Por que a ISO 37001 não é a resposta?
Sabem que alguns grupos de WhatsApp, a gente discute sobre varios assuntos, e em um dias destes segundo Gil Porto (Gilberto Porto, professor programas de pós-graduação Trevisan, UVA e educação corporativa IBEF Rio), no FCPA blog a gente percebe claramente uma massiva campanha pró-ISO 37001, cuja efetividade da aplicação vem sendo questinada em vários debates de especialistas, inclusive pela sra Hui Chen, ex SoJ que esteve no Brasil esse ano.
Os padrões são referências das melhores práticas, mas nunca garantia de que será infalível às não-conformidades. Daí virar uma exigência para empresas e profissionais de compliance, prevenção e investigação de fraudes, GRC, auditores, etc, me parece pura reserva de mercado em favor das grandes consultorias.
Também uma certa covardia com empresas de menor porte para investir em tais certificações. Segundo o proprio Gil porto, dizendo que seu espanhol é meio fraco, mas um dos questionamentos dos “haters” tem um fundo de verdade: “La Certificación sirve para el propósito de quien la vende” – claramente, a indústria das certificações.
Segundo o site www.worldcomplianceassociation.com, ¿Por qué ISO 37001 no es la respuesta? No hay modelo de cumplimiento que proteja a una organización que tiene la voluntad manifiesta y consciente de delinquir.
Bueno, lo cierto es que la gran mayoría de los países en los que está desarrollado el principio de la atenuación total o parcial de responsabilidad de la persona jurídica en los casos de responsabilidad penal por corrupción, vienen a indicar que es la propia organización (la persona jurídica) quien debe DEMOSTRAR y aportar EVIDENCIAS de que, con carácter previo a la comisión del delito, disponía de un modelo de prevención de delitos adecuado y proporcional a su actividad y características.
Bem, a verdade é que a grande maioria dos países em que o princípio da mitigação total ou parcial da responsabilidade da entidade jurídica é desenvolvido em casos de responsabilidade criminal por corrupção, vem indicar que é a própria organização (a pessoa jurídica) que deve DEMONSTRAR e provar que, antes de cometer a infração, ele tinha um modelo de prevenção do crime adequado e proporcional à sua atividade e características.
Desde luego a mí se me ocurren pocas pruebas más CONTUNDENTES que la organización pueda aportar una evidencia tan clara de la existencia de ese modelo como es la superación de auditoría periódicas, realizadas por una entidad imparcial e independiente que justo busca demostrar que la organización dispone de un sistema de prevención (compliance) el cual, a priori, se adapta a sus características y cumple requisitos internacionalmente aceptados. No digo que sea el único elemento probatorio válido, lo que digo es que negar su validez es de un nivel de ceguera o cinismo fuera de todo límite y criterio profesional.
Importante recordar algo que en muchas conferencias les recuerdo a directivos de muchas organizaciones, “no hay modelo de cumplimiento que proteja a una organización que tiene la voluntad manifiesta y consciente de delinquir”.
Lo mejor es su final con la correspondiente frase lapidaria, “La Certificación sirve para el propósito de quien la vende”
Pues debe ser que yo no me he enterado y el resto de modelos/sistemas que menciona son gratis.
Iván Martínez López
Presidente World Compliance Association – CEO INTEDYA Internacional