En este artículo, exploraremos cómo la Gestion de Riesgos puede potenciar un programa anticorrupción y las estrategias clave para implementarla de manera efectiva.

Gestion de Riesgos

La Gestion de Riesgos es el proceso sistemático de identificar, evaluar y mitigar factores que pueden afectar negativamente a una organización. En el contexto del compliance, este enfoque permite anticipar, controlar y reducir riesgos asociados con prácticas corruptas, como el soborno o el fraude.

Elementos esenciales de la gestion de riesgos:

• Identificación de riesgos: Reconocer las áreas vulnerables a actos corruptos.
• Evaluación del impacto: Analizar la magnitud de las consecuencias financieras, legales y reputacionales.
• Mitigación y control: Implementar medidas para reducir la probabilidad de ocurrencia y el impacto de los riesgos.

Importancia de la gestion de riesgos en un Programa Anticorrupción

La corrupción es un riesgo significativo que puede acarrear consecuencias legales, pérdidas económicas y daño irreparable a la reputación. La gestion de riesgos en el ámbito anticorrupción permite:

• Cumplir con regulaciones internacionales: Los marcos normativos globales exigen procesos formales de identificación y mitigación de riesgos.
• Evitar sanciones legales: Actuar proactivamente reduce la probabilidad de multas, demandas y procesos judiciales.
• Fortalecer la cultura ética: La implementación de controles y políticas anticorrupción genera confianza entre empleados, socios y clientes.
• Proteger la reputación: Las empresas con programas sólidos de compliance son percibidas como responsables y confiables en el mercado.

Estrategias Clave para Fortalecer tu Programa Anticorrupción

Identificación de riesgos específicos

El primer paso para integrar la gestion de riesgos en un programa anticorrupción es identificar las áreas donde la organización es más vulnerable. Estos riesgos pueden variar según:

• Industria: Por ejemplo, la construcción y la minería suelen ser más propensas a actos corruptos debido a su relación con contratos públicos.
• Geografía: Operar en países con altos niveles de corrupción, según índices como el Índice de Percepción de la Corrupción (CPI), incrementa el riesgo.
• Relación con terceros: Proveedores, distribuidores o agentes externos pueden convertirse en fuentes de riesgo si no se gestionan adecuadamente.

Evaluación del impacto y probabilidad

Una vez identificados los riesgos, es fundamental:

• Cuantificar su impacto: Analizar el costo potencial de una violación de compliance.
• Determinar la probabilidad de ocurrencia: Esto permite priorizar los riesgos más críticos.

Para facilitar este proceso, se utilizan herramientas como mapas de riesgo o matrices de probabilidad e impacto.

Establecimiento de controles internos

Los controles internos son esenciales para prevenir actos corruptos. Algunas acciones efectivas incluyen:

• Políticas claras: Definir normativas contra el soborno y la corrupción.
• Capacitación: Educar a los empleados sobre prácticas éticas y políticas corporativas.
• Mecanismos de denuncia: Proveer canales seguros y confidenciales para reportar conductas indebidas.

Monitoreo continuo

La gestion de riesgos no es un proceso estático. Es necesario monitorear constantemente el entorno interno y externo para ajustar las estrategias. Esto incluye:

• Revisar periódicamente las políticas anticorrupción.
• Evaluar la efectividad de los controles implementados.
• Adaptarse a cambios normativos o a nuevas amenazas emergentes.

Uso de tecnología en la Gestión de Riesgos

Las herramientas tecnológicas permiten automatizar y optimizar procesos, como la evaluación de riesgos, la implementación de controles y el seguimiento de políticas. Estas plataformas facilitan la centralización de datos y aseguran una respuesta más ágil ante incidentes.

La gestion de riesgos se ha convertido en un pilar fundamental para proteger las organizaciones frente a posibles actos de corrupción.
Compartir en X

Mejores Prácticas para un Programa Anticorrupción Exitoso

Compromiso de la alta dirección

El liderazgo debe estar completamente involucrado en la promoción de una cultura de compliance. Esto incluye respaldar la gestion de riesgos y asignar recursos suficientes para su implementación.

Transparencia en las operaciones

Las empresas deben documentar y registrar todas las transacciones y procesos clave. Esto no solo previene irregularidades, sino que también facilita la auditoría y la rendición de cuentas.

Evaluación de terceros

Los socios comerciales y proveedores representan una de las principales fuentes de riesgo. Es esencial llevar a cabo un due diligence para asegurar que sus prácticas estén alineadas con las políticas de la empresa.

Actualización constante

Las normativas y regulaciones evolucionan constantemente. Las organizaciones deben estar al tanto de estos cambios para mantener sus programas anticorrupción actualizados.

Tecnología como Aliada en la Gestión de Riesgos Anticorrupción

Varios casos de corrupción corporativa han evidenciado la importancia de una sólida Gestion de Riesgos. Por ejemplo, las sanciones impuestas a empresas bajo la FCPA destacan la necesidad de:

• Monitorear constantemente las operaciones internacionales.
• Implementar programas efectivos de compliance.
• Promover una cultura corporativa basada en la ética.

Implementar un programa anticorrupción efectivo puede ser un desafío, especialmente para organizaciones grandes o con operaciones globales. Aquí es donde las soluciones tecnológicas, como los compliance software, marcan la diferencia.

Un compliance software puede:

• Centralizar la información relevante, como políticas, controles y registros de auditorías.
• Automatizar la evaluación de riesgos y generar informes detallados.
• Facilitar la identificación de riesgos asociados con terceros.
• Garantizar el seguimiento continuo del cumplimiento normativo.

Software de GRCTools para la Gestion de Riesgos

El Software de Gestión de Riesgos de GRCTools es una herramienta integral diseñada para ayudar a las empresas a implementar y gestionar programas anticorrupción efectivos. Este software permite:

• Evaluar riesgos en tiempo real: Identificar vulnerabilidades en operaciones, transacciones y relaciones con terceros.
• Automatizar controles internos: Garantizar el cumplimiento de políticas corporativas y normativas internacionales.
• Monitorear el cumplimiento continuo: Facilitar auditorías internas y externas con registros claros y centralizados.
• Simplificar la toma de decisiones: Proveer análisis basados en datos para responder rápidamente a incidentes.

El Software de GRCTools es la solución ideal para fortalecer la Gestion de Riesgos en cualquier organización, asegurando un programa anticorrupción robusto y alineado con los más altos estándares.

La entrada Cómo la Gestion de Riesgos Fortalece tu Programa Anticorrupción se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La Ley 2/2023, de 20 de febrero, sobre la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, constituye una de las reformas más significativas en el ámbito del compliance y la transparencia en España. Esta ley, conocida también como la «Ley de protección al denunciante«, se inspira en la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, que busca garantizar que cualquier persona que denuncie actos ilícitos o corruptos no sufra represalias y reciba la protección adecuada.

El objetivo principal de la ley es establecer un marco normativo que permita a los denunciantes informar sobre conductas irregulares de manera segura y confidencial. La normativa exige la creación de canales internos de denuncia y asegura medidas de protección para los denunciantes frente a cualquier tipo de represalia, como el despido injustificado, la discriminación o cualquier forma de perjuicio laboral. Además, se contemplan sanciones para aquellas entidades que no cumplan con los requisitos establecidos por la ley.

¿Cuándo implementar la Ley 2/2023?

La implementación de la Ley 2/2023 debe ser prioritaria para las organizaciones, especialmente considerando los plazos establecidos por la misma. Todas las empresas y entidades públicas deben cumplir con los requisitos de esta ley desde el momento de su entrada en vigor, el 13 de marzo de 2023. Sin embargo, la ley otorga un período de adaptación para aquellas organizaciones que necesiten tiempo para establecer los mecanismos y procesos necesarios para el cumplimiento.

En el caso de las empresas con más de 50 empleados, se espera que los canales de denuncia estén operativos a más tardar el 17 de diciembre de 2023. Las entidades públicas también deben cumplir con estos plazos. No obstante, para las empresas más pequeñas, con entre 50 y 249 empleados, se otorga una prórroga adicional hasta el 17 de diciembre de 2024.

¿A quién le afecta esta legislación?

La Ley 2/2023 afecta a una amplia gama de entidades tanto en el sector público como en el privado. Específicamente, están obligadas a cumplir con esta ley:

• Empresas privadas: Todas las empresas que cuenten con 50 o más empleados deben implementar los canales internos de denuncia y asegurar la protección de los denunciantes.
• Entidades públicas: Todas las administraciones públicas, incluidas las entidades locales, autonómicas y nacionales, están obligadas a cumplir con la normativa.
• Partidos políticos, sindicatos y organizaciones empresariales: Independientemente de su tamaño, estas entidades deben establecer canales de denuncia y garantizar la protección de los denunciantes.
• Fundaciones y asociaciones: Aquellas entidades que reciban fondos públicos o que tengan una estructura significativa también están obligadas a cumplir con los requisitos de la ley.

El objetivo principal de la ley es establecer un marco normativo que permita a los denunciantes informar sobre conductas irregulares de manera segura y confidencial.
Compartir en X

¿Cómo implementarla?

La implementación de la Ley 2/2023 requiere un enfoque estratégico y meticuloso, abarcando varios aspectos clave:

1. Creación de canales de denuncia: Las organizaciones deben establecer canales internos de denuncia que permitan a los empleados y otras partes interesadas informar sobre infracciones de manera segura y confidencial. Estos canales pueden ser digitales o físicos, pero deben garantizar la privacidad del denunciante.
2. Designación de un responsable: Es fundamental nombrar a una persona o equipo responsable de gestionar las denuncias y asegurar el cumplimiento de la ley. Esta persona debe tener la autoridad y los recursos necesarios para llevar a cabo su función de manera efectiva.
3. Protección del denunciante: Las organizaciones deben implementar medidas claras para proteger a los denunciantes contra cualquier forma de represalia. Esto incluye políticas contra el despido injustificado, la discriminación y otras formas de perjuicio.
4. Capacitación y concienciación: Es crucial proporcionar formación adecuada a todos los empleados sobre la importancia de la ley, los canales de denuncia disponibles y las medidas de protección para los denunciantes. Esto asegura que todos los miembros de la organización estén informados y comprometidos con el cumplimiento de la normativa.
5. Monitoreo y evaluación: Las organizaciones deben establecer mecanismos para monitorear y evaluar continuamente la efectividad de los canales de denuncia y las medidas de protección. Esto puede incluir auditorías internas y revisiones periódicas de los procedimientos.

Software de GRCTools para saber más sobre la Ley 2/2023

La tecnología juega un papel crucial en el cumplimiento de la Ley 2/2023. El uso de herramientas de software especializadas puede facilitar la implementación y gestión de los requisitos normativos. Una de las soluciones más completas en el mercado es el Software Canal de Denuncias de GRCTools.

GRCTools ofrece una plataforma integral que ayuda a las organizaciones a establecer y gestionar sus canales de denuncia de manera eficiente y segura. Entre sus características destacadas se incluyen:

• Canales de denuncia seguros: Proporciona una interfaz amigable y segura para que los empleados y otras partes interesadas puedan reportar infracciones de manera confidencial.
• Gestión de casos: Facilita la administración de denuncias desde la recepción hasta su resolución, asegurando un seguimiento adecuado y la protección del denunciante.
• Reportes y análisis: Permite generar informes detallados y análisis sobre las denuncias recibidas, ayudando a identificar patrones y áreas de riesgo.
• Cumplimiento normativo: Asegura que todos los procedimientos estén alineados con los requisitos de la Ley 2/2023 y otras normativas relevantes.
• Capacitación y soporte: Ofrece recursos educativos y soporte técnico para ayudar a las organizaciones a implementar y mantener sus sistemas de denuncia.

La entrada ¿Qué es la Ley 2/2023? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Es por eso por lo que algunas organizaciones pequeñas y de tamaño medio, optan por prescindir del Sistema de Gestión de Conflictos de Intereses, tratando estos asuntos de manera informal, lo que suele generar insatisfacción e incomodidad en los empleados.

Las organizaciones de todos los tamaños necesitan un Sistema de Gestión de Conflictos de Intereses. Pero, es claro que hay desafíos para superar para llevar la tarea a un final satisfactorio.

¿Cómo implementar un Sistema de Gestión de Conflictos de Intereses eficaz?

El Sistema de Gestión de Conflictos de Intereses es el mecanismo que utiliza la organización para prevenir o detectar con anticipación hechos de corrupción, fraude o soborno.

El Sistema previene riesgos inmediatos, cercanos, que están al alcance de la mano de cualquier persona dentro de la organización. Por eso es tan importante y por eso es por lo que se considera el primer escudo de defensa. Pese a su importancia, algunas organizaciones prescinden de tan valioso instrumento.

Algunos consejos para construir un Sistema de Gestión de Conflictos de Intereses eficaz, superando los retos que la tarea propone son:

1. Hacerlo fácil y amigable

Este tipo de Sistema de Gestión guarda ciertas similitudes con un software o una aplicación informática: si es incomprensible, complejo y poco amistoso, los empleados no lo utilizarán.

En un Sistema de Gestión de Conflictos de Intereses, por ejemplo, los empleados suelen completar formularios con información confidencial, utilizada para establecer vínculos con terceros susceptibles de constituir conflictos de intereses. Si estos formatos son difíciles de llenar, complejos, con preguntas difíciles de entender, pocas personas lo harán. Si es obligatorio, es probable que muchos empleados contesten cualquier cosa por cumplir el requisito.

Así que la recomendación es: básico, fácil, corto y amigable.

2. Evitar los esfuerzos duplicados

La debida diligencia es un elemento esencial en un Sistema de Gestión de Conflictos de Intereses. Sin embargo, es un trabajo que demanda mucho esfuerzo y que consume muchas horas para muchas personas.

Los equipos de cumplimiento o del área de Gestión Anticorrupción, cuando esta existe, cometen el error de tratar de hacer todo de nuevo. Mucha información requerida para la debida diligencia ha sido tomada, clasificada y a veces digitalizada por áreas como Recursos Humanos, Contabilidad o servicios Generales.

Entonces, la recomendación es no generar cuellos de botella, tomar información desde el área que ya la recopiló y ajustar procesos de selección y contratación para que adelanten buena parte del trabajo que tendría que hacer en el futuro el Sistema de Gestión de Conflictos de Intereses.

3. Construir un Sistema confiable para los empleados

Además de la facilidad de uso, los empleados toman la decisión de involucrarse en algo, si lo consideran transparente y confiable. La naturaleza de la información que se gestiona, así como las consecuencias que puede tener poner en evidencia un vínculo, un grado de familiaridad o una conexión pasada con una persona o con una organización, justifican la posible desconfianza de los empleados.

La recomendación es que los empleados tengan la posibilidad de ver más allá del Sistema: las políticas, la regulación externa que obliga al uso de este tipo de mecanismos, el profesionalismo que acompaña el proceso y las consecuencias que trae no prevenir los riesgos de corrupción y soborno.

4. Crear un Sistema consistente y coherente

La coherencia y la consistencia de un Sistema de Gestión la determinan la capacidad para hacer siempre lo mismo, en las mismas condiciones y la uniformidad en el trato para todos los involucrados.

Esto significa que el Sistema actúa siempre del mismo modo y sin importar el nivel, el puesto o la calidad de las personas. La Alta Dirección y los Directores de Área tienen una responsabilidad enorme en el cumplimiento de este objetivo. Son las personas que deben dar ejemplo de adhesión al Sistema y respeto por sus requerimientos.

La recomendación: diseñar un Sistema que opera de la misma forma para todos.

5. Verificar la escalabilidad del Sistema

El crecimiento de una organización representa una prueba exigente para el Sistema. Algunos no logran pasarla y pierden capacidad de ejecución, dejan de ofrecer resultados y se vuelven poco confiables.

Las organizaciones que crecen y, por ejemplo, incursionan en otros continentes, necesitan un Sistema que pueda adaptarse y enfrentar las nuevas condiciones. De lo contrario, generará confusión, desconfianza y problemas más graves que los que pretende prevenir.

La recomendación es construir un Sistema dinámico, en lo posible apoyado por una plataforma que facilite la operabilidad en una organización más grande, más compleja o con operaciones en otros países.

Una recomendación final

Desde la primera hasta la quinta recomendación, las acciones sugeridas parecen indicar la necesidad de contratar más personas o encontrar otro tipo de recurso que facilite la operación eficaz y ágil del Sistema de Gestión de Conflictos de Intereses.

Esa herramienta es la tecnología. Por supuesto, se trata de una inversión. Pero es una inversión que entrega un retorno rápido y evidente: evita multas, sanciones, agrega valor a la marca, disminuye horas de trabajo, permite cumplir con exigencias regulatorias y, sobre todo, mejora el Sistema y lo mantiene operativo y relevante.

La solución, por supuesto, viene a eliminar problemas y no a crear nuevos. Por eso, es importante que sea amigable, intuitiva, basada en la nube, diseñada para la tarea específica, adaptable a otras herramientas ofimáticas, entre otras interesantes características. Una buena idea es la que mencionamos en el apartado final.

Software ISO 37001 de ISOTools

Los Sistemas para tratar conflictos de intereses, la debida diligencia, los canales de denuncia, son los elementos que soportan un Sistema de Gestión Anticorrupción. El Software ISO 37001 de ISOTools es la solución, basada en la nube, que cuenta con las funcionalidades diseñadas para automatizar un Sistema Anticorrupción. Aquí lo encuentras.

La entrada 5 Consejos para implementar un sistema de gestión de conflictos de intereses en tu organización se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

El objetivo es poner la legislación a tono con el creciente número de delitos que ahora mismo no están cubiertos por las leyes vigentes en los países del continente. Tráfico de influencias, abuso de poder en el sector público o el privado, lavado de activos, enriquecimiento ilícito, son los más representativos.

Así, las organizaciones necesitan crear su estrategia corporativa sobre la base de un endurecimiento de la legislación, qué, entre otros temas, busca aumentar las sanciones penales en los países de la Unión y estandarizarlos para lograr penas similares que desincentiven el movimiento de los infractores por todo el continente.

¿Cuáles son las tendencias en gestión anticorrupción que inciden en la estrategia corporativa?

Las tendencias indican hacia dónde va la gestión, pero también el marco regulatorio y, por supuesto, hacia dónde encaminar la estrategia corporativa en 2024. El éxito de la estrategia corporativa dependerá de la adecuada comprensión de las tendencias en el área de lucha anticorrupción y soborno. Las más relevantes son:

1. Estandarización de la legislación a nivel mundial

Cuatro grandes zonas geográficas se pueden identificar a nivel global en cuanto a legislación sobre soborno y corrupción: Norteamérica (Canadá y EE. UU.), Reino Unido, Unión Europea, y Asia y Oceanía.

Las cuatro zonas, que agrupan la totalidad de los países desarrollados, han promulgado desde el inicio del siglo regulaciones y legislaciones independientes. Si embargo, transcurridas las dos primeras décadas del Siglo, es clara la tendencia hacia la alineación y estandarización de requisitos, leyes, solicitudes y directivas.

2. Colaboración internacional

Reafirmando la tendencia sobre alineación y estandarización, las naciones hacen público su interés por colaborar, compartir evidencia, aplicar la ley, establecer controles financieros y hacer todo lo posible para evitar que se conformen paraísos independientes para los corruptos.

Como parte de la estrategia, los países alinean sus leyes con normas como la Directiva de Denuncia de Irregularidades de la Unión Europea, aunque no estén ubicados en la zona geográfica.

3. Tecnología incorporada a la Gestión Anticorrupción

La estrategia corporativa depende cada día más de la tecnología, en lo relacionado con la Gestión Anticorrupción. La debida diligencia, que ahora tiene alcance global, solo puede ofrecer los resultados esperados con la automatización que ofrece una solución informática que incorpore elementos de inteligencia artificial.

La tecnología elimina el error humano, pero también permite analizar, clasificar y obtener conclusiones de grandes cantidades de datos en muy poco tiempo.

4. Debida diligencia en fusiones y adquisiciones

Las operaciones de fusión o adquisición incorporan tareas de debida diligencia en todos lo niveles. Esto implica que ya no basta con revisar el origen de los capitales que se fusionarán. También es necesario aplicar debida diligencia a las personas en todas las áreas, en todos los niveles y áreas, especialmente cuando se trata de dos países o dos continentes diferentes.

5. Gestión en la cadena de suministro

Las organizaciones deben preocupase por ser transparentes. Pero también necesitan asegurar que sus proveedores lo sean. Y también los proveedores de sus proveedores.

La transparencia en la cadena de suministro es un requisito de los consumidores, de los organismos reguladores, pero también del estándar internacional ISO 37001. Esto implica mayor responsabilidad y mayor trabajo. La debida diligencia se multiplica de forma exponencial, con lo que la tecnología se convierte en la herramienta esencial para asegurar el logro de los objetivos.

¿Qué necesita la estrategia corporativa en 2024 para enfrentar la corrupción y el soborno?

La estrategia corporativa en 2024 necesita herramientas eficaces para tratar riesgos de corrupción y soborno. Para hacerlo necesitan integrar las mejores prácticas, de acuerdo con las tendencias referenciadas. Algunas de esas prácticas son:

1. Generar cultura de cumplimiento

Desde la publicación de ISO 37301 es claro que compliance y Gestión Anticorrupción van de la mano. Si lo empleados están educados y formados para cumplir, es poco probable que incurran en conductas censurables, por lo menos de forma consciente y voluntaria.

La generación de cultura de cumplimiento inicia desde la Alta Dirección y debe estar expresada en las políticas. Esto significa que, además, se debe hablar de cumplimiento en muchos escenarios dentro de la organización. También es necesario explicar porque es imperioso ser transparentes y las consecuencias, incluso penales, de no hacerlo.

2. Potenciar la debida diligencia

La debida diligencia crecerá en 2024. Crecerá en profundidad, en número de personas investigadas y en alcance. Ahora se extiende, como ya se advirtió, a toda la cadena de suministro.

3. Evaluar riesgos

Todos los días se actualizan leyes, directivas, reglamentos y obligaciones de cumplimiento. La evaluación de riesgos necesita ir a la misma velocidad. Esto determinará la capacidad de reacción que tenga la organización para prevenir y actuar con la debida celeridad.

4. Monitorear y vigilar

Definir objetivos inteligentes es importante. Pero servirá de poco si no se puede medir con precisión el logro o establecer si en verdad son eficaces y relevantes. La Gestión necesita incorporar mecanismos y herramientas de monitores y vigilancia.

5. Involucrar a las partes interesadas

Los buenos resultados de la Gestión Anticorrupción interesan a los empleados, a los inversionistas, bancos, organismos reguladores, consumidores, gobierno… todos ellos, como interesados, agradecerán y aprovecharán que se les invite a participar de forma activa en la tarea de alcanzar la transparencia.

6. Obtener certificaciones ISO

Una de las razones por las que se publicó ISO 37001, en sustitución de ISO 19600, es la capacidad de certificación que ofrece la nueva norma. Obtener las certificaciones ISO 37001 e ISO 37301 hace que la organización no necesite algo adicional para demostrar su compromiso con la transparencia y el cumplimiento.

7. Aprovechar la tecnología

La estrategia corporativa, la gestión de cumplimiento y, en especial, la lucha contra el soborno y la corrupción, se benefician del trabajo que realiza para ellos la tecnología. La posibilidad de monitorear y vigilar en todo momento, la evaluación de cientos de datos y registros para obtener proceso de debida diligencia eficaces e inmediatos, la eliminación del error humano, son, entre otros, beneficios que aporta una plataforma diseñada para automatizar la Gestión Anticorrupción.

Software ISO 37001 de ISOTools

Debida diligencia, canales de denuncia de irregularidades, investigaciones en las que se preserve el anonimato, son, entre otros, elementos esenciales para un Programa Anticorrupción basado en la norma internacional ISO 37001.

El Software ISO 37001 de ISOTools ofrece, además, funcionalidades que facilitan la obtención de informes, la asignación de tareas a las personas adecuadas, el seguimiento a procesos o el diseño de flujos de trabajo eficientes. Lo encuentras aquí.

La entrada Previsiones y estrategia corporativa para 2024 en el ámbito de la lucha contra la corrupción y el soborno se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La Directiva de Debida Diligencia sobre Sostenibilidad crea un marco normativo que facilita a los estados verificar que las organizaciones de todos los sectores emprendan acciones para proteger el planeta y asegurar el respeto por los derechos humanos.

¿Qué es la Directiva de Debida Diligencia sobre Sostenibilidad Corporativa de la Unión Europea?

La Directiva de Debida Diligencia sobre Sostenibilidad es un marco normativo, regulatorio y legislativo, que solicita requisitos a las organizaciones para que identifiquen, evalúen y traten con efectividad, riesgos derivados de su operación que impacten el medio ambiente o vulneren los derechos humanos.

La Directiva no se restringe a las operaciones de la organización. La organización aplicará procesos de Debida Diligencia para comprobar que sus socios comerciales, inversionistas, proveedores y clientes, entre otros terceros, toman medidas para mitigar el impacto ambiental y garantizar los derechos humanos.

Las organizaciones, además de aplicar la Debida Diligencia tendrían que establecer sanciones contractuales para los terceros que, durante la vigencia de la relación comercial, cometan infracciones en cualquier de las áreas objeto de control.

¿Qué organizaciones están obligadas a cumplir con la Directiva de Debida Diligencia sobre Sostenibilidad Corporativa?

La comisión de la Unión Europea encargada ha definido cuatro grupos de empresas con obligaciones diferentes. Las Pymes, a primera vista parecen estar por fuera del ámbito de aplicación de la directiva. Sin embargo, es bueno aclarar que una empresa de estas características, u otra que no encaje en cualquiera de los cuatro grupos definidos, estará obligada si forma parte de la cadena de suministro de una organización a la que si aplica la Directiva.

Los grupos definidos son:

1. Empresas con más de 500 empleados

Que además facturen más de 150 millones de euros en el año. Las empresas con estas características necesitan Identificar, prevenir, mitigar y hacer todo lo que esté a su alcance para eliminar impactos negativos sobre los derechos humanos y el medio ambiente, así como verificar que los eslabones de su cadena de valor también lo hagan, aunque estén fuera del continente europeo. Igualmente, necesitan crear un plan para asegura que su operación se ajusta a límite de alerta global de 1.5 grados, conforme con el acuerdo de París.

2. Empresas con más de 250 empleados

Que facturen más de 40 millones y que desarrollen actividades (50 % o más) de alto impacto ambiental. En este segmento encajan las empresas transformadoras, petroquímica, minería, fabricación de bienes, entre otras.

Estas organizaciones también están obligadas a identificar, prevenir, mitigar y eliminar riesgos ambientales y posibles vulneraciones a los derechos humanos. Sin embargo, no están obligadas a crear el plan mencionado para las organizaciones del grupo 1.

3. Empresas extracomunitarias

Siempre que facturen 150 millones de euros o más durante el último año fiscal. Las obligaciones son las mismas asignadas al grupo 1.

4. Empresa extracomunitarias de menores ingresos

Se ubican en este segmento las organizaciones extracomunitarias con ingresos entre 40 y 149 millones de euros, siempre que el 50 % o más de estos negocios se desarrollen en un sector de alto impacto ambiental. Obligaciones iguales a las determinadas para el grupo 2.

¿Cómo se aplicará la Directiva de Debida Diligencia sobre Sostenibilidad Corporativa?

La directiva será aplicable a los estados miembros de la Unión Europea. En la práctica se destacan dos aspectos esenciales:

1. La responsabilidad de los directores

La Alta Dirección de las organizaciones reciben la responsabilidad de supervisar el cumplimiento de la Directiva y su aplicación en los procesos de Debida Diligencia. Los estados tendrán que ajustar sus legislaciones laborales para sumar estas obligaciones a las normas que hablen sobre deberes de los directores y miembros de Alta Dirección y las sanciones correspondientes en caso de infracción o incumplimiento.

2. Responsabilidad civil

Las organizaciones asumen una responsabilidad civil como consecuencia del impacto ambiental o la vulneración de derechos humanos, o cualquier otro impacto negativo, que pudiese haberse evitado aplicando la Directiva de Debida Diligencia sobre Sostenibilidad Corporativa.

¿En qué estado está la aprobación de la Directiva de Debida Diligencia sobre Sostenibilidad Corporativa de la UE?

La Comisión Europea propuso la Directiva en febrero de 2022. En diciembre del mismo año, el Consejo Europeo fijó una primera posición sobre la propuesta realizando algunas modificaciones relacionadas con el impacto y con las sanciones inicialmente consideradas.

Tanto el alcance como las sanciones se revisaron en votaciones realizadas durante el año 2023. Finalmente, el 14 de diciembre de 2023 se llegó a un acuerdo sobre la Directiva, lo que permitirá su publicación y entrada en vigor en 2024.

Los estados que aún no cuentan con legislación pueden avanzar en este sentido, ya que se espera que la aprobación final se producirá antes de terminar el primer semestre de 2024.

¿Cómo prepararse para cumplir con la Directiva de Debida Diligencia sobre Sostenibilidad de la UE?

Los estados pueden avanzar en la parte legislativa y normativa. Algunos, como Reino Unido y Alemania tienen poco que hacer. Otros ajustarán su legislación durante 2024, puesto que la entrada en vigor será para 2025, si el trámite en el Consejo Europeo no encuentra obstáculos mayores.

Las empresas pueden empezar a afinar sus procesos de Gestión de Riesgos especialmente en el área de cumplimiento. Incorporar tecnología avanzada para automatizar la Gestión de Cumplimiento, puede resultar una buena idea, si se tienen presente las dificultades prácticas que tienen los procesos de Debida Diligencia, especialmente cuando se desarrollan de forma manual.

Software ISO 37301 de ISOTools

Los procesos de Debida Diligencia incorporan muchas actividades repetitivas que demandan tiempo y consumen muchos recursos humanos. El Software ISO 37301 de ISOTools es una herramienta basada en la nube, que permite automatizar y digitalizar la Gestión, eliminando el error humano, disminuyendo costes y agilizando los resultados.

Es plataforma incorpora elementos de Inteligencia Artificia, que mejora la eficiencia y tienen la capacidad de entregar informes inmediatos en los que se resaltan problemas en tiempo real. Encuéntrala aquí.

La entrada ¿Qué es la Directiva de debida diligencia sobre sostenibilidad corporativa de la UE? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Para detectar el fraude, las organizaciones se apoyan en el trabajo de sus auditores internos, y en algunos casos, externos. Sin embargo, los auditores al realizar su trabajo no van en busca de indicios de riesgos de fraude y corrupción.

La función de los auditores se enfoca en el cumplimiento. La gestión de riesgos de fraude y corrupción es otra cosa. Por eso, detectar el fraude de manera anticipada es una labor que requiere de la aplicación de estrategias que busquen ese objetivo específico.

¿Por qué es difícil detectar el fraude en una organización antes de que ocurra?

El fraude, el soborno y la corrupción son fenómenos que tienen algo en común: son planificados y para cometer estos delitos, los involucrados coordinan esfuerzos y acuerdan realizar o dejar de realizar algunas tareas.

Por supuesto, los defraudadores o corruptos conocen las limitaciones que tienen los auditores para detectar el fraude de forma anticipada. Para contrarrestar este conocimiento, las organizaciones necesitan encontrar las causas por las que los métodos de revisión e inspección resultan inoperantes.

Algunas de las razones por las que es complejo detectar el fraude y la corrupción son:

1. Dejar la responsabilidad en manos de los auditores

El trabajo de los auditores tiene limitaciones. Los auditores usualmente revisan documentos, comprueban evidencia de cumplimiento, revisan la eficacia de los controles internos, pero no están atentos a revisar comportamientos o situaciones que sugieren actos de corrupción.

2. Rigidez de los procedimientos de auditoría

Los auditores predican y se esfuerzan por promover el cumplimiento de los requisitos y las obligaciones regulatorias. Y lo hacen con el ejemplo. Ellos se esfuerzan por seguir un camino definido por estándares que contienen las mejores prácticas de auditoría, los procedimientos para este tipo de evaluaciones y lo que se considera generalmente aceptado. Detectar el fraude puede requerir salir de los esquemas, y es algo que no siempre está dispuesto a hacer el auditor.

3. Evidencia tomada con base en muestreos aleatorios

En una auditoría o en una inspección, los auditores o inspectores toman muestras para analizar, muestra que se supone representativa del comportamiento del conjunto. Así, esperar encontrar indicios de fraude o señales sobre la proximidad de un evento similar, se convierte en un asunto de azar o suerte.

4. Auditores inexpertos

Esta es una condición a la que están expuestas las organizaciones que tercerizan la labor de auditoría, contratándola con un consultor externo. Algunos de los auditores destacados para llevar a cabo una auditoría, pueden resultar inexpertos. Los empleados que cometen fraude reconocen a la distancia a un auditor bisoño. Además de pasar sobre actos de no detectar el fraude, este auditor extenderá un manto de tranquilidad que puede resultar aún más nocivo.

5. Falta de recursos

Las auditorías consumen recursos humanos, económicos y tecnológicos. Esto es especialmente crítico para las organizaciones que no cuentan con auditores internos o que no cuentan con el suficiente soporte tecnológicos para sus Sistemas de Gestión.

6. Confianza excesiva en controles internos

Las auditorías suelen reforzar la confianza en los controles internos, aunque durante la evaluación no se haya hecho énfasis en probarlos o verificar su eficacia. Los auditores suelen revisar políticas, procesos, procedimientos y la existencia de algún control. Pero no su eficacia.

¿Cómo prevenir y detectar el fraude con anticipación?

Conocer las razones por las que es complejo detectar el fraude en sus etapas primarias, es ya un avance en el propósito de prevenir. Del análisis de las causas, surgen las acciones eficaces para avanzar en la prevención.

Algunas otras estrategias eficaces son:

1. Realizar inspecciones o revisiones sorpresa

No solo los auditores pueden realizar la tarea. La Alta Dirección, el Oficial de Cumplimiento, los directores de áreas sensibles como Contabilidad, Finanzas o Recursos Humanos, también pueden realizar inspecciones o revisiones imprevistas, sin la rigidez y el formalismo que reviste una auditoría.

2. Formar auditores especializados

Los auditores internos, como resultado de la práctica consuetudinaria de su trabajo, adquieren un bagaje importante que permite obtener mejores resultados, con menos restricciones. Los resultados se potencian con auditores especializados en la norma ISO 37001, lo que por supuesto requiere que el Sistema de Gestión Anticorrupción esté basado en ese estándar internacional.

3. Involucrar diferentes áreas

Detectar el fraude puede ser más fácil para un empleado del área financiera, que, para un auditor, aunque este último sea experto. No se trata de sustituir a nadie. Se trata de formar equipos interdisciplinarios que se complementen, potencien sus fortalezas y minimicen sus debilidades.

4. Concentrar la atención en los puntos críticos

Es poco probable que el área de mantenimiento, por ejemplo, concentre un alto grado de riesgos de fraude y corrupción. Adquisiciones, por el contrario, es un foco de alto interés para la prevención de este tipo de riesgos.

5. Desarrollar indicadores adecuados

En anteriores entradas hemos hablado de las señales que sugieren la presencia de actos de corrupción. Estos indicadores de riesgo de corrupción no siempre están vinculadas a un procedimiento, al cumplimiento de requisitos o a los resultados de auditoría. De hecho, estas señales pasan inadvertidas para un auditor. Es necesario desarrollar e implementar indicadores para percibir la presencia de estas señales de corrupción.

6. Automatizar la gestión

La revisión de documentos en papel es tediosa, extensa y poco productiva cuando se trata de detectar el fraude. La automatización y digitalización de un Sistema de Gestión Anticorrupción, ofrece la posibilidad de advertir, en el mismo momento en que ocurre, un problema que puede conducir o ser indicador de corrupción. Un ejemplo de este tipo de soluciones es el protagonista de nuestro apartado final.

Software ISO 37001 de ISOTools

Prevenir el fraude y la corrupción protege las arcas de la organización, pero también su reputación. Es, además, una forma de seleccionar y retener a los mejores empleados

El Software ISO 37001 de ISOTools es la herramienta indicada para automatizar la gestión y realizar evaluaciones oportunas y efectivas. Es importante estar un paso delante de las personas que cometen estas infracciones. Empieza aquí.

La entrada Por qué es complejo detectar el fraude y tácticas para mejorar la prevención se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Pero también pueden predecir amenazas emergentes internas o de terceros y preparar a la organización para el futuro. Los indicadores clave de riesgo de permiten actuar en tiempo real y gestionar riesgos incipientes antes de que alcancen su máximo poder lesivo.

Sin embargo, es importante elegir y utilizar los indicadores clave de riesgo adecuados. ¿Cuáles son y cómo desarrollarlos?

¿Qué son los indicadores clave de riesgo?

Un indicador es una cifra, un dato o una condición que, como su nombre lo sugiere, indica algo. Los indicadores hacen ver al analista o al evaluador que algo está sucediendo o puede suceder en un futuro próximo.

Es una forma de monitorear la actividad y establecer si los controles han sido efectivos o si su efectividad está próxima a caducar. Los indicadores emiten alertas tempranas que facilitan actuar sobre riesgos o amenazas que sucederán muy pronto, o están actuando en el momento.

Un indicador clave de riesgo, por ejemplo, puede ser el número de comunicaciones reportadas en una línea dedicada o canal de denuncias. Los indicadores cumplen una función esencial en la gestión de compliance y anticorrupción. Entre otros, permite lograr objetivos como:

• Identificar nuevos riesgos o la variación en el comportamiento de uno ya evaluado (probabilidad o impacto).
• Establecer el impacto real de un riesgo en términos financieros o reputacionales.
• Elaborar comparativos de cifras periódicas, que permitan conformar una tendencia.
• Obtener un panorama real e inmediato sobre la gestión anticorrupción.
• Verificar la eficacia de los controles implementados.
• Fijar nuevos objetivos para la gestión.

¿Cómo establecer indicadores clave de riesgo adecuados?

Los indicadores de riesgo deben ser adecuados a la gestión, al nivel de exposición de riesgo de la organización, a los antecedentes históricos, al grado de regulación y control, entre otros factores para considerar.

Para establecer indicadores clave de riesgo es preciso seguir un proceso que inicia por:

1. Reunir el equipo de gestión de riesgos

Al igual que otras tareas en el área de gestión de riesgos, la definición de los indicadores clave de riesgo es una tarea de equipo. Es importante que todos aporten y que se conforme un marco de operación en el que todos actúen bajo las mismas directrices tras un objetivo común.

2. Dividir la tarea por áreas o por unidades de negocio

Identificar problemas de cumplimiento y corrupción puede requerir una dinámica diferente en el área de Recursos Humanos y otra en Adquisiciones o en Servicios Generales. Los KRI que resultan interesantes o efectivos en un punto, pueden ser irrelevantes o inocuos en otro.

3. Revisar el comportamiento de los KRI actuales

Cada uno de los grupos de trabajo establecidos revisa los indicadores de uso común en el momento, su comportamiento y su aporte a la gestión.

4. Analizar la evaluación del riesgo asociado al KRI

Los indicadores clave de riesgo, incumplimiento, fraude y soborno, son definidos como tales por el aporte que entregan a la gestión. Si se invierte tiempo y recursos en obtener una métrica es porque el resultado final lo amerita. Cada métrica se toma para descubrir si un riesgo está ocurriendo, se mantiene o deja de ocurrir. Un indicador asociado a un riesgo que cada día tiene mayor incidencia y mayor impacto, es un indicador no adecuado.

5. Identificar procesos o cambios de procesos

Los indicadores de riesgo vinculados a un proceso pierden actualidad si el proceso desaparece o sufre una modificación estructural sustancial. Los cambios inadvertidos en procesos obligan a cambiar controles y, por supuesto, indicadores.

6. Priorizar los riesgos para establecer controles

El trabajo de definición y desarrollo de indicadores clave de riesgo, como cualquier actividad en gestión de riesgos, deben enfocarse de manera prioritaria en las amenazas que mayor impacto negativo representen, o mayor probabilidad de ocurrencia.

7. Analizar y procesar los datos

El análisis de la información recopilada debe realizarse de manera metódica, sistemática y automatizada. Los KRI necesitan ser medibles, comparables y comprobables. Para ello, especialmente cuando se trata con grandes volúmenes de datos, es preciso contar con una plataforma diseñada para esta función, y mejor si es creada para la gestión anticorrupción.

8. Establecer límites mínimos y máximos

Finalmente, es preciso establecer límites para la información que arrojan los KRI. Estos limites permiten disparar las alertas que son el objetivo principal de los indicadores. Estos umbrales también pueden ser fijados por un software que determine con alto grado de confiabilidad cuál es el punto que indica una situación crítica.

¿Qué tipos de indicadores clave de riesgo existen?

A nivel general aparecen diferentes tipos de indicadores. La forma en que expresan la información, el área en la que operan o el valor que representan, son los principales criterios de clasificación:

• Cuantitativos, cuando expresan el resultado en un valor numérico absoluto.
• Cualitativos, cuando indican una condición o una característica: alto, medio, bajo, suficiente, insuficiente, notable, escaso.
• Financieros, que son los que hacen referencia a un valor monetario.
• De Recursos Humanos, cuando se refieren a grupos de personas, empleados que cumplen con características comunes, o áreas en las que se presentan problemas o conductas atribuibles a los empleados.
• Operacionales, cuando se enfocan en la medición de los resultados de procesos, procedimientos o tareas específicas.
• Tecnológicos, que pueden expresarse en medidas como gigas, bites… pero también pueden ser incidentes o eventos que sugieran o indiquen la ocurrencia de delitos, fraudes u otros problemas de corrupción.

¿Cómo desarrollar indicadores clave de riesgo realmente efectivos?

Para que los indicadores realmente sean claves, relevantes y eficaces, es recomendable:

1. Enfocarse en riesgos relevantes

Los riesgos relevantes merecen controles e indicadores igualmente relevantes. Las amenazas menores, probablemente no requieran que se desplieguen todos los procedimientos mencionados.

2. Diseñar e implementar un proceso coherente y metódico

Si cada vez que se evalúan los indicadores, su efectividad o su actualidad, es preciso reinventar un proceso, a veces pasando por largas y desgastantes reuniones de consenso, es probable que la tarea se pueda realizar apenas una vez cada cinco años. El proceso debe establecerse para ser utilizado siempre, de forma coherente, metódica y, de ser posible, automatizada. Por supuesto, esto no implica que se pueda revisar y mejorar de forma periódica.

3. Documentar la tarea

El desarrollo de indicadores clave de riesgo es una de las tareas más constructivas y edificantes en el área de gestión de riesgos. En la gestión de cumplimiento y anticorrupción estas características son aún más notorias y relevantes. Para que este aprendizaje no se pierda, y, por el contrario, se convierta en un valor diferencial para la gestión en el futuro, es importante que todos los eventos se documenten, registren y almacenen. Una plataforma con funcionalidades de gestión documental es necesaria para alcanzar el objetivo.

Software ISO 37001 de ISOTools

La gestión de riesgos en el área de cumplimiento y anticorrupción encuentra un aliado excepcional en el Software ISO 37001 de ISOTools. Es una plataforma basada en la nube con funcionalidades eficaces para el procesamiento de altos volúmenes de datos e información, y control de documentos, desde la creación hasta su archivo definitivo.

Estadísticas, mapas de calor, informes inmediatos, son, entre otros, herramientas de gran valor para la gestión de cumplimiento y anticorrupción proactiva. Conócela aquí.

La entrada Cómo desarrollar indicadores clave de riesgo (KRI) para fortalecer la organización se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Los objetivos son claros: guiar a las organizaciones en el camino hacia el diseño, implementación, operación y mejora de canales de comunicación dispuestos para entregar informes sobre corrupción, soborno, faltas éticas o infracciones de cumplimiento.

La gestión de denuncias es un tema que interesa a todas las organizaciones, especialmente en el continente europeo, debido al marco regulatorio actual. Por eso es tan importante dilucidar dudas e inquietudes sobre la norma que está a punto de cumplir sus dos primeros años. Lo hacemos hoy.

¿Qué se debe saber sobre la gestión de denuncias en ISO 37002?

ISO 37002 busca con sus directrices y orientaciones proteger y apoyar a los denunciantes y a las organizaciones que tienen a su cargo la gestión de denuncias, como una obligación regulatoria.

Al hablar de directrices y orientaciones se infiere que no se trata de un estándar certificable. Esta no es una posibilidad que aparezca en el futuro cercano. Es esta la primera de varias inquietudes frecuentes. Otras son:

1. ¿Por qué se necesitaba un estándar para la gestión de denuncias?

Porque varias leyes y regulaciones en Europa, Estados Unidos, Australia y Japón, por mencionar algunos casos representativos, han ajustado las exigencias sobre la implementación y uso de canales de informes y sobre la gestión de denuncias. El aumento en número y exigencia de las leyes generó una proliferación de pautas o guías de procedimiento, pero no un documento unificado y estandarizado a nivel internacional. Esta es la principal razón para la existencia de ISO 37002.

2. ¿Quiénes pueden utilizar ISO 37002?

Todas las empresas, sin importar su tamaño, industria o sector, públicas, privadas, transnacionales, de servicios, consultoras, pueden obtener los beneficios de ISO 37002, aunque no hagan uso de ISO 37001 o ISO 37301.

3. ¿Qué beneficios ofrece ISO 37002?

ISO 37002 ayuda a las organizaciones a tratar y controlar problemas, desde el interior, evitando que trasciendan a escenarios legales o públicos en donde adquieren capacidad para lesionar la reputación de la empresa. El estándar también ayuda a crear una cultura sólida de denuncia y asegura el cumplimiento de requisitos normativos como los contenidos en la Directiva Europea sobre denunciantes.

4. ¿Cómo opera el estándar para la gestión de denuncias?

Los informes entregados en canales de denuncia inician un procedimiento que se desarrolla en varios pasos. El primero de ellos es, por supuesto, escuchar con detalle al denunciante.

En adelante, sin embargo, es preciso tomar muchas decisiones: Solicitar más información, entrevistar otros posibles testigos, iniciar una investigación formal, separar a algunas personas de sus puestos de trabajo, emprender acciones judiciales…

Las orientaciones y directrices contenidas en ISO 37002 hacen que todas las denuncias sigan un camino previsto, estandarizado, garantizando así la imparcialidad, la confiabilidad y la entrega de resultados oportunos.

5. ¿Cómo implementar ISO 37002?

El primer paso es definir el alcance: ¿el estándar se va a utilizar en toda la organización, en todas las áreas o en todas las ubicaciones? Con esto aclarado, la implementación se desarrolla en pocos pasos:

• Hacer un análisis de brechas para determinar que falta para alcanzar la conformidad.
• Crear un equipo de trabajo y diseñar un plan de acción para completar los requerimientos del estándar.
• Definir las personas que tendrán acceso y utilizarán el sistema.
• Elaborar un plan de auditoria para verificar la eficacia del sistema.
• Corregir y mejorar el sistema.

6. ¿ISO 37002 aborda las represalias y la protección de los informantes?

Si. De hecho, el estándar tiene un enfoque realmente progresivo sobre estos temas. La norma solicita realizar evaluaciones de riesgos de represalias o ataques a los informantes y tomar las acciones necesarias para tratar esas amenazas. Las organizaciones que implementan ISO 37002 evalúan los riesgos específicos que acompañan cada caso, tan pronto se recibe la denuncia.

Este enfoque proactivo garantiza la seguridad de los informantes, cumpliendo con la Directiva Europea, y facilitando la toma de la decisión sobre la preservación de la identidad del denunciante hasta que sea seguro revelar esa información.

7. ¿ISO 37002 asume alguna posición sobre los denunciantes anónimos?

No. La norma no está hecha para uno u otro tipo de informantes. Sin embargo, es claro que ISO 37002, al ser un estándar de alcance internacional, respeta las legislaciones nacionales. Así, si la denuncia anónima es prohibida en algún país, ISO 37002 seguirá esa misma línea.

8. ¿Cuáles son los puntos de acuerdo entre ISO 37002 y la Directiva sobre Denunciantes de la Unión Europea?

Uno de los objetivos de ISO 37002 es asegura el cumplimiento normativo y regulatorio en cuanto a gestión de denuncias. En el continente europeo, el eje principal para ese cumplimiento es la Directiva de la Unión Europea.

ISO 37002 es un estándar complementario válido para cualquier lugar del mundo. La norma no entra en conflicto con ninguna legislación del mundo y, por el contrario, promueve la denuncia eficaz y garantiza la seguridad de los informantes.

9. ¿ISO 37002 requiere que la organización implemente y certifique ISO 37001 e ISO 37301?

No. ISO 37002, como ya se advirtió no es un estándar certificable y no está atado a otras normas ISO, certificables o no. Sin embargo, el efecto complementario del estándar se evidencia mejor en organizaciones que basan su gestión anticorrupción en el estándar ISO 37001 y su gestión de cumplimiento en ISO 37301.

10. ¿ISO 37002 tiene requerimientos específicos sobre tecnología a utilizar?

En cuanto a canales de denuncia la norma no inclina la balanza hacia uno u otro: buzón tradicional, línea telefónica fija o móvil, apartado en el sitio web, cuenta de correo electrónico… todas son igualmente válidas.

En cuanto a la investigación, los procesos de triaje y otras actividades propias del proceso, una plataforma que automatice la gestión de denuncia, entre otros aspectos que conforman la gestión anticorrupción, resultará ideal.

Software ISO 37001 de ISOTools

La gestión de denuncias es un segmento muy importante en la lucha contra la corrupción. En esta lucha, el Software ISO 37001 de ISOTools se convierte en un aliado de excepcional efectividad.

Esta plataforma, basada en la nube, entrega informes inmediatos, confiables y relevantes. La herramienta provee a los investigadores los elementos estadísticos, históricos, y los registros que permiten conformar un caso y tomar decisiones basadas en información de calidad. Tu mejor aliado en la lucha anticorrupción está aquí.

La entrada Estándar para la gestión de denuncias: respuesta a preguntas frecuentes sobre ISO 37002 se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Aquellos que se deciden a denunciar actos de corrupción y actividades poco éticas deben reunir coraje y determinación. Es habitual que los denunciantes de corrupción experimenten miedo a ser despedidos, descubiertos, sufrir represalias o perder su reputación, mientras luchan con el deseo de hacer lo correcto. Y, en muchos casos, una vez que los denunciantes han informado, se sienten decepcionados o desilusionados.

Las encuestas y la investigación académica muestran que la gran mayoría de los denunciantes informan internamente antes de informar a los reguladores o los medios de comunicación. Y aquellos que denuncian en instancias externas lo suelen hacer porque tienen la percepción de que no se hizo nada respecto a la información que facilitaron.

Así, proteger a los denunciantes de corrupción es prioritario, si bien las organizaciones no deben olvidarse de gestionar sus expectativas y lo que experimentan en el transcurso desde que informan hasta que se esclarecen los hechos y se toman medidas.

¿Cómo gestionar las expectativas de los denunciantes de corrupción?

En este contexto, la atención que se dé a los denunciantes de corrupción adquiere especial relevancia. Es importante entender que esta persona, equivocada o no, toma una decisión difícil, y lo hace pensando en los más altos intereses para la organización. Pero, ante todo, en hacer lo correcto.

Hoy, los empleados que denuncian no tienen que hacerlo ante sus superiores jerárquicos. Encuentran diferentes canales de denuncia, oficinas especializadas y personas que tienen entre otras funciones, la tarea de recibir, gestionar e investigar las denuncias de corrupción.

Esas personas – los investigadores -, necesitan ofrecer a los denunciantes de corrupción la seguridad y la tranquilidad que tanto necesitan en ese momento. Si bien es preciso atender la investigación, no es una buena idea olvidar al denunciante. Algunas buenas prácticas para evitar que esto suceda son:

1. Informar al denunciante sobre un pronóstico de tiempo real

Una investigación de casos de soborno o corrupción arrojará resultados en un periodo de tiempo determinado, el cual depende de varios factores: la complejidad del asunto investigado, el número de investigaciones que se desarrollan de forma simultánea, el número de personas que sea preciso entrevistar, la necesidad o no de realizar desplazamientos para recopilar evidencia…

Es probable que el denunciante no considere estos elementos. Pero el investigador sí debe hacerlo. Y con base en esas condiciones debe ofrecer una expectativa de tiempo aproximada a la realidad, no solamente para la resolución definitiva de la investigación, sino para cada una de las etapas en la que se desarrolle.

2. Entregar informes parciales de avance

Los denunciantes de corrupción esperan con avidez informes periódicos sobre el avance de la investigación. Los investigadores, por su parte, pueden preferir enfocar su trabajo en la recopilación de evidencias, realizar entrevistas y todo lo que tenga que ver con el esclarecimiento de los hechos informados, antes que atender las necesidades del informante.

El informante necesita atención. Necesita saber cómo avanza la investigación. Esto no significa reportarle a diario, pero sí en periodos de tiempo razonables, que pueden ser cada dos o tres semanas, o cuando algo especialmente relevante ocurra.

3. Compartir momentos clave con el denunciante

Las investigaciones de actos de corrupción se parecen un poco a las que vemos en teleseries o en el cine. A veces, todo apunta a que el culpable es el mismo al que el denunciante adjudica la responsabilidad.

Pero el resultado de una prueba o de una entrevista puede cambiar el rumbo de la investigación. Al final, es probable que la evidencia compruebe que no hubo un delito. Que todo se debió a una serie de eventos coincidentes y desafortunados.

Las investigaciones y evaluaciones de riesgo de fraude y corrupción tienen hitos. Y esos puntos clave, deben ser conocidos por el denunciante. Especialmente, cuando se establece que no hubo un problema o que, aunque existen indicios, ninguno de ellos es concluyente. Es en estos casos, cuando el denunciante necesita más información, más detallada y más precisa.

4. Cuidar al denunciante durante todo el proceso y después

El acoso y las represalias son dos de los grandes temores que enfrentan los denunciantes de corrupción. Esto sucede cuando se presenta la denuncia, especialmente cuando el informante ha decidido no preservar el anonimato, o las condiciones particulares de la investigación necesitan que exista un denunciante físico.

Las leyes y las normas vigentes en Europa protegen al denunciante. Sin embargo, en la práctica, esto requiere un poco de trabajo adicional. La Oficina de Cumplimiento o el encargado del área de Gestión Anticorrupción deben encargarse de verificar la ausencia de represalias, acoso u otras medidas intimidantes contra del denunciante.

Algunas de estas acciones suelen ser muy sutiles, pero igualmente lesivas: exclusión social, entrega de trabajos de poca relevancia, comentarios y rumores, burlas…

5. Monitorizar el desempeño del denunciante durante varios años

Con resultados concluyentes o no, los denunciantes pueden verse afectados aún años después de concluida la investigación. Las evaluaciones de desempeño del empleado suelen aportar resultados muy interesantes.

Resultados deficientes en las evaluaciones, progresivos, desde el momento en que se presentó la denuncia, en contraposición a excelentes indicadores anteriores, pueden evidenciar un patrón de maltrato y represalias continuo.

El seguimiento en el tiempo a las condiciones de trabajo de los denunciantes de corrupción, así como los resultados oportunos y efectivos de las investigaciones, son el resultado de obtener información inmediata y confiable, así como de la posibilidad de procesar datos, almacenarlos y obtener informes y evaluaciones relevantes para la Gestión Anticorrupción.

Software ISO 37001 de ISOTools

Los denunciantes de corrupción son un elemento definitivo en el éxito de la gestión corporativa moderna. El Software ISO 37001 de ISOTools es una herramienta informática, basada en la nube, que entrega informes, muestra mapas de calor, agiliza los procesos de debida diligencia, presenta indicadores de rendimiento y, entre otras funcionalidades, automatiza el tratamiento de canales de denuncia y las posteriores investigaciones.

Esta es una solución que tu organización necesita para impulsar la Gestión Anticorrupción conforme al estándar internacional ISO 37001. Obtén información detallada aquí.

La entrada Gestionar las expectativas de los denunciantes de corrupción: 5 buenas prácticas a implementar se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Según el estudio 2020 Global Fraud Study, cada año, las organizaciones pierden de media un 5% de sus ingresos debido a prácticas fraudulentas. Y la falta de controles internos para prevenirlo es una causa recurrente que lo explica.

Así, para identificar la exposición a la que se enfrentan las organizaciones, las evaluaciones de riesgo de fraude permiten comprender y alcanzar una visión general de los riesgos. A continuación, explicamos qué son, por qué son importantes y cómo se realizan las evaluaciones de riesgo de fraude.

¿Qué son evaluaciones de riesgo de fraude?

Las organizaciones son vulnerables al robo, el soborno o el fraude, por varias razones. Algunas de ellas están bajo su control y otras son condiciones o factores con los que es preciso convivir.

Unos y otros factores necesitan gestión y muestran señales e indicadores. Las evaluaciones de riesgo de fraude permiten a la organización, y a los profesionales que las efectúan, identificar esas señales de forma proactiva, estableciendo así vulnerabilidades y riesgos de corrupción, fraude, soborno y otras conductas censurables.

La evaluación de riesgos de fraude identifica controles ineficaces o ausencia de control, y propone acciones para corregir esos problemas.

¿Por qué son importantes las evaluaciones de riesgo de fraude?

Las evaluaciones de riesgo de fraude muestran puntos ciegos, descubiertos y no controlados, en los que pueden actuar los infractores con mayor o total libertad. La práctica regular, frecuente y sistemática de este tipo de ejercicios, además del beneficio implícito, ayudan a:

• Obtener los elementos necesarios para crear controles eficientes o mejorar los existentes.
• Desarrollar estrategias válidas de mitigación.
• Generar entre los trabajadores percepción de vigilancia, supervisión y control.
• Reducir la probabilidad de ocurrencia de actos de corrupción.
• Generar confianza de organismos reguladores, clientes, inversores y otras partes interesadas.

¿Qué áreas revisar en las evaluaciones de riesgo de fraude?

Los riesgos de fraude y corrupción aparecen en todas las áreas, departamentos y niveles de la organización. Entonces, para este tipo de evaluación no pueden existir terrenos vedados.

Sin embargo, es claro que por su naturaleza y por el obligatorio manejo de transacciones de dinero implícitas, existen áreas que concentran la atención de los evaluadores:

• Adquisiciones.
• Contabilidad y Finanzas.
• Tesorería.
• Contrataciones.

Específicamente, algunos procesos críticos deben ser evaluados, con el fin de diseñar e implementar controles efectivos:

• Selección y contratación de nuevos empleados:
  • Debida diligencia.
  • Antecedentes judiciales.
  • Empleos anteriores.
  • Conflicto de intereses.
• Aprobación de gastos y de pago de facturas:
  • Separación de responsabilidades.
  • Rotación de puestos de trabajo.
  • Valores límite para aprobación compartida.
  • Limitación a las atribuciones de un solo empleado.
• Canales de denuncia:
  • Existencia de diferentes canales.
  • Comprensión y conocimiento del uso de los canales.
  • Celeridad, agilidad y eficacia de las investigaciones.
  • Protección al denunciante.

¿Qué elementos tener en cuenta en las evaluaciones de riesgo de fraude?

La evaluación de riesgos de fraude y corrupción no difiere en su práctica de otra evaluada con otros propósitos, como Seguridad de la Información o Seguridad y Salud en el Trabajo.

En los informes, resultado de la evaluación, se espera encontrar como mínimo:

• Descripción precisa del riesgo.
• Impacto negativo real de la amenaza.
• Relevancia para el negocio.
• Área y proceso que afecta.
• Probabilidad de ocurrencia.
• Causa raíz del problema.
• Existencia o no de un control al momento de la evaluación.
• Eficacia de los controles existentes.
• Propuesta de control, en caso de que no exista.
• Lista priorizada de los riesgos de acuerdo con su impacto y su probabilidad de ocurrencia.
• Plan para implementar acciones correctivas y monitorear su efectividad.

Finalmente, la evaluación de riesgos de fraude y corrupción buscará eliminar la mayoría de los riesgos. Otros podrán ser mitigados o transferidos, y algunos tendrán que ser tolerados debido al alto coste de la gestión o a la oportunidad que ofrecen.

La práctica frecuente de este tipo de evaluaciones genera un clima de seguridad entre los empleados, que disuade con efectividad a quienes tienen ideas para cometer actos de corrupción. Las evaluaciones, sin embargo, necesitan información confiable e inmediata, además de un soporte tecnológico capaz de procesar los resultados con la debida oportunidad.

Software ISO 37001 de ISOTools

La debida diligencia es, además de un requisito del estándar ISO 37001, un control efectivo para evitar la corrupción en una organización. Sin embargo, es una actividad que demanda tiempo y recursos.

La automatización que ofrece el Software ISO 37001 de ISOTools hace que la debida diligencia se practique de forma fácil y ágil.

Esta herramienta ha sido diseñada para procesar grandes cantidades de datos, automatizar procesos de gestión anticorrupción, generar informes para auditoría o para la Alta Dirección, presentar mapas de calor que muestren problemas y, en general, asegurar la conformidad con los requisitos del estándar anticorrupción y la efectividad de cualquier programa enfocado en ese propósito. Solicita información personalizada aquí.

La entrada Evaluaciones de riesgo de fraude: qué son y por qué es importante realizarlas se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.