La inteligencia artificial produce noticias todos los días. Por ello no sorprende la que reporta la incursión de la inteligencia artificial en GRC. Los informes indican que una de cada tres organizaciones ya implementó inteligencia artificial en su gestión GRC, mientras que las otras dos ya exploran caminos para llegar al mismo punto.

Las organizaciones, en una primera conclusión, tienen mucho que aprovechar al incorporar la inteligencia artificial en GRC. ¿En qué casos prácticos pueden hacerlo y cuáles son las tendencias? Lo analizamos a continuación.

¿En qué casos de uso prácticos se puede aplicar inteligencia artificial en GRC?

Para algunas organizaciones que aún no implementan modelos de gestión GRC, la inteligencia artificial es una amenaza y un factor generador de nuevos riesgos. Entrar en la órbita de GRC hace que esta percepción cambie.

La inteligencia artificial en GRC se convierte en un activo de valor estratégico al permitir identificar riesgos en tiempo real, fomentar la colaboración en todas las áreas y aumentar la eficiencia en general.

El concepto se entiende mejor si se conocen los casos de uso reales con los que la tecnología revoluciona la gestión GRC:

1. Diseño de estrategias proactivas de Gestión de Riesgos

Procesar grandes cantidades de datos en una fracción de segundo es una capacidad que puede ser aprovechada por herramientas de inteligencia artificial en GRC, proponiendo estrategias efectivas para prevenir riesgos.

2. Identificar desviaciones y patrones

En miles o millones de datos y registros, para un ser humano resulta imposible identificar patrones o desviaciones. Los dos son eventos importantes porque permiten establecer tendencias, predecir escenarios futuros o identificar un problema o un riesgo.

3. Definición de Marcos de Control

Un Marco de Control es un sistema de gestión que integra cinco componentes: contexto, evaluación de riesgo, comunicación, procesos y supervisión. Este tipo de Marcos permiten a la Alta Dirección dar respuesta inmediata, con un alto nivel de efectividad, a todo tipo de eventos y situaciones en cualquier área de la organización. El diseño de estos modelos de gestión es complejo y requiere de una gran cantidad de datos e información. El problema lo soluciona la Inteligencia Artificial.

4. Automatización de procesos

GRC incorpora tres elementos – Gobernanza, Riesgo y Cumplimiento – que necesitan grandes cantidades de datos y registros. La Debida Diligencia y la Evaluación de Riesgos, son dos ejemplos representativos de ello.

La Inteligencia Artificial en GRC permite automatizar estos y muchos otros procesos. Una plataforma dotada con funcionalidades de Inteligencia Artificial puede tomar datos de forma autónoma, procesarlos, producir informes automáticos, extraer información relevante, generar mapas de calor, producir flujos de trabajo y notificar a las personas interesadas, entre otras muchas e interesantes posibilidades.

5. Automatización de la Gestión de Riesgos

Aunque se menciona en los ítems anteriores, es preciso individualizar y resaltar el gran servicio que puede prestar la Inteligencia Artificial en un área que resulta vital para cualquier organización, pero especialmente para las que operan bajo un marco GRC.

Habar de la utilidad de las evaluaciones de riesgo para una organización resulta redundante. No obstante, el tiempo y los recursos que consume esta tarea se convierte en un obstáculo para muchos equipos de Gestión de Riesgos. La Inteligencia Artificial puede automatizar la Gestión en su totalidad, entregando evaluaciones diarias si es preciso, prediciendo amenazas para periodos de tiempo no imaginados y generando informes constantes sobre el estado de la Gestión de Riesgos.

6. Comprobación automática del cumplimiento

La capacidad para aprender es una de las habilidades que separa la Inteligencia Artificial de su antecesora, la Big Data. Esto hace que la Inteligencia Artificial en GRC tenga la capacidad para recopilar las novedades en cuanto a marco regulatorio, legal y normativo, evaluarlas, establecer aplicabilidad y relevancia, alertar sobre nuevas obligaciones y, finalmente, hacer un rastreo constante en busca de fallas de cumplimiento, inminencia de incumplimiento o riesgos potenciales.

7. Producción automática de informes

Las organizaciones GRC tienen, entre sus obligaciones de cumplimiento, la de presentar ciertos informes de carácter regulatorio. Las herramientas de Inteligencia Artificial pueden generar estos informes, ya que cuentan con la información y los datos necesarios. La gran diferencia es que estas herramientas incorporan funcionalidades de aprendizaje automático y procesamiento de lenguaje natural, que llevan a la producción automática de informes y análisis.

Software ISO 37301 de ISOTools

Las exigencias normativas y regulatorias cambian todos los días. La tendencia es hacia el crecimiento de requisitos y obligaciones. Las organizaciones necesitan procesar grandes cantidades de datos y registros en muy poco tiempo.

Para empresas que operan bajo modelos GRC el Software ISO 37301 de ISOTools se convierte en la herramienta ideal, apoyada por Inteligencia Artificial, para afrontar el desafío. Automatizar tu programa de cumplimiento es el camino por seguir. Todo inicia aquí.

La entrada El auge de la inteligencia artificial en GRC: tendencias y casos de uso se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La necesidad está ahí. Y el mercado digital ofrece una gran variedad de herramientas diseñadas para cumplir los objetivos señalados. Por supuesto, no todas las soluciones son iguales.

Cada organización buscará el software para gestión de riesgos que soluciones sus propios problemas. Sin requerimientos que pueden ser compartidos por otras empresas, especialmente de la misma industria. ¿Cómo elegir el apropiado?

¿Cómo elegir el software para gestión de riesgos ideal para la organización?

Las razones que tiene cada organización para buscar un software para gestión de riesgos son diferentes. Problemas de cumplimiento, infracciones de seguridad de la información, dificultades para completar procesos efectivos de debida diligencia, son algunos de ellos.

Por eso el primer paso es precisamente establecer que es lo que se necesita:

1. Identificar las necesidades específicas

El software para gestión de riesgos viene a solucionar unos problemas que ya están ahí. El inicio entonces es identificar esos problemas y establecer si es el software la herramienta adecuada para solucionarlos.

Las necesidades se buscan en toda la organización. Desde el área de mantenimiento y aseo hasta lo más alto de la cúpula de la Alta Dirección. Pero no solo se buscan en todos los lugares. Se buscan en todos los momentos.

Las necesidades pasadas, presentes y futuras son igualmente válidas. Las presentes, por obvias razones. Las que son de vieja data tienen la posibilidad de reaparecer. Y las futuras son las que garantizan que el software crecerá de la mano con la organización y con sus problemas futuros.

2. Elegir soluciones configurables y personalizables

La búsqueda de una plataforma para la gestión de riesgos ideal llevará a la persona encargada a descubrir que existen cientos de soluciones rígidas, estáticas, diseñadas para una industria especifica.

Las hay para empresas de la construcción, para el sector financiero, para las empresas del sector sanitario… Aunque la organización pertenezca a una de esas áreas, lo mejor siempre será buscar una plataforma flexible, que se adapte a todo tipo de empresas, que sea escalable y que facilite la personalización y la configuración.

3. Revisar el coste

El coste del software siempre será un factor con peso en la decisión. De hecho, en muchas organizaciones es el primero que se evalúa, y con base en él se hace una primera depuración de opciones.

Las soluciones a la medida, que requieren instalación en ordenadores y el uso de servidores propios, resultan mucho más costosas, suponen un coste asociado de mantenimiento y actualización constante, llevan tiempo en entrar en funcionamiento y presentan dificultades para adaptarse con la debida rapidez a cambios repentinos.

Las soluciones en la nube tienen un coste mucho menor, las actualizaciones y mejoras no las paga la organización que contrata el software y son accesibles desde cualquier lugar y en cualquier momento sin instalación física en ordenadores.

4. Considerar la seguridad de la información

La seguridad de los datos y de la información es un factor esencial en la decisión de contratar un software para gestión de riesgos. La debida diligencia, por ejemplo, trata datos de terceros como proveedores, clientes, empleados, entre otros.

Es información confidencial que, además, debe ser protegida de acuerdo con el RGPD. El software elegido necesita medidas de seguridad como cifrado de datos, privilegios de acceso o protocolos de seguridad web.

5. Comprobar la experiencia de otras organizaciones

Las organizaciones suelen promover por diversos canales sus casos de éxito. Los fabricantes de Software también lo hacen. El quinto paso en esta guía es contactar a los usuarios del programa e indagarlos sobre su experiencia, especialmente en lo relativo a los cuatro puntos anteriores.

¿Qué debe tener el software para gestión de riesgos?

De los pasos propuestos en la guía se deducen algunas características indispensables: seguro, accesible y con funcionalidades que solucionen problemas. Además, es necesario que el software para gestión de riesgos sea:

• Fácil de utilizar, práctico, intuitivo y amigable con los usuarios. Recordemos que finalmente será para uso de los empleados y de algunos terceros muy cercanos.
• Flexible, lo que significa adaptable a cualquier organización, sin importar su tamaño o el sector en el que opere.
• Ofrecer trazabilidad, para rastrear todos los eventos que se procesen, los cambios en la documentación, el recorrido de una asignación o el curso de una evaluación.
• Entregar información visual, además de los informes escritos. Los mapas de calor o la visión gráfica del estado de la gestión en todo momento, en forma visual, permite a los expertos realizar un seguimiento en tiempo real de todos los eventos, los cuellos de botella y los problemas que están ocurriendo en ese mismo momento.
• Almacenar grandes cantidades de datos y crear copias de seguridad automáticas, o proporcionar funcionalidades que permitan exportar los datos y la información y almacenarla en medios externos.
• Proporcionar análisis predictivo con el fin de formular escenarios hipotéticos hacia el futuro, que permitan anticipar la gestión y mejorar la protección a la organización.

Software ISO 37301 de ISOTools

El Software ISO 37301 de ISOTools es una plataforma que integra todas las tareas propias de la Gestión de Cumplimiento, incluyendo por supuesto, la Gestión de Riesgos. Al garantizar el cumplimiento en todas las áreas de la organización se crea un marco de operación seguro y productivo.

Esta herramienta está lista para proteger a tu organización en todas las áreas. Además, integra todas las funcionalidades que hemos mencionado. Conócela aquí.

La entrada Guía para elegir el software para gestión de riesgos adecuado a tu negocio se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Las cifras y los datos son ahora más importantes que la percepción. Esto, suponiendo que las métricas consideradas son las indicadas. Los indicadores de cumplimiento utilizados necesitan entregar información relevante que ofrezca certeza sobre el rumbo de la gestión y su impacto positivo real en la organización.

¿Qué son indicadores de cumplimiento?

Los indicadores de cumplimiento son las métricas, cifras o datos que, en su conjunto, verifican el buen funcionamiento de la gestión de compliance, o, por el contrario, su incapacidad para cumplir con los objetivos propuestos.

Utilizar los indicadores de cumplimiento eficaces evita que una organización se vea inmersa en problemas de mala conducta o tenga que pagar multas o sanciones, por confiar en un Sistema de Compliance que en la práctica presenta muchas fallas.

Contar con indicadores adecuados disminuye los riesgos de cumplimiento y ayuda a identificar problemas con suficiente antelación. Brechas de capacitación, deficiencia en políticas o procedimientos o ausencia de tecnología, son entre otros, problemas que evidencian los indicadores de cumplimiento.

Todo esto, por supuesto, si se mide lo que se debe medir y se utilizan las herramientas adecuadas. Los indicadores pueden ser los necesarios. Pero si se obtienen cuando los hechos medidos ya son historia, resultarán poco relevantes.

¿Cuáles son los cinco indicadores de cumplimiento que debería utilizar toda organización?

Dos características hacen que un indicador sea relevante: que compruebe sin lugar a duda que la gestión garantiza el cumplimiento o que señale un problema existente que dificulta o impide el logro de los objetivos.

Los Sistemas de Gestión de Compliance digitalizados, con un alto grado de automatización, entregan datos e informes confiables y, por tanto, indicadores relevantes que tienen impacto inmediato en la mejora continua de la Gestión. Los cinco más importante, que toda empresa tendría que utilizar son:

1. Tiempo en el que se identifican los problemas

Este indicador muestra la media de tiempo que toma a la Oficina de Cumplimiento identificar un problema, desde su origen hasta que se produce el hallazgo. No se toma en cuenta, aún, el tiempo de reacción ni el que se utilizará para resolver el asunto.

El momento en que se identifica el problema es fácil de ubicar. Aparece en un informe de auditoría, en una inspección, como resultado de una denuncia interna o cuando la organización es sancionada o recibe el impacto negativo de una infracción o un incumplimiento.

El verdadero problema está en encontrar la fecha del origen. Los programas digitalizados pueden entregar pistas de trazabilidad que permiten encontrar el momento real en que aparece un problema. De hecho, suelen tener la capacidad de informarlo de forma automática.

Entrevistas, investigaciones dispendiosas o exámenes a documentos son formas tradicionales a las que es preciso acudir cuando no se cuenta con el debido soporte tecnológico.

El tiempo medio en el que el programa logra hallar un problema e identificarlo, evidencia la agilidad de la Gestión, la eficacia de la comunicación interna, el nivel de cultura de cumplimiento y la capacidad real para encontrar problemas antes de que su impacto sea irreparable.

Es un indicador expresado en tiempo, que se espera siempre esté a la baja.

2. Tiempo de reacción

Un problema identificado tendría que ser intervenido de inmediato. Es lo que se espera, pero no siempre es así. En algunos casos es preciso realizar una investigación para encontrar la causa raíz, diseñar estrategias para eliminarla, solicitar recursos, modificar un proceso, implementar un control…

El tiempo que transcurre desde la identificación del problema, y la intervención efectiva del equipo de cumplimiento con una acción correctiva o preventiva es fácil de obtener. Es un indicador muy importante ya que demuestra la capacidad de reacción que tiene el Sistema.

Es, además, un indicador que muestra que tan preparada está la Oficina de Cumplimiento para enfrentar imprevistos. Evitar ‘incendios’ es importante. Pero estar preparados para apagarlos lo más pronto posible también lo es.

3. Tiempo empleado para resolver problemas

Es, en la cadena de gestión, el siguiente indicador natural. La fecha de inicio en este caso es muy fácil de señalar: es el momento en que el problema es reportado en un informe de auditoría, en una inspección o a través de una denuncia, siendo estas las fuentes usuales para este tipo de hallazgos.

La fecha final es, por supuesto, cuando se resuelve el problema. Es un indicador útil para identificar problemas en la investigación o en la capacidad para implementar acciones correctivas. Muchos problemas no son resueltos con la debida oportunidad por ausencia de recursos. Otros delatan la resistencia de los empleados a ofrecer información y colaborar con la investigación.

En algunas organizaciones existen profesionales con competencias forenses que facilitan la resolución de problemas de cumplimiento. El tiempo para resolver los problemas es, no obstante, significativamente más bajo en organizaciones que cuentan con una gestión automatizada.

4. Coste de la Gestión

El coste total de la Gestión es ya un indicador de cumplimiento muy interesante. Sin embargo, obtener el coste por problema tratado entrega una cifra en dinero que necesita la Alta Dirección para la toma de decisiones futuras.

Esta cifra se puede enfrentar con el coste que hubiesen representado los problemas si no se trataran a tiempo. Otra forma de presentar el indicador es tomando el coste total del programa y dividiéndolo entre los casos exitosos.

La métrica ayuda a entender qué tipo de problemas resultan más costosos en su resolución, y cuál es la etapa de la resolución que más recursos consume: identificación, investigación, implementación de medidas, monitoreo, revisión…

5. Impacto previsto vs impacto real

La Gestión de Riesgos en cualquier área se basa en unos eventos hipotéticos. Eventos respaldados por cifras, por tendencias, por antecedentes históricos, pero, igualmente hipotéticos hasta que no se presentan.

No existe la Gestión de Riesgos infalible. Y la única forma de comprobar que tan acertadas son las predicciones es, desafortunadamente, la ocurrencia del evento negativo.

Cuando el riesgo impacta los profesionales encargados tienen la valiosa oportunidad de obtener un indicador muy interesante: la diferencia real entre el impacto negativo pronosticado y el real.

Esta brecha se puede medir de forma numérica, expresada en un valor monetario, o de forma cualitativa, cuando el impacto es sobre la reputación de la organización o sobre el nivel de confianza de los empleados o de un organismo regulador.

Entre los indicadores de cumplimiento este es el que mejor permite medir la eficacia de las evaluaciones de riesgos que, sabemos, miden probabilidad e impacto negativo.

Software ISO 37301 de ISOTools

Obtener indicadores de cumplimiento eficaces, relevantes y oportunos requiere un soporte tecnológico adecuado para la Gestión de Compliance. El Software ISO 37301 de ISOTools es una plataforma basada en la nube que ofrece funcionalidades diseñadas para ayudar a las organizaciones a potenciar la eficacia y el rendimiento de sus programas de cumplimiento.

La plataforma incorpora funcionalidad avanzada para producir informes inmediatos, señalar puntos críticos en mapas de calor, elaborar predicciones, mostrar tendencias, automatizar tareas repetitivas de la Gestión, entre otras características. Conócela aquí.

La entrada 5 indicadores de cumplimiento que toda empresa debería medir se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La gestión de riesgos tradicional, basada en etiquetas autoadhesivas sobre un tablero y, en el mejor de los casos utilizando como apoyo hojas de cálculo, no tiene la capacidad para enfrentar la avalancha de riesgos que afectan a las organizaciones en el siglo XXI. Es la primera razón para utilizar una herramienta GRC.

Pero existen otras. Y es bueno entender, además de los beneficios, la diferencia entre una gestión de riesgos tradicional y una apoyada por una herramienta GRC.

¿Por qué es importante implementar una herramienta GRC?

El modelo GRC – Gobierno, Riesgo y Cumplimiento – integra las mejores prácticas de gobierno, con la seguridad que aporta una Gestión de Cumplimiento eficaz, siempre pensando en el riesgo.

Es un concepto moderno que caracteriza en el siglo XXI a las organizaciones que lideran su sector. Por supuesto, la integración de estos tres elementos requiere una herramienta GRC que permita abordar la gestión desde una plataforma única.

Implementar una herramienta GRC es tan importante, que muchos Oficiales de Cumplimiento consideran que es este el primer paso en el proceso de adopción de un modelo GRC. Entre otras, por las siguientes razones:

1. Asumir una Gestión integral con un enfoque holístico

Una herramienta GRC permite abordar los riesgos de todas las áreas y todas las ubicaciones de una organización de forma integral y unificada. Esto, que en otras palabras es un enfoque holístico, mejora la visibilidad de los problemas, optimiza procesos y ayuda a los equipos de cumplimiento y de Gestión de Riesgos a actuar con suficiente antelación, previniendo cualquier impacto negativo.

2. Automatizar la Gestión

La automatización de la Gestión de Riesgos y de Cumplimiento, eliminando procesos manuales, ayuda a eliminar el error humano, producir mejores resultados en menor tiempo, contar con información inmediata, generar evaluaciones complejas y monitorear el estado general de la Gestión en tiempo real.

3. Garantizar el cumplimiento normativo

El cumplimiento normativo implica considerar muchos ámbitos: seguridad de la información, seguridad y salud en el trabajo, medio ambiente, área legal, contratos, acuerdos, compromisos sociales y con la comunidad…Con un espectro de fuentes de riesgos de cumplimiento tan amplio, una plataforma que automatiza la Gestión unifica los esfuerzos en un solo lugar generando trazabilidad, informes inmediatos, datos y registros que son valorados por los auditores y que aseguran el cumplimiento normativo en la organización, se hace indispensable.

4. Diseñar estrategias inteligentes para tratar riesgos emergentes

Los riesgos emergentes son los que no han sido clasificados, pero tienen un alto impacto negativo. Este tipo de amenazas suelen ser comunes a todas las empresas de un mismo sector, o, en ocasiones, a todas las organizaciones. La Emergencia Sanitaria ocurrida en los años 2020 y 2021, fue en su momento un riesgo emergente. Las herramientas GRC cuentan con funcionalidades de monitores y evaluación en tiempo real, que ayudan a generar estrategias inteligentes para mitigar el impacto de este tipo de riesgos.

¿Cómo se desarrolla la Gestión de Riesgos tradicional?

El enfoque tradicional de la Gestión de Riesgos se basa en los procesos manuales, con los desafíos que conlleva. Además de los mencionados en la introducción de este texto, podemos hablar de los siguientes desafíos:

1. Formación de silos

La gestión tradicional no es unificada. Cada área, cada sección, cada ubicación, emprende un proyecto diferente de Gestión de Riesgos. Esto genera informes aislados, esfuerzos repetitivos y, sobre todo, silos de información. Información que no se comparte, que no es aprovechada por otros y que suele terminar en una pila de documentos que nadie consulta, entre otras razones, porque pocos saben que existe y para qué sirve.

2. Exceso de recursos

Alguien podría pensar que la gestión en papel o en hojas de cálculo, al prescindir de la inversión en tecnología, resulta más barata. No es así. El número de horas hombre que se requieren es superior. La posibilidad del error humano hace que se inviertan muchas horas en revisar, realizar cálculos matemáticos, recolectar evidencia, para presentar un informe que una plataforma que automatiza la Gestión GRC, ofrece de inmediato.

3. Falta de integración

El modelo GRC integra tres elementos esenciales para la buena y eficaz gobernanza de una organización. El modelo tradicional de Gestión de Riesgos no considera la integración en ningún momento. Los informes, por supuesto, presentan deficiencias, son incompletos, parcializados y con evaluaciones fragmentadas de riesgos.

4. Informes retrasados

Las evaluaciones y los informes de riesgos, aunque brillantes y completos, son inútiles si no se presentan a tiempo. Y el problema en los tiempos modernos, es que la única forma en la que un informe es oportuno es cuando es inmediato, en tiempo real.

¿Cuáles son los beneficios de utilizar una herramienta GRC?

Concluyendo, una herramienta GRC ofrece muchos beneficios específicos. Algunos de ellos ya se esbozan en el contenido anterior a este apartado. Otros, sin embargo, vale la pena resaltarlos:

1. Identificación oportuna de amenazas

Informar sobre riesgos que ya están ocurriendo, o ya han evidenciado su poder lesivo, es como informar sobre el resultado de un juego que ya pasó o una elección que ya culminó. Una plataforma GRC identifica amenazas en tiempo real, permitiendo diseñar estrategias efectivas con la suficiente anticipación, utilizando un mínimo de recursos humanos.

2. Respuesta eficaz y eficiente

La detección temprana de amenazas lleva a una respuesta inteligente, oportuna, eficaz y eficiente. Esto significa que las estrategias son completas e integrales. Las estrategias diseñadas con el apoyo de una herramienta GRC, incorporan seguimiento automatizado y monitoreo constante, facilitando la recomposición de la acción si algo indica que es susceptible de ser mejorada.

3. Garantiza el cumplimiento normativo

La Gestión de Cumplimiento, a diferencia de otras, no tiene límites dentro de la organización. En ocasiones, incluso traspasa las líneas de las instalaciones. Por eso, los esfuerzos para centralizar la tarea y automatizarla, permiten garantizar el cumplimiento en tantos frentes, evitando las sanciones y el desprestigio reputacional asociados a cualquier infracción de compliance.

4. Optimiza el uso de recursos

La automatización disminuye el uso de recursos humanos. Los recursos que se liberan se pueden asignar a actividades de orden estratégicos, usualmente en la Oficina de Cumplimiento. Esto potencia la eficiencia operativa del Sistema de Gestión de Cumplimiento.

5. Gestión de Riesgos eficaz

La Gestión de Riesgos es eficaz cuando demuestra que ha advertido con suficiente anticipación sobre una amenaza y ha logrado implementar la acción adecuada para prevenir, eliminar, mitigar, compartir o tolerar el riesgo asociado a esa amenaza. Esto es posible con una plataforma GRC que automatice la gestión, centralice los recursos y la información, y, al final del día, presente cifras que indiquen la reducción de amenazas, de probabilidad y de impacto negativo.

6. Protección de la reputación de la organización

Como colofón de esta charla, el uso de una herramienta GRC es una forma de proteger la reputación de la organización y su imagen de marca. De hecho, es una herramienta eficaz para mejorarla. Las organizaciones que se preocupan por cumplir, y trabajan en ello asignado recursos tecnológicos son valoradas por sus consumidores, en primera instancia, y después por inversionistas, empleados y por su comunidad.

Software ISO 37301 de ISOTools

Utilizar una herramienta GRC es una forma de entregar a la organización que adopta el modelo, el modelo holístico e integral y la necesaria automatización, para obtener los objetivos gracias a una mejor y mayor inteligencia de riesgos.

El Software ISO 37301 de ISOTools es una herramienta efectiva para aumentar la resiliencia de la organización ante riesgos emergentes, normativos y de cumplimiento, garantizando así la operabilidad y el logro de objetivos comerciales a largo plazo. Conoce un poco más sobre ella aquí.

La entrada Por qué utilizar una herramienta GRC para gestionar los riesgos se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Para que el Programa de Gobierno, Riesgo y Cumplimiento satisfaga esas expectativas necesita integrar, de forma coherente, los tres elementos que componen el modelo: Gobernanza, Gestión de Riesgos y Compliance.

Esto implica una alineación efectiva con los objetivos de negocio de la organización y con las necesidades de cada una de las áreas. Así, es preciso conocer los que podríamos llamar sub-elementos, que forman parte de cada una de las esferas de gestión mencionadas.

¿Cuáles son los elementos esenciales en un Programa de Gobierno, Riesgo y Cumplimiento?

El Programa GRC integra tres elementos que ayudan a alcanzar objetivos adoptando las mejores prácticas éticas, con seguridad, y cumpliendo con todas las obligaciones legales, contractuales o normativas.

Los tres elementos son la Gobernanza, la Gestión de Riesgos y el Cumplimiento. Pero cada una de estas categorías incorpora a su vez otros elementos que son los que se consideran esenciales en un Programa de Gobierno, Riesgo y Cumplimiento.

Gobernanza

La Gobernanza es la forma en que se dirige una organización en todos sus niveles. La Gobernanza se orienta desde arriba hacia abajo. Desde la gestión estratégica de la Alta Dirección hasta el nivel más operativo en la organización.

Gobernanza incorpora tres elementos esenciales:

1. Gestión Corporativa

Busca construir una estructura eficiente, que facilite la interacción y la buena comunicación entre todas las personas, los departamentos, niveles y áreas de la organización. El objetivo primario es garantizar que las directivas y el mensaje de la Alta Dirección llegue sin distorsiones a todos los puntos de la organización.

2. Gestión estratégica

Evalúa a los trabajadores para identificar sus fortalezas y sus debilidades. Esto lleva a una asignación de roles y responsabilidades productiva, que genera productividad, logro de objetivos y crecimiento sostenible.

3. Gestión de políticas

Las políticas expresan las orientaciones de la Alta Dirección sobre la forma y el momento en el que se deben llevar a cabo las actividades corporativas. Las políticas son la base para el diseño de procesos, procedimientos y, finalmente, tareas. Las políticas son el eje principal de un Programa de Gobierno, Riesgo y Cumplimiento.

Gestión de Riesgos

La seguridad en una organización se construye con base en la Gestión de Riesgos. El objetivo es identificar, evaluar, clasificar, categorizar y tratar los riesgos, tratando de eliminar la mayoría, minimizando otros y gestionando los que subsistan. Para ello, un Programa de Gobierno, Riesgo y Cumplimiento necesita:

1. Identificación de riesgos

Los riesgos a los que está expuesta una organización son dinámicos. Esto significa que evolucionan, cambian, aparecen o salen del radar de riesgos a observar. Por ello, es esencial mantener un inventario actualizado y real.

2. Evaluación de riesgos

A través del análisis de riesgos se establece la probabilidad de ocurrencia del riesgo y se cuantifica su posible impacto negativo. Esta categorización permite establecer prioridades para tratar los riesgos, asignar recursos con eficiencia y tratar primero las amenazas inminentes y lesivas.

3. Tratamiento de riesgos

Clasificados y priorizados los riesgos, se diseñan estrategias para eliminar la mayoría de ellos, tratar otros y prepararse para minimizar el impacto de los que no admiten ningún tipo de gestión.

Cumplimiento

La Gestión de Compliance, como también es denominada, es el más reciente de los componentes del Programa de Gobierno, Riesgo y Cumplimiento. La gestión busca asegurar el cumplimiento de todas las obligaciones legales, estatutarias, contractuales y normativas, impuestas o asumidas por iniciativa propia, haciendo uso de estos elementos:

1. Auditorías

Que pueden ser internas o externas. Este tipo de evaluaciones permiten identificar problemas y riesgos no considerados, así como recomendaciones sobre acciones eficaces para corregir y para mejorar la gestión de cumplimiento.

2. Investigaciones

Basadas en requerimientos hechos por los auditores, o como resultado de informes entregados en los canales de denuncia. Las investigaciones de cumplimiento entregan información valiosa para solucionar problemas o prevenir riesgos.

3. Controles para garantizar el cumplimiento

Estos controles suelen formar parte de requisitos de un estándar, como ISO 37301, o de un organismo regulador.

4. Informes

Los informes constituyen la historia documentada de la gestión. Son importantes para la correcta operación de los otros elementos. Las auditorías y las investigaciones encuentran en los informes de cumplimiento un gran aliado para alcanzar sus objetivos.

La implementación de controles, por otra parte, también se nutre de los datos que se incorporan en los informes de cumplimiento. Estos documentos también pueden ser solicitados por organismos reguladores.

Software ISO 37301 de ISOTools

La implementación de un Programa de Gobierno, Riesgo y Cumplimiento encuentra un gran aliado tecnológico en el Software ISO 37301 de ISOTools. Esta solución permite automatizar la gestión, generar informes de cumplimiento confiables y facilita la práctica de auditorías y evaluaciones de riesgos.

La automatización de la Gestión de Cumplimiento es el futuro para las organizaciones. Dirige tu organización por este camino. Conoce ISOTools ahora.

La entrada Programa de gobierno, riesgo y cumplimiento: cuáles son los elementos esenciales se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Hay algo muy interesante con respecto al riesgo estratégico: es a la vez un recurso que representa oportunidades que permiten a la organización cosechar importantes recompensas. Por eso es preciso diseñar un plan y crear estrategias eficaces para eliminar amenazas y aprovechar oportunidades.

Pero hay otro aspecto relevante a considerar cuando se habla de riesgo estratégico: muchos profesionales en el área no hacen una adecuada distinción entre el riesgo estratégico y el riesgo operativo. A continuación, explicamos las diferencias, algunos ejemplos y la forma de diseñar un plan para abordar este tipo de amenazas.

Riesgo estratégico – ¿Qué es?

En una definición muy elemental, podemos afirmar que los riesgos estratégicos son aquellos que se derivan de la toma de decisiones de negocio fallidas. Atención a la palabra “fallidas”. No se trata de decisiones erróneas o equivocadas.

Para verlo con un ejemplo, cuando un banco o una entidad financiera ofrece un crédito a una persona u organización, está tomando una decisión comercial correcta, porque ese es parte de los servicios que ofrece y está cumpliendo con sus objetivos de negocio. Pero incurre en un riesgo: y ese riesgo es estratégico. Al conceder el crédito, el banco tomó una decisión comercial correcta, que al final puede resultar fallida si el cliente no puede hacer frente a la obligación de pago que contrae.

Otra definición, en otras palabras: los riesgos estratégicos son los que asume una organización, porque necesita hacerlo, pero podrían resultar en una pérdida considerable.

Pero aún podemos aportar una definición más: el riesgo estratégico es la probabilidad de que la estrategia comercial de una organización fracase. Teniendo en cuenta que la estrategia de negocios es un conjunto de decisiones, el riesgo estratégico equivale a la suma de los riesgos inherentes a cada una de esas decisiones.

Conocer la diferencia entre el riesgo operativo y el estratégico, así como una lista de este tipo de amenazas, resultará aún más ilustrativo.

Diferencia entre riesgo operativo y riesgo estratégico

Los riesgos operativos aparecen cuando alguien hace algo mal. Surgen porque hay un fallo en un proceso, una persona se equivoca o un sistema en general es defectuoso. El riesgo operativo está bajo el control de la organización y esta puede tomar acciones para reparar el problema, eliminar la causa raíz y minimizar o eliminar la posibilidad de repetición.

Tanto el estratégico como el operativo pueden tener consecuencias graves para la organización. Sin embargo, los riesgos operativos están en la órbita de los profesionales en gestión de riesgos. Los riesgos estratégicos suelen escapar a ese radar, y esa es la razón por la que es importante definirlos con precisión y saber cómo abordarlos.

La siguiente tabla permite entender mejor la diferencia entre operativos y estratégicos:

Algunos ejemplos de riesgos estratégicos

Al igual que la gestión de riesgos general o la de riesgos operativos, la gestión de los riesgos estratégicos se basa en identificar, evaluar, tratar y eliminar, minimizar, compartir o admitir el riesgo.

Saber dónde buscar, ayudará a obtener resultados con mayor rapidez. Estas son algunas de las fuentes de amenazas de tipo estratégico recurrentes:

• Cambios en la demanda y preferencia de los consumidores derivados de la decisión de mantener una fórmula, un empaque o, sencillamente, un modelo de producto tradicional.
• Cambios legales y regulatorios que pueden impedir la operación, sacar productos del mercado o hacerlos inviables.
• Aceleración de la transformación digital, lo que produce incapacidad de la organización para adaptarse y asimilar los cambios.
• Procesos de fusión o integración fallidos, debido a falta de compromiso de la otra organización o de capacidad financiera, tecnológica u operativa.
• Cambios en la Alta Dirección, cuando los nuevos miembros no conocen el negocio o tienen ideas novedosas para su operación.
• Riesgo reputacional, ocasionado por incumplimiento normativo, problemas personales de los miembros de la Alta Dirección, de empleados o de contratistas.
• Riesgo de gobernanza, ocasionado por decisiones fallidas en cuanto a gobierno, riesgo y cumplimiento.

¿Cómo diseñar un plan para abordar el riesgo estratégico?

La gestión de riesgos estratégicos, para algunos expertos, debe ser cualitativa antes que cuantitativa. Esta primera elección, representa ya un reto para los profesionales en gestión de riesgos.

Un enfoque cualitativo, sabemos, no deja de ser subjetivo lo que lo pone en desventaja con la contundencia de los resultados basados en cifras. Pero, por otra parte es interesante reconocer que, por ejemplo, el riesgo político, que se enmarca dentro de la categoría de riesgos estratégicos, no admite una evaluación cuantitativa.

Ejemplos hay más. Lo importante, por el momento, es diseñar un plan de acción efectivo, lo cual se facilitará siguiendo estos pasos:

1. Definir los objetivos comerciales y la estrategia

Las organizaciones utilizan diferentes marcos para planificar estrategias. El análisis DAFO o FODA es una de esas herramientas. Pero también existen modelos de análisis que ofrecen una visión holística e integral.

Estas herramientas, sin embargo, solo sirven para procesar información y evaluarla. Por sí solas no abordan riesgos o diseñan estrategias. Esto lo hacen los profesionales en el área, mediante la planificación.

Al planificar, tenemos la oportunidad de definir los objetivos comerciales y, con ellos, identificar los riesgos que pueden amenazarlos.

2. Establecer indicadores de medición y rendimiento

Los KPIs efectivos ofrecen información valiosa para identificar amenazas. Medir la eficacia de los procesos, el progreso de las tareas y el avance en el logro de objetivos son, entre otras, funcionalidades que proporcionan los indicadores de medición y rendimiento.

3. Recopilar datos sobre el riesgo estratégico

Las entrevistas con ejecutivos y miembros de la Alta Dirección ofrecen una visión valiosa sobre los riesgos estratégicos, ya que son ellos los que lo tienen más cerca. Esto permite a los profesionales encargados mapear procesos y establecer alertas en tiempo real, eliminando cuellos de botella que se generan al iniciar el trabajo desde niveles inferiores.

4. Identificar riesgos que afectan la estrategia comercial

Básicamente, se trata de responder a la pregunta «¿qué puede amenazar el éxito de la organización?». Algunos factores de riesgo pueden ser internos y otros externos. Un fallo en la cadena de suministro, por ejemplo, puede convertirse en una amenaza estratégica de orden externo.

5. Construir un perfil de riesgo estratégico

Con la información recopilada en los cuatro pasos anteriores es posible construir un perfil de riesgo estratégico para la organización. Será posible mostrar una lista o un mapa de calor, para presentar los principales riesgos y su calificación de acuerdo con la probabilidad de ocurrencia y el impacto negativo.

6. Elaborar el plan de acción

Este es el objetivo principal del proceso. Aquí, los profesionales encargados definen cómo planean enfrentar, mitigar, compartir o tolerar las amenazas identificadas. Eso incluye definir métodos específicos para gestionar los riesgos de manera sistemática.

7. Comunicar e implementar el plan

Con la tarea hecha, lo que resta es compartir el mensaje en toda la organización, por supuesto iniciando por la Alta Dirección. Como todos los procesos de generación de cultura, este también inicia desde arriba hacia abajo. Esto permite que se asuma la gestión con la voz superior de los Altos Directivos.

La gestión de riesgos estratégicos es un factor determinante para el éxito de la gestión de cumplimiento. Son los profesionales formados en este campo, asistidos por herramientas tecnológicas, los llamados a enfrentar el riesgo estratégico. Conozcamos, finalmente, una herramienta muy útil para hacerlo.

Software ISO 37301 de ISOTools

La gestión de cumplimiento eficaz es un gran aliado para la prevención y tratamiento de los riesgos estratégicos. La debida diligencia, por mencionar una de las propiedades de la gestión de cumplimiento, mitiga o elimina muchas amenazas de este tipo.

Pero la gestión de cumplimiento implica asumir muchas tareas, algunas muy dispendiosas, especialmente en lo relacionado con la debida diligencia. El Software ISO 37301 de ISOTools es una herramienta eficaz, basada en la nube, diseñada para automatizar tareas y procesos, generar informes inmediatos, mapas de calor y toda la información que requieren los oficiales de cumplimiento y la Alta Dirección para tomar las decisiones correctas, en el momento indicado.

Obtenga información adicional sobre este producto sin ningún compromiso.

La entrada Qué es el riesgo estratégico y cómo diseñar un plan para abordarlo se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Pero planificar el cumplimiento es algo más que anotar una serie de tareas en un calendario. Es preciso considerar los recursos que requerirá el proyecto, así como los tiempos y las expectativas de las partes interesadas. Para que esta etapa se convierta en la sólida base necesaria para ese edificio llamado gestión de cumplimiento, las siguientes recomendaciones son de gran utilidad.

Consejos útiles para planificar el cumplimiento en las organizaciones

Una de las razones más importantes para planificar el cumplimiento en las organizaciones es que así se conocen desde un principio los pasos que se tienen que dar para alcanzar el objetivo. Teniendo un mapa y un recorrido, el camino será mucho más fácil. Seguir estas recomendaciones también ayuda a culminar con éxito la tarea:

Atender a los recursos

Un programa de cumplimiento cuenta con unos determinados recursos presupuestarios y de personal. Por un lado, es necesario priorizar riesgos para que los recursos asignados se destinen allí donde hacen más falta. En este sentido, la evaluación de riesgos es un elemento fundamental.

Por otro lado, la asignación clara y efectiva de responsabilidades es esencial. Que cada uno sepa qué hacer en cada momento es clave para que las tareas se culminen correctamente y a tiempo. Para ello, es preciso saber las cualidades y conocimientos de cada miembro, pero también su disponibilidad durante todo el proceso. Y, tal vez, sea necesario incorporar ciertos procesos de capacitación.

Comunicarse con el equipo desde el comienzo

La comunicación es un factor clave en cualquier proyecto. Específicamente, en la implementación de un programa de cumplimiento, una reunión de inicio ayuda a diseñar las estrategias adecuadas para llevar los procesos necesarios a la práctica. Esto facilita el trabajo y permite presentar oficialmente el proyecto de implementación.

Entre otros, el líder del equipo comunicará a sus profesionales la siguiente información:

• El nombre del proyecto.
• Los profesionales que conforman el equipo de trabajo.
• El cronograma de actividades a realizar.

Considerar la revisión y seguimiento durante la ejecución

Son muchos los elementos que hay que revisar, y tal vez ajustar, durante la implementación de un programa de cumplimiento. Las políticas, los procedimientos, las transacciones de alto riesgo… Por ello, es preciso que la planificación contemple el monitoreo de las tareas y su funcionamiento adecuado. Es necesario programar reuniones periódicas para revisar el estado y los hallazgos, y comprobar si el cronograma se está cumpliendo o no.

Prever cómo obtener y presentar evidencia

Muchas personas, sobre todo la alta dirección, están pendientes de la labor de implementación. Los profesionales experimentados en el área de cumplimiento y de gestión anticorrupción saben que en cierto momento todos esperan evidencias de que el proyecto está avanzando sin problemas.

Entre otras, será preciso considerar cómo obtener y presentar:

• Pruebas que demuestren que el programa se ha implementado y que es funcional.
• Entrevistas con partes interesadas en las que se indaga por su percepción acerca del programa.
• Análisis de datos y de información a través de indicadores apropiados.

Los objetivos que se persiguen al implementar un programa de cumplimiento son muy diversos. Algunas organizaciones necesitan mejorar sus procedimientos y sus indicadores, mientras que otras necesitan demostrar que adoptan las mejores prácticas internacionales.

En uno u otro caso, la ejecución adecuada parte de una cuidadosa planificación. Pero, para llegar a la meta, es probable que el equipo requiera herramientas de apoyo, como un software que mantenga flujos ágiles y estructurados para la gestión de cumplimiento, facilite la comunicación y permita visibilizar de forma panorámica el funcionamiento del programa. 

Software ISO 19600 de ISOTools

La implementación efectiva de un programa de cumplimiento requiere de elementos indispensables como políticas, un código de conducta, procedimientos, información, asignación de responsabilidades, y también de una solución tecnológica que ayude a optimizar el sistema.

Una herramienta como el Software ISO 19600 de ISOTools automatiza esas tareas rutinarias que suelen desgastar a los profesionales del área y las vuelve más ágiles. Con este software, un oficial de cumplimiento puede centrarse en los objetivos fundamentales y la planificación estratégica para mejorar su sistema.

Conozca ahora esta novedosa solución tecnológica. Contacte con un consultor aquí.

La entrada Consejos para planificar el cumplimiento en las organizaciones se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La evaluación de riesgos en compliance es la primera y, tal vez, la más importante de las tareas que están a cargo de un oficial de cumplimiento. Una eficaz evaluación de riesgos en este punto no solo ayuda a garantizar que la organización no incurrirá en sanciones o penalizaciones de orden financiero o legal, sino que genera confianza y credibilidad entre sus empleados y otras partes interesadas.

Visto desde otro ángulo, la evaluación de riesgos en compliance mejora la reputación de la marca cuando las organizaciones eligen cumplir con ciertas regulaciones de manera proactiva, como aquellas relacionadas con el medio ambiente, los derechos humanos o la seguridad y la salud en el trabajo, por ejemplo.

¿Para qué sirve una evaluación de riesgos en compliance?

Las evaluaciones de riesgos de cumplimiento son un elemento esencial de un programa de compliance efectivo. Permiten a las organizaciones asignar recursos de manera adecuada y eficiente, para asegurar que no se pasen por alto importantes problemas de cumplimiento. Así, resultan críticas para centrar los recursos, abordar aquellos riesgos prioritarios y atender los lugares de mayor debilidad. 

En definitiva, las evaluaciones de riesgos de cumplimiento son una excelente forma de tomar la temperatura al programa de compliance, descubrir vulnerabilidades, identificar puntos de duplicación de esfuerzos, detectar problemas en procesos y solucionar casos de falta de comunicación.

Pasos a seguir para realizar una evaluación de riesgos en compliance

Para identificar, comprender y analizar los riesgos que afectan las obligaciones de cumplimiento externas e internas es fundamental establecer un proceso que ofrezca la tranquilidad de que se están gestionando el programa de cumplimiento de manera efectiva, evitando responsabilidades a la organización.

Estos son los principales pasos para realizar una evaluación de riesgos en compliance:

1. Atención a los cambios en las regulaciones

El primer paso es crear un marco que garantice que la organización puede identificar y comprender sus deberes, obligaciones y responsabilidades, pero también los cambios que se presenten en este tipo de convenios y compromisos. Esto incluye la implementación de procesos para verificar la existencia de tales cambios, actualizar las regulaciones y realizar una evaluación de riesgos que aborde estas nuevas circunstancias.

Esto resulta más sencillo cuando se dispone de un software de gestión de cumplimiento con una funcionalidad para recopilar y actualizar fácilmente el inventario de regulaciones a cumplir.

2. Realizar la evaluación de riesgos

Una vez se conocen las obligaciones de cumplimiento y sus cambios, es preciso realizar una evaluación de riesgos para identificar cómo estas, si no se cumplen, pueden poner en riesgo a la organización. En otras palabras, es preciso evaluar la amenaza que supone para la organización no cumplir con una determinada regulación.

Como parte de este proceso, se deben priorizan esfuerzos de cumplimiento y asignar recursos en consecuencia. En este punto, una solución tecnológica que disponga de herramientas para la gestión  intuitiva y completa de los riesgos acelera y aporta confianza al proceso.

3. Establecer cómo cumplir con las expectativas

La evaluación de riesgos genera unas expectativas que la organización debe identificar si puede o no cumplir. Para cualquier organización resulta esencial proteger sus esfuerzos de cumplimiento mediante la creación de políticas y procedimientos eficaces.

Un caso recurrente es el de las organizaciones que han tenido problemas para implementar una debida diligencia de terceros eficaz. El reconocimiento de este tipo de problemas es fundamental para seguir avanzando y mejorando el sistema en sus puntos más vulnerables.

Otra consideración importante en este paso es la asignación de responsabilidades a los empleados o equipos específicos, para mantener altos los estándares de cumplimiento y para planificar y estar preparados frente a riesgos potenciales.

4. Implementar un plan para la mejora continua

Los planes de mejora continua dependen directamente de la presentación de informes oportunos que revelen la presencia de problemas, de los resultados de auditorías, de inspecciones o de otro tipo de revisiones.

Al igual que con cualquier otro proceso de gestión, es importante recibir informes periódicos sobre el cumplimiento de la organización. Esto requiere además mantener un historial de cumplimiento con el fin de alimentar la tarea de futuras auditorías. Aquí, contar con un software de gestión especializado permite mantener organizada y protegida la información así como crear informes fiables sobre el progreso e historial de cumplimiento.

Aunque estas evaluaciones, que han de ser periódicas, podrían hacerse de modo manual, cuando se apoyan de un software específico se convierten en tareas mucho más sencillas que aportan mejores resultados .

Software ISO 19600 de ISOTools

Para muchos de los objetivos de un programa de cumplimiento, entre ellos la eficaz evaluación de riesgos en compliance, un software es la pieza clave.

El Software ISO 19600 de ISOTools automatiza las tareas propias del sistema de gestión, incorporando funcionalidades que mejoran la eficacia y aumentan el rendimiento del sistema de gestión del cumplimiento.

Obtenga información adicional sobre el Software ISO 19600 de ISOTools.

La entrada Evaluación de riesgos en compliance: pasos a seguir se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Para empezar, es preciso considerar la regulación o acto que da origen al riesgo, así como las sanciones por incumplimiento y las obligaciones que contraen la organización y las partes interesadas.

Hoy tratamos de comprender mejor esta gestión de riesgos en compliance para integrarla de modo adecuado en el programa de cumplimiento.

¿Qué es la gestión de riesgos en compliance?

En una definición muy básica, la gestión de riesgos en compliance es la tarea que se lleva a cabo para identificar, clasificar y tratar riesgos antes de que afecten al programa de cumplimiento y, por ende, a la organización. La gestión implica, así, analizar esos riesgos y emprender las actividades necesarias para reducir, eliminar, compartir o mitigar el impacto.

La gestión de riesgos en compliance debe, por supuesto, centrarse en la prevención. Aunque es evidente que nunca se alcanza el cumplimiento perfecto. El objetivo de la gestión es reducir los riesgos a niveles que la organización pueda tolerar y que también resulten aceptables para los organismos reguladores.

Alcanzar esos niveles aceptables requiere que la organización construya un programa de cumplimiento que se adapte a las necesidades y a las particularidades de la organización y el sector en que opera. Para ello, es preciso, en primera instancia, comprender los riesgos en compliance.

¿Cómo comprender los riesgos en compliance?

El oficial de cumplimiento es la persona llamada a entender dónde se encuentran los riesgos, su frecuencia y el impacto que pueden representar para la organización. El oficial y el programa en general cuentan con dos herramientas eficaces para afrontar esos riesgos: la debida diligencia de terceros y el programa de capacitación a los empleados.

La proporción en la que el oficial hace uso de estas herramientas depende de las características de la organización. Es probable que una organización con muchos clientes, muchos proveedores y sucursales en otros países necesite invertir mucho en debida diligencia. Pero otra, que se basa en un modelo de ventas con muchos agentes, tendría que contar con un programa de capacitación intensivo y muy eficiente.

Entender la tolerancia al riesgo

La tolerancia al riesgo o el apetito de riesgo debe determinarse porque de ello depende cómo serán los controles y las políticas y procedimientos. La tolerancia al riesgo es un concepto difícil de entender. Algunos expertos lo han definido como “la variación aceptable de un objetivo de rendimiento”.

En otras palabras, ¿qué grado de variación del riesgo está dispuesta a asumir la organización para lograr sus metas?¿cuánto se pueden desviar los empleados de los objetivos sin que represente un problema que requiera la intervención de la alta dirección?

Veamos un ejemplo: la organización puede restringir a sus vendedores la expedición de notas crédito, que sabemos es una forma encubierta de soborno en algunas ocasiones. Se trata de un objetivo de cumplimiento sobre el que podríamos plantear una tolerancia cero si queremos eliminar riesgos en ese sentido. Pero, ¿admitiría el programa de cumplimiento una desviación del 1 al 5%, teniendo en cuenta que podría representar el logro de ciertos objetivos comerciales?

Es una interesante disyuntiva que no se puede resolver sobre la marcha. Cada organización debe resolver el tema en sus políticas y procedimientos. Eso es determinar la tolerancia al riesgo.

Alinear los procesos de cumplimiento con los riesgos determinados

Finalmente es preciso asegurar que los procesos de cumplimiento estén alineados con los riesgos de cumplimiento. Esta es la esencia de la gestión de riesgos, que debe ser dinámica y acomodarse a los cambios que el riesgo proponga.

Es el caso de organizaciones que acaban de ingresar a los mercados en el exterior. Esto incrementa los riesgos de cumplimiento, en la medida en la que se enfrentan a nuevas y desconocidas regulaciones. Por otra parte, se debe intensificar la tarea de debida diligencia de terceros para controlar los riesgos con esas partes.

Los riesgos de cumplimiento son dinámicos y tienden a aumentar, por lo que la organización debe establecer controles y alinear los procesos de cumplimiento con los riesgos identificados.

En este punto, para hacer frente a este dinamismo y, especialmente, cuando las necesidades de debida diligencia aumentan, es necesario considerar la posibilidad de automatización. De este modo es posible estar siempre preparado para una gestión de riesgos permanentemente eficaz.

Software ISO 19600 de ISOTools

El Software ISO 19600 de ISOTools incorpora una solución eficaz y estructurada para aplicar la debida diligencia desde una plataforma única, lo que facilita al oficial de cumplimiento y a otras partes interesadas analizar y responder a la información.

Este software, diseñado para hacer frente de modo ágil y eficiente ante los distintos requisitos de ISO 19600, consigue que cada tarea del oficial de cumplimiento se realice con mayores garantías.

Contratar este software es muy fácil. Solo necesita contactar a uno de nuestros asesores aquí.

La entrada ¿Qué es la gestión de riesgos en compliance? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

El objetivo es controlar que estos obsequios se encuentren dentro de un nivel aceptable y que no puedan constituir en ningún caso un instrumento de mala práctica de cumplimiento.

El alcance de la política de regalos

No importa cuán bien intencionado sea un obsequio, existe la posibilidad de que la incorrección, o la apariencia de incorrección, estén presentes. Una política de obsequios asegura que los empleados se adhieran al código de conducta de la organización en este sentido, y así se eliminan posibles sospechas y dudas sobre sus acciones.

El código de conducta establece que todos los empleados han de demostrar un compromiso de tratar a todas las personas y organizaciones de manera imparcial. Este mandato se extiende a aquellas personas y organizaciones con las que un empleado entra en contacto y aquellas con las que se realizan negocios.

Específicamente, la política tiene alcance sobre:

• Vendedores y proveedores, tanto existentes como potenciales.
• Clientes nuevos y antiguos.
• Empleados actuales y potenciales.
• Contratistas y agentes independientes de la organización.
• Cualquier individuo u organización con quién se entre en contacto.

¿Por qué es importante redactar una política de regalos?

La política ayuda a la organización a evitar conflictos de intereses, tratos imparciales, sobornos encubiertos… Pero además, supone una guía para los empleados cuando se presenta una duda ética. Sin una política clara conocida por todos los empleados, estos pueden optar por negarse a cualquier prebenda por mínima y natural que sea; o por el contrario, podrían estar aceptando, sin ser conscientes de su gravedad, regalos inapropiados que pueden comprometerle a él y a la organización.

Por ello, es importante que exista una política clara y que esta se comunique adecuadamente a todos los empleados, y también a los terceros. De esta manera tanto empleados como terceros saben con certeza qué es aceptable y qué no no lo es, y pueden orientar sus comportamientos sin temores ni asumir riesgos.

¿Cómo establecer la política de regalos?

Veamos algunas de las mejores prácticas recomendadas en una política de obsequios para que logre cumplir con sus objetivos:

• Definir con claridad los límites de lo que es aceptable ofrecer y recibir. Es importante que se defina una cifra de valor concreta y que se describan con absoluta precisión las circunstancias aceptables para dar o recibir un regalo.
• Algunas políticas de regalos son muy concretas y definidas. En otras, por el contrario, es común encontrar la expresión “buen juicio”. Es necesario en esos casos, definir que se entiende por “buen juicio”.
• Es importante que la política sea el resultado de un consenso y un proceso de socialización con los ejecutivos, sobre todo del área comercial de la organización.
• La política tiene que ser un documento dinámico, que se vuelva a analizar con una determinada periodicidad, o cada vez que sea necesario. Es preciso que se revise y se ajuste ante nuevas circunstancias. 

Finalmente, un plan de comunicación claro, que enfatice en los principios básicos de revisar las reglas, buscar orientación y usar el buen juicio, ayuda a las organizaciones a mitigar de forma significativa los riesgos asociados con los obsequios y otro tipo de regalos.

Software ISO 19600 de ISOTools

Para la gestión de regalos y donaciones, el Software ISO 19600 de ISOTools dispone de una funcionalidad para registrar evidencia de los mismos y generar un flujo de criterios de aceptabilidad en base a la política establecida en la organización. Así, se consigue mantener un control de estos regalos en un inventario donde figura distinta información útil como el dador, el precio, el tipo, la aceptación, etc. Asimismo, este sistema puede ser una guía para que los empleados cumplan de modo más sencillo la política de regalos.

Esta solución tecnológica también facilita la notificación de una alerta a superiores en casos necesarios y ayuda a las organizaciones a implementar un canal de denuncias y un canal de consultas éticas, mediante el que los empleados pueden compartir inquietudes en caso de duda.

Obtenga más información sobre esta solución con uno de nuestros consultores aquí.

La entrada Política de regalos: buenas prácticas de cumplimiento se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.