Por otra parte, pero en el mismo sentido, los gobiernos estrechan la vigilancia y el control. En mayo de 2023 la Comisión Europea propuso una Directiva que busca armonizar los instrumentos de Derecho Penal de los diferentes países del continente, a la vez que aumenta las penas y establece restricciones para prevenir el soborno y la corrupción en organizaciones estatales y gubernamentales, pero también en empresas privadas.

El Reino Unido ha hecho lo propio al crear una ley específica de lucha contra el soborno, y una Agencia Nacional contra el Crimen. En este contexto, es claro que prevenir el soborno y la corrupción deja de ser un anhelo o un deseo para convertirse en una necesidad imperiosa.

¿Cómo prevenir el soborno y la corrupción en el entorno laboral?

Una buena idea es iniciar la tarea en casa. La labor es estratégica y requiere tacto y habilidad para no generar un rechazo en los empleados y otras partes interesadas. En síntesis, se trata de crear un programa o sistema anticorrupción. Los pasos para seguir son:

1. Crear una política anticorrupción y antisoborno

La mejor forma para que algo se haga o deje de hacerse es decirlo. Pero no es lo mismo que alguien en un nivel medio de la organización lo diga, a que lo haga la Alta Dirección en una política.

La política anticorrupción establece normas, comunica objetivos y asigna responsabilidades. Pero, sobre todo, expresa el compromiso de la Alta Dirección con la transparencia y las mejores prácticas comerciales.

2. Fortalecer la cultura ética

La cultura ética la conforman tres elementos: el conocimiento, el respeto y la práctica cotidiana. Esto significa que los empleados, en todos los niveles, necesitan conocer las normas y las políticas de la organización, acatarlas y respetarlas y ponerlas en práctica en sus actividades diarias.

Sí esto sucede, es posible decir que hay cultura ética en la organización. El trabajo de prevenir el soborno y la corrupción será más fácil en adelante. Por supuesto, hay mucho por hacer para lograrlo: charlas, comunicaciones, programas de formación, mensajes de la Alta Dirección, canales de denuncia, investigaciones ágiles y efectivas…

3. Diseñar procesos efectivos de debida diligencia

Para prevenir el soborno y la corrupción es preciso controlar los terceros alrededor de la organización, y los que están en línea ascendente y descendente en la cadena de suministro.

El instrumento inicial para garantizar la transparencia en operaciones con terceros es la debida diligencia. Los actos de corrupción o soborno de terceros, aunque la organización no esté implicada, terminan generando a la empresa algún grado de responsabilidad.

La debida diligencia requiere investigar al tercero, comprobar sus antecedentes y sus relaciones y establecer posibles puntos de contacto con otros terceros comunes, con empleados, con organismos reguladores o con miembros de la Alta Dirección de la organización.

4. Crear una política clara y estricta sobre obsequios y otro tipo de dádivas

Las cuentas autorizadas para Gastos de Representación, o los habituales y aceptados regalos, invitaciones y otro tipo de dádivas que buscan obtener algunos beneficios comerciales, se convierten en una fachada perfecta para ocultar sobornos.

Es urgente, por supuesto, aclarar la diferencia entre un soborno y un regalo. La tarea corresponde a la Alta Dirección y, como de costumbre, es a través de una política que puede hacerlo.

La política resolverá preguntas como:

• ¿Quiénes están autorizados a recibir obsequios o invitaciones?
• ¿Cuál es el monto máximo en cuanto al valor del obsequio?
• ¿Quién vigilará la interacción posterior a la entrega del obsequio, entre el receptor y la persona u organización que da el regalo?
• ¿Quiénes se excluyen de forma terminante de esta práctica?
• ¿Es posible establecer un procedimiento para compartir obsequios o prebendas entre todos los empleados?

5. Llevar la lucha contra la corrupción a la práctica diaria

Para muchos empleados, sobre todo los que no participan de prácticas de corrupción y soborno, y no piensan hacerlo nunca, el tema es apenas teórico y conceptual.

Para estas personas, que por suerte es la mayoría, la corrupción no es un hecho tangible, real. Es algo remoto que aparece en los telediarios y que involucra a personas de muy alto nivel.

Es necesario traer el tema a la cotidianidad del trabajo diario y concientizar a las personas sobre la inminencia de ocurrencia de este tipo de hechos, o de la posibilidad de que estén pasando en el momento. La amenaza es real y todos deben entenderlo así.

Los pequeños pagos por facilitar un negocio o para agilizar el pago del importe de una factura, son soborno. No aparecerán nunca en los grandes medios de comunicación, pero siguen siendo soborno y corrupción.

6. Identificar las banderas de alerta

Un problema común para los encargados de un programa diseñado para prevenir el soborno y la corrupción es que este tipo de actividades se desarrollan en la sombra.

Sin embargo, hay señales de alerta para detectar la corrupción, que es importante identificar y atender:

• Empleados que se reúnen con personas a solas.
• Cambio de hábitos y gastos excesivos de algunos empleados.
• Empleados que nunca toman vacaciones.
• Empleados que acumulan muchos procesos en los que actúan y toman decisiones solos.
• Insistencia del tercero para tratar siempre con la misma persona dentro de la organización.

7. Automatizar la gestión anticorrupción

Prevenir el soborno y la corrupción es una tarea compleja para cualquier organización. La debida diligencia puede ser una de las herramientas más eficaces por su impacto positivo en el objetivo de evitar que ocurran hechos de corrupción con suficiente antelación.

La debida diligencia, no obstante, es un proceso que requiere procesar grandes cantidades de datos y registros en muy poco tiempo. La atención de canales de denuncia o la celeridad en el desarrollo de investigaciones, que también son instrumentos eficaces para prevenir el soborno y la corrupción, igualmente requieren un apoyo tecnológico para avanzar a una velocidad mayor a la que lo hacen los infractores.

La tecnología, sin duda, es el mejor aliado para la prevención de hechos de corrupción. Un buen ejemplo de ello es el protagonista de nuestro apartado final.

Software ISO 37001 de ISOTools

El Software ISO 37001 de ISOTools es una plataforma, basada en la nube, diseñada para automatizar y digitalizar la gestión contra la corrupción, el fraude, el soborno y otras prácticas similares.

La plataforma entrega información que permite identificar problemas en tiempo real. Dinamiza el proceso de debida diligencia y aporta los elementos necesarios para llevar a cabo investigaciones rápidas y efectivas. Todo inicia aquí.

La entrada 7 estrategias para prevenir el soborno y la corrupción en el entorno laboral se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

El objetivo es poner la legislación a tono con el creciente número de delitos que ahora mismo no están cubiertos por las leyes vigentes en los países del continente. Tráfico de influencias, abuso de poder en el sector público o el privado, lavado de activos, enriquecimiento ilícito, son los más representativos.

Así, las organizaciones necesitan crear su estrategia corporativa sobre la base de un endurecimiento de la legislación, qué, entre otros temas, busca aumentar las sanciones penales en los países de la Unión y estandarizarlos para lograr penas similares que desincentiven el movimiento de los infractores por todo el continente.

¿Cuáles son las tendencias en gestión anticorrupción que inciden en la estrategia corporativa?

Las tendencias indican hacia dónde va la gestión, pero también el marco regulatorio y, por supuesto, hacia dónde encaminar la estrategia corporativa en 2024. El éxito de la estrategia corporativa dependerá de la adecuada comprensión de las tendencias en el área de lucha anticorrupción y soborno. Las más relevantes son:

1. Estandarización de la legislación a nivel mundial

Cuatro grandes zonas geográficas se pueden identificar a nivel global en cuanto a legislación sobre soborno y corrupción: Norteamérica (Canadá y EE. UU.), Reino Unido, Unión Europea, y Asia y Oceanía.

Las cuatro zonas, que agrupan la totalidad de los países desarrollados, han promulgado desde el inicio del siglo regulaciones y legislaciones independientes. Si embargo, transcurridas las dos primeras décadas del Siglo, es clara la tendencia hacia la alineación y estandarización de requisitos, leyes, solicitudes y directivas.

2. Colaboración internacional

Reafirmando la tendencia sobre alineación y estandarización, las naciones hacen público su interés por colaborar, compartir evidencia, aplicar la ley, establecer controles financieros y hacer todo lo posible para evitar que se conformen paraísos independientes para los corruptos.

Como parte de la estrategia, los países alinean sus leyes con normas como la Directiva de Denuncia de Irregularidades de la Unión Europea, aunque no estén ubicados en la zona geográfica.

3. Tecnología incorporada a la Gestión Anticorrupción

La estrategia corporativa depende cada día más de la tecnología, en lo relacionado con la Gestión Anticorrupción. La debida diligencia, que ahora tiene alcance global, solo puede ofrecer los resultados esperados con la automatización que ofrece una solución informática que incorpore elementos de inteligencia artificial.

La tecnología elimina el error humano, pero también permite analizar, clasificar y obtener conclusiones de grandes cantidades de datos en muy poco tiempo.

4. Debida diligencia en fusiones y adquisiciones

Las operaciones de fusión o adquisición incorporan tareas de debida diligencia en todos lo niveles. Esto implica que ya no basta con revisar el origen de los capitales que se fusionarán. También es necesario aplicar debida diligencia a las personas en todas las áreas, en todos los niveles y áreas, especialmente cuando se trata de dos países o dos continentes diferentes.

5. Gestión en la cadena de suministro

Las organizaciones deben preocupase por ser transparentes. Pero también necesitan asegurar que sus proveedores lo sean. Y también los proveedores de sus proveedores.

La transparencia en la cadena de suministro es un requisito de los consumidores, de los organismos reguladores, pero también del estándar internacional ISO 37001. Esto implica mayor responsabilidad y mayor trabajo. La debida diligencia se multiplica de forma exponencial, con lo que la tecnología se convierte en la herramienta esencial para asegurar el logro de los objetivos.

¿Qué necesita la estrategia corporativa en 2024 para enfrentar la corrupción y el soborno?

La estrategia corporativa en 2024 necesita herramientas eficaces para tratar riesgos de corrupción y soborno. Para hacerlo necesitan integrar las mejores prácticas, de acuerdo con las tendencias referenciadas. Algunas de esas prácticas son:

1. Generar cultura de cumplimiento

Desde la publicación de ISO 37301 es claro que compliance y Gestión Anticorrupción van de la mano. Si lo empleados están educados y formados para cumplir, es poco probable que incurran en conductas censurables, por lo menos de forma consciente y voluntaria.

La generación de cultura de cumplimiento inicia desde la Alta Dirección y debe estar expresada en las políticas. Esto significa que, además, se debe hablar de cumplimiento en muchos escenarios dentro de la organización. También es necesario explicar porque es imperioso ser transparentes y las consecuencias, incluso penales, de no hacerlo.

2. Potenciar la debida diligencia

La debida diligencia crecerá en 2024. Crecerá en profundidad, en número de personas investigadas y en alcance. Ahora se extiende, como ya se advirtió, a toda la cadena de suministro.

3. Evaluar riesgos

Todos los días se actualizan leyes, directivas, reglamentos y obligaciones de cumplimiento. La evaluación de riesgos necesita ir a la misma velocidad. Esto determinará la capacidad de reacción que tenga la organización para prevenir y actuar con la debida celeridad.

4. Monitorear y vigilar

Definir objetivos inteligentes es importante. Pero servirá de poco si no se puede medir con precisión el logro o establecer si en verdad son eficaces y relevantes. La Gestión necesita incorporar mecanismos y herramientas de monitores y vigilancia.

5. Involucrar a las partes interesadas

Los buenos resultados de la Gestión Anticorrupción interesan a los empleados, a los inversionistas, bancos, organismos reguladores, consumidores, gobierno… todos ellos, como interesados, agradecerán y aprovecharán que se les invite a participar de forma activa en la tarea de alcanzar la transparencia.

6. Obtener certificaciones ISO

Una de las razones por las que se publicó ISO 37001, en sustitución de ISO 19600, es la capacidad de certificación que ofrece la nueva norma. Obtener las certificaciones ISO 37001 e ISO 37301 hace que la organización no necesite algo adicional para demostrar su compromiso con la transparencia y el cumplimiento.

7. Aprovechar la tecnología

La estrategia corporativa, la gestión de cumplimiento y, en especial, la lucha contra el soborno y la corrupción, se benefician del trabajo que realiza para ellos la tecnología. La posibilidad de monitorear y vigilar en todo momento, la evaluación de cientos de datos y registros para obtener proceso de debida diligencia eficaces e inmediatos, la eliminación del error humano, son, entre otros, beneficios que aporta una plataforma diseñada para automatizar la Gestión Anticorrupción.

Software ISO 37001 de ISOTools

Debida diligencia, canales de denuncia de irregularidades, investigaciones en las que se preserve el anonimato, son, entre otros, elementos esenciales para un Programa Anticorrupción basado en la norma internacional ISO 37001.

El Software ISO 37001 de ISOTools ofrece, además, funcionalidades que facilitan la obtención de informes, la asignación de tareas a las personas adecuadas, el seguimiento a procesos o el diseño de flujos de trabajo eficientes. Lo encuentras aquí.

La entrada Previsiones y estrategia corporativa para 2024 en el ámbito de la lucha contra la corrupción y el soborno se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Para que el proceso de denuncia de irregularidades cumpla con los objetivos propuestos, y con el propósito por el cual lo exige la Directiva, necesita incorporar ciertos componentes esenciales.

La organización debe contar con un proceso de denuncia de irregularidades eficaz porque es una obligación regulatoria. Pero también porque es un elemento que fortalece la cultura anticorrupción y de transparencia.

Entonces, ¿por dónde empezar? Como cualquier otra tarea importante es necesario iniciar con una fase de planificación. Planificación que requiere hacer un inventario de los elementos esenciales para alcanzar el objetivo.

¿Cuáles son los elementos esenciales para crear un proceso de denuncia de irregularidades eficaz?

El proceso de denuncia de irregularidades, al igual que el programa o Sistema anticorrupción pasa por varias etapas que lo llevan a la madurez. En ese tránsito aparecen brechas, problemas, quejas, errores… Pero todas estas cosas son a la vez oportunidades de mejora, siempre que el proceso haya sido construido desde el inicio sobre pilares sólidos. Estos son los esenciales:

1. Liderazgo de la Alta Dirección

El proceso de denuncia de irregularidades necesita la aprobación, el apoyo y el liderazgo de la Alta Dirección. La implementación requiere recursos que solo puede asignar ese órgano ejecutivo. Pero también es cuestión de tono y de autoridad.

El Oficial de Cumplimiento o la persona que cumpa una función análoga es quien tiene la misión de obtener el apoyo de la Alta Dirección. Además de la necesidad del cumplimiento regulatorio es importante demostrar que el proceso y el programa en general, contribuye a la productividad de la organización, evita sanciones y protege el valor de la marca y de la reputación.

2. Comunicación y capacitación

Los empleados necesitan saber que el proceso existe. También quieren conocer las razones por las que se crea y para qué sirve. La comunicación incentiva el uso del proceso de denuncia y de los canales destinados a la recepción de informes.

Algunos temas sensibles, como la protección de denunciantes o la forma de presentación de informes anónimos requerirán capacitación y formación. Los contenidos en estas charlas, foros, conversatorios o cursos necesitan adaptarse al público que los recibirá. Es importante verificar el nivel de aceptación y comprensión de la información suministrada.

3. Capacidad de respuesta

En un comienzo, el programa genera curiosidad y expectativa entre los empleados. Esta primera emoción se manifiesta en un uso masivo de los canales de denuncia, que decaerá si los empleados no reciben las respuestas esperadas.

Los resultados de una investigación pueden tardar. Entre tanto es importante responder a los empleados de acuerdo con la etapa del informe: confirmar la recepción de la denuncia, contactarlos para ampliar la información, rendir un informe breve pero conciso sobre el avance, comunicar la fecha estimada de cierre…

La solicitud de participación del denunciante en el proceso de denuncia de irregularidades fortalece la cultura de transparencia entre los empleados e incentiva el uso de los canales dispuestos por la organización.

4. Proceso de investigación ágil

La celeridad de la investigación es un punto importante en la credibilidad y eficacia del proceso de denuncia. Obtener un proceso de investigación rápido y confiable requiere implementar protocolos que se activen de forma sistemática y programada.

Esto requiere que se diseñen flujos de trabajo que direccionen las actividades a las personas indicadas. Es claro que las denuncias de corrupción, soborno o fraude deben ser investigadas por el área financiera o contable. El acoso laboral corresponde a Recursos Humanos y los conflictos de intereses pueden ser competencia de la Oficina de Cumplimiento o del área legal.

5. Protección a informantes

La Directiva de la UE sobre denuncia de irregularidades presta especial atención a la protección de los informantes. Si se tiene en cuenta que el argumento esencial para no informar, por parte de los empleados, es el temor a represalias, muchas veces provenientes de la misma organización, se entiende que este sea un tema vital para la creación del proceso de denuncia de irregularidades.

La protección a los denunciantes se incluye en las políticas de la Alta Dirección, en los manuales de procedimiento, en programas de capacitación y formación y, por supuesto, en la retroalimentación que se tiene con los informantes, aun los que deciden reservar su identidad.

6. Los informes

Los informes son el punto culminante del proceso de denuncia de irregularidades. Todo lo que se hace con anterioridad se expresa en el informe. Si se ha hecho un buen trabajo, el informe presentará una conclusión satisfactoria, creíble y transparente.

Los informes, además de un relato completo de los hechos que motivan la denuncia, incluyen datos, cifras y evidencia que comprueban, sin lugar a duda alguna, que se cometió un hecho punible o que definitivamente se trata de un error de interpretación o de falta de información precisa del informante.

Los informes, así como las diferentes etapas de la investigación, son la fuente de datos y registros que se utilizan en la construcción de la memoria histórica de la gestión de denuncia de irregularidades.

7. Documentación, registro y estadística

Las grandes organizaciones, con un programa de irregularidades acreditado pueden recibir un número de informes tan alto que represente un desafío para la gestión de documentos y registros provenientes de tal actividad.

La información recopilada en cada investigación es valiosa. Acumulada resulta aún más importante. Es con base en los registros y documentos que se construye la memoria histórica que evita la repetición. Pero también permite obtener evaluaciones complejas, establecer tendencias, predecir el rumbo de la gestión y obtener indicadores útiles para mejorar la productividad del proceso y del programa anticorrupción.

8. Software y respaldo tecnológico

La tecnología es el último de los elementos esenciales para garantizar la efectividad de un proceso de denuncia de irregularidades. Es el último en nuestro informe, pero tendría que ser el primero en obtenerse a la hora de planificar y diseñar el proceso.

Las investigaciones consumen datos e información en grandes proporciones. Pero también generan datos, registros y documentos. La cantidad de información para procesar se multiplica de forma exponencial de acuerdo con el número de sucursales y con el número y variedad de canales de denuncias dispuestos.

La celeridad requerida para entregar conclusiones y prevenir riesgos de corrupción, fraude y soborno, pero también de cumplimiento, hacen que la tecnología sea imprescindible para un proceso efectivo.

La tecnología adecuada facilita a los oficiales de cumplimiento y a los investigadores escuchar a los empleados y trabajar para solucionar sus inquietudes. Esto es lo que construye cultura de transparencia y honestidad.

Software ISO 37001 de ISOTools

La denuncia de irregularidades es apenas un elemento en un programa de lucha contra la corrupción y las prácticas que van contra la buena conducta y la ética. Si se suman los requerimientos tecnológicos del proceso de denuncia de irregularidades con los de la debida diligencia, por ejemplo, se entiende la necesidad de automatizar y digitalizar para obtener resultados.

La gestión anticorrupción necesita procesar muchos datos en poco tiempo. Es preciso documentar tarea y almacenar evidencia con seguridad. Son deberes que exceden con mucho la capacidad de un Oficial de Cumplimiento, aunque este sea muy avezado.

El Software ISO 37001 de ISOTools cuenta con interesantes funcionalidades para crear flujos de trabajo, mostrar mapas de calor, asignar responsabilidades, automatizar tareas, emitir alertas, procesar datos o producir informes, entre otras, todo destinado a eliminar el error humano y obtener una resolución satisfactoria para cada evento. Encuéntralo aquí.

La entrada Proceso de denuncia de irregularidades: cómo garantizar los elementos esenciales se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Los objetivos son claros: guiar a las organizaciones en el camino hacia el diseño, implementación, operación y mejora de canales de comunicación dispuestos para entregar informes sobre corrupción, soborno, faltas éticas o infracciones de cumplimiento.

La gestión de denuncias es un tema que interesa a todas las organizaciones, especialmente en el continente europeo, debido al marco regulatorio actual. Por eso es tan importante dilucidar dudas e inquietudes sobre la norma que está a punto de cumplir sus dos primeros años. Lo hacemos hoy.

¿Qué se debe saber sobre la gestión de denuncias en ISO 37002?

ISO 37002 busca con sus directrices y orientaciones proteger y apoyar a los denunciantes y a las organizaciones que tienen a su cargo la gestión de denuncias, como una obligación regulatoria.

Al hablar de directrices y orientaciones se infiere que no se trata de un estándar certificable. Esta no es una posibilidad que aparezca en el futuro cercano. Es esta la primera de varias inquietudes frecuentes. Otras son:

1. ¿Por qué se necesitaba un estándar para la gestión de denuncias?

Porque varias leyes y regulaciones en Europa, Estados Unidos, Australia y Japón, por mencionar algunos casos representativos, han ajustado las exigencias sobre la implementación y uso de canales de informes y sobre la gestión de denuncias. El aumento en número y exigencia de las leyes generó una proliferación de pautas o guías de procedimiento, pero no un documento unificado y estandarizado a nivel internacional. Esta es la principal razón para la existencia de ISO 37002.

2. ¿Quiénes pueden utilizar ISO 37002?

Todas las empresas, sin importar su tamaño, industria o sector, públicas, privadas, transnacionales, de servicios, consultoras, pueden obtener los beneficios de ISO 37002, aunque no hagan uso de ISO 37001 o ISO 37301.

3. ¿Qué beneficios ofrece ISO 37002?

ISO 37002 ayuda a las organizaciones a tratar y controlar problemas, desde el interior, evitando que trasciendan a escenarios legales o públicos en donde adquieren capacidad para lesionar la reputación de la empresa. El estándar también ayuda a crear una cultura sólida de denuncia y asegura el cumplimiento de requisitos normativos como los contenidos en la Directiva Europea sobre denunciantes.

4. ¿Cómo opera el estándar para la gestión de denuncias?

Los informes entregados en canales de denuncia inician un procedimiento que se desarrolla en varios pasos. El primero de ellos es, por supuesto, escuchar con detalle al denunciante.

En adelante, sin embargo, es preciso tomar muchas decisiones: Solicitar más información, entrevistar otros posibles testigos, iniciar una investigación formal, separar a algunas personas de sus puestos de trabajo, emprender acciones judiciales…

Las orientaciones y directrices contenidas en ISO 37002 hacen que todas las denuncias sigan un camino previsto, estandarizado, garantizando así la imparcialidad, la confiabilidad y la entrega de resultados oportunos.

5. ¿Cómo implementar ISO 37002?

El primer paso es definir el alcance: ¿el estándar se va a utilizar en toda la organización, en todas las áreas o en todas las ubicaciones? Con esto aclarado, la implementación se desarrolla en pocos pasos:

• Hacer un análisis de brechas para determinar que falta para alcanzar la conformidad.
• Crear un equipo de trabajo y diseñar un plan de acción para completar los requerimientos del estándar.
• Definir las personas que tendrán acceso y utilizarán el sistema.
• Elaborar un plan de auditoria para verificar la eficacia del sistema.
• Corregir y mejorar el sistema.

6. ¿ISO 37002 aborda las represalias y la protección de los informantes?

Si. De hecho, el estándar tiene un enfoque realmente progresivo sobre estos temas. La norma solicita realizar evaluaciones de riesgos de represalias o ataques a los informantes y tomar las acciones necesarias para tratar esas amenazas. Las organizaciones que implementan ISO 37002 evalúan los riesgos específicos que acompañan cada caso, tan pronto se recibe la denuncia.

Este enfoque proactivo garantiza la seguridad de los informantes, cumpliendo con la Directiva Europea, y facilitando la toma de la decisión sobre la preservación de la identidad del denunciante hasta que sea seguro revelar esa información.

7. ¿ISO 37002 asume alguna posición sobre los denunciantes anónimos?

No. La norma no está hecha para uno u otro tipo de informantes. Sin embargo, es claro que ISO 37002, al ser un estándar de alcance internacional, respeta las legislaciones nacionales. Así, si la denuncia anónima es prohibida en algún país, ISO 37002 seguirá esa misma línea.

8. ¿Cuáles son los puntos de acuerdo entre ISO 37002 y la Directiva sobre Denunciantes de la Unión Europea?

Uno de los objetivos de ISO 37002 es asegura el cumplimiento normativo y regulatorio en cuanto a gestión de denuncias. En el continente europeo, el eje principal para ese cumplimiento es la Directiva de la Unión Europea.

ISO 37002 es un estándar complementario válido para cualquier lugar del mundo. La norma no entra en conflicto con ninguna legislación del mundo y, por el contrario, promueve la denuncia eficaz y garantiza la seguridad de los informantes.

9. ¿ISO 37002 requiere que la organización implemente y certifique ISO 37001 e ISO 37301?

No. ISO 37002, como ya se advirtió no es un estándar certificable y no está atado a otras normas ISO, certificables o no. Sin embargo, el efecto complementario del estándar se evidencia mejor en organizaciones que basan su gestión anticorrupción en el estándar ISO 37001 y su gestión de cumplimiento en ISO 37301.

10. ¿ISO 37002 tiene requerimientos específicos sobre tecnología a utilizar?

En cuanto a canales de denuncia la norma no inclina la balanza hacia uno u otro: buzón tradicional, línea telefónica fija o móvil, apartado en el sitio web, cuenta de correo electrónico… todas son igualmente válidas.

En cuanto a la investigación, los procesos de triaje y otras actividades propias del proceso, una plataforma que automatice la gestión de denuncia, entre otros aspectos que conforman la gestión anticorrupción, resultará ideal.

Software ISO 37001 de ISOTools

La gestión de denuncias es un segmento muy importante en la lucha contra la corrupción. En esta lucha, el Software ISO 37001 de ISOTools se convierte en un aliado de excepcional efectividad.

Esta plataforma, basada en la nube, entrega informes inmediatos, confiables y relevantes. La herramienta provee a los investigadores los elementos estadísticos, históricos, y los registros que permiten conformar un caso y tomar decisiones basadas en información de calidad. Tu mejor aliado en la lucha anticorrupción está aquí.

La entrada Estándar para la gestión de denuncias: respuesta a preguntas frecuentes sobre ISO 37002 se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Es mucho más importante para las organizaciones que deben afrontar procesos a gran escala, sobre un número de terceros muy alto. Por eso es necesario saber qué buscar y preguntar cuando se consideran varias opciones para contratar el software de debida diligencia.

Algunas de estas preguntas surgen de la oficina del Oficial de Cumplimiento. Es entendible: es él el que más aprovechará las funcionalidades del software de debida diligencia. Entonces, ¿cuáles son esas preguntas? Hemos recopilado las 10 más eficaces.

¿Qué preguntas hacer para elegir el software de debida diligencia adecuado?

Para muchas organizaciones, la capacidad de procesar enormes cantidades de datos resulta esencial. Otras, más pequeñas y menos complejas, pueden buscar análisis y evaluación antes que volumen de procesamiento. Por eso, es tan importante hacer las preguntas adecuadas, antes de tomar la decisión final sobre el software de debida diligencia:

1. ¿Es una solución en la nube?

Las soluciones SaaS muestran una clara preferencia de los consumidores de este tipo de productos por varias razones: tienen precios más competitivos, no requieren instalación, las actualizaciones no tienen coste para el usuario, la seguridad de los datos es óptima y el almacenamiento de información no requiere utilizar servidores.

2. ¿Es accesible desde dispositivos móviles?

El mundo corporativo moderno acontece en las oficinas, en los hogares de muchos empleados, en áreas industriales y, lo más importante, en cualquier lugar del planeta. Esto último significa que se requiere disponibilidad de la herramienta en cualquier horario y desde cualquier dispositivo. Así, la disponibilidad del software de debida diligencia desde dispositivos móviles es imprescindible.

3. ¿El software permite hacer seguimiento a terceros?

Solicitar algunos datos, confrontarlos, establecer una trazabilidad y crear una ficha de información con cada uno de ellos, aunque resulta una tarea dispendiosa, no es la única tarea importante en los procesos de debida diligencia.

Las organizaciones modernas necesitan obtener una trazabilidad del comportamiento del tercero, cruzarlo con otras fichas para obtener puntos de relación, y poder hacer seguimiento para verificar las informaciones. El monitoreo y seguimiento a terceros es una funcionalidad esencial en este tipo de soluciones informáticas.

4. ¿Es una solución configurable?

La flexibilidad es muy importante en este tipo de software, ya que es la que permite evolucionar con el marco regulatorio y adaptarse al contexto cambiante de la organización.

Esta característica se aprecia en todo su valor cuando la organización debe contratar más empleados, abrir sucursales en países que se rigen por otra legislación o cuando se establecen negocios con clientes o contratistas que operan bajo otras reglas.

5. ¿La información se almacena en una ubicación centralizada?

De no ser así, se corre el riesgo de trabajar muy duro para construir silos de datos e información. Una solución moderna, basada en la nube, debe proveer los datos desde una ubicación centralizada, y permitir la creación de diferentes niveles de acceso, con privilegios de diferente nivel.

6. ¿El proveedor ofrece soporte?

En principio, el uso del software de debida diligencia debe ser fácil, intuitivo y amigable. Sin embargo, es apenas normal que algunos empleados, especialmente los que tienen responsabilidades en el Sistema de Gestión Anticorrupción, tengan dudas o encuentren algún obstáculo al inicio. Es importante que el proveedor esté listo para resolver esas dudas.

7. ¿Ofrece informes visuales o gráficos?

La Alta Dirección, los directores de área e incluso, el mismo Oficial de Cumplimiento, valorarán la disponibilidad de mapas visuales, mapas de calor y todo aquello que les permita obtener conclusiones útiles para la toma inmediata de decisiones, sin pasar demasiado tiempo analizando complejos informes.

8. ¿Opera bajo un enfoque basado en el riesgo?

Esto adquiere especial relevancia para las organizaciones que han implementado el estándar ISO 37001 o ISO 37301. La Debida Diligencia es algo más que recopilar datos. Es una actividad que pretende, entre otros objetivos, identificar riesgos y prevenirlos.

La capacidad que tenga el software para adoptar un enfoque basado en el riesgo, identificando transacciones sospechosas o de alto riesgo, por ejemplo, pesa mucho en la balanza para la toma de la decisión.

9. ¿Se integra con otras herramientas ofimáticas?

La adopción de un software de debida diligencia no implica que se prescinda del uso de otro tipo de herramientas ofimáticas, especialmente los productos de Office. Word, por ejemplo, seguirá siendo un elemento esencial para la creación de documentos, y es importante que el nuevo software integre archivos provenientes de esa aplicación, así como de Excel o Power Point.

10. ¿La solución crece con la organización?

Las organizaciones que implementan un software de debida diligencia, para la gestión de cumplimiento o, incluso, para la gestión contable y financiera, lamentan no haber preguntado si ese desarrollo tecnológico estaba preparado para crecer con la organización, especialmente cuando esta se posiciona en otros países.

Software ISO 37001 de ISOTools

La Debida Diligencia es un proceso comercial de cumplimiento y de gestión anticorrupción esencial. El Software ISO 37001 de ISOTools permite realizar un registro estructurado de debidas diligencias, ofrecer informes inmediatos en diferentes formatos, y mostrar los riesgos o los problemas que implicaría la incorporación de un tercero determinado.

Este software trabaja para la prevención. Ofrece, además, una serie de funcionalidades para digitalizar un programa anticorrupción basado en la norma internacional ISO 37001. Solicita información sobre el Software ISO 37001 aquí.

La entrada Software de debida diligencia: 10 preguntas clave para elegir la plataforma adecuada se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Las organizaciones, en general, y los encargados de la gestión anticorrupción alientan la denuncia a través de diferentes mecanismos. Sin embargo, es claro que al final, no todas las denuncias tienen la misma importancia y, algunas de ellas, apenas consumen tiempo y recursos.

Medir la eficacia de la denuncia de irregularidades es también una forma adecuada de garantizar la conformidad con regulaciones como la Directiva de Denuncia de Irregularidades de la UE.

Contar con indicadores sobre lo que de verdad se considera eficaz y obtener una lista de verificación para medir la eficacia de la denuncia de irregularidades, permitirá obtener información valiosa, identificar problemas y ajustar el sistema, para obtener cada vez mejores resultados.

¿Qué se considera una denuncia eficaz?

En un programa anticorrupción un alto número de denuncias debe preocupar. La ausencia de ellas, también puede indicar un problema. Lo ideal es tener un número representativo de denuncias, que se puedan considerar eficaces. Este tipo de informes responden a las siguientes características:

1. La denuncia conduce a una investigación

El informe, anónimo o no, entrega información que sirve como punto de partida para iniciar una investigación. Esto no significa que necesariamente se ha cometido un delito o una irregularidad, y que hay un responsable. Pero sí se encuentran indicios que permiten al investigador hacer su trabajo e identificar problemas que pueden tener graves consecuencias en el futuro.

2. La investigación produce un resultado

Nuevamente, puede que no se trate de un responsable o un delito. Pero sí de problemas que generan diferencia de interpretación, vacíos normativos o espacios propicios a la ocurrencia de irregularidades.

3. La denuncia conduce al ajuste de políticas y procedimientos

Dependiendo de la relevancia del informe, este puede llevar al ajuste de la política anticorrupción, de la política de denuncias o de uno o varios procedimientos. Esto no está directamente relacionado con la identificación de un delito o la individualización de un culpable.

4. Produce un informe de responsabilidad o de ausencia de irregularidad

Las denuncias eficaces producen un informe final en el que se expresa con claridad la ocurrencia de una irregularidad, la existencia de un culpable y la determinación de una sanción ejemplar o, por el contrario, la certeza de que no hay anomalía.

¿Cómo medir la eficacia de la denuncia de irregularidades?

Medir la eficacia de la denuncia de irregularidades requiere considerar siete elementos esenciales y, en cada uno de ellos, evaluar el cumplimiento de ciertos requisitos.

En la siguiente tabla se encuentra el checklist ideal para calificar la eficacia de las denuncias recibidas:

Medir la eficacia de la denuncia de irregularidades es uno de los capítulos más importantes en un programa de gestión anticorrupción. La eficacia de la gestión se optimiza con el apoyo tecnológico adecuado.

Una herramienta ideal para automatizar la tarea y obtener información eficaz, así como asegurar el desempeño ideal de un canal de denuncias, es la que mencionamos en nuestro apartado final.

Software ISO 37001 de ISOTools

El Software ISO 37001 de ISOTools es una herramienta que permite automatizar las tareas de la gestión anticorrupción, basada en la norma ISO 37001, entre ellas el desempeño de los canales de denuncia, las investigaciones de irregularidades, la capacitación y la comunicación de informes, entre otras.

Esta solución informática ha sido diseñada para automatizar la gestión, alcanzar los objetivos y obtener los mejores resultados. Conózcala aquí.

La entrada Checklist: cómo medir la eficacia de la denuncia de irregularidades se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

En general, las diferentes metodologías para la evaluación de riesgos empresariales se agrupan en dos categorías: cualitativas y cuantitativas. Dentro de estas dos amplias categorías hay varias técnicas específicas de evaluación de riesgos empresariales que puede implementar en su organización. Y que explicamos a continuación.

Evaluación de riesgos empresariales – Beneficios y retos

La evaluación de riesgos es un proceso continuo de identificación, análisis y priorización de riesgos que podrían perjudicar a la organización.

Para administrar el riesgo de manera efectiva, las organizaciones deben identificar todos sus riesgos y luego analizar el impacto potencial y la probabilidad de cada uno. Esta es la base para implementar estrategias que mantengan el riesgo en niveles aceptables. Muchas de estas actividades se realizan dentro del ámbito de la evaluación de riesgos empresariales.

Como principales beneficios de la evaluación de riesgos empresariales se pueden mencionar:

• Comprender los factores de riesgo clave, los tipos de riesgo y las fuentes de riesgo.
• Decidir cuánto riesgo puede tolerar la organización.
• Evaluar el impacto potencial de los riesgos identificados y mitigar este impacto para minimizar el daño potencial.

Utilizar metodologías de evaluación de riesgos eficaces permite discernir la exposición real a diferentes riesgos y compararla con el apetito y tolerancia al riesgo de la organización. Además, son la base para aumentar la percepción sobre los riesgos que pueden afectar la operación corporativa y generar consenso para identificar los riesgos más importantes y tomar las medidas necesarias para mitigarlos.

A pesar de estos beneficios, para muchas organizaciones, la evaluación de riesgos empresariales representa un desafío por muchas razones:

• Falta de consenso en cuanto a qué riesgos se consideran más importantes.
• Poco o ningún apoyo de la Alta Dirección o los propietarios de procesos.
• Falta de procedimientos y buenas prácticas a seguir.
• Comprensión inadecuada de la cultura y el contexto empresarial de la organización.

Evaluación de riesgos empresariales – 5 metodologías de comprobada eficacia

En el área de gestión de riesgos es común utilizar métodos y herramientas de evaluación. La evaluación de riesgos empresariales, no obstante, requiere metodologías afines a la importancia del riesgo evaluado. Estas cinco, han demostrado ampliamente su eficacia:

1. Auditoría de activos

La auditoría de activos es de uso común en el área de TI o de Seguridad de la Información. Sin embargo, también puede ser utilizada cuando se trata de activos como maquinaria y equipamiento, cuando cualquier incidencia sobre estos puede paralizar la operación de la empresa.

El objetivo inicial es inventariar los activos esenciales y los procesos en los que intervienen, y verificar si están protegidos y si esta protección es consistente y eficaz.

La auditoría de activos, como su nombre indica, se enfoca en el sistema, la máquina o la propiedad física que resulta esencial para la producción del bien o servicio, antes que en el proceso o en las personas.

Es una forma fácil y efectiva de garantizar la continuidad del negocio.

2. Árbol de fallas

Una falla o fallo es un evento indeseable. Bien sea que el hecho se haya presentado, o se presuma su ocurrencia, es este el inicio de la construcción del diagrama. Se trata de una herramienta compleja, que añade hojas al árbol al contestar la pregunta «¿por qué ha ocurrido…?».

De las posibles respuestas, se derivan ramas del árbol que terminan cuando se agotan las respuestas. Para construir el árbol se utilizan diferentes símbolos, pero los más importantes son los que representan un evento y los que representan una puerta lógica.

Una puerta lógica es una entrada de información que puede ser expresada en valores binarios 0 o 1 –Falso o Verdadero. Al asignarse una función de valor con estas características, los eventos se pueden conectar hasta llegar a una causa raíz con alto grado de certeza.

Establecida la causa raíz, el proceso sigue el camino habitual en gestión de riesgos: diseñar acciones correctivas, implementarlas, verificar su eficacia y reiniciar el proceso de ser necesario.

3. Árbol de ataque

El árbol de ataque, a diferencia del de fallas, parte del supuesto de que el evento ya ha ocurrido y desde ahí inicia un modelo deductivo para descubrir cuándo, cómo y por qué ocurrió el evento negativo.

Un árbol de ataque se construye siguiendo estos pasos:

• Fijar el nodo principal o superior, que es el hecho que se presume puede ocurrir.
• Como nodos accesorios, derivados del primero, aparecen las personas, organizaciones o actores que tienen la capacidad para realizar el evento negativo, y las razones por las que lo harían.
• En otros nodos se identifican las diferentes formas en que los atacantes podrían lograr su objetivo.
• En un tercer nivel se incorporan nodos con otros objetivos secundarios y, de ser necesario, nuevos actores o atacantes no considerados con anterioridad.
• Luego se evalúa cada una de las formas o rutas de ataque, y se categoriza cada una de ellas, de tal forma que se presente un listado de la más probable hasta la más improbable.
• Con base en el listado anterior, implementar controles o medidas preventivas iniciando con la forma de mayor probabilidad.

4. Evaluación OCTAVE

OCTAVE –Operational Critical, Threat, ASSET and Vulnerability Evaluation– es una metodología de evaluación de riesgos utilizada con frecuencia en el área de TI o de Seguridad de la Información, pero que también ha demostrado gran eficacia en la evaluación de riesgos empresariales.

Aunque OCTAVE se desarrolla en tres fases, comprendiendo ocho procesos en total –4 en la primera, 2 en la segunda y 2 en la tercera-, y esto aporta una complejidad y un grado de sofisticación alto, lo cierto es que lo que se hace en la práctica es seguir un proceso rutinario de gestión de riesgos: identificar amenazas, evaluarlas, establecer impacto y probabilidad, categorizarlas, definir una opción de tratamiento –eliminar, mitigar, compartir o admitir-, implementar las acciones correspondientes y comprobar la eficacia de la gestión.

5. Modelo NIST

NIST es el Instituto Nacional de Estándares y Tecnología, agencia federal norteamericana dependiente del Departamento de Comercio. Es, en cierto modo, el ISO de los Estados Unidos de Norteamérica.

Como tal, NIST también ha desarrollado un marco efectivo para evaluar el impacto y la probabilidad de ocurrencia de riesgos empresariales. Se trata de una metodología compleja que se compila en un documento titulado SP 800-30.

Lo que hace diferente al modelo NIST de las otras herramientas de evaluación de riesgos empresariales que hoy hemos referenciado, es el enfoque estandarizado y rígido que propone, el cual solicita grandes cantidades de información de diferentes fuentes y de alta confiabilidad.

Por su eficacia comprobada, estas son las cinco herramientas para la evaluación de riesgos empresariales más utilizadas. En todas ellas, los requerimientos de información son muchos y muy exigentes.

Uno de los riesgos empresariales más relevantes es, sin duda, el riesgo de corrupción y soborno. En este caso en particular, el apoyo tecnológico resultará esencial para la eficaz gestión de riesgos.

Software ISO 37001 de ISOTools

Estadísticas, informes de gestión y todos los datos e información requeridos para la aplicación de modelos de evaluación de riesgos empresariales se pueden gestionar de forma ágil con el Software ISO 37001 de ISOTools.

Esta solución informática avanzada, permite automatizar tareas tan importantes en la gestión anticorrupción como la debida diligencia, realizando además un seguimiento eficaz e inmediato, utilizando un buen sistema de reporting. Obtenga ahora información completa sobre este software.

La entrada Evaluación de riesgos empresariales: 5 metodologías con eficacia probada se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Los oficiales de cumplimiento, la Alta Dirección o el profesional encargado de la implementación del Sistema, pueden sentirse tentados a extenderse demasiado en el contenido de la política anticorrupción, hacerlo demasiado técnico o, por el contrario, simplificar el texto y dejar fuera muchos temas importantes.

Existen muchos modelos de política anticorrupción disponibles en textos especializados y en Internet. Sin embargo, no es prudente ni aconsejable tomar uno de ellos para cambiar la información específica y cumplir con el requisito. Es importante redactar el documento con base en el contexto de la organización y cuidando que estén presentes unos elementos mínimos e imprescindibles.

Política anticorrupción – Los elementos mínimos a incluir

La política, para que sea efectiva, clara y comprensible para todos, necesita abordar temas clave, y los asuntos que se deriven de los riesgos específicos propios de la organización.

Un primer objetivo puede ser establecer una bitácora para alcanzar el cumplimiento de los requisitos de un estándar para la implementación de un Sistema de Gestión Anticorrupción eficaz. Pero esta hoja de ruta puede incorporar a su vez otros objetivos como construir una cultura ética y de cumplimiento, desarrollar controles y procedimientos adecuados y generar mecanismos para facilitar y alentar la denuncia de irregularidades.

Esto se logrará si la política incluye y considera estos elementos:

1. Alcance de la política

Por definición, la política anticorrupción tiene alcance sobre todos los empleados de la organización, en todos los niveles y en todas las ubicaciones, áreas y departamentos. Esto incluye, por supuesto, a la Alta Dirección.

Pero también es preciso incluir a los “terceros”. ¿Todos? Esta decisión dependerá de la evaluación de riesgos, de la responsabilidad de cada uno de estos terceros y de la efectividad de los controles. Pero, en primera instancia, se podría decir que empleados temporales, pasantes, contratistas y sus empleados, subcontratistas, proveedores, subsidiarios y franquiciados deberían estar cubiertos por la política.

2. Qué se considera corrupción y soborno

La corrupción, el soborno y otras prácticas no ajustadas a la ética y al código de conducta, suelen ser definidas por la legislación local en cada uno de los países. En el caso de Europa, también hay una definición a nivel continental.

Así que este tipo de conductas, son las primeras en ser incluidas en el documento. Pero puede haber otras, que, a juicio de la organización, de su Alta Dirección o de la oficina de cumplimiento, ameriten tener un lugar en la política sobre soborno y corrupción.

Aun así es posible que se requiera definir en términos semánticos cada uno de los términos, especialmente lo que significa soborno y corrupción con su definición idiomática, pero también, de acuerdo con la legislación vigente.

3. Definir los pagos de facilitación y las comisiones no autorizadas

Algunas prácticas, que indudablemente constituyen soborno y corrupción, se definen con términos como “pagos de facilitación” o “comisiones”, lo que puede eventualmente confundir a un empleado o a un tercero.

Estos términos, y estas conductas, son aceptados y permitidos en algunos países, especialmente en América Latina y África. Esto, de paso, genera la necesidad de tener una política para cada región geográfica, en organizaciones que tienen operación en diferentes países y en varios continentes.

Aún en esos países, es posible hacer que los empleados observen el código de conducta y los lineamientos de su matriz. De no ser así, es importante regular el uso de estos mecanismos, de forma tal que por lo menos no se infrinja la ley local.

De una u otra forma es importante entender que los pagos de facilitación constituyen soborno, y sería bueno que, aunque la ley de un país los permita, el empleado entienda que la organización no los acepta y los penalizará en caso de comprobar tales comportamientos.

Las comisiones tienen otro tratamiento. Y es importante que haya un consenso sobre este tema, entre la Alta Dirección, la oficina de cumplimiento, el área contable y el área legal, para definir qué características y requisitos deben reunir estos estipendios para ajustarse a la ley y al código de conducta de la organización.

4. Relación con empleados públicos

Todas las interacciones con funcionarios gubernamentales deben cumplir con la política anticorrupción, el código de conducta de la compañía y con todas las leyes, normas y reglamentos aplicables. Todas estas interacciones deben cumplir con el compromiso de la compañía de actuar de conformidad con los más altos estándares éticos y de realizar negocios de manera honesta y legal.

Otro punto importante a tratar es la definición exacta del “funcionario gubernamental”. Este puede ser el empleado, como se sobreentiende, de un organismo público perteneciente a un Estado. Pero, eventualmente, la interacción se puede dar por medio de un tercero, que habla y se expresa en nombre y representación del funcionario gubernamental.

Pero el alcance va un poco más allá: un político, el empleado de este, el aspirante a un cargo público, un consultor o asesor que hable a nombre de un organismo gubernamental, los empleados, representantes de organismos no gubernamentales, los parientes en primera línea de todos los que hemos mencionado, son susceptibles de ser considerados funcionarios gubernamentales.

5. Obsequios, prebendas, hospitalidad, viajes y entretenimiento

Obsequios, invitaciones a restaurantes, conciertos, eventos, viajes, forman parte del equipaje que llevan en su maleta empleados del área comercial de muchas organizaciones.

Los auditores, contadores y contralores están dispuestos a aceptar, hasta cierto monto, este tipo de “atenciones” a empleados de otras organizaciones, e incluso, a los ya mencionados funcionarios gubernamentales.

La política anticorrupción necesita definir el valor máximo de este tipo de obsequios y los procedimientos mediante los cuales estos regalos serán autorizados, que, por lo general, tendrá que requerir dos o tres aprobaciones.

En este caso también es preciso observar la legislación local o continental. Como complemento a la política sobre corrupción y soborno, los límites, los procesos de aprobación y los requisitos de mantenimiento de registros deben constituir un procedimiento que debe documentarse y comunicarse para conocimiento de todos los empleados y de los terceros interesados. Igualmente, es preciso determinar en qué condiciones se considera inapropiado cualquier tipo de regalo.

6. Contribuciones benéficas, donaciones y caridad

Este tipo de aportes, que pueden considerarse como ejemplo de Responsabilidad Social de la organización, podrían eventualmente constituir una infracción. La política debe, para estos casos, prescribir una exhaustiva tarea de debida diligencia para establecer que no existe ninguna conexión cercana entre la organización sin ánimo de lucro que recibirá la donación, sus fundadores, los miembros de la Gerencia, con alguna organización con la que se mantienen relaciones comerciales, un organismo regulador o una institución estatal.

7. Establecer la debida diligencia

Mencionamos la debida diligencia como elemento importante para poder efectuar donaciones o contribuciones benéficas. Sin embargo, la debida diligencia debe forma parte de todos los procesos que impliquen relaciones con terceros, especialmente contratación de empleados, suscripción de contratos, entrega de franquicias, firma de contratos de representación…

8. Denuncias, investigación y protección del denunciante

La política debe determinar con precisión que la organización, el oficial de cumplimiento y los directores de área, incentivan la denuncia, promoverán la investigación de los hechos, proporcionarán informes transparentes y protegerán a los denunciantes.

Igualmente, la política dejará claro que los empleados y terceros que conozcan hechos de corrupción, o tengan indicios de conducta antiéticas, están en la obligación de denunciarlo. La organización, por medio de la política anticorrupción, manifiesta su decidido interés por la protección de los denunciantes y la penalización de los empleados o terceros que, tras una investigación objetiva e imparcial, resultaren culpables de hechos de corrupción o fraude.

9. Capacitación y formación

La política anticorrupción también debe incluir la necesidad y obligación de formar y capacitar a los empleados en los temas que sean pertinentes o en los que se identifiquen como una brecha de conocimiento.

10. Evaluación de riesgos

La organización efectuará evaluaciones de riesgo de soborno y corrupción, y esta obligación se consignará en la política. La política anticorrupción establecerá la periodicidad de las evaluaciones de riesgos y las personas encargadas de realizarlas.

11. Consecuencias del incumplimiento

Finalmente, la organización definirá dentro de la política anticorrupción las penalizaciones y sanciones a las que se exponen los empleados que sean encontrados culpables de actos de corrupción, esto sin perjuicio de las acciones en la justicia ordinaria que se puedan presentar.

La política anticorrupción es el documento soporte de la gestión antifraude y antisoborno. De su acertada redacción dependerá en gran medida el éxito de la gestión. Pero también del uso de las herramientas tecnológicas adecuadas, para la implementación de mecanismos que hoy hemos mencionado, como canales de denuncia, investigaciones, debida diligencia y otros.

Software ISO 37001 de ISOTools

El Software ISO 37001 de ISOTools es una herramienta diseñada para automatizar muchas de las tareas que demandan tiempo y recursos humanos, en un Sistema de Gestión Anticorrupción basado en el estándar internacional ISO 37001.

Esta solución informática, agiliza, moderniza y profesionaliza la gestión, estableciendo controles, dinamizando canales de denuncia, ofreciendo informes inmediatos y automatizando la debida diligencia de terceros, que es una de las labores que mayor tiempo consume a los empleados.

Solicite más información sobre esta solución tecnológica aquí.

La entrada Política anticorrupción: elementos y consideraciones clave a incluir se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La responsabilidad de implementar controles internos para prevenir el fraude corresponde a la Alta Dirección. También se debe encargar de verificar que los controles son eficaces y que en la práctica cumplen con su tarea de prevenir conductas dolosas y contrarias a la ética.

Si bien, auditores e inspectores podrían asumir una parte de la responsabilidad, es claro que el compromiso de que se ejecute el diseño, implementación y revisión de los controles internos para prevenir el fraude, corresponde a la gerencia y responsables de alto nivel.

Controles internos para prevenir el fraude – ¿Cómo implementarlos y hacer que sean eficaces?

Antes de implementar controles internos para prevenir el fraude, la organización debe asumir otra responsabilidad: crear una cultura ética. Sin ello, será difícil que los controles cumplan la tarea que se espera de ellos.

Los controles internos para prevenir el fraude conforman un sistema basado en políticas y procedimientos. En la práctica, los controles actúan como filtros en procesos de aprobación, de compras, de acceso a cuentas bancarias, de seguridad física, de transacciones de determinada suma y otros similares.

Ejemplos de controles internos para prevenir el fraude

División de responsabilidades en los procesos de compra

En este tipo de procesos, usualmente encontramos una división de responsabilidades. División que es tan amplia, como compleja y grande sea la organización.

Veamos un ejemplo, con un proceso de adquisición típico en una empresa de cierta complejidad:

• Un oficial de compras especifica los bienes o servicios requeridos, y probablemente fija un precio base para su compra.
• Un superior, director de área o quien haga sus veces, aprueba la compra.
• Otro oficial de compras obtiene cotizaciones y negocia con la mejor oferta.
• El área que solicitó los bienes o servicios revisa la factura y verifica su concordancia con lo recibido.
• Se realizan los respectivos asientos contables.
• El área de tesorería gestiona el pago, una vez verifica la validez del documento – factura -, y la corrección de la información contable.
• El contador general de la organización revisa el conjunto de documentos y los trámites observados en cada paso, y aprueba la transacción en su conjunto, ordenando el pago.

Este esquema de por sí ya plantea controles al segregar las funciones en tantos empleados. Pero aún será posible agregar controles internos adicionales:

• Solicitar firmas adicionales para la aprobación de la transacción, cuando sobrepasen un determinado monto de dinero.
• Rotar a los empleados en sus funciones, en especial a los del área de compras.
• Obligar a los empleados a tomar vacaciones, para analizar el comportamiento de un determinado puesto de trabajo cuando otra persona está a cargo.
• Restringir el acceso a determinadas áreas, y el ingreso de teléfonos, memorias USB, cámaras, y otros similares.

Evaluación previa a la contratación

Consiste en el proceso de verificar las cualificaciones, idoneidad y experiencia de un candidato potencial para un empleo. Las técnicas utilizadas incluyen la confirmación de cualificaciones educativas y profesionales, la verificación de antecedentes laborales, búsquedas de antecedentes penales y verificación de situación financiera. Para todas las evaluaciones, la organización debe obtener el permiso por escrito de la persona.

La evaluación de los solicitantes ayuda reducir la probabilidad de que se asigne un papel de importancia dentro de la empresa a personas con antecedentes de comportamiento deshonesto o fraudulento y, por lo tanto, es un procedimiento importante de prevención del fraude.

Realizar una evaluación formal del riesgo de fraude en toda la organización

Permite identificar y abordar de manera proactiva las vulnerabilidades de una organización frente al fraude tanto interno como externo. Como cada organización es diferente, lo que se evalúa y cómo se evalúa debe adaptarse a la organización; no existe un enfoque único. Además, los riesgos de fraude organizacional cambian continuamente. Por lo tanto, es importante pensar en una evaluación del riesgo de fraude como un proceso continuo en lugar de una actividad aislada.

Implementación de canales de denuncias

A través de los canales de denuncia, fuentes internas y externas pueden denunciar de forma anónima y confidencial comportamientos fraudulentos, sospechosos o de otro tipo.

Históricamente, la recepción de avisos internos o externos ha representado el método de detección de fraude más común. La Dirección debe respaldar una formación adecuada y continua, junto con políticas y procedimientos claros de denuncia de irregularidades. Canales de denuncia eficaces, especialmente cuando van acompañados de un plan de respuesta ante el fraude firme y un programa de recompensas, mejoran la percepción de cultura contra el fraude.

Además, las organizaciones deben contar con procesos que capturen, clasifiquen, evalúen, investiguen e informen de forma adecuada de las irregularidades y eficacia de los controles internos para prevenir el fraude.

Conciliación de cuentas bancarias y revisión de la gestión financiera

Los controles financieros brindan información sobre diferencias entre los saldos de efectivo/depósitos bancarios y los datos registrados en los libros contables de la organización.

Dependiendo del tamaño de la organización y el volumen de transacciones, las conciliaciones se pueden realizar de forma diaria a mensual. También se debe implementar una separación adecuada de funciones en el proceso de conciliación de saldos contables, en el sentido de que los encargados de evaluarla no sean las mismas personas que realizan la gestión financiera en el día a día.

Como comentamos más arriba, el número y el tipo de controles que se implementen dependerá de la naturaleza de la organización, de su complejidad y tamaño, pero también de las señales de advertencia que se hayan recibido.

La introducción de nuevos controles internos para prevenir el fraude necesita ser documentada con claridad y precisión. La eficacia de los nuevos controles debe ser revisada con determinada periodicidad, y en consonancia con los procesos de gestión de riesgos de corrupción.

Además, el uso de los recursos tecnológicos adecuados puede constituirse en un efectivo control antifraude adicional.

Software ISO 37001 de ISOTools

El monitoreo proactivo mediante la tecnología y la detección de fraudes basado en datos, incluida la automatización de procesos, puede ser una forma eficaz de identificar señales de alerta y otras anomalías que alguna vez fueron difíciles de detectar.

El Software ISO 37001 de ISOTools permite agilizar, modernizar y profesionalizar la gestión anticorrupción, estableciendo controles eficaces, canales de denuncia, procesos de debida diligencia, gestión de investigaciones y revisión previa a la contratación, entre otros.

Solicita el asesoramiento de un consultor experto.

La entrada Controles internos para prevenir el fraude: cómo implementar un sistema eficaz se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Es al evaluar el riesgo de corrupción cuando identificamos, conocemos y comprendemos las amenazas reales de corrupción, fraude y soborno que penden sobre la organización. Es por ello que, en gran medida, el éxito y la eficacia de un Sistema de Gestión Anticorrupción o de un programa de cumplimiento, dependen de evaluar el riesgo de corrupción en el momento oportuno y de hacerlo de forma adecuada.

Pero, además de la importancia manifiesta, es necesario evaluar el riesgo de corrupción porque así lo solicita ISO 37001. Ya encontramos dos razones para hacerlo. A continuación, explicamos otras tan relevantes como estas y aportamos algunas pautas para hacer la evaluación de forma eficaz.

Evaluar el riesgo de corrupción – ¿Por qué es importante?

En algunas organizaciones, la evaluación de riesgos puede plantear problemas que no se presentan en otras. La ubicación geográfica, o el alcance de una organización hacia otros países, es usualmente la razón para que esto ocurra.

La corrupción es un tema muy complejo. Lo que aquí es un delito es probable que en algún país de América Latina o de África no solo no lo sea, sino que represente la forma usual de hacer negocios. Esto hace que la percepción de riesgo sea muy diferente de un contexto a otro.

Esto no significa que en algunas organizaciones no sea necesario evaluar el riesgo de corrupción. Por el contrario resulta aún más importante, solo que se hará considerando variables diferentes. En términos generales, consideramos que es importante evaluar el riesgo de corrupción porque:

Contribuye a la eficacia del programa de cumplimiento

De acuerdo con el panorama normativo y regulatorio actual el cumplimiento y la gestión de corrupción van de la mano. No se concibe un programa de cumplimiento efectivo en una organización que no trabaja para prevenir la corrupción y que no opera bajo las mejores prácticas comerciales aceptadas internacionalmente.

La evaluación de riesgos de corrupción alimenta una parte muy importante del programa de cumplimiento que a su vez, con base en ello, diseña e implementa procesos que llevan a los empleados a trabajar y comportarse dentro de un marco normativo ético y de buena conducta, en el que difícilmente prosperará la corrupción.

Gestión de cumplimiento y gestión anticorrupción conforman un sistema simbiótico que requieren uno del otro para su funcionamiento y para alcanzar los objetivos que justifican la existencia de cada uno de ellos.

Permite asignar los recursos adecuados

La correcta evaluación de riesgos de corrupción permite establecer qué tan crítica es la situación y cuánto trabajo y recursos requerirá crear un marco de tranquilidad para operar.

Como cualquier proceso, área o Sistema de Gestión, la gestión anticorrupción y el programa de cumplimiento solicitan recursos para operar. ¿Cuántos y cuáles? Eso depende de los peligros que tengan que enfrentar. Y ahí es donde interviene directamente la evaluación de riesgos de corrupción.

Ayuda a tomar decisiones acertadas sobre la asignación de recursos

Una cosa es saber cuántos y cuáles son los recursos que se requerirán y otra, muy diferente, es ubicarlos en los lugares y/o áreas precisas. Es en este punto donde más apreciamos los beneficios de una buena evaluación de riesgos de corrupción. Si el trabajo se ha hecho bien, los profesionales en gestión de riesgos podrán indicar con precisión dónde es preciso “afinar la máquina”.

Evaluar el riesgo de corrupción garantiza entonces, que los recursos lleguen a los puntos críticos en los que los riesgos son más altos.

Evaluar el riesgo de corrupción – ¿Cómo hacerlo?

La evaluación de riesgos de corrupción es un ejercicio en el que básicamente se observa un escenario desde diferentes puntos. Las conclusiones desde cada uno de estos puntos son diferentes y, sin duda, se requiere de cada una de ellas para obtener una evaluación integral, completa y relevante.

No hablamos hoy de la ya recurrida forma de evaluar riesgos, que nos lleva por el camino de la identificación, impacto, probabilidad, priorización… Esto, que es importante e inevitablemente debe hacerse, constituye una segunda etapa después de:

Considerar y conjugar riesgos globales y locales

Vamos un tanto hacia atrás en este mismo texto: lleguemos al apartado donde afirmamos que uno de los problemas que enfrenta la gestión de riesgos de corrupción es la complejidad marcada por lo que se considera conducta impropia, antiética o delito en algunas zonas geográficas, pero es aceptado, tolerado y hasta necesario en otras.

Es claro que evaluar el riesgo de corrupción debe considerar riesgos locales, regionales, intercontinentales y globales. Es preciso tener en cuenta que las organizaciones no solo enfrentan esta dualidad de criterios por tener sucursales u operar en otros países. También lo hacen como consecuencia de su interacción con clientes, proveedores, socios o inversores provenientes o relacionados con otras zonas geográficas.

Considerar riesgos locales, regionales o globales es hoy imperativo. Solo así será posible implementar un sistema anticorrupción que envíe un mensaje claro: la organización tiene tolerancia cero frente a la corrupción y se compromete con las mejores prácticas y con el cumplimiento aquí y en cualquier lugar del mundo.

Involucrar a los responsables de las diferentes áreas

Aún dentro de la organización, la evaluación de riesgos puede pasar por alto una sección, un departamento o un área. Esto puede suceder porque los profesionales encargados piensan o suponen que existen espacios que, por una u otra razón, no justifica que se invierta tiempo y recursos.

Servicios generales, por ejemplo, es un departamento o área donde trabajan las personas que se encargan de la limpieza, mantenimiento o servicios alimentarios en una organización. Aunque, por supuesto, representa un riesgo menor que el área de compras o el área financiera, no puede subestimarse o dejar de evaluar los riesgos en ese área.

La corrupción toma diferentes formas y ataca en los puntos vulnerables. De ahí, la importancia de involucrar a todos los directores de todas las áreas y en todos los niveles en la evaluación de riesgos de corrupción.

Pensar en la prevención y detección oportuna antes que en la reacción

Evaluar el riesgo de corrupción sirve para algo más que obtener una lista de amenazas. Las acciones que se deben seguir en caso de ocurrencia de una infracción, aunque no sobran, no son tampoco el objetivo principal.

Lo que se necesita son controles efectivos, identificar necesidades de formación y capacitación, diseñar procesos eficaces de debida diligencia y establecer quiénes los llevarán a cabo y en qué momento, pero, sobre todo, evidenciar la importancia de contar con las herramientas tecnológicas adecuadas para garantizar la prevención y detección oportuna.

La debida diligencia para cumplir con los requisitos de ISO 37001, por ejemplo, es una actividad que puede demandar un esfuerzo que supere la capacidad del Recurso Humano de la organización. La automatización, derivada de la adopción de una solución informática eficaz, puede ser la solución.

Software ISO 37001 de ISOTools

Las evaluaciones de riesgos de corrupción y la debida diligencia de terceros, son apenas dos de las tareas que demanda la gestión anticorrupción. El trabajo es complejo y arduo, y puede sobrepasar la capacidad de los empleados.

El Software ISO 37001 de ISOTools es una novedosa solución informática, que ha sido diseñada para absorber la carga administrativa que implica un Sistema de Gestión Anticorrupción, garantizando el cumplimiento y la conformidad con la norma ISO 37001.

Hoy su organización tiene la oportunidad de dar un paso seguro hacia la certificación y hacia la construcción de un marco de operación transparente y ético. Consulte a uno de nuestros asesores aquí.

La entrada El valor de evaluar el riesgo de corrupción: por qué es importante y cómo gestionarlo de forma eficaz se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.