valor?
Respecto a la primera cuestión, podemos responder con rotundidad que cualquiera puede decirse auditor de compliance. Pero cuidado, porque contestar a la primera pregunta, sin plantear la segunda, puede suponer una gran trampa para las organizaciones. ¿Tienen el mismo valor todas las auditorías? Y aquí la respuesta es más rotunda todavía: No.
Me gustaría volver a incidir en que los tres objetivos que debe buscar la auditoría de tercera parte son generar confianza en jueces y fiscales, dar seguridad en la contratación mercantil y cumplir con el presumible requisito en la contratación pública en un futuro próximo. Y si se pretenden conseguir estas tres metas, entonces las organizaciones no pueden auditar su Sistema de Compliance por “cualquiera”, precisamente porque no todas las auditorías tienen el mismo valor. Y en muchos casos, esas auditorías no servirán para conseguir los objetivos que se persiguen.
En España es la figura de la auditoría y certificación acreditada aquella que asegura la competencia técnica del auditor y la homogeneidad de criterios de auditoría y, en general, permite ofrecer tanto a la Administración Pública como al mercado la seguridad de que los evaluadores de la conformidad (la empresa de auditoría) ofrecen máxima fiabilidad en sus servicios. Y, en España, todo hace indicar que será la Entidad Nacional de Acreditación -ENAC- (Real Decreto 1715/2010, de 17 de diciembre), la única entidad que acreditará a los evaluadores en el ámbito de compliance. ENAC es lo que podríamos denominar el Supervisor de las auditorías de certificación de sistemas de gestión. No se trata de poner en duda la profesionalidad de aquellas organizaciones que no se encuentren acreditadas, sino simplemente destacar que no se encuentran sometidas a criterios de supervisión que permitan medir la calidad de su trabajo.
En todo caso, en el ámbito del compliance es necesario señalar que todavía no existe esquema acreditado para realizar estas auditorías de tercera parte (es decir, no hay reglas comunes de auditoría ni diferencia formal entre certificados que se puedan expedir). También es cierto que ENAC está trabajando en los requisitos para poder acreditar entidades que quieran evaluar la conformidad en el ámbito del compliance, y que este esquema verá la luz, presumiblemente, antes de finalizar el año.
Siendo éste el futuro inmediato, es importante mencionar que actualmente se pueden encontrar en el mercado tanto empresas que ofrecen servicios de auditoría y certificación en compliance conforme a los presumibles requisitos de acreditación, como otras que simplemente buscan un nicho de negocio a cualquier precio, sin apenas competencia técnica, con dudosa independencia y sin la imparcialidad que deberían ofrecer en sus trabajos.
Por suerte, es indudablemente cierto que, cuando se establezca el esquema de acreditación, el mercado de la auditoría de tercera parte en compliance quedará claramente dividido entre aquellos que actúen bajo acreditación de ENAC y aquellos que no lo hagan, ofreciendo un valor radicalmente distinto a los servicios de auditoría y los certificados que se puedan emitir por unas y otras entidades.
En definitiva, conocer si una entidad de auditoría y certificación actúa bajo acreditación -o pretende hacerlo- debe ser siempre una pregunta obligada antes de contratar servicios de auditoría de compliance.
Jorge Alexandre González es abogado, compliance manager en EQA y doctor en Derecho penal