En este artículo, exploraremos los pasos clave para llevar a cabo una evaluacion de riesgos de compliance y cómo esta actividad fortalece la integridad y sostenibilidad de las empresas.

Evaluacion de Riesgos

La evaluacion de riesgos de compliance es un proceso estructurado que ayuda a las empresas a identificar los riesgos legales, regulatorios, éticos y reputacionales asociados con sus actividades. Este análisis permite implementar controles y medidas correctivas para minimizar el impacto de estos riesgos en la organización.

Importancia de la evaluacion de riesgos en Compliance

• Prevención de sanciones: Ayuda a cumplir con normativas locales e internacionales, evitando multas y sanciones.
• Protección de la reputación: Reducir riesgos reputacionales es crucial para mantener la confianza de clientes, empleados y socios.
• Optimización de recursos: Permite priorizar los riesgos más críticos, asignando recursos de manera eficiente.
• Promoción de una cultura ética: Fomenta el compromiso de los empleados con las políticas de cumplimiento y las mejores prácticas.

Pasos Clave para una evaluacion de riesgos de Compliance

1. Definir el alcance y los objetivos

El primer paso es establecer claramente el propósito de la evaluacion de riesgos. Esto incluye:

• Identificar las áreas funcionales o departamentos que se evaluarán.
• Definir los tipos de riesgos a analizar (legales, financieros, operativos, reputacionales).
• Establecer los estándares normativos y éticos aplicables, como ISO 31000, la Ley de Prácticas Corruptas en el Extranjero (FCPA), o normativas sectoriales.

Consejo: Involucra a líderes de todas las áreas para garantizar que el alcance sea integral y relevante.

2. Identificación de riesgos

Este paso implica mapear todos los riesgos potenciales que puedan afectar la operación de la empresa. Para ello:

• Revisa normativas aplicables: Identifica qué leyes, regulaciones y estándares impactan directamente tu actividad.
• Consulta a las partes interesadas: Realiza entrevistas o encuestas a empleados, socios comerciales y proveedores para identificar áreas vulnerables.
• Evalúa el historial de incidentes: Analiza eventos previos que hayan puesto en riesgo el cumplimiento.

3. Análisis de riesgos

En esta etapa se evalúa cada riesgo identificado, determinando:

• Probabilidad de ocurrencia: ¿Qué tan probable es que el riesgo se materialice?
• Impacto potencial: ¿Cuál sería la magnitud de las consecuencias en caso de que el riesgo ocurra?
• Nivel de control existente: ¿Qué medidas actuales están en vigor para mitigar el riesgo?

El uso de una matriz de riesgo (probabilidad x impacto) facilita priorizar los riesgos más críticos.

4. Evaluación y priorización

Una vez analizados, se deben clasificar los riesgos en función de su nivel de criticidad:

• Riesgos altos: Requieren atención inmediata y recursos significativos para su mitigación.
• Riesgos moderados: Necesitan seguimiento continuo y mejoras en los controles.
• Riesgos bajos: Se monitorean regularmente, pero no requieren intervención urgente.

5. Diseño e implementación de controles

Para mitigar los riesgos priorizados, es esencial establecer controles internos y políticas claras. Algunos ejemplos incluyen:

• Capacitación: Sensibilizar a los empleados sobre los riesgos y cómo evitarlos.
• Due diligence: Verificar la integridad de proveedores y socios comerciales.
• Políticas internas: Implementar códigos de ética, canales de denuncia y políticas anticorrupción.

6. Monitoreo y revisión continua

La evaluacion de riesgos no es un ejercicio único. Los riesgos y el entorno regulatorio cambian constantemente, por lo que:

• Se deben realizar revisiones periódicas del sistema de compliance.
• Los incidentes y hallazgos deben retroalimentar el proceso de evaluación para mejorar su efectividad.

Realizar una evaluación de riesgos efectiva permite identificar, analizar y mitigar posibles amenazas.
Compartir en X

Herramientas y Tecnologías

La tecnología es un aliado clave para realizar una evaluacion de riesgos precisa y eficiente. Las soluciones de software permiten:

• Automatizar la recopilación y análisis de datos.
• Generar reportes detallados en tiempo real.
• Facilitar el seguimiento de controles implementados.
• Asegurar el cumplimiento normativo mediante auditorías internas digitales.

Beneficios

Reducción de costos

Identificar riesgos de manera proactiva evita pérdidas económicas significativas asociadas con sanciones o demandas legales.

Fortalecimiento del compliance

Una evaluación bien estructurada asegura que la empresa opere dentro de los límites legales y éticos, fomentando una cultura de cumplimiento.

Toma de decisiones informada

Con un mapa claro de los riesgos, los líderes empresariales pueden tomar decisiones estratégicas con mayor confianza.

Mejor reputación corporativa

Cumplir con las regulaciones y promover la ética corporativa mejora la percepción de la empresa entre sus grupos de interés.

Mejores Prácticas para la Evaluacion de Riesgos

Existen diversas prácticas para la evaluacion de riesgos que son altamente efectivas:

• Involucra a toda la organización: La participación activa de todos los departamentos garantiza una visión integral de los riesgos.
• Mantén una comunicación clara: Informar a los empleados sobre los resultados y medidas derivadas de la evaluación fomenta su compromiso.
• Utiliza estándares internacionales: Adoptar marcos reconocidos, como ISO 31000 o COSO, asegura la calidad del proceso de evaluación.
• Integra tecnología: El uso de herramientas avanzadas simplifica y mejora la precisión del proceso.

Software de GRCTools para la evaluacion de riesgos

Para facilitar una evaluacion de riesgos efectiva, el Software de Gestión de Riesgos de GRCTools ofrece una solución integral que ayuda a las organizaciones a:

• Identificar y evaluar riesgos: Automatiza la recopilación de datos y la generación de matrices de riesgo.
• Implementar controles: Centraliza políticas, procedimientos y herramientas de monitoreo.
• Generar reportes en tiempo real: Facilita la toma de decisiones informadas con análisis actualizados.
• Monitorear el cumplimiento: Permite auditar de manera constante las operaciones para garantizar el cumplimiento normativo.

El Software de Gestión de Riesgos de GRCTools es una herramienta imprescindible para organizaciones que buscan fortalecer su programa de compliance.

La entrada Pasos Clave para una Evaluacion de Riesgos de Compliance se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Codigo de conducta en una empresa

El codigo de conducta es una herramienta fundamental para fortalecer la cultura empresarial. Establecer reglas claras sobre cómo deben comportarse los empleados y directivos ayuda a garantizar que todos trabajen alineados con los valores y la misión de la organización. Esto crea un entorno de respeto mutuo y promueve la cohesión entre los equipos, generando un espacio laboral más saludable y productivo.

Un código de conducta bien implementado también genera confianza entre los empleados y los stakeholders externos. Al tener un marco ético claro, los empleados saben qué esperar y cómo actuar en diversas situaciones, mientras que los clientes, socios y proveedores perciben a la empresa como una entidad transparente y responsable. Esto contribuye a una mayor reputación corporativa.

Elementos esenciales de un código de conducta

Integridad y comportamiento ético

Uno de los pilares del código de conducta es la integridad. Este principio implica actuar con honestidad en todas las relaciones profesionales, tanto internas como externas. La integridad es clave para garantizar la confianza y la transparencia dentro de la empresa.

Cumplimiento normativo

El código de conducta también debe establecer el compromiso de la empresa con el cumplimiento de leyes y normativas. Los empleados deben estar informados sobre las reglas específicas del sector en el que opera la empresa, garantizando que todas las actividades comerciales se realicen dentro de los marcos legales y regulatorios aplicables.

Prevención del conflicto de intereses

Otro aspecto crítico es la prevención del conflicto de intereses. El código de conducta debe establecer pautas claras para evitar situaciones en las que los intereses personales de los empleados puedan entrar en conflicto con los de la organización. Esto incluye reglas sobre regalos empresariales, relaciones personales en el trabajo y transacciones financieras.

No discriminación y respeto en el lugar de trabajo

El código de conducta debe incluir una política de no discriminación y respeto en el entorno laboral. Todos los empleados, independientemente de su género, etnia, religión o situación económica, deben ser tratados de manera justa. La empresa debe promover un ambiente donde no haya lugar para el acoso ni la discriminación.

Beneficios de implementarlo

Reducción de riesgos legales

Un código de conducta claro y bien estructurado ayuda a reducir los riesgos legales para la empresa. Al proporcionar directrices sobre cómo actuar en situaciones complejas, la organización puede evitar sanciones legales, multas o litigios que puedan surgir del incumplimiento de normativas o de conductas inapropiadas.

Mejora del clima laboral

Establecer un código de conducta favorece un clima laboral saludable. Los empleados que operan bajo un marco ético claro y con expectativas bien definidas son más propensos a sentirse seguros y valorados, lo que a su vez mejora la motivación y el compromiso hacia la organización.

Un código de conducta bien implementado también genera confianza entre los empleados y los stakeholders externos.
Compartir en X

¿Cómo llevar a cabo una implementación efectiva?

Formación y comunicación

Una parte esencial de la implementación del código de conducta es la formación y la comunicación. Todos los empleados deben ser capacitados para comprender y aplicar las pautas descritas en el código. Además, es crucial que el código sea accesible y que se actualice regularmente para incluir nuevas normativas o adaptarse a cambios dentro de la organización.

Mecanismos de control y cumplimiento

Para que el código de conducta sea efectivo, debe estar respaldado por mecanismos de control. Esto incluye la creación de canales de denuncia para reportar violaciones y un sistema de supervisión interna que garantice el cumplimiento de las políticas. Las violaciones al código deben tener consecuencias claras y bien definidas.

Pon en práctica el codigo de conducta con el Software de GRCTools

El codigo de conducta de una empresa es mucho más que un conjunto de reglas: es una guía ética que fortalece la cultura corporativa, protege la reputación de la organización y asegura el cumplimiento de las normativas legales. Una correcta implementación y actualización del código no solo reduce riesgos, sino que también fomenta un entorno de trabajo más transparente y eficiente. Por ello, es imprescindible contar con un Software como el que proporciona GRCTool.

El Software de Compliance de GRCTools facilita la implementación y gestión de los códigos de conducta en las empresas. Automatiza los procesos de supervisión y denuncia, asegurando el cumplimiento de las políticas internas y las normativas regulatorias. Esta solución integral ayuda a prevenir riesgos y a fortalecer la ética corporativa.

La entrada Qué es el codigo de conducta de una empresa se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Conflictos de intereses

1. Establecer una política clara de conflictos de intereses

Una de las primeras estrategias clave para gestionar los conflictos de intereses es establecer una política clara que defina lo que constituye un conflicto y los procedimientos para manejarlo. Esta política debe detallar ejemplos específicos de situaciones que puedan generar un conflicto, los pasos a seguir en caso de identificación, y las sanciones por no reportar un conflicto de manera adecuada. Además, es esencial que la política sea comunicada a todos los empleados y actualizada regularmente para adaptarse a nuevas normativas y situaciones.

La política debe estar fácilmente accesible para todos los empleados, con un canal abierto para que puedan reportar cualquier posible conflicto de intereses sin miedo a represalias. Un ambiente de transparencia fomenta la divulgación temprana y reduce el riesgo de que un conflicto afecte las operaciones empresariales.

2. Realizar capacitaciones continuas

La formación continua es una estrategia vital para garantizar que todos los empleados comprendan los conflictos de intereses y sepan cómo identificar y gestionar estas situaciones. Las capacitaciones deben incluir ejemplos prácticos y simulaciones de conflictos que podrían surgir en el entorno laboral. Esta formación no solo debe dirigirse a los empleados de base, sino también a los directivos y responsables de toma de decisiones, quienes suelen estar más expuestos a conflictos éticos.

Además de la capacitación, es esencial que las empresas mantengan informados a sus empleados sobre cualquier cambio regulatorio o nueva legislación que pueda afectar la política de conflictos de intereses. Esto garantiza que la organización siga cumpliendo con los estándares legales vigentes y evite sanciones.

3. Crear un proceso de divulgación efectivo

Una estrategia fundamental para gestionar los conflictos de intereses es establecer un proceso claro y eficiente de divulgación. Los empleados deben tener acceso a un sistema en el que puedan reportar conflictos de manera segura y confidencial. Este proceso debe incluir la revisión periódica de posibles conflictos y permitir un seguimiento efectivo por parte del equipo de compliance.

Una vez reportado un conflicto de intereses, la organización debe llevar a cabo un análisis exhaustivo del caso para determinar el impacto que podría tener en la empresa y tomar las acciones correctivas necesarias. Estas pueden incluir desde la reasignación de tareas hasta la eliminación del conflicto mediante medidas estructurales.

Los conflictos de intereses representan un riesgo significativo para la integridad de cualquier empresa.
Compartir en X

4. Monitoreo y auditoría continua

Una vez que se ha implementado un sistema para gestionar los conflictos de intereses, es esencial establecer mecanismos de monitoreo continuo y auditorías regulares. Estos procesos permiten identificar nuevos conflictos que puedan surgir con el tiempo, así como asegurar que los conflictos reportados anteriormente se hayan gestionado de manera adecuada.

El uso de herramientas tecnológicas es clave para garantizar un monitoreo efectivo. Software de compliance especializado, como el de GRCTools, permite a las organizaciones automatizar la identificación de conflictos de intereses, gestionar las divulgaciones y garantizar que se cumplan las políticas internas y normativas externas.

5. Fomentar una cultura de transparencia y ética

El éxito de la gestión de los conflictos de intereses depende, en gran medida, de la cultura organizacional. Es esencial que los líderes empresariales promuevan una cultura de ética y transparencia, en la que se valore la divulgación de conflictos y se apoyen las decisiones que benefician a la empresa en su conjunto. Un liderazgo ético asegura que las políticas de cumplimiento no solo existan en el papel, sino que se apliquen y respeten de manera efectiva.

Fomentar una cultura ética también implica reconocer y recompensar a aquellos empleados que sigan las políticas de cumplimiento de manera ejemplar. Esto refuerza el compromiso con las buenas prácticas y establece un estándar positivo para el resto de la organización.

Software Compliance de GRCTools para manejar los conflictos de intereses

La gestión efectiva de los conflictos de intereses con GRCTools es esencial para garantizar el cumplimiento normativo y proteger la integridad de la empresa. A través de una política clara, la formación continua, un proceso de divulgación eficiente, monitoreo constante y una cultura ética, las organizaciones pueden mitigar el riesgo de que los conflictos afecten sus operaciones. Implementar estas estrategias no solo protege a la empresa de sanciones legales, sino que también refuerza la confianza de los empleados y socios comerciales.

El Software de Compliance de GRCTools es una herramienta diseñada para ayudar a las organizaciones a gestionar los conflictos de intereses de manera eficiente. Con funciones de divulgación automatizada, monitoreo en tiempo real y análisis de cumplimiento, GRCTools facilita la identificación y gestión de conflictos, asegurando el cumplimiento normativo.

La entrada 5 Estrategias clave para Manejar Conflictos de Intereses en el Cumplimiento Empresarial se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La inteligencia artificial produce noticias todos los días. Por ello no sorprende la que reporta la incursión de la inteligencia artificial en GRC. Los informes indican que una de cada tres organizaciones ya implementó inteligencia artificial en su gestión GRC, mientras que las otras dos ya exploran caminos para llegar al mismo punto.

Las organizaciones, en una primera conclusión, tienen mucho que aprovechar al incorporar la inteligencia artificial en GRC. ¿En qué casos prácticos pueden hacerlo y cuáles son las tendencias? Lo analizamos a continuación.

¿En qué casos de uso prácticos se puede aplicar inteligencia artificial en GRC?

Para algunas organizaciones que aún no implementan modelos de gestión GRC, la inteligencia artificial es una amenaza y un factor generador de nuevos riesgos. Entrar en la órbita de GRC hace que esta percepción cambie.

La inteligencia artificial en GRC se convierte en un activo de valor estratégico al permitir identificar riesgos en tiempo real, fomentar la colaboración en todas las áreas y aumentar la eficiencia en general.

El concepto se entiende mejor si se conocen los casos de uso reales con los que la tecnología revoluciona la gestión GRC:

1. Diseño de estrategias proactivas de Gestión de Riesgos

Procesar grandes cantidades de datos en una fracción de segundo es una capacidad que puede ser aprovechada por herramientas de inteligencia artificial en GRC, proponiendo estrategias efectivas para prevenir riesgos.

2. Identificar desviaciones y patrones

En miles o millones de datos y registros, para un ser humano resulta imposible identificar patrones o desviaciones. Los dos son eventos importantes porque permiten establecer tendencias, predecir escenarios futuros o identificar un problema o un riesgo.

3. Definición de Marcos de Control

Un Marco de Control es un sistema de gestión que integra cinco componentes: contexto, evaluación de riesgo, comunicación, procesos y supervisión. Este tipo de Marcos permiten a la Alta Dirección dar respuesta inmediata, con un alto nivel de efectividad, a todo tipo de eventos y situaciones en cualquier área de la organización. El diseño de estos modelos de gestión es complejo y requiere de una gran cantidad de datos e información. El problema lo soluciona la Inteligencia Artificial.

4. Automatización de procesos

GRC incorpora tres elementos – Gobernanza, Riesgo y Cumplimiento – que necesitan grandes cantidades de datos y registros. La Debida Diligencia y la Evaluación de Riesgos, son dos ejemplos representativos de ello.

La Inteligencia Artificial en GRC permite automatizar estos y muchos otros procesos. Una plataforma dotada con funcionalidades de Inteligencia Artificial puede tomar datos de forma autónoma, procesarlos, producir informes automáticos, extraer información relevante, generar mapas de calor, producir flujos de trabajo y notificar a las personas interesadas, entre otras muchas e interesantes posibilidades.

5. Automatización de la Gestión de Riesgos

Aunque se menciona en los ítems anteriores, es preciso individualizar y resaltar el gran servicio que puede prestar la Inteligencia Artificial en un área que resulta vital para cualquier organización, pero especialmente para las que operan bajo un marco GRC.

Habar de la utilidad de las evaluaciones de riesgo para una organización resulta redundante. No obstante, el tiempo y los recursos que consume esta tarea se convierte en un obstáculo para muchos equipos de Gestión de Riesgos. La Inteligencia Artificial puede automatizar la Gestión en su totalidad, entregando evaluaciones diarias si es preciso, prediciendo amenazas para periodos de tiempo no imaginados y generando informes constantes sobre el estado de la Gestión de Riesgos.

6. Comprobación automática del cumplimiento

La capacidad para aprender es una de las habilidades que separa la Inteligencia Artificial de su antecesora, la Big Data. Esto hace que la Inteligencia Artificial en GRC tenga la capacidad para recopilar las novedades en cuanto a marco regulatorio, legal y normativo, evaluarlas, establecer aplicabilidad y relevancia, alertar sobre nuevas obligaciones y, finalmente, hacer un rastreo constante en busca de fallas de cumplimiento, inminencia de incumplimiento o riesgos potenciales.

7. Producción automática de informes

Las organizaciones GRC tienen, entre sus obligaciones de cumplimiento, la de presentar ciertos informes de carácter regulatorio. Las herramientas de Inteligencia Artificial pueden generar estos informes, ya que cuentan con la información y los datos necesarios. La gran diferencia es que estas herramientas incorporan funcionalidades de aprendizaje automático y procesamiento de lenguaje natural, que llevan a la producción automática de informes y análisis.

Software ISO 37301 de ISOTools

Las exigencias normativas y regulatorias cambian todos los días. La tendencia es hacia el crecimiento de requisitos y obligaciones. Las organizaciones necesitan procesar grandes cantidades de datos y registros en muy poco tiempo.

Para empresas que operan bajo modelos GRC el Software ISO 37301 de ISOTools se convierte en la herramienta ideal, apoyada por Inteligencia Artificial, para afrontar el desafío. Automatizar tu programa de cumplimiento es el camino por seguir. Todo inicia aquí.

La entrada El auge de la inteligencia artificial en GRC: tendencias y casos de uso se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La relación que se establece con los trabajadores es compleja. Implica considerar, además de las obligaciones contractuales que adquiere la empresa con sus empleados, normas de origen local, nacional y requisitos de orden internacional. Por eso, el cumplimiento en Recursos Humanos enfrenta desafíos mayores.

La amplitud del espectro sobre el que se mueve el cumplimiento en Recursos Humanos y la diversidad de fuentes de obligaciones legales y regulatorias, llevan a los profesionales encargados a cometer errores.

Por supuesto, son fallas entendibles, pero no por ello de obligatoria aceptación. Es preciso tomar acciones para resolver los problemas. Es el tema que abordamos hoy, empezando por entender la importancia del cumplimiento en Recursos Humanos.

¿Por qué es importante el cumplimiento en Recursos Humanos?

El cumplimiento en Recursos Humanos demuestra que la organización, además de verificar el cumplimiento de múltiples obligaciones, se preocupa por implementar las mejores prácticas de convivencia laboral, de Seguridad y Salud en el Trabajo y de bienestar económico y social de sus trabajadores.

Comportamientos censurables, como el acoso laboral, sexual o la discriminación por cualquier causa, también competen al cumplimiento en Recursos Humanos. Pero existen otras razones relevantes para considerar que este es un tema de gran importancia en una organización que espera generar un crecimiento constante y ser exitosa en su industria:

• Enfoca la Gestión de Riesgos en un área definida, facilitando la búsqueda de amenazas.
• Evita el pago de multas y sanciones por incumplimiento, y de costosas demandas de trabajadores.
• Protege la reputación de la organización.
• Mejora el Employer Branding de la empresa.
• Crea un ambiente laboral feliz, proclive a la productividad.

¿Cómo construir un marco seguro de cumplimiento en Recursos Humanos?

El cumplimiento en Recursos Humanos es algo más que un propósito. Necesita un marco de operación que le entregue las herramientas necesarias para ser efectivo. Conformar un equipo de trabajo con la experiencia y el conocimiento adecuados es la primera acción para desarrollar.

La tecnología, como se evidenciará en adelante, es un factor determinante para alcanzar los objetivos propuestos en poco tiempo y generar una tendencia de mejora continua sostenible. Lo que sigue se puede resumir en los siguientes pasos:

1. Definir políticas y diseñar procesos

El cumplimiento en Recursos Humanos es un Sistema de Gestión. Por eso requiere de una política proveniente de la Alta Dirección, en la que se incluya, además del compromiso con el cumplimiento, los objetivos que se persiguen y la seguridad de la asignación de los recursos necesarios. Es preciso, igualmente, diseñar los procesos, los procedimientos que los conforman y las tareas y actividades que hacen parte de cada uno de ellos.

2. Identificar brechas de formación

La organización necesitará crear un programa de formación, de acuerdo con las necesidades del Sistema. Algunos empleados, con funciones específicas en el cumplimiento, requerirán programas muy definidos y técnicos. Otros empleados necesitarán contenidos que busquen la sensibilización y la creación de cultura de cumplimiento.

3. Crear la estructura para documentación y registro

Un marco eficaz y transparente de cumplimiento en el área de Recursos Humanos, necesita documentar y registrar muchos eventos, actividades de monitoreo y seguimiento y resultados de evaluaciones e inspecciones, entre otros hechos relevantes. Los instrumentos utilizados necesitan asegurar la accesibilidad, la incorruptibilidad y la trazabilidad de la información. Es preciso adoptar una solución informática que tenga la capacidad para afrontar los desafíos.

4. Realizar un inventario minucioso de obligaciones

Lo más importante, cuando se desea cumplir, es saber con precisión qué es lo que se debe cumplir. Las obligaciones en el área de Recursos Humanos provienen de muchas fuentes, algunas muy cercanas, otras no tanto. Es importante entender también, que el marco regulatorio y legal es dinámico. Esto significa que el inventario se debe revisar y actualizar mes a mes.

5. Implementar canales de comunicación fluidos

La comunicación debe fluir en los dos sentidos. Por una parte, se busca mantener informados a todos los empleados, sobre lo que se pretende hacer y lo que se espera obtener en el medio y largo plazo. Pero también se espera la retroalimentación de los trabajadores que expresen problemas, alerten sobre incumplimientos o propongan ideas para mejorar.

6. Auditar el marco

Aunque los resultados de la Gestión de cumplimiento en Recursos Humanos sean evidentes, es preciso monitorear, inspeccionar y, sobre todo, auditar. La auditoría es el único mecanismo efectivo y reconocido para comprobar los buenos resultados, encontrar problemas y mejorar de forma continua.

¿Cuáles son los errores recurrentes en el cumplimiento en Recursos Humanos?

Las auditorías, las inspecciones o las revisiones de la Alta Dirección sirven para identificar problemas y abordarlos con anticipación. Estos problemas surgen como consecuencia de errores que son recurrentes. Los 10 más comunes son:

1. Realizar auditorías poco confiables, con base en documentos inexactos

La práctica regular y sistemática de auditorías disminuye la probabilidad de error y promueve la mejora continua. El trabajo y los recursos, no obstante, pueden desperdiciarse si los documentos no son confiables, no existe trazabilidad, la información no está disponible y los registros no están completos.

El problema más grave que se hereda de la práctica de auditorías con estas características, es que generan la falsa percepción de seguridad. Esto es común en organizaciones que aún gestionan documentos y registros en papel o, cuando mucho, en Hojas de Cálculo.

¿Cómo evitar el error?

Tres componentes forman parte de la solución de este problema: automatizar y digitalizar la Gestión de Cumplimiento en Recursos Humanos, diseñar procesos eficaces para la creación, actualización, almacenamiento, comunicación y accesibilidad de documentos y registros y, finalmente, practicar auditorías frecuentes, sistemáticas y realizadas por auditores certificados.

2. No contar con apoyo tecnológico

La tecnología resuelve muchos problemas en la Gestión de Cumplimiento. Los relacionados con la Gestión de Documentos, ya mencionados, son importantes. Pero el error recurrente número dos es no contar con el soporte tecnológico de respaldo adecuados para cumplir muchas de las tareas que demanda el cumplimiento en Recursos Humanos.

El cumplimiento de muchos requisitos, regulaciones, normas o acuerdos contractuales, implica realizar tareas, conformar equipos de trabajo, realizar acciones y crear flujos de trabajo. Asumir el desafío, hace que los flujos de trabajo sean ineficientes, se cometan errores, muchas cosas importantes pasen por alto y, finalmente, generar incumplimiento.

¿Cómo evitar el error?

La tecnología se necesita para evitar los errores, pero también para automatizar tareas repetitivas, evitar la duplicación de funciones, mejorar la productividad de la Gestión y obtener actualizaciones en tiempo real sobre el estado de cumplimiento y sobre el devenir de las obligaciones. Evitar el error es fácil. Basta que la organización entienda la necesidad de invertir en tecnología.

3. Dejar de monitorear la actualidad regulatoria y legislativa

Tal vez el error más recurrente en el área de cumplimiento en Recursos Humanos es regirse a una lista de obligaciones que no es revisada y actualizada nunca. Cuando se afirma que el marco regulatorio y normativo en Recursos Humanos es dinámico y volátil no se exagera un ápice.

La diversidad de fuentes de normas, leyes o requisitos aumenta la dificultad para seguir los cambios. Algunos equipos de cumplimiento llegan a tener reuniones diarias para debatir sobre el acontecer noticioso y las novedades legislativas.

¿Cómo evitar el error?

La solución es estar alerta a cualquier movimiento. Por supuesto, los medios de comunicación en general son un buen punto de partida. Pero también hay foros o escenarios de debate especializados. Los compañeros, en otras empresas de la misma industria, son una buena fuente de noticias. Pero, todo esfuerzo será inútil si no se cuenta con una plataforma que permita procesar, clasificar, analizar, almacenar y distribuir la información recopilada.

4. No prestar atención a la voz de los trabajadores

Las organizaciones en las que no se escucha la voz de los empleados, en áreas criticas como Seguridad y Salud en el Trabajo, y por supuesto, cumplimiento en Recursos Humanos, no cuentan con una verdadera y transparente cultura de cumplimiento.

Las razones son varias: los equipos de gestión de cumplimiento desestiman la opinión o el valor del aporte del trabajador, se cree que alentar la participación representa algún tipo de peligro para la estabilidad de la organización o simplemente no se ha formado a los trabajadores para que piensen y actúen de esa forma.

¿Cómo evitar el error?

Capacitación, comunicación y, nuevamente, tecnología. La capacitación lleva al trabajador a comprender porqué es importante su voz y su aporte. La comunicación asertiva motiva al trabajador a involucrarse con la Gestión y la tecnología entrega los canales y las herramientas para facilitar los reportes de los empleados.

5. Ignorar la tecnología

La necesidad de utilizar una plataforma para procesar los datos, automatizar tareas y digitalizar la Gestión de cumplimiento en Recursos Humanos, es una preocupación recurrente en este texto. Y lo es porque la resistencia a acoger la tecnología es uno de los errores que mayores costes trae para la organización.

¿Cómo evitar el error?

Una plataforma así, está preparada para analizar los CV de los empleados, desde la misma etapa de selección y contratación, establecer puntos de interés, aplicar debida diligencia, verificar antecedentes y, en general, optimizar todos los procesos del área, incluyendo por supuesto, los que atañen al cumplimiento.

6. Diseñar procesos ineficientes

Los procesos en el área de Recursos Humanos son especialmente críticos. Una falla en ellos redunda en toda la organización. Después de todo, es precisamente el Departamento que provee el talento para toda la organización y el responsable de la buena relación de los trabajadores con la organización.

Muchos procesos son complicados sin necesidad, poco claros, o simplemente no sirven para el objetivo para el que fueron implementados. Las fallas en procesos relacionados con el cumplimiento son especialmente lesivas para la organización. Cuestan dinero, afectan la reputación y hacen que se pierdan buenos empleados.

¿Cómo evitar el error?

Es importante diseñar procesos para que se adapten a las necesidades de la Gestión de Cumplimiento en un área tan sensible al error. Lo contrario, hacer que el sistema se adapte al proceso, nunca funcionará. Un software que provea flujos de trabajo automatizados, con puntos de intercepción con otros procesos, con entradas y salidas lógicas, facilitará la tarea y aportará fluidez y coherencia a la Gestión.

7. Falta de documentos

Algunas áreas dependen mucho más de documentos que otras. Recursos Humanos tiene una muy alta dependencia. Todo se documenta y todo se evidencia con un documento. Desde la identificación de los empleados, el historial de Salud, los resultados de las capacitaciones, el registro histórico de incidentes y accidentes… Todo se basa en documentos. No contar con los documentos suficientes y adecuados, es un error más de cumplimiento en Recursos Humanos.

¿Cómo evitar el error?

La organización necesita un sistema confiable para la creación, modificación, actualización, comunicación, almacenamiento y eliminación de toda clase de documentos que involucren la Gestión de Cumplimiento. Este sistema requiere automatización que es el factor que asegura transparencia, seguridad y trazabilidad.

8. Ausencia de comunicación con los trabajadores

Algunos equipos de Recursos Humanos sienten que se encuentran en una esfera superior, en la que no es posible tener contacto con las personas que se encuentran bajo su control. Esto genera estrategias alejadas de la realidad, desconexión total con el acontecer diario, baja moral de los empleados, disminución de la productividad y, finalmente, deserción.

¿Cómo evitar el error?

El profesional en Recursos Humanos, y en particular, el que se especializa en cumplimiento, necesita habilidades naturales de comunicación. Estos profesionales necesitan canales fluidos para comunicarse con sus “clientes”, que son los trabajadores de la organización. Deben ser, además, profesionales que se informan a diario, aumentan su conocimiento cada día y aprovechan el aporte de la tecnología.

9. No evaluar la Gestión de Cumplimiento

La Gestión de Cumplimiento en Recursos Humanos necesita ser auditada, inspeccionada, monitoreada, pero también evaluada. La evaluación es un concepto que se diferencia de los otros en la capacidad que tiene para calificar el rendimiento y el trabajo de las personas encargadas.

Las evaluaciones proporcionan información valiosa, señalan brechas de cumplimiento y muestran oportunidades de mejora.

¿Cómo evitar el error?

La solución es apenas obvia: es preciso practicar evaluaciones a la Gestión y a las personas encargadas. Sin embargo, no se realizan evaluaciones con la suficiente periodicidad, porque representan un desgaste por la dificultad que implica obtener la información requerida para hacerlo. Nuevamente, la tecnología soluciona el problema.

10. Hacer uso de soluciones no adecuadas

Cuando se habla de tecnología para el área de cumplimiento en Recursos Humanos, se piensa en una solución creada y diseñada para solucionar problemas de cumplimiento. Algunas plataformas, muy eficientes en otros terrenos, no han sido diseñadas para automatizar la Gestión de Cumplimiento y terminan convirtiéndose en un costoso problema más, antes que en una solución.

¿Cómo solucionarlo?

Por supuesto, contratando una plataforma que se especialice en Cumplimiento, que se aloje en la nube, que sea parametrizable, que crezca con la organización y, por supuesto, que sea amigable y fácil de operar. Una buena opción es la que presentamos en nuestro apartado final.

Software ISO 37301 de ISOTools

El Software ISO 37301 de ISOTools es una plataforma creada específicamente para automatizar la Gestión de Cumplimiento. El Software provee indicadores, muestra mapas de calor, elabora flujos de trabajo, genera notificaciones automáticas a las personas indicadas y, en resumen, está preparada para afrontar los desafíos que propone el cumplimiento en Recursos Humanos. Conócela aquí.

La entrada 10 Errores comunes de cumplimiento en Recursos Humanos y cómo evitarlos se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La continuidad del negocio es un elemento de la resiliencia operativa. Pero la resiliencia va mucho más allá. No se trata tan solo de seguir operando. La clave es producir, pero a la vez, trabajar en la recuperación y mantener los estándares de Gobierno, Riesgo y Cumplimiento, para las organizaciones que trabajan sobre este marco de gestión.

Con empresas cada vez más expuestas a ciberataques, pandemias, desastres naturales, crisis financieras, guerras, conmociones sociales y políticas, entre otras amenazas disruptivas, la resiliencia operativa surge como la opción para mantener el control, aprovechar las oportunidades y fortalecer el negocio.

¿Qué es resiliencia operativa?

Es la capacidad que tiene una organización para sobrevivir al impacto de un evento disruptivo, adaptarse a nuevas condiciones, convertir el riesgo en oportunidad e iniciar de inmediato la recuperación.

La organización necesita resiliencia operativa para afrontar un corte prolongado de energía, un sismo o un ciberataque. El principio básico es prever los eventos y sus consecuencias y estar preparados para minimizar el impacto negativo, procurando que las consecuencias no se trasladen al consumidor.

¿Por qué es importante la resiliencia operativa?

La percepción que tendrán los clientes sobre una empresa que, además de seguir operando durante y tras un evento de alto impacto negativo, se convirtió en una fuente de valor para sus consumidores, justifica pensar y trabajar para incorporar la resiliencia operativa en el ADN de la organización.

Pero hay otras razones para explicar su importancia:

1. Crea un muro que impide la propagación del efecto dominó

Uno de los problemas que mayor preocupación provocan los riesgos operativos es el efecto dominó que producen. Sectores como Financiero y Sanitario lo han demostrado en el pasado. Las organizaciones que logran construir estrategias eficaces de resiliencia operativa actúan como un muro que impide la propagación del efecto dominó.

2. Cumplimiento regulatorio

Los Estados esperan que un mayor número de empresas piensen en estrategias de resiliencia para enfrentar riesgos operativos y las implementen con éxito. Sin embargo, es claro que, si este deseo forma parte de un escenario regulatorio, los resultados serán mucho más efectivos. El enfoque regulatorio en la Unión Europea se encamina hacia la aprobación de una Ley de Resiliencia Operacional Digital, como un primer paso que pronto se extenderá a otras áreas.

3. Crea un marco de tranquilidad para tomar mejores decisiones

La incertidumbre, apenas natural, con respecto a eventos que pueden literalmente acabar con una empresa, hace que la Alta Dirección sea cauta y en extremo moderada a la hora de planificar expansiones, inversiones o incluso programas básicos necesarios para la operación cotidiana.

¿Cómo construir estrategias efectivas de resiliencia operativa?

Los riesgos operativos son muchos, variados, proceden de diversas fuentes y el grado de impacto es difícil de pronosticar. Por eso es difícil creer que se pueden generar estrategias que garanticen la operabilidad y la capacidad de resiliencia.

Pero sí es posible hacerlo. Estos cinco pasos llevarán a cualquier organización a obtener estrategias efectivas de resiliencia operativa:

1. Identificar los servicios y funciones críticos clave

Es claro que en una situación de emergencia no todos los servicios que contrata u obtiene la organización adquieren el mismo valor. Existen funciones críticas de alto valor, debido al aporte que tienen sobre la producción del bien o la prestación del servicio que entrega la empresa a sus consumidores.

Este primer paso va un poco más allá de elaborar una lista de procesos, funciones o servicios. El equipo de Gestión de Riesgos necesita:

• Realizar un mapeo completo de los procesos, determinado la jerarquía de cada uno de ellos y la interrelación y dependencia entre ellos.
• Determinar los procesos, funciones y servicios que son esenciales, y el grado en que lo son.
• Elaborar un estudio predictivo que indique el grado de compromiso de cada servicio o función, de acuerdo con cada una de las amenazas consideradas.
• Crear un plan de sustitutos alternativos en un escenario de emergencia.
• Someter el mapa completo a la consideración de los propietarios de procesos o encargados de cada una de las funciones críticas, para obtener visibilidad completa y aportes nuevos que mejoren el plan.

2. Establecer indicadores de tolerancia al riesgo

Por muchas razones, la organización puede estar preparada para aceptar un riesgo determinado, pero no otro. Una organización de la misma industria, puede experimentar lo contrario.

Es importante que la organización establezca con qué puede lidiar y qué definitivamente no puede tolerar. Algunas acciones adecuadas son:

• Revisar los informes de Gestión de Riesgos sobre apetito de la organización y tolerancia a determinadas amenazas.
• Obtener indicadores matemáticos sobre el impacto real que la ausencia o el deterioro de un servicio o una función tiene sobre el consumidor.
• Crear escenarios hipotéticos para predecir el impacto real de cada riesgo, en cada área de la organización.
• Identificar la tolerancia real de la organización a un evento o a la ausencia de un proveedor, un contratista, un servicio o un suministro.

3. Identificar y comprender las dependencias en todos los sentidos

Un error frecuente en la Gestión de Riesgos operativos es obviar las dependencias y las interrelaciones entre procesos, personas y terceros. La resiliencia operativa no puede hacer a un lado las dependencias, y tiene que conocerlas y comprenderlas en los cuatro sentidos: arriba, abajo, a la derecha y a la izquierda.

El mapeo de procesos propuesto en el primer paso ayuda a entender las dependencias. En este tercer paso el objetivo es buscar dependencias externas de alta sensibilidad: proveedores, subcontratistas, elementos clave en la cadena de suministro y otros.

Las acciones recomendadas son:

• Automatizar la Gestión de Riesgos, utilizando una plataforma especializada en Gestión de Riesgos de Cumplimiento, que permita obtener un plano general de las interrelaciones que generan dependencia esencial.
• Crear una base de datos de sustitutos eventuales, que ya hayan pasado el filtro de la debida diligencia, y que se encuentren en diferentes ubicaciones para disminuir el riesgo de impacto negativo simultáneo del riesgo sobre esos terceros.

4. Crear escenarios de acuerdo con posibles fallas

Todos los planes tienen la posibilidad de fallar. Los de contingencia o de continuidad del negocio, dadas las condiciones en las que se ponen a prueba, son especialmente prolijos en fallas.

Las estrategias que buscan la resiliencia operativa también pueden fallar. Lo interesante es anticiparse a las fallas, y crear un plan B, para lo que fue diseñado para atender un evento disruptivo. Algunas ideas son:

• Revisar los informes históricos sobre lo que ha fallado en el pasado y cómo logró subsanarse el error. La experiencia ajena también es valiosa en este paso.
• Evaluar las estrategias con un grupo amplio de personas provenientes de diferentes áreas. La diversidad de enfoques enriquece la teoría y ayuda a blindar las estrategias con planes de contingencia alternativos.
• Considerar el apetito de riesgo para los planes alternativos.
• Comprobar la alineación de las nuevas estrategias con los objetivos de negocio de la organización.
• Validar la contribución que las estrategias aportan a la recuperación.
• Realizar escenarios teóricos y ejercicios de prueba. En lo posible, también simulacros.
• Identificar puntos débiles en el plan y en las estrategias.

5. Documentar el plan, comunicarlo y debatirlo con las partes interesadas

El plan no lo será hasta que no forme parte de un informe escrito, revisado y comunicado a todos los que tengan algún interés en él. La comunicación, y la forma en que se haga, son elementos importantes para el éxito de la estrategia.

Para lograr el objetivo es importante:

• Identificar las partes interesadas, internas y externas. Empleados, organismos estatales, proveedores de servicios esenciales, sustitutos alternativos, todos ellos forman parte de la estrategia y todos necesitan conocerla.
• Suministrar evidencia sobre la práctica de pruebas, exámenes y simulacros, y sobre los resultados que arrojaron.
• Documentar todo y mantenerlo disponible para consulta de los interesados.

Software ISO 37301 de ISOTools

Los planes de continuidad del negocio y las estrategias de resiliencia operativa necesitan ser una práctica sistemática en la organización. Para que esto sea así, es preciso procesar grandes cantidades de datos e información. El Software ISO 37301 de ISOTools es la herramienta ideal para afrontar el desafío.

La plataforma, basada en la nube, incorpora elementos de Inteligencia Artificial y Big Data, para garantizar el cumplimiento, pero también para diseñar estrategias realmente efectivas de resiliencia operativa. Todo lo haces con esta funcional solución.

La entrada Guía práctica para desarrollar una estrategia de resiliencia operativa se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

GRC en seguridad de la información mejora la eficiencia de la gestión, genera retorno de la inversión y elimina riesgos, sobre la base de tres ejes fundamentales: buenas prácticas de Gobernanza, cumplimiento y gestión de riesgos.

En entradas anteriores hemos analizado el modelo de gestión GRC con detalle. Hoy hablamos del alcance real de GRC en seguridad de la información, cómo contribuye a lograr objetivos y por qué es importante implementarlo en cualquier organización.

¿Qué es GRC en seguridad de la información?

El concepto de gestión basada en la alineación de Gobernanza, Riesgo y Cumplimiento aparece con el nuevo milenio. Se trata de un modelo que busca mejorar la productividad, disminuir la posibilidad de error, evitar riesgos y asegurar el cumplimiento normativo y legal en todas las operaciones de la organización.

Hasta ahí, no hay mucho que aclarar. Lo novedoso están en el impacto que tiene GRC en seguridad de la información: el marco de gestión elimina los silos de información, al promover la comunicación entre diferentes áreas y departamentos. Así, todos tienen acceso a información y recursos.

¿Cómo trabaja la Gobernanza en un modelo GRC en seguridad de la información?

La Gobernanza implica tomar buenas decisiones, éticas y ajustadas a lo que se consideran buenas prácticas en cualquier lugar del mundo. La Gobernanza, de forma adicional, incorpora el cumplimiento de todas las obligaciones voluntarias o legales de la organización.

GRC en seguridad de la información aplica la Gobernanza al diseñar protocolos o controles que garanticen la seguridad de la información y de los activos, y la buena conducta de los empleados propietarios de esos activos y de los procesos asociados.

La Gobernanza es el elemento que garantiza la transparencia en la gestión de seguridad de la información. Pero también hace que exista comunicación fluida y productiva sobre el tema en todas las áreas de la organización.

¿Cómo funciona la Gestión de Riesgos en un modelo GRC en seguridad de la Información?

Una de las ventajas de adoptar un modelo GRC para gestionar la Seguridad de la Información es el derrumbe de barreras entre diferentes áreas para dinamizar el flujo de información. Como ya se advirtió, desaparecen los silos de información.

Las preocupaciones y los informes sobre riesgos inminentes se exponen con una alta exposición, facilitando la Gestión de Riesgos. La Gestión de Riesgos es ahora integral y tiene alcance sobre toda la organización.

¿Qué función cumple el cumplimiento en un modelo GRC en seguridad de la información?

Asegurar el cumplimiento en el área de seguridad de la información es cubrir la mayoría de las grietas que representan riesgos. El cumplimiento evita de paso el pago de multas o sanciones y la consecuente erosión de la imagen y la reputación de la organización.

GRC promueve el cumplimiento normativo, contractual, legal y regulatorio. Los datos y la información sensible de la organización, así como la conformidad con los requisitos de algún estándar como ISO 27001 o de reglamentos como RGPD, están asegurados.

¿Qué busca un modelo GRC en seguridad de la información?

Los objetivos son varios. El primero de ellos es mejorar los resultados de la gestión y optimizar el uso de recursos. Otros objetivos específicos son:

• Aumentar los indicadores de Retorno de la Inversión en el área de IT.
• Reducir costes y eliminar tareas redundantes.
• Eliminar silos de información.
• Promover la automatización de procesos y de Sistemas de Gestión.
• Aumentar la confianza en los inversores, los inversores y los reguladores.

Software ISO 37301 de ISOTools

Los modelos GRC tienen altos requerimientos de información. Muchas organizaciones necesitarán procesar grandes cantidades de datos en muy poco tiempo. El Software ISO 37301 de ISOTools es una herramienta diseñada para afrontar los retos que ofrece el modelo, pero también la gestión de cumplimiento.

Se trata de una plataforma que incorpora elementos de Big Data y de Inteligencia Artificial. Automatiza tu programa de cumplimiento con esta solución.

La entrada ¿Qué significa GRC en seguridad de la información? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Las políticas, y la gestión de políticas, son la herramienta que utiliza la Alta Dirección para expresar, más que sus deseos, sus límites. Se trata de documentos en los que se define un marco para la toma de decisiones por parte de los ejecutivos medios de la organización.

La gestión de políticas desempeña un papel importante en la capacidad de gobernanza de la Alta Dirección. Pese a ello, no todas las Juntas Directivas lo entienden así y hace uso de una adecuada gestión de políticas.

¿Por qué la Alta Dirección necesita una adecuada gestión de políticas?

La Alta Dirección tiene la responsabilidad de tomar las mejores decisiones para el bienestar financiero, legal, social y reputacional de la organización. Sin embargo, es un hecho que el fragor del trabajo diario impide consultar todos los asuntos a la Alta Dirección.

Los ejecutivos, los directores de área y los gerentes de nivel medio toman decisiones inmediatas, que muchas veces no son conocidas por la Alta Dirección. Y no tienen por qué hacerlo: el trabajo de la Alta Dirección es guiar, conducir, liderar… no gestionar o tomar decisiones sobre todos y cada uno de los temas en la organización.

La Alta Dirección delega la toma de decisiones sobre asuntos menores, pero también de asuntos de importancia media. Incluso, algunos grandes temas entran en el radio de acción de los gerentes y ejecutivos medios, dentro de un marco que les permite saber hasta dónde pueden llegar y que no pueden hacer.

Ese marco está compuesto por las políticas que ha publicado la Alta Dirección. Y para que las políticas cumplan con su función se requiere una acertada y eficaz gestión de políticas.

La gestión de políticas es también una responsabilidad de los ejecutivos de la organización. A esta altura, muchos lectores estarán preguntándose sobre el trabajo real de la Alta Dirección.

La Alta Dirección, en una organización, es un órgano consultivo. No es operativo. Los miembros de la Alta Dirección se reúnen apenas algunas horas al mes. Algunos de esos miembros pertenecen a las Juntas de varias organizaciones.

Por eso necesitan las políticas: para comunicar lo que se espera que se haga, o lo que no se permitirá, en áreas como cumplimiento, seguridad de la información, seguridad en el trabajo, gestión ambiental… Todo esto, en conjunto, se denomina Gobernanza.

Las políticas son la guía que consulta y tiene en cuenta cada ejecutivo, cada gerente, cada supervisor, cada director de área, en el momento de tomar una decisión o aprobar un proyecto.

Y para que las políticas se produzcan a tiempo, sobre los temas que la Gobernanza requiere, y el mensaje llegue a las personas adecuadas, se necesita una eficaz, adecuada y oportuna gestión de políticas.

¿Qué elementos clave necesita considerar la gestión de políticas?

Algunas políticas son publicadas por la Alta Dirección obedeciendo un deseo autónomo o una necesidad identificada por los miembros de la junta. Otras, la mayoría, son solicitadas por equipos de gestión en las diferentes áreas.

En ambos casos los documentos son importantes. Para que cumplan con su cometido, estos documentos necesitan incorporar elementos mínimos. Es la gestión de políticas la que se encarga de verificar que esos elementos estén presentes:

1. Decisiones y requisitos de la Alta Dirección

No tendría objeto o funcionalidad una política que no exprese el deseo de la Alta Dirección para que se haga algo. Es importante que esas decisiones contenidas en la política respondan a una necesidad vigente o a un problema que no ha ocurrido aún.

2. Comprensible para la audiencia

La política de seguridad en el trabajo, por ejemplo, interesa a todos los empleados de la empresa. Igualmente, el cumplimiento incumbe a todas las áreas. Otras son un tanto más reducidas en su alcance, como seguridad de la información. Todas las políticas, no obstante, deben expresarse en términos comprensibles para la audiencia a la que se dirigen.

3. Expectativas

La política habla sobre lo que se quiere que se haga y sobre lo que no se permite o tolera. Pero también formula expectativas. Los miembros de la Alta Dirección expresan en la política lo que desean que ocurra, lo que esperan de la gestión, las metas que les gustaría ver alcanzadas, los objetivos hacia el futuro.

4. Aplicabilidad

La política necesita ser realista. Esto implica que lo que allí se dispone sea alcanzable, medible y verificable. Pero también debe expresar el documento a quien aplica y quien asume las responsabilidades primarias.

5. Mecanismos de revisión y monitoreo

Lo que no se puede medir no se puede controlar. Un elemento esencial en la gestión de políticas, y en las mismas políticas como documento, es la inclusión de herramientas y mecanismos de revisión y monitoreo diseñados para verificar el cumplimiento.

6. Acatamiento y respeto

Finalmente, es importante que el documento adopte el tono superior propio de la Alta Dirección. Todos en la organización necesitan entender que se trata de un mandamiento expreso de la Alta Dirección y que su incumplimiento implica sanciones.

¿En qué casos no utilizar la gestión de políticas?

La gestión de políticas y su resultado natural, que es la creación de este tipo de documentos, sólo proceden cuando la Alta Dirección busca comunicar lineamientos o posiciones con respecto a la gestión en un área definida.

Aunque algunos ejecutivos de la organización piensen que, con respecto a un determinado tema, conviene una declaración de la Alta Dirección, es importante que esto se haga bajo el concepto de “Declaración” y no utilizando el de política.

Específicamente, las políticas no se deben utilizar para:

1. Impartir órdenes específicas

Especialmente cuando estas órdenes o instrucciones corresponden por delegación o por jerarquía a mandos medios, ejecutivos, directores de área, supervisores u otros empleados a los que se les ha facultado para ello.

2. Divulgar procedimientos

Todos los procedimientos normalizados o estandarizados, así como otro conjunto de instrucciones para desempeñar un proceso o un conjunto de tareas, se comunican en otro tipo de documentos. Hacerlo en documentos como políticas, hace que estas pierdan el respeto y la jerarquía que tienen por definición.

3. Expresar opiniones sobre situaciones cotidianas o imprevistas

La Alta Dirección, por supuesto, tiene el derecho y la obligación de pronunciarse sobre la ocurrencia de situaciones imprevistas o inusuales, sobre todo si el origen de ese tipo de eventos implica un reproche o un llamado de atención para algunos empleados, algún área definida o un gerente o director de área.

Pero estos pronunciamientos se hacen de forma oral en una reunión preparada para cumplir ese objetivo o un comunicado que se remita a las personas competentes.

Software ISO 37301 de ISOTools

Más allá de la parte doctrinaria, la creación de políticas necesita trazabilidad, control de documentos y comunicación efectiva. Son aspectos procedimentales que necesitan la implementación de una solución como el Software ISO 37301 de ISOTools.

Esta plataforma tecnológica, basada en la nube, se especializa en la automatización de las diferentes tareas de un Sistema de Gestión de Compliance. Entre otros objetivos, la solución apoya y garantiza la eficiencia de la Gestión de Políticas. Conócela aquí.

La entrada La importancia del papel de la Alta Dirección en la gestión de políticas se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

El riesgo de cumplimiento de terceros siempre está presente. La única forma de evitarlo sería prescindiendo de todo tipo de asociación, cooperación o tercerización. Esto, por supuesto, implicaría reducir al mínimo las oportunidades de crecimiento de la organización.

Otra opción es contar con los terceros necesarios, pero no gestionar los riesgos que la asociación implica. Con un marco regulatorio en el área de cumplimiento cada día más estricto, dejar el cumplimiento de los terceros a su libre albedrío es un riesgo que no es necesario ni prudente correr.

¿Cómo tratar el riesgo de cumplimiento de terceros?

Una primera sugerencia es asociarse o contar con la colaboración de personas y organizaciones que tengan las mismas expectativas de cumplimiento. El incumplimiento de terceros genera acciones sancionatorias, detrimento económico y deterioro de la reputación, para el tercero, pero que se traslada y transmite a la organización.

Otra consecuencia que poco se advierte es el tratamiento opresivo de los reguladores, que puede limitar el accionar de la organización y el desarrollo normal de sus estrategias comerciales. El resultado es retraso del crecimiento.

Para evitar que esto suceda, la organización necesita verificar la presencia de diez elementos clave para tratar el riesgo de cumplimiento de terceros:

1. Procesos efectivos de debida diligencia

La debida diligencia permite conocer al tercero e identificar relaciones que pueden afectar el cumplimiento, y de paso, la conducta ética. La debida diligencia de terceros es una de las actividades que más tiempo y recursos consume.

Por ello es importante contar con una plataforma que permita procesar grandes cantidades de datos y que automatice tareas repetitivas. Establecer relaciones comerciales o firmar contratos con terceros que no han pasado por procesos de debida diligencia exhaustivos aumenta de forma exponencial el riesgo de cumplimiento de terceros.

La debida diligencia, finalmente, es un proceso que se repite de forma periódica mientras subsista la relación comercial con el tercero. Algunas organizaciones lo hacen cada trimestre. La recomendación es hacerlo con una frecuencia mínima de seis meses.

2. Verificar las expectativas del tercero

Es probable que el tercero no considere el cumplimiento como algo prioritario. Una buena señal de que esto no es así, es la certificación ISO 37301. La interacción con el tercero, a nivel de Alta Dirección, ayuda a obtener una visión sobre lo que espera el tercero, sus objetivos y sus intereses en cuanto al cumplimiento propio y el de los demás integrantes de una cadena de suministro.

3. Incluir el cumplimiento en el contrato

La firma de un contrato suele ser el inicio formal de una relación comercial. Es un documento cuya importancia sobra mencionar. Es también el documento ideal para incluir el cumplimiento como una obligación, una necesidad y un objetivo común para las partes que suscriben el contrato.

4. Auditorías de terceros

En este punto existen unos terceros que saben que la organización exige el cumplimiento, y se han comprometido a hacerlo firmando un contrato. Una herramienta de verificación y control eficaz es la auditoría de terceros.

La tarea será más fácil si la organización auditada cuenta con un Sistema de Gestión de Cumplimiento estandarizado y, en lo posible, basado en la norma ISO 37301. Un Sistema automatizado y digitalizado también facilita la tarea del auditor y el logro de los objetivos de la organización.

5. Priorizar los terceros de acuerdo con la Gestión de Riesgos

El riesgo de cumplimiento de terceros está en todos los socios comerciales de la organización. Pero, por diversas razones, algunos implican mayor probabilidad o suponen un riesgo de mayor impacto.

Los elementos anteriores permiten obtener la información necesaria para entender cuáles son, y cuáles deben encabezar un listado de alto riesgo. Estos, por supuesto, deben ser monitoreados y vigilados con mayor profundidad.

6. Extender el alcance a la cultura de cumplimiento

Es común pensar que la cultura de cumplimiento tiene alcance limitado a las fronteras de la organización. Compartiendo programas de formación y capacitación, charlas, foros, o incluso, tecnología, la cultura puede transmitirse y extenderse al ámbito de los terceros, con los beneficios que ello implica para la gestión del riesgo de cumplimiento de terceros.

7. Mantenerse actualizados y comunicar al tercero

El escenario regulatorio es dinámico y en ocasiones volátil. La organización necesita mantenerse al día con las novedades, los cambios y la evolución en general del escenario regulatorio en todas las áreas.

Se espera que los terceros hagan lo mismo. Pero no está de más comunicar y alertar. Esto demuestra interés y, de paso, fomenta cultura en todas las organizaciones involucradas.

8. Revisar el cumplimiento en conjunto

Las tareas que se realizan de forma colaborativa entregan mejores resultados y eliminan el riesgo de que el tercero se sienta intimidado o presionado. Reuniones amigables para discutir problemas, para verificar el avance de la gestión o para plantear nuevas expectativas, contribuyen a controlar el riesgo de cumplimiento de terceros.

9. Procesos de reacción ante infracciones

La gestión de riesgos trata de eliminar todas las amenazas, pero también de entregar herramientas para reaccionar ante la ocurrencia de un incidente o un problema. En el caso del riesgo de cumplimiento de terceros no es diferente.

La organización necesita contar con un procedimiento de acción ante la ocurrencia de incidentes o infracciones de cumplimiento. Esto incluye la interacción con el tercero, la investigación, la identificación de la causa raíz, las acciones inmediatas para minimizar el impacto negativo y las de medio y largo plazo para evitar la repetición.

10. Documentar todo

Nada contribuye más al éxito de la Gestión de Riesgos, que contar con un repositorio de información histórica que permita entender la evolución, las causas de los problemas acaecidos y las expectativas y tendencias hacia el futuro.

Nuevamente, es importante la incorporación de tecnología a la gestión. Mantener registros actuales, garantizar la trazabilidad de los documentos y asegurar su disponibilidad y comunicación, son elementos esenciales para tratar el riesgo de cumplimiento de terceros.

Software ISO 37301 de ISOTools

Un consejo final: la gestión de riesgo de cumplimiento de terceros también necesita indicadores eficientes y confiables para lograr objetivos y avanzar. El Software ISO 37301 de ISOTools es una herramienta diseñada para afrontar todos los desafíos que se mencionan en este informe y muchos más.

Esta funcional plataforma está lista para automatizar la Gestión de Compliance de tu organización. Encuéntrala aquí.

La entrada Riesgo de cumplimiento de terceros: 10 elementos clave para su gestión se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La necesidad está ahí. Y el mercado digital ofrece una gran variedad de herramientas diseñadas para cumplir los objetivos señalados. Por supuesto, no todas las soluciones son iguales.

Cada organización buscará el software para gestión de riesgos que soluciones sus propios problemas. Sin requerimientos que pueden ser compartidos por otras empresas, especialmente de la misma industria. ¿Cómo elegir el apropiado?

¿Cómo elegir el software para gestión de riesgos ideal para la organización?

Las razones que tiene cada organización para buscar un software para gestión de riesgos son diferentes. Problemas de cumplimiento, infracciones de seguridad de la información, dificultades para completar procesos efectivos de debida diligencia, son algunos de ellos.

Por eso el primer paso es precisamente establecer que es lo que se necesita:

1. Identificar las necesidades específicas

El software para gestión de riesgos viene a solucionar unos problemas que ya están ahí. El inicio entonces es identificar esos problemas y establecer si es el software la herramienta adecuada para solucionarlos.

Las necesidades se buscan en toda la organización. Desde el área de mantenimiento y aseo hasta lo más alto de la cúpula de la Alta Dirección. Pero no solo se buscan en todos los lugares. Se buscan en todos los momentos.

Las necesidades pasadas, presentes y futuras son igualmente válidas. Las presentes, por obvias razones. Las que son de vieja data tienen la posibilidad de reaparecer. Y las futuras son las que garantizan que el software crecerá de la mano con la organización y con sus problemas futuros.

2. Elegir soluciones configurables y personalizables

La búsqueda de una plataforma para la gestión de riesgos ideal llevará a la persona encargada a descubrir que existen cientos de soluciones rígidas, estáticas, diseñadas para una industria especifica.

Las hay para empresas de la construcción, para el sector financiero, para las empresas del sector sanitario… Aunque la organización pertenezca a una de esas áreas, lo mejor siempre será buscar una plataforma flexible, que se adapte a todo tipo de empresas, que sea escalable y que facilite la personalización y la configuración.

3. Revisar el coste

El coste del software siempre será un factor con peso en la decisión. De hecho, en muchas organizaciones es el primero que se evalúa, y con base en él se hace una primera depuración de opciones.

Las soluciones a la medida, que requieren instalación en ordenadores y el uso de servidores propios, resultan mucho más costosas, suponen un coste asociado de mantenimiento y actualización constante, llevan tiempo en entrar en funcionamiento y presentan dificultades para adaptarse con la debida rapidez a cambios repentinos.

Las soluciones en la nube tienen un coste mucho menor, las actualizaciones y mejoras no las paga la organización que contrata el software y son accesibles desde cualquier lugar y en cualquier momento sin instalación física en ordenadores.

4. Considerar la seguridad de la información

La seguridad de los datos y de la información es un factor esencial en la decisión de contratar un software para gestión de riesgos. La debida diligencia, por ejemplo, trata datos de terceros como proveedores, clientes, empleados, entre otros.

Es información confidencial que, además, debe ser protegida de acuerdo con el RGPD. El software elegido necesita medidas de seguridad como cifrado de datos, privilegios de acceso o protocolos de seguridad web.

5. Comprobar la experiencia de otras organizaciones

Las organizaciones suelen promover por diversos canales sus casos de éxito. Los fabricantes de Software también lo hacen. El quinto paso en esta guía es contactar a los usuarios del programa e indagarlos sobre su experiencia, especialmente en lo relativo a los cuatro puntos anteriores.

¿Qué debe tener el software para gestión de riesgos?

De los pasos propuestos en la guía se deducen algunas características indispensables: seguro, accesible y con funcionalidades que solucionen problemas. Además, es necesario que el software para gestión de riesgos sea:

• Fácil de utilizar, práctico, intuitivo y amigable con los usuarios. Recordemos que finalmente será para uso de los empleados y de algunos terceros muy cercanos.
• Flexible, lo que significa adaptable a cualquier organización, sin importar su tamaño o el sector en el que opere.
• Ofrecer trazabilidad, para rastrear todos los eventos que se procesen, los cambios en la documentación, el recorrido de una asignación o el curso de una evaluación.
• Entregar información visual, además de los informes escritos. Los mapas de calor o la visión gráfica del estado de la gestión en todo momento, en forma visual, permite a los expertos realizar un seguimiento en tiempo real de todos los eventos, los cuellos de botella y los problemas que están ocurriendo en ese mismo momento.
• Almacenar grandes cantidades de datos y crear copias de seguridad automáticas, o proporcionar funcionalidades que permitan exportar los datos y la información y almacenarla en medios externos.
• Proporcionar análisis predictivo con el fin de formular escenarios hipotéticos hacia el futuro, que permitan anticipar la gestión y mejorar la protección a la organización.

Software ISO 37301 de ISOTools

El Software ISO 37301 de ISOTools es una plataforma que integra todas las tareas propias de la Gestión de Cumplimiento, incluyendo por supuesto, la Gestión de Riesgos. Al garantizar el cumplimiento en todas las áreas de la organización se crea un marco de operación seguro y productivo.

Esta herramienta está lista para proteger a tu organización en todas las áreas. Además, integra todas las funcionalidades que hemos mencionado. Conócela aquí.

La entrada Guía para elegir el software para gestión de riesgos adecuado a tu negocio se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.