Sabemos que eso es así. Y sabemos también que es apenas natural que se presenten conflictos de intereses. Lo malo es no contar con un proceso estandarizado para la gestión de conflictos de intereses.

La razón para diseñar un proceso para la gestión de conflictos de intereses no es eliminarlos. Es resolverlos. Puede que parezca lo mismo, pero no lo es. La gestión de conflictos de intereses tiene que ser una herramienta para que las personas puedan saber qué hacer ante este tipo de casos, sin que esto conlleve a una disputa entre compañeros, o a un deterioro de la relación entre los empleados y su organización.

Gestión de conflictos de intereses – ¿Qué es un conflicto de interés?

Antes de hablar del proceso de gestión de conflictos de intereses, conviene definir claramente qué son realmente este tipo de hechos y en qué modalidades se presentan.

El conflicto de interés aparece cuando un empleado, por circunstancias ajenas a su control, tiene la capacidad para influir, interferir, modificar o alterar el resultado de una gestión, de un proceso o de una decisión, para obtener un beneficio particular.

Los conflictos de intereses están ahí. Lo importante es aprender a identificarlos y saber qué hacer en el momento oportuno. Para ello, se requiere un proceso eficaz para la gestión de conflictos de intereses.

Un ejemplo típico de un conflicto de interés es cuando un empleado, del área de Recursos Humanos, debe tomar alguna decisión en el proceso de contratación en el que uno de los postulantes es un pariente suyo.

Detengámonos un poco en este ejemplo: ¿el empleado es culpable de que un pariente suyo desee ocupar una plaza de trabajo que ha sido ofertada públicamente? No. Pero tampoco hay ninguna conducta dolosa, hasta ahora, por parte del pariente, suponiendo por supuesto, que no ha habido un acuerdo anterior entre los dos involucrados.

Entonces, hasta el momento nadie es culpable de nada. Pero, podrían serlo. Esta posibilidad nos enfrenta a tres diferentes niveles de conflicto de interés:

Real: cuando el empleado tiene bajo su control la posibilidad real de influir en el proceso y conducirlo a favor de su pariente.

Percibido: cuando el empleado no tiene bajo su control la toma de la decisión, pero uno de sus compañeros sí.

Potencial: el pariente considera la posibilidad de aplicar a un cargo de trabajo en la organización, pero aún no lo ha hecho.

¿Por qué es importante priorizar la gestión de conflictos de intereses?

Hasta el momento, siguiendo con nuestro ejemplo, no ha pasado nada. Nadie ha cometido una infracción y no hay falta que investigar. Pero, es claro que la posibilidad está ahí.

Los conflictos de intereses son una señal temprana de que algo puede salir mal. Algo que puede afectar la gestión de cumplimiento o la gestión anticorrupción. Esto representa un problema potencial sobre todo en organizaciones que operan en múltiples zonas geográficas, y en una gran diversidad de mercados.

Cuanto más grande y más compleja sea la organización, mayor riesgo representan los conflictos de intereses. Y no es una alarma exagerada. Es una realidad. Una realidad que podemos entender mejor si especulamos un poco más con el ejemplo del empleado y su pariente.

Supongamos que el empleado, que hasta el momento no sabía que su pariente era uno de los aspirantes a ocupar una plaza de trabajo, en una ubicación de la organización fuera del país, encuentra en ello una oportunidad para obtener un beneficio personal.

El empleado influye en el proceso de contratación y el pariente es elegido. Como consecuencia del acuerdo entre parientes, que vicia el proceso de contratación, un par de años más tarde, la organización es investigada y sancionada con el consecuente deterioro de su reputación.

Ahora sí es un problema de proporciones mayores. Problema que se hubiese podido evitar si, desde el inicio, todos hubiesen sabido que hacer ante la presencia de un conflicto de interés.

Definir un proceso de gestión de conflictos de intereses

Aunque no exista un proceso definido, siempre las organizaciones hacen algo para evitar los conflictos o minimizar su impacto. Entonces, lo primero es identificar el estado actual de la gestión de conflicto de intereses en la organización.

Para ello, es importante responder las siguientes preguntas:

• ¿Quiénes están involucrados actualmente en el proceso de resolución de conflictos de interés?
• ¿Cuáles son los tipos de conflictos más declarados por los empleados?
• ¿Con qué periodicidad se evalúan los conflictos y cuál es la media de tiempo en que se resuelven los problemas declarados?
• ¿Se documenta la resolución de los conflictos y dónde se almacena tal información?
• ¿Cuál es la política de la organización con respecto a los conflictos de interés?

Con estas respuestas en la mano, podemos establecer un flujo de trabajo para el proceso que podría tener la siguiente forma:

1. Se recibe la información, denuncia o declaración de un posible conflicto.
2. Se entrevista al empleado o empleados involucrados, explicando la confidencialidad y la informalidad de la información, hasta el momento.
3. Se realiza una evaluación primaria, para la toma de decisiones inmediatas, aunque temporales de acuerdo con el resultado final de la investigación.
4. Se comunica al empleado o empleados, las medidas inmediatas tomadas y la posibilidad de que todas o algunas de ellas sean temporales.
5. Entre las medidas inmediatas a tomar podemos resaltar:
   • Suspender al empleado de su cargo.
   • Suspenderlo de algún tipo de función específica.
   • Suspenderlo de la toma de decisiones relacionadas con el asunto origen del conflicto.
   • Cambiar al empleado de puesto de trabajo.
   • Programar evaluaciones periódicas, mensuales, semestrales, anuales…
   • Tomar medidas disciplinarias, de acuerdo con el resultado de la investigación.

Este es un esquema típico de proceso de resolución de conflictos de intereses. Por supuesto, esto también depende del nivel de tolerancia que la organización declare para este tipo de eventos, de los objetivos de negocios y del apetito de riesgo que la organización esté preparada para aceptar.

En cualquier escenario, es claro que la tecnología y las aplicaciones diseñadas para automatizar la gestión de cumplimiento tienen un aporte definitivo en el buen desempeño de las tareas, entre ellas los procesos de gestión de conflictos de intereses.

Software ISO 19600 de ISOtools

La gestión de este tipo de proceso es compleja. Tradicionalmente. han sido manejados con herramientas como cuentas de correo electrónico, hojas electrónicas y documentos impresos.

El Software ISO 19600 de ISOTools es una robusta herramienta que agiliza flujos y procesos como el que proponemos hoy, asegurando un adecuado almacenamiento de la información recolectada, que se convierte en un activo invaluable para la gestión en el futuro y, por supuesto, en una fuente de conocimiento y experiencia.

Esta, que es la solución más completa del mercado, está hoy disponible para su organización. Conózcala aquí.

La entrada Cómo definir un proceso de gestión de conflictos de intereses se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Sin embargo, sin importar si antes se ha escuchado o leído esta definición, es habitual preguntarse: ¿qué es un enfoque holístico y cómo funcionan en la práctica las soluciones de Gestión Integrada del Cumplimiento?

Para resolver estas preguntas, a continuación, analizamos lo que es realmente la Gestión Integrada de Cumplimiento, y cómo se opera en la cotidianidad de una organización enfocada en cumplir con sus obligaciones.

¿Qué es la Gestión Integrada del Cumplimiento?

La Gestión Integrada del Cumplimiento se basa en un enfoque integral para gestionar el cumplimiento, la ética y los riesgos en una organización. Esto, partiendo de la base de que los tres elementos – ética, riesgos y cumplimiento -, están íntimamente vinculados, y por lo tanto, cualquier tipo de gestión sobre ellos ha de ser coordinada y conjunta.

En el caso de las organizaciones privadas, suelen primar los objetivos comerciales o de negocios. Es así porque no podemos olvidar que una empresa privada es un negocio, y que necesita producir ganancias para sus accionistas, sus dueños, sus socios, e incluso, para un Estado que espera sus contribuciones tributarias. Para el caso de instituciones públicas se enfocan en otros fines, pero igualmente persiguen objetivos propios.

Pero, al mismo tiempo, las organizaciones están sujetas a una serie de obligaciones. Obligaciones impuestas por el Estado, por organismos reguladores, por el mercado, o por personas o grupos de interés. Y también surgen obligaciones derivadas de contratos que se suscriben con proveedores, contratistas, clientes…

Es claro que para cualquier organización, el logro de sus objetivos de negocio está por encima de cualquier otra consideración. Pero, por otra parte, ignorar las obligaciones de cumplimiento, puede generar multas, sanciones, sanciones penales, afectación a la reputación, y otras consecuencias que, finalmente, atentan contra la capacidad de alcanzar los objetivos fijados.

Entonces, ¿es clara la vinculación estrecha entre cumplimiento, ética y riesgos, y, la necesidad de gestionar en forma integral estos elementos? Creemos que sí. Pero, además de la clara conveniencia, hay otras razones para adoptar un enfoque integral para la Gestión de Cumplimiento.

¿Por qué adoptar la Gestión Integrada del Cumplimiento?

La gobernanza integrada, como también se conoce, implica diseñar e implementar un marco único para identificar, monitorear y administrar todo el conjunto de obligaciones y requisitos que aplican a la organización. Por otra parte, es preciso identificar, evaluar, priorizar y tratar los riesgos que atentan contra la capacidad de la organización para cumplir estas obligaciones, todo ello dentro de una sólida cultura ética.

Todo esto supone un gran esfuerzo. Pero, la Gestión Integrada del Cumplimiento nos ofrece importantes beneficios:

• Disminución del trabajo.
• Confiabilidad en la eficacia de los procesos.
• Facilidad para comprobar y verificar.
• Elimina la duplicidad de esfuerzos.
• Estandariza el trabajo administrativo propio de la gestión de cumplimiento, sobre todo en lo relacionado con el control de documentos.

Quizá lo más importante para la Alta Dirección, es que este tipo de gestión permite estar al tanto de las obligaciones, los riesgos y las faltas éticas, en un solo conjunto. Cuando todo esto se gestiona de forma separada, existe el riesgo de que muchas cosas puedan evadirse por las grietas.

Pero, además, la Gestión Integrada de Compliance presenta características que hacen que las organizaciones aumenten la efectividad de sus programas de cumplimiento:

• Ajustable: la Gestión Integrada se adapta a la estructura de la organización y se alinea con los objetivos de cada organización.
• Personalizable: la Gestión puede ser configurada para ajustarse a las necesidades específicas de cada organización, y de cada sector.
• Adaptable: los beneficios de la Gestión Integrada hacen que los procesos de cumplimiento sean más eficientes y se adapten con facilidad a las medidas de tratamiento de riesgos implementadas por la organización.
• Conectividad: la Gestión Integrada crea flujos de trabajo que pueden ser automatizados en una única plataforma, intuitiva, para obtener un alcance que llegue a toda la organización, en todos los niveles.

Software ISO 19600 de ISOTools

La norma sobre gestión de compliance, aceptada internacionalmente, es ISO 19600. Este estándar se acomoda perfectamente a la Gestión Integrada del Cumplimiento, y permite potenciar sus beneficios gracias a la velocidad con la que es posible incorporar información, pero también a la confiabilidad, inmediatez y seguridad de la información, que se obtiene con una solución informática como el Software ISO 19600 de ISOTools.

Esta novedosa herramienta ofrece funcionalidades que facilitan el trabajo del oficial de cumplimiento, eliminando el error humano y ofreciendo informes inmediatos y confiables. Hoy, su empresa puede llevar la gestión de compliance a otro nivel. Consulte a un asesor aquí.

La entrada ¿Qué es la Gestión Integrada del Cumplimiento? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Para apoyar a las organizaciones en el propósito de implementar el Sistema de Gestión de Compliance Penal, que es además una obligación – artículo 31 bis del Código Penal -, la Asociación Española de Normalización ha publicado UNE 19601, norma que incorpora requisitos, con orientación para su uso, destinados a la implementación de un Sistema de Gestión de Compliance Penal.

Sistema de Gestión de Compliance Penal – ¿Qué es?

Un Sistema de Gestión de Compliance Penal puede definirse como un conjunto de normas, procedimientos y mecanismos de control diseñados para asegurar el estricto cumplimiento de la legalidad de la organización.

Estas herramientas identifican los riesgos que amenazan el cumplimiento legal, regulan aspectos de gestión organizacional diaria, y los comportamientos de las personas que integran la organización. El objetivo, al final, es prevenir, detectar y reaccionar ante la comisión de delitos o la ocurrencia de riesgos que tienen la capacidad de generar infracciones con trascendencia penal.

La consecuencia directa de no contar con un Sistema de Gestión de Compliance Penal, es que si se comete un delito, en beneficio directo o indirecto de la organización, esta última puede incurrir en responsabilidad penal y, así, ser condenada a las penas previstas en el Código Penal.

El Sistema de Gestión de Cumplimiento Penal, asegura el valor reputacional de la organización, lo cual se constituye en un motivo adicional para recomendar su implementación.

Sistema de Gestión de Compliance Penal – Objetivos

Para contextualizar la importancia del Sistema de Gestión de Cumplimiento Penal, es preciso recordar que la reforma legislativa de 2015 crea y define las responsabilidades penales para las organizaciones o personas jurídicas.

Pero la reforma de 2015, en el Código Penal, también establece que, para evitar responsabilidades penales y la imposición de multas y sanciones, entre otras consecuencias, las organizaciones tendrán que implementar un modelo eficaz de organización y gestión, destinado a prevenir y controlar la comisión de delitos.

Entonces, el primer objetivo para la implementación de un Sistema de Gestión de Cumplimiento Penal, es acatar y obedecer la ley.

Por supuesto, cumplir lo que mandan las leyes, genera otros beneficios, entre ellos, la protección del valor reputacional de la organización. Veamos algunos de ellos.

Sistema de Gestión de Cumplimiento Penal – Los beneficios

La adopción de UNE 19601 no sólo permitirá a las organizaciones cumplir con la ley, y salvaguardarla de responsabilidades penales. Es también una forma de dar un paso hacia el futuro de la Gestión de Cumplimiento. Pero la certificación ofrece otros beneficios:

• Establecer un Sistema que provee herramientas eficaces para la detección temprana y prevención de malas prácticas por parte de empleados, contratistas, consultores, socios comerciales o directivos.
• Eximir a la organización de cualquier responsabilidad penal en caso de un litigio judicial.
• Proteger el valor reputacional de la organización.
• Contar con herramientas eficaces para evaluar y tratar los riesgos de compliance.
• Integrar la Gestión de Cumplimiento con otros programas de buen gobierno, transparencia o responsabilidad social.
• Aumentar los niveles de confianza de los clientes, empleados, proveedores, socios y organismos gubernamentales.
• Genera estabilidad en el negocio y la posibilidad de ser más competitivo.

La certificación UNE 19601 no exime a una organización de incurrir en una infracción penal. Pero si es una prueba del compromiso de sus directivos, con la transparencia y el cumplimiento legal.

Software ISO 19600 de ISOTools

La operación de un Sistema de Gestión involucra muchas tareas y actividades, que, a su vez, demandan mucho tiempo de los empleados. La Gestión de Cumplimiento en particular, requiere implementar procesos de debida diligencia, que pueden llegar a convertirse en un cuello de botella para el Sistema.

El Software ISO 19600 de ISOTools, es una solución avanzada, basada en la nube, que provee las funcionalidades necesarias para automatizar la gestión de compliance, asegurando información oportuna y confiable en todo momento. Pero este programa ofrece muchas más posibilidades. Hoy las puedes conocer, contactando a uno de nuestros consultores.

La entrada UNE 19601 para un sistema de gestión de compliance penal: objetivos y beneficios se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Los programas de cumplimiento corporativo tienen la misión de prevenir y tratar estos riesgos, sin perder la alineación con la estrategia comercial de la organización. Pero esto requiere conocimiento. Conocimiento que, para este año 2021, se enfoca en cinco aspectos esenciales.

Programas de cumplimiento corporativo – 5 puntos esenciales

Los profesionales en el área de cumplimiento, creen que para este año 2021, el enfoque estará sobre cinco conocimientos esenciales. ¿Cuáles son? Veamos:

1. Enfoque en los temas clave de cumplimiento

Pocas organizaciones dispondrán de los recursos ilimitados que requiere considerar, evaluar, tratar y eliminar todos los riesgos que amenazan la gestión de compliance. Pero, tendrán que esforzarse para alcanzar un nivel de protección aceptable contra los riesgos más relevantes. O por lo menos, esto es lo que esperan los organismos reguladores.

Un punto clave, desde su publicación, y que continuará siéndolo en este 2021, será la norma sobre protección de datos GDPR. Hasta ahora, reporta más de 160.000 violaciones tan sólo en el continente europeo, que representan un poco más de 273 millones de euros.

Entonces, GDPR será sin duda uno de los temas sobre los que tendrán que enfocar su atención los directores de programas de cumplimiento corporativo. Pero no será el único. Todos los riesgos relacionados con el fraude, la corrupción y el soborno, recibirán igual atención.

2. El valor de escuchar a los empleados

La Alta Dirección comprende que una de las partes interesadas relevantes en los programas de cumplimiento corporativo, son sus empleados. Así, lo que ellos tengan que decir al respecto adquiere importancia especial.

A pesar de que esto es así, parece, sin embargo, haber un puente roto entre los empleados, por una parte, y la Alta Dirección y los encargados del programa de cumplimiento por la otra.

El panorama no es para nada halagüeño, si tenemos en cuenta que la percepción de que la gestión de cumplimiento es un mal necesario exigido por organismos reguladores, se extiende cada día más entre los empleados.

Así, es preciso recuperar la comunicación con los empleados, entenderlos y escuchar sus voces. Esto es especialmente importante cuando se trata de denuncias o consultas éticas.

3. La importancia de la evaluación de riesgos y las auditorías

La gestión de riesgos es elemento imprescindible en los programas de cumplimiento corporativo. Elemento que debe ir de la mano de la práctica periódica de auditorías para garantizar un programa eficaz.

Al conjugar evaluaciones de riesgos y auditorías internas, se logrará mantener el programa al día, incluso con la volatilidad que presenta el marco regulatorio, sobre todo en zonas geográficas tan complejas como lo es el continente europeo.

Esto es particularmente importante al momento de aplicar la debida diligencia en toda la cadena de suministro de la organización.

4. Políticas dinámicas, informadas y gestionadas con carácter proactivo

Las organizaciones se preocupan por no incumplir las normas que les son aplicables. Pero, cuando el entorno regulatorio es tan diverso y tan cambiante, esto puede no ser suficiente.

Una razón para que esto sea así, es que las organizaciones no dejan un margen para la acción, que permita modificar políticas sobre la marcha, o según lo indiquen las evaluaciones de riesgos. Esto, por supuesto, tampoco deja mucho espacio para capacitar empleados, lo cual conduce a que las organizaciones tengan problemas para desarrollar un programa de cumplimiento realmente efectivo.

Un enfoque proactivo permitirá revisar las políticas, antes de que sea necesario a causa del cambio regulatorio. Esto hará que sea más fácil mantenerse del lado correcto de la ley. El enfoque proactivo debe ser, además, progresista. Esto implica cambiar de mentalidad y trabajar con base en una estrategia basada en valores y en la construcción de una cultura sólida de cumplimiento.

5. El riesgo reputacional

La afectación a la reputación, sufrida por una acusación de violación a la ley, se estima en cuatro veces el valor de la sanción económica impuesta. De hecho, este es uno de los objetivos que se persiguen con los programas de cumplimiento corporativo: proteger la reputación de la organización.

Establecer un Código de Conducta claro con los empleados y partes interesadas, y mantenerlo actualizado y relevante, ayuda a definir los valores éticos que se solicitan. Esta es una de las metas para los profesionales del área en este 2021.

Para concluir, todas las organizaciones necesitan programas de cumplimiento corporativo, y estos programas deben adaptarse a los riesgos propios de cada organización. Los profesionales en el área de compliance, deben prestar especial atención a las tendencias y a lo que se está haciendo en cada uno de sus países, para garantizar el cumplimiento.

Esto significa tomar acciones proactivas, como identificar necesidades de formación y subsanarlas, pero también, contar con las herramientas necesarias para automatizar la gestión y lograr así, que la velocidad de los cambios no sorprenda ni tome la delantera.

Software ISO 19600 de ISOTools

Este será un año histórico para la historia de la gestión de compliance. La publicación del nuevo estándar ISO 37301, marcará un hito que, sumado al acontecer definido por los cinco aspectos que hemos mencionado, revolucionarán la gestión y el trabajo de los profesionales en este campo.

La automatización se hace imperativa, y herramientas como el Software ISO 19600 de ISOTools se convertirán en el gran aliado de los equipos y las organizaciones exitosas. ¿Quiere formar parte de ellos? Consulte a un asesor aquí.

La entrada Programas de cumplimiento corporativo: 5 aspectos esenciales a considerar en 2021 se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Aunque las organizaciones tengan como prioridad desarrollar una cultura ética y de cumplimiento de todas las regulaciones y leyes locales, nacionales o internacionales, y en el cumplimiento de ese propósito, implementen un programa de cumplimiento efectivo, pronto descubrirán que es necesario, y obligatorio, actualizar un programa de compliance, aunque apenas hayan transcurrido unos pocos meses desde su implementación.

La razón es muy clara: las organizaciones operan en entornos dinámicos y siempre cambiantes. Nuevas regulaciones, nuevos modelos de gestión, situaciones extraordinarias como la emergencia sanitaria, fluctuaciones del mercado, cambios políticos y económicos… Todo ello supone la necesidad de actualizar un programa de compliance, tarea que recae sobre la oficina del oficial de cumplimiento.

Actualizar un programa de compliance – 8 pasos para hacerlo

Los empleados, en todas las áreas, desean y necesitan ajustarse a la ética y cumplir con las normas que les correspondan, pero su función esencial no es establecer qué está bien y qué está mal, o qué es lo que se debe cumplir y qué se puede ignorar. Es por ello que existen las políticas, los procedimientos y los controles.

Y son precisamente estos documentos el objetivo primario cuando se decide actualizar un programa de compliance. Pero, ¿cómo hacerlo? Esta una guía de 8 pasos te puede ser de utilidad:

Revisar las evaluaciones de riesgos

Se debe actualizar un programa de compliance cuando algo en el entorno – contexto – ha cambiado. Y sabemos que algo ha cambiado, cuando percibimos nuevos riesgos, o extrañamos la presencia de otros. Así es que el primer paso es revisar las evaluaciones de riesgos.

El objetivo no es tan sólo identificar nuevos riesgos. Es entenderlos, categorizarlos y, en consecuencia, actualizar procedimientos, controles y políticas, pero también formular acciones para tratar estos nuevos problemas.

Mantenerse al tanto de la actividad regulatoria

La emergencia sanitaria ha sido pródiga en regulaciones, normativas y leyes. Es apenas un recordatorio de lo rápido que pueden cambiar los entornos regulatorios.

Pero en tiempos de “normalidad” igualmente el entorno regulatorio es siempre cambiante. En el siglo XX, para mantenerse al día con las normas y leyes, el área legal, usualmente dirigida por un abogado, debía pasar mucho tiempo leyendo informes y boletines legales.

Para el oficial de cumplimiento del siglo XXI, esta sigue siendo una opción, aunque Internet y las funcionalidades de envío automático de información con base en algunas palabras clave, pueden simplificar la tarea.

Monitorear y revisar a diario el movimiento regulatorio, es entonces el segundo paso.

Atención a los canales de consultas y de denuncias

Las comunicaciones recibidas en canales de consultas éticas o canales de denuncias, además de comprobar que estos canales funcionan, nos ayudan a identificar puntos débiles en el programa de cumplimiento.

Una falla de cumplimiento no sólo se produce por el desconocimiento de una norma que debe ser acatada. También puede suceder por una interpretación errónea o porque, simplemente, la norma no ha sido entendida. La información que llega a los canales de denuncia y de consulta, permite identificar áreas críticas, temas recurrentes, espacios que requieren inmediata atención, y la necesidad de producir un determinado documento mucho más claro y preciso.

Hacer seguimiento a las investigaciones

El desarrollo de las investigaciones con base en denuncias o en incidentes de cumplimiento, puede revelar nuevas fallas de cumplimiento. Por ejemplo, si de un análisis cuidadoso se descubre que las investigaciones por acoso o por represalias contra denunciantes, tardan más que otras o no arrojan resultados concluyentes, es evidente que se requiere asignar más investigadores a esa tarea, y probablemente, sea necesario incorporar tecnología a la tarea.

Medir el compromiso de los empleados

La gestión de cumplimiento involucra a todos los empleados, en todos los niveles. La Alta Dirección no está exenta de este compromiso. El compromiso de todos es importante. Pero, ¿cómo medirlo?, ¿cómo saber si estamos en el nivel adecuado?

Una forma de percibirlo es analizando los temas propuestos en los canales de atención. Encuestas, entrevistas, foros y debates, también son herramientas eficaces para medir el compromiso de los empleados.

Eliminar procedimientos y controles que no funcionan

Eliminar lo que no funciona es una forma de llevar el programa a un proceso de mejora continua. El objetivo es monitorear, probar y corregir el desempeño de los procedimientos y controles internos.

¿Cuáles? Es lo que se establece con herramientas como inspecciones y auditorías internas.

Actualizar KPI y KRI

Actualizar un programa de compliance implica revisar y recalibrar indicadores KPI – rendimiento – y KRI – riesgos. Esto requiere la participación del oficial de cumplimiento, directores de área y la Alta Dirección, para establecer cuáles son los riesgos prioritarios.

Documentar los cambios

Finalmente, es preciso documentar todos los cambios que se realicen. Cambios que deben ser comunicados a todos los empleados, para que puedan adaptarse y cumplir con las nuevas políticas y procedimientos.

Software ISO 19600 de ISOTools

Muchos de estos cambios, como ya lo advertimos, se identifican por medio de herramientas como los canales de consulta, de denuncias, o las auditorías internas e inspecciones.

Se trata de información que tiene que ser confiable y estar disponible. La automatización es el camino a seguir. El Software ISO 19600 de ISOTools es una herramienta innovadora que permite automatizar muchas de las tareas propias de un programa de cumplimiento moderno y que ofrece funcionalidades para la implementación de canales de consultas éticas y canales de denuncia. Conózcalo sin ningún compromiso aquí.

La entrada 8 pasos para actualizar un programa de compliance se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La Directiva Europea para la Protección del Denunciante, proporciona estándares mínimos comunes en todos los Estados Miembros, y es la primera pieza legislativa de la UE de este tipo.

Antes de la aprobación de la Directiva Europea para la Protección del Denunciante, el tema era abordado en forma desigual por parte de los diferentes estados. Algunos países, como Francia, proporcionaron amplia protección a los denunciantes, en tanto que otros, como Alemania y España, solo proporcionan protección en el ámbito laboral.

¿Cómo afecta la Directiva a las organizaciones y cuáles son los pasos a seguir a menos de un año del final del término establecido? Son las preguntas que respondemos hoy.

Directiva Europea para la Protección del Denunciante – ¿A qué organizaciones afecta y cómo lo hace?

Las organizaciones con más de 50 empleados, así como las autoridades locales que brindan servicios a más de 10.000 personas, deben crear procedimientos de denuncia para que los empleados denuncien conductas indebidas, incluidos el soborno y el lavado de dinero.

Las organizaciones con 250 o más empleados deben cumplir con la Directiva antes de octubre de 2021. Las organizaciones con más de 50 empleados y menos de 250, tendrán dos años más, hasta octubre de 2023, para cumplir con lo dispuesto por la Directiva Europea para la Protección del Denunciante.

La Directiva crea salvaguardias para proteger a los denunciantes, en forma directa e indirecta. Por ejemplo, los colegas o familiares del denunciante estarán cubiertos por las medidas. Las represalias indirectas también incluyen las acciones tomadas contra una entidad legal con la que el denunciante tiene una relación laboral, es propietario o asociado.

El mandato de la Directiva es amplio. Los estándares mínimos comunes para la protección de los denunciantes, abordan diferentes áreas, como la contratación pública, los servicios financieros, la seguridad de los productos y la ley de competencia.

Además, la Directiva cubre a un gran número de personas, y no solo empleados, sino también autónomos, voluntarios, becarios y accionistas. Esencialmente, las medidas a tomar son:

• Implementar canales de denuncia eficaces, que aseguren la confidencialidad de la identidad del denunciante, o de cualquier tercero, cuando esto sea requerido por este, impidiendo el acceso a la información a toda persona que no forme parte de la investigación.
• Informar a los empleados con claridad las opciones de las que pueden disponer.
• Adoptar las acciones necesarias para proteger a los denunciantes de despidos, acoso, degradación u otras represalias.
• Asignar la responsabilidad de investigar, recibir informes y dar seguimiento, a una persona o un equipo competente y capacitado.
• Asegurar la resolución de una investigación en un término no superior a tres meses.

Lo que hay que tener en cuenta para cumplir con la Directiva Europea para la Protección del denunciante

Aunque algunos estados están un poco atrasados en el cumplimiento del objetivo esencial, de transponer la Directiva a sus legislaciones, esto no significa que las organizaciones afectadas no puedan iniciar el camino hacia la conformidad con la norma.

El primer paso es implementar el canal de denuncias, de acuerdo con lo solicitado por la Directiva. Es tal vez el paso más sencillo, pero no por ello menos importante. Algunas organizaciones requerirán implementar procesos de automatización de sus programas de cumplimiento y anticorrupción, para lograr el objetivo.

Se trata de adoptar soluciones tecnológicas que integren toda la gestión dentro de una única plataforma. Esto garantizará el cumplimiento y la conformidad con la Directiva, y con la legislación nacional que se adopte a nivel local.

En nuestro apartado final, una interesante opción para alcanzar la conformidad en poco tiempo.

Software ISO 37001 de ISOTools

Una de las funcionalidades más interesantes del Software ISO 37001 de ISOTools, es la de proporcionar los elementos para implementar un canal de denuncias que cumple con lo solicitado por la Directiva. Funciona como un Ticket, en el que se proporciona un número, para realizar seguimiento a la denuncia. De esta forma, es posible interactuar con el informante, garantizando el uso efectivo del canal.

Obtenga información completa sobre este producto aquí.

La entrada Directiva Europea para la Protección del Denunciante: ¿qué cumplir a un año de que termine el plazo? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Visto así, y tal vez debido a la similitud en la nomenclatura, pareciera como si la nueva norma ISO 37301 fuese una revisión de ISO 37001. No es así. Lo cierto es que, aunque la lucha contra el soborno y la corrupción es una de las principales áreas de cumplimiento para muchas organizaciones, para otras, existen problemas de cumplimiento que reclaman mayor atención.

En realidad ISO 37301 es la revisión de ISO 19600 y establece un punto de referencia global en estas áreas, aumentando así su alcance y estableciendo un nuevo enfoque para el cumplimiento.

Un poco de historia sobre la nueva norma ISO 37301

2015 es el año en que comienza esta historia. En abril, es publicada una norma no certificable que utilizó la nomenclatura ISO 19600, pionera en ofrecer directrices para la implementación y mantenimiento de sistemas de gestión de compliance.

En octubre de 2016, ISO publica un estándar revolucionario. Se trata de ISO 37001, primera norma internacional para sistemas de gestión antisoborno. En 2017, se publica UNE-ISO 37001, edición española de este revolucionario estándar.

Es también en 2017 cuando se publica ISO 19601, para sistemas de gestión de compliance penal, a la que seguiría, en 2019, ISO 19602 para sistemas de gestión de compliance tributario.

En 2020 se cierra un círculo y se da un paso muy esperado. Aunque muchos esperaban que ISO 19600 tuviese una revisión certificable que utilizará una nomenclatura lógica y subsiguiente, ISO sorprende con un estándar para sistemas de gestión de compliance que utiliza el número 37301 y que está a punto de ser publicado.

Hay varias razones para que esto haya sido así. Una de ellas es que, como ya lo advertimos, las numeraciones 19601 y 19602 fueron utilizadas con anticipación. Pero otra, muy importante, es que la nueva norma ISO 37301, aunque propone un nuevo enfoque para el cumplimiento, también involucra conceptos éticos y las mejores prácticas internacionales que tienen la capacidad de complementar los requisitos de la misma ISO 37001.

Un nuevo enfoque para el cumplimiento con la nueva norma ISO 37301

La redacción de ISO 37301 se ha basado en gran medida en el estándar previo para sistemas de gestión de cumplimiento ISO 19600. Pero, el comité también ha establecido un paralelismo entre la nueva ISO 37301 e ISO 37001, de tal forma que la implementación de una, facilita la adopción y comprensión de la otra.

Y es que ambos estándares siguen los principios del modelo PDCA –Planear, Hacer, Verificar y Actuar–, lo que hace que los sistemas de gestión funcionen como un ciclo de mejora continua y con un pensamiento basado en el riesgo en todo momento.

Con respecto a su hermana menor, ISO 19600, la nueva ISO 37301 propone esencialmente estas interesantes novedades:

• Especifica requisitos y proporciona orientación para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de cumplimiento eficaz y receptivo que considera que las faltas a la ética y a la conducta, así como la corrupción y el soborno, son antes que nada faltas de cumplimiento. Así, se potencia la construcción de una cultura de compliance.
• Ofrece la posibilidad de obtener una certificación, que era una de las carencias que los profesionales del área encontraban en ISO 19600.
• Se especifican en mayor grado los roles y responsabilidades de cumplimiento, donde la alta dirección ejerce un papel clave y último.
• Fortalece los informes de los empleados, como las denuncias de irregularidades, y la consecuente protección de estos denunciantes, en consonancia con las nuevas regulaciones internacionales.
• Se presta especial relevancia al contexto, para una adaptación mayor a las regulaciones y compromisos que permita evitar riesgos.

A primera vista parece que la nueva norma ISO 37301 es un híbrido entre ISO 19600 e ISO 37001. Es probable que esa haya sido la intención. Lo cierto es que ISO 37301 reemplaza a ISO 19600, pero no a ISO 37001, norma que seguramente pronto tendrá una actualización.

Las organizaciones que ya hayan ISO 19600 tendrán muy poco trabajo que hacer para obtener la certificación ISO 37301. Las que recientemente han decidido adoptar la gestión de compliance, y lo quieren hacer directamente bajo los requisitos del estándar certificable, tendrán que esforzarse un poco más. Unas y otras encontrarán en la automatización de procesos un gran aliado para su sistema de cumplimiento.

Software ISO 19600 de ISOTools

La aparición de estándares especializados tanto en la gestión de compliance como en la lucha contra la corrupción y el soborno, ha creado la necesidad de contar con procesos de debida diligencia, de gestión de canales de denuncia y de consulta, y de investigación, entre otros muchos.

Estos procesos requieren un grado de automatización para que sus resultados cuenten con la transparencia y la eficacia que se requiere en los nuevos tiempos. Es por ello que existe una solución tecnológica como el Software ISO 19600 de ISOTools, para acompañar a las organizaciones en el camino hacia el éxito en sus objetivos de cumplimiento.

Hoy lo puede conocer aquí.

La entrada Nueva norma ISO 37301: nuevo enfoque para el cumplimiento se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Sin embargo, ISO 19600 no es un estándar planteado para certificarse. A continuación, hacemos algunas precisiones sobre este tema.

¿Es ISO 19600 certificable?

En primera instancia tenemos que ser claros en que ISO 19600 no es un estándar certificable. Es un estándar eficaz, que puede ser implementado por cualquier tipo de organización, sin importar su complejidad o su tamaño, pero no se puede expedir una certificación por parte de cualquiera de los organismos certificadores existentes en la inmensa mayoría de países del mundo.

Si bien ISO 19600 no es un estándar certificable, sí es comprobable. Esto significa que el programa de cumplimiento implementado según ISO 19600 puede ser auditado por un organismo externo, y, de esta forma, obtener una mejor garantía sobre el cumplimiento de los requisitos de la norma.

El camino para certificarse en compliance

ISO –International Organization of Standardization– consideró que ISO 19600 certificable no tenía sentido, entre otras razones porque en el momento de su publicación, en el año 2015, el concepto de gestión de compliance aún no estaba lo suficientemente definido, y porque el panorama regulatorio resultaba para el momento histórico un tanto volátil.

Es probable que los desarrolladores de ISO 19600 pensarán que habrían de pasar dos o tres revisiones del estándar antes de llegar a un modelo certificable. El tiempo corrió más rápido que estas intenciones, y la organización ya se ha dado cuenta de que existe la necesidad de certificarse en compliance. De hecho, muy pronto será publicada ISO 37301. Esta norma podría decirse que será una revisión de ISO 19600 certificable y con ella se solucionará esta necesidad.

¿Esto significa que quienes trabajaron en la implementación de ISO 19600 perdieron su tiempo? No. Por el contrario, las organizaciones que han desarrollado un programa de gestión de compliance basado en ISO 19600 han avanzado la mayor parte del camino que conduce a la certificación.

¿Cómo certificar el programa de compliance?

Tanto para las organizaciones que ya han implementado ISO 19600, como para las que empiecen implementando la nueva norma de gestión de cumplimiento, el camino para certificarse será el siguiente:

Verificar la conformidad con los requisitos de ISO 37301

El medio más eficaz es la auditoría interna. Es la herramienta que permite verificar el cumplimiento de cada uno de los requisitos, y, en caso de haber no conformidades, recomendar la acción correctiva correspondiente.

Es probable que sea preciso comprobar la conformidad por medio de varias auditorías internas hasta que la organización esté lista para dar el siguiente paso.

Solicitar una auditoría de certificación

La solicitud se hace ante uno de los organismos certificadores autorizados en cada país. Cada uno de ellos ofrece mecanismos diferentes para presentar la solicitud. Generalmente se trata de completar un formulario con información completa sobre la organización y sobre el programa de cumplimiento que se pretende certificar.

La auditoría externa de certificación

Esta es la etapa clave. Es el momento decisivo en el que un auditor externo, totalmente independiente, evaluará la conformidad del sistema con todos los requisitos de ISO 37301. En algunos casos, es probable que la organización deba implementar algunas acciones correctivas sugeridas por el auditor externo, lo que conduce a una segunda auditoría de verificación.

Informe de auditoría y expedición del certificado

Aprobada la auditoría de certificación, el organismo certificador expide el correspondiente documento, acompañado de un informe completo sobre la evidencia recopilada que respalda la conformidad con los requisitos de ISO 37301. Esto ofrecerá garantías de cumplimiento, ventaja competitiva y promueve la mejora continua.

Pero el trabajo no termina ahí. La certificación debe ser validada de forma periódica. Usualmente, esto se hace cada tres años. De ese modo, se mantiene un sistema siempre funcional que mejora con el tiempo y se adapta a las nuevas condiciones.

Software ISO 19600 de ISOTools

Las organizaciones que han implementado ISO 19600 tienen poco que hacer para obtener la certificación de sus programas de cumplimiento de acuerdo a la nueva ISO 37301. Y menos aún si han automatizado su sistema de gestión con el software apropiado.

El Software ISO 19600 de ISOTools es una poderosa herramienta que facilita la gestión del cumplimiento desde una única plataforma. Y no solo simplifica las tareas, sino que constituye una herramienta clave para estructurar un sistema eficaz capaz de superar un proceso de certificación con éxito.

Esta novedosa solución, una vez publicada ISO 37301, se ajustará a las novedades de la norma, por lo que desde ya su organización puede dar un paso importante hacia la certificación contactando a uno de nuestros consultores aquí.

La entrada Cómo certificarse en compliance: ¿es ISO 19600 certificable? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Una de las razones por las que es tan difícil medir la eficacia o la efectividad de un plan de compliance es que se trata de un concepto relativamente nuevo, complejo, y, en algunos casos, muy sutil. Además, teniendo en cuenta que cada organización es única, no es posible implementar un modelo de medición generalista para evaluar el plan de cumplimiento. Y tampoco lo es a causa de un contexto variable, que especialmente ahora, cuando el mundo atraviesa esta emergencia sanitaria ha transformado de lleno el panorama.

Pero lo que sí tenemos claro es que la ineficacia en el plan de cumplimiento es un riesgo muy serio, y más aún en estas circunstancias.

Los riesgos de un plan de cumplimiento ineficaz

Un plan de cumplimiento ineficaz es aquel que no cumple con las metas y objetivos que se establecieron al inicio del ciclo de evaluación. En última instancia, un plan de cumplimiento así calificado, permite que se presenten actividades fraudulentas, conductas inapropiadas, proclives al desperdicio de recursos y no sujetas a ningún control.

Un plan ineficaz, entonces, causa daños a la organización y a las partes interesadas. Así ha sido siempre, por lo menos desde que se extendió el concepto de gestión de cumplimiento. Pero ahora, los problemas son mayores:

Los riesgos de un plan de cumplimiento ineficaz en tiempos de pandemia

Las organizaciones implementan planes de cumplimiento, entre otros motivos, para no incurrir en sanciones o multas por causa de incumplimiento de normas y regulaciones que les son aplicables.

La emergencia sanitaria ha generado nuevas obligaciones de cumplimiento para todas las organizaciones en todos los sectores de la economía. Mayor número de obligaciones representan mayores riesgos de cumplimiento.

Un plan de cumplimiento eficaz prevé la aparición de nuevas obligaciones de compliance, y, con ellas, de nuevos riesgos. Por eso, un plan eficaz se actualiza periódicamente y es sensible al cambio que generan nuevas condiciones, como lo es la emergencia sanitaria actual. Cuando esto no es así, la probabilidad de incumplimiento se eleva muy notablemente y se asumen riesgos muy serios.

Pero estos riesgos no se limitan al pago de multas y sanciones. También puede suponer afectación a la reputación e, incluso, puede afectar la capacidad operativa de la organización y llegar a paralizarla.

Y es que considerar el impacto negativo de los riesgos de cumplimiento solo por los costes económicos que representan para la organización, hace que se pierda el enfoque sobre consecuencias mucho más devastadoras.

Los riesgos que asumen las organizaciones, como consecuencia de condiciones atípicas impuestas por la emergencia, como el teletrabajo, por ejemplo, pueden no representan un riesgo de sanción o multa inmediato, pero sí pueden llegar a generar un impacto reputacional importante. Riesgo de grandes proporciones que debe ser abordado por el oficial de cumplimiento.

La crisis sanitaria ofrece una oportunidad para que las organizaciones revisen su contexto interno y externo, para determinar si están considerando todos los riesgos actuales. Así, la gestión de cumplimiento encuentra hoy un motivo fundamental para asumir una posición de liderazgo en las organizaciones modernas. Posición que prevalecerá en la post pandemia de la mano de la automatización y la informática.

Software ISO 19600 de ISOTools

La gestión de cumplimiento necesita información oportuna, actualizada y constante para mantener los riesgos bajo control. Esto es fundamental para la implementación de un plan de cumplimiento eficaz. El Software ISO 19600 de ISOTools responde a esta necesidad, a la vez que imprime una visión integral y total del estado del programa de compliance y aporta funcionalidades que agilizan las tareas de cumplimiento.

Hoy puede obtener información completa sobre esta innovadora solución. Infórmese aquí.

La entrada El riesgo organizacional de un plan de cumplimiento ineficaz en tiempos de pandemia se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Pero, además, resulta clave para descubrir áreas donde las iniciativas de gestión funcionan efectivamente o donde es preciso enfocar esfuerzos para garantizar el cumplimiento. Y también, la alta dirección puede utilizar su información para tomar mejores decisiones, asignar recursos y planificar el futuro de la gestión de compliance.

El informe de cumplimiento puede ser diferente dependiendo de la audiencia a la que esté destinado. Sin embargo, siempre debe contener una información mínima y contar con algunas características para garantizar su efectividad.

¿Qué es un informe de cumplimiento?

El informe de cumplimiento es un documento que nos dice en qué estado se encuentra el cumplimiento en una organización, con respecto a una regulación en particular o a todas las obligaciones legales y contractuales que aplican a la organización.

Usualmente, el informe de cumplimiento es redactado por el oficial de compliance. Pero, en organizaciones muy pequeñas y básicas, que no cuentan con esta figura, la tarea suele recaer sobre el contador o, incluso, el gerente.

Básicamente, el informe debe responder 3 interrogantes:

• El primero está relacionado con el estado del cumplimiento normativo de la organización: ¿la organización cumple con las diferentes normas que le son aplicables?
• El segundo interrogante trata de establecer si la organización cuenta con un proceso confiable para garantizar el cumplimiento.
• Finalmente, el informe debe responder cuáles son las acciones que podrían tomarse para mejorar el programa de cumplimiento.

¿Por qué es preciso presentar informes de cumplimiento?

Antes que nada, porque es la forma más ágil que tiene la alta dirección para saber con certeza si el programa de compliance está funcionado como se esperaba y si la organización cumple o no con sus obligaciones legales y contractuales.

Pero también puede ser requerido por un organismo regulador o por alguna entidad financiera, incluso por un cliente. Inversores, socios o aliados comerciales también pueden solicitar informes de cumplimiento, en algunos casos sobre áreas específicas como anticorrupción o ciberseguridad. Es natural que deseen saber si una organización cumple o no antes de poner en juego su capital y sus negocios. En estos casos, es probable que el informe deba ser producido por un auditor o inspector externo.

Diferentes tipos de informes de cumplimiento

Informes de cumplimiento hay en todos los tamaños, modelos y formas, pero sobre todo tratando diferentes temas porque el propósito puede ser distinto de acuerdo con quien lo solicita. Básicamente, podemos encontrar los siguientes tipos:

• Informe sobre el cumplimiento de los programas de debida diligencia de terceros.
• Informe sobre documentación de compliance y controles para garantizar el cumplimiento.
• Informe sobre políticas y procedimientos necesarios para el cumplimiento de determinadas regulaciones regionales o específicas de la industria.
• Informe sobre políticas y controles internos.

Lo que debe incluir un informe de cumplimiento

Tenemos claro que existen diferentes tipos de informes de cumplimiento y que estos pueden ser dirigidos a diferentes audiencias. Esto, por supuesto, hará que existan diferencias estructurales y de presentación entre unos y otros. Sin embargo, consideramos que los siguientes elementos mínimos deben estar incluidos en cualquier informe de cumplimiento:

• Declaración sobre el reglamento o reglamentos, norma o normas sobre las que se garantiza el cumplimiento.
• Definición del alcance del informe. El oficial debe declarar si su informe es general o específico, y advertir qué revisó y qué no revisó por considerarlo improcedente de acuerdo con el propósito del informe.
• Revisión del proceso de cumplimiento. Si el informe versa sobre debida diligencia, es preciso hacer una descripción sobre cómo funcionan los procedimientos para la debida diligencia.
• Resumen de los resultados del análisis en el que se determine si se está cumpliendo con la obligación establecida o no.

Usualmente, el informe de cumplimiento concluye con recomendaciones sobre acciones necesarias para mejorar el programa y garantizar el cumplimiento.

Recomendaciones para crear un informe de cumplimiento efectivo

La primera recomendación sería revisar que el informe incluya los elementos mínimos que referenciamos en el apartado anterior. Pero, además es preciso:

• Utilizar un lenguaje comprensible, de acuerdo con la audiencia, y una estructura lógica.
• Ser preciso y no divagar.
• Incluir un resumen ejecutivo.
• Ser claro en las acciones que se recomiendan y en los términos definidos para implementarlas.
• Indicar cualquier acción necesaria que requiera la aprobación de la alta dirección.

Software ISO 19600 de ISOTools

La gestión de compliance requiere información constante, actualizada y oportuna. Esta es imprescindible para la redacción de los informes de cumplimiento.

El software ISO 19600 de ISOTools es la respuesta a esta necesidad. Se trata de una poderosa herramienta que automatiza las tareas rutinarias del sistema de compliance, ofreciendo información centralizada y actualizada en todo momento, así como una visión total e integral del estado del sistema. Con esta herramienta esta y otras labores del oficial de cumplimiento y los profesionales del área se vuelven mucho más sencillas.

Garantice disponer siempre de la información de cumplimiento que necesita, infórmese ahora sobre esta solución.

La entrada ¿Cómo es un informe de cumplimiento efectivo? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.