La primera norma ISO sobre sistemas de gestión de compliance fue la norma ISO 19600:2014, la que tuvo como antecedentes la norma australiana AS 3806, programas de compliance, elaborada en 1998 y revisada en 2006, y la norma alemana IDW AssS 980, de 2011, principios de auditoría adecuados para sistemas de gestión de riesgos. Pero estas normas no nacieron de la nada, sino que se apoyaron en un amplio sistema de conceptos y herramientas que se habían ido generando desde distintos ámbitos, y que podemos considerar antecedentes de los sistemas de gestión.

Ya mencionamos la metodología PDCA o ciclo de Deming de la década de 1950:

· Planificar (Plan). A partir de la definición de los objetivos, se recopila información, se efectúa un diagnóstico y se diseñan las acciones que van a ser precisas para el logro de los objetivos.

· Hacer (Do). Una vez diseñadas las acciones, se llevan a cabo de acuerdo con la planificación.

· Verificar (Check). En esta fase se comprueba si las acciones se están llevando a cabo correctamente y si están logrando los resultados esperados.

· Actuar (Act). A partir de la valoración de la fase anterior, se toman decisiones de mejora, bien para el afianzamiento de la estrategia a largo plazo, para la introducción de cambios o para la sistematización del conocimiento adquirido para su posible aprovechamiento en otros contextos similares.

Otros antecedentes provienen de las normas COSO I, II y III. Nos referiremos al marco integrado propuesto a partir de COSO II, dirigido a gestión y control de riesgo:

1. Ambiente de control; abarca la misión, visión y valores de la organización.

2. Establecimiento de objetivos en todos los niveles.

3. Identificación de los eventos que pueden afectar al cumplimiento de los objetivos.

4. Evaluación de los riesgos asociados a dichos eventos.

5. Determinación de la respuesta ante los riesgos.

6. Realización de las actuaciones de control de riesgos planificables.

7. Comunicación eficaz a todos los trabajadores de la organización.

8. Supervisión de las actuaciones con el fin de valorar el proceso y promover la mejora continua.

Un tercer antecedente es el de las Tres líneas de Defensa: asignación de responsabilidades. Descrito formalmente en 2010 por la Confederación Europea de Institutos de Auditoria Interna (ECIIA) y la Federación de Asociaciones Europeas de Gestión de Riesgos (FERMA). Que las organizaciones cuenten con una triple línea de defensa:

1. Gerencias de las funciones operativas, propietarios de los riesgos.

2. Funciones de control de riesgo y cumplimiento.

3. La auditoría externa.

De los tres antecedentes señalados surgirán los dos marcos de referencia posteriores: Norma australiana AS 3806:2006, programa de compliance, basada en el ciclo de Deming, y la norma alemana IDW AssS 980 de 2011, principios de auditoría.

La norma australiana AS 3806:2006, tiene su primera versión de 1998, una orientada hacia los sistemas de gestión. Se articula en categorías, donde se subsumen 12 principios:

A. Compromiso:

1. Compromiso del órgano de gobierno y de la alta dirección.

2. Política de compliance alineada con la estrategia y los objetivos de la organización.

3. Asignación adecuada de recursos.

4. Objetivos y estrategia del programa de compliance compartidos por el órgano de gobierno y la alta dirección.

5. Identificación y evaluación de las obligaciones de compliance

B. Implementación:

6. Clara asignación de la responsabilidad de compliance.

7. Identificación y cobertura de las necesidades de capacitación del personal en relación con las obligaciones de compliance.

8. Estímulo de las conductas que favorecen el compliance, y rechazo de las que lo ponen en peligro.

9. Establecimiento de controles para identificar las obligaciones de compliance y lograr las conductas deseadas.

C. Monitorización y medición

10. Monitorización del grado de seguimiento del programa de compliance

11. Demostración de la vigencia del programa de compliance mediante documentación y evidencias prácticas.

D. Mejora continua:

12. Revisión regular y mejora continua del programa de compliance.

La norma alemana IDW AssS 980 de 2011, principios de auditoría adecuados para sistemas de gestión de riesgos, más conocida como IDW PS 980, IDW por provenir del Instituto de Auditores de Alemania y PS por tratarse de una norma de auditoría regula la auditoría de los programas de compliance, no la elaboración de los programas de compliance. Identifica 7 elementos fundamentales que considera deben de estar en todo sistema de compliance:

1. Cultura de compliance, desde la cúspide de la organización.

2. Identificación de los objetivos del compliance.

3. Adaptación de la estructura organizativa para facilitar un desarrollo apropiado de la función de compliance.

4. Identificación y análisis de los riesgos, valorando la dimensión de cada riesgo, dadas sus consecuencias previstas, y estimando la probabilidad de que suceda.

5. Establecimiento del programa de compliance (políticas, controles, procedimientos de obtención de información).

6. Comunicación del cumplimiento (capacitaciones al personal y difusión de una imagen de cumplimiento hacia terceros).

7. Supervisión y mejora del sistema de compliance.

William Deming, 1950.