ISO 37009: la norma que transforma los conflictos de interés en buena gobernanza

Los conflictos de interés siguen siendo uno de los puntos más sensibles para los sistemas de compliance y gobernanza empresarial. No siempre implican corrupción, pero pueden generar dudas sobre la imparcialidad, erosionar la confianza y abrir la puerta a riesgos legales, reputacionales y operativos. La nueva norma ISO 37009 puede consolidarse desde ahora como un marco de referencia para las estructuras de compliance y buen gobierno corporativo. Es una guía que recoge directrices y recomendaciones para abordar los conflictos de interés de forma sistemática y orientada a la mejora continua. La norma establece cuatro principios: integridad, confianza, transparencia y rendición de cuentas.

El conflicto de interés responde al esquema propio del mandato: quien toma decisiones debe hacerlo en interés de la organización y no en el propio. Esta lógica, cuya regulación no es exhaustiva en el artículo 228 de la Ley de Sociedades de Capital para los administradores, encuentra ahora un desarrollo técnico en la nueva ISO 37009. El estándar aborda los conflictos de interés personales, es decir, aquellos en los que existe el riesgo de que un individuo anteponga su interés (personal, familiar, financiero, etc.) al de la organización.

Asimismo, y como novedad destacable, extiende su alcance a los conflictos de interés organizacionales, es decir, aquellos que afectan a una parte de la organización en detrimento de otra (por ejemplo, cuando la matriz de un grupo toma decisiones en detrimento del interés de sus filiales, o cuando un departamento actúa en perjuicio de otro, sin pensar en el mejor interés de la organización).

La norma distingue tres categorías de conflicto de interés: por un lado, el conflicto real, es decir, cuando la persona debe participar en la toma de una decisión actual y real; si concurre el conflicto, la persona debe abstenerse o ser recusada.

En segundo lugar, el conflicto aparente es una apariencia de conflicto de interés que no existe, pero que por un tercero puede percibirse razonablemente como tal, aunque el mismo no concurra. No obstante, la mera percepción erosiona la confianza y justifica una explicación transparente justificando su inexistencia.

Por último, el conflicto potencial es, paradójicamente, el más difícil de gestionar: no hay conflicto actual, pero existen condicionantes que pueden hacer que se materialice en un futuro.

Una de las novedades de este estándar es definir la gestión de un conflicto de interés como un ciclo completo compuesto de cuatro fases:

Primero, la identificación, es decir, determinar dónde pueden surgir conflictos. Por ejemplo, contratación de proveedores, selección de personal, aprobación de gastos, decisiones del Órgano de Administración o relaciones con terceros, etc.

Segundo, la evaluación, mediante una matriz de riesgos. La matriz de riesgos nos permite identificar procesos clave, registrar las personas con capacidad decisoria y analizar la probabilidad de materialización en función de frecuencia, volumen y tipología. Esto nos permitirá priorizar qué medidas es necesario adoptar.

Tercero, la gestión, que comprende, entre otros aspectos, la divulgación, entendida como la obligatoriedad de comunicar conflictos y no ocultarlos, la adopción de medidas de abstención y recusación, así como, por ejemplo, la creación de «murallas chinas» que bloqueen el acceso a información sensible.

Cuarto, la monitorización periódica para revisar cómo se han gestionado los conflictos resueltos y alimentar el sistema de mejora continua.

La ISO 37009 pone énfasis en la comunicación y la formación, dado que es una norma que prevé que la sensibilización y la toma de conciencia sean relevantes en todos los niveles de la organización, no solo el top management o los órganos de gobierno. Las personas que gestionan conflictos de interés deben contar con competencias adecuadas para identificarlos y tratarlos. En muchas organizaciones persiste la idea errónea de que declarar a tiempo un conflicto de interés equivale a reconocer una irregularidad. La norma ayuda a normalizar la declaración como buena práctica de integridad, creando un entorno de confianza donde las consultas sean posibles.

La norma ISO 37009 aporta un marco para gestionar uno de los riesgos más delicados de la gobernanza, la gestión de riesgos y el cumplimiento normativo. Los anexos de la norma resultan especialmente útiles para no partir de un folio en blanco, aunque su implementación debe adaptarse a cada compañía en función del sector, la actividad y el modelo organizativo. Su valor no está solo en evitar conductas indebidas, irregulares o incluso delictivas (corrupción), sino en proteger la objetividad en la toma de decisiones y la confianza de los grupos de interés.