La norma ISO 37001 establece un marco para ayudar a las organizaciones a prevenir, detectar y abordar el soborno. Proporcionando un conjunto de buenas prácticas para la gestión del riesgo de corrupción. La versión 2025 introduce cambios para alinearse mejor con otros estándares internacionales y reflejar las lecciones aprendidas desde su lanzamiento inicial en 2016.

Actualizaciones de la transición a la nueva ISO 37301:2025

Las actualizaciones en la transición hacia la nueva norma ISO 37301:2025 incluyen una serie de mejoras y ajustes clave. Estas refuerzan la eficacia de los sistemas de gestión de compliance y fortalecen los mecanismos de integridad en las organizaciones. Entre los principales cambios se destacan:

• Mayor alineación con la ISO 37301 sobre sistemas de gestión de compliance, permitiendo una mejor integración con otros estándares internacionales de gestión, facilitando su implementación y armonización con los marcos regulatorios existentes.
• Un enfoque más estructurado en la debida diligencia para terceros y socios comerciales, asegurando que las organizaciones realicen evaluaciones más rigurosas de los riesgos asociados con sus relaciones externas, incluyendo proveedores, distribuidores y otros actores clave en la cadena de valor.
• Reforzamiento del liderazgo y la cultura organizacional en la lucha contra la corrupción, promoviendo una mayor responsabilidad de la alta dirección y fomentando una cultura de cumplimiento que impregne todos los niveles de la empresa, con énfasis en la ética y la transparencia.
• Mejoras en los mecanismos de denuncia y en la protección de denunciantes, estableciendo procedimientos más claros, seguros y efectivos para que los empleados y otros interesados puedan reportar posibles irregularidades sin temor a represalias, fortaleciendo así la confianza en el sistema de compliance.
• Mayor énfasis en la evaluación de riesgos y en los controles internos, con metodologías más robustas para la identificación, análisis y mitigación de riesgos, asegurando que las organizaciones cuenten con estructuras adecuadas para prevenir, detectar y responder a posibles incumplimientos normativos.

Diferencias Clave entre la ISO 37001:2016 y la ISO 37001:2025

La transición de la ISO 37001:2016 a la ISO 37001:2025 trae consigo una serie de cambios significativos. Buscan fortalecer la gestión del riesgo de soborno y la integración con otros sistemas de cumplimiento. Algunas diferencias clave son:

1.Integración con la ISO 37301

La versión 2025 permite una mejor compatibilidad con los sistemas de gestión de compliance en general, facilitando su implementación dentro de marcos más amplios.

2. Mayor énfasis en el liderazgo

La nueva versión refuerza el papel de la alta dirección en la promoción de una cultura ética, asegurando que el compromiso contra el soborno provenga de los niveles más altos de la organización.

3. Requisitos más estrictos en la debida diligencia

Se incrementan las exigencias para evaluar y gestionar el riesgo de soborno en terceros, como proveedores y socios comerciales.

4. Fortalecimiento de los canales de denuncia

Se establecen mecanismos más claros para proteger a los denunciantes y garantizar que sus informes sean tratados de manera eficaz y segura.

5. Evaluación de riesgos más dinámica

 La versión 2025 exige una revisión y actualización periódica de los riesgos, en lugar de una evaluación estática ocasional.

La transición de la ISO 37001:2016 a la ISO 37001:2025 trae consigo una serie de cambios significativos. Buscan fortalecer la gestión del riesgo de soborno y la integración con otros sistemas de cumplimiento.
Compartir en X

 Beneficios de la Implementación de la ISO 37001

Adoptar un sistema de gestión antisoborno basado en la ISO 37001 proporciona numerosas ventajas a las organizaciones, en la mejora de la cultura corporativa y la competitividad. Entre los principales beneficios destacan:

• Mitigación del riesgo legal y reputacional: al implementar controles efectivos, las empresas pueden reducir significativamente el riesgo de verse envueltas en casos de soborno y corrupción, protegiendo su imagen y evitando sanciones.
• Mayor confianza de inversores y clientes: contar con una certificación en ISO 37001 refuerza la reputación de la organización, generando confianza entre sus stakeholders y facilitando relaciones comerciales.
• Eficiencia operativa mejorada: la estandarización de procesos y controles ayuda a reducir errores y mejorar la gestión interna, optimizando recursos.
• Ventaja competitiva en licitaciones y contratos: muchas organizaciones y gobiernos priorizan la contratación de empresas certificadas en ISO 37001, otorgando una ventaja clave a quienes cumplen con la norma.
• Fomento de una cultura de ética y transparencia: la implementación de esta norma contribuye a crear un entorno organizacional basado en la integridad, donde se promueve el comportamiento ético.

Software ISO 37001:2025

Actualmente la lucha contra el soborno se ha convertido en una prioridad para empresas de todos los sectores. Cumplir con la ISO 37001 ya no es una opción, sino una necesidad para evitar sanciones, mejorar la reputación y generar confianza.

ISOTools te ofrece la plataforma más avanzada para la gestión automatizada del Sistema de Gestión Antisoborno (SGAS), con el software ISO 37001, simplificando la implementación, monitoreo y mejora continua de la norma.

¿Por qué elegir el software ISO 37001 de ISOTools?

• Automatización completa
• Cumplimiento normativo asegurado
• Evaluación de riesgos en tiempo real
• Módulo de denuncias anónimas
• Integración con otros sistemas
• Soporte experto y actualizaciones constantes

Transforma la gestión de ISO 37001:2025 en tu empresa con ISOTools, fortaleces la cultura ética de tu organización y te posicionas como un referente en transparencia y responsabilidad corporativa.

La entrada ¿Cómo es el proceso de transición a la nueva ISO 37001:2025? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Un programa de cumplimiento ISO 37301 ayuda a contar con un marco adecuado para garantizar el cumplimiento de las responsabilidades legales y minimizar los riesgos.

El programa de cumplimiento ISO 37301 garantiza que la organización se integra con todas las regulaciones, estándares, leyes y prácticas éticas que se pueden aplicar, pero también que se cumplen las obligaciones.

Claves para poner a prueba tu programa de cumplimiento según ISO 37001

1. Identificación de debilidades y riesgos

Uno de los principales objetivos de poner a prueba un programa de cumplimiento es identificar vulnerabilidades que podrían derivar en incumplimientos legales o éticos. A través de auditorías internas y pruebas de resistencia, se pueden detectar fallas en los controles internos, procesos deficientes o brechas en la cultura organizacional que podrían comprometer la integridad de la empresa.

Las pruebas regulares permiten evaluar:

• Si los controles de cumplimiento son efectivos y actualizados.
• Si los empleados comprenden y siguen las políticas establecidas.
• Si existen riesgos emergentes que requieren atención.

2. Cumplimiento con los requisitos de ISO 37301

La norma ISO 37301 exige que los sistemas de gestión de cumplimiento sean evaluados y mejorados continuamente. Para cumplir con esta norma, las organizaciones deben realizar auditorías periódicas, evaluaciones de riesgo y revisiones de desempeño. Estos ejercicios garantizan la conformidad con la norma, fortalecen la credibilidad y la reputación de la empresa.

3. Reducción de riesgos legales y sanciones

El incumplimiento normativo puede conllevar graves consecuencias legales y económicas, desde multas y sanciones hasta la pérdida de licencias y daños reputacionales. Al evaluar y mejorar el programa de cumplimiento de manera constante, las organizaciones pueden reducir significativamente estos riesgos, asegurándose de que sus operaciones se alinean con los requisitos legales.

4. Mejora de la cultura organizacional

Un programa de cumplimiento efectivo se enfoca en el cumplimiento normativo y fomenta una cultura de integridad y ética dentro de la organización. Al poner a prueba el programa de cumplimiento, se puede medir el grado de compromiso de los empleados con las políticas de la empresa y reforzar una cultura de cumplimiento a través de capacitaciones, incentivos y mecanismos de denuncia confiables.

5. Adaptabilidad a cambios regulatorios

Las normativas y regulaciones están en constante evolución, y un programa de cumplimiento que no se actualiza corre el riesgo de volverse obsoleto. Evaluar periódicamente el programa de cumplimiento permite anticipar y adaptarse rápidamente a cambios regulatorios, evitando posibles incumplimientos y asegurando la competitividad de la organización.

Un programa de cumplimiento ISO 37301 ayuda a contar con un marco adecuado para garantizar el cumplimiento de las responsabilidades legales y minimizar los riesgos.
Compartir en X

¿Qué ventajas traería implementar un programa de cumplimiento según la ISO 37301 en tu empresa?

Esta norma es una herramienta estratégica que puede aportar beneficios claros y tangibles a tu empresa, tanto a nivel interno como externo. En ella podemos encontrar ciertas ventajas relevantes para las organizaciones:

• Mejora de la reputación corporativa: tener la certificación ISO 37301 es igual que llevar un sello de calidad. De esta manera refuerzas tu imagen y les das valor profesional a tu organización. Esto puede marcar la diferencia.
• Reducción de riesgos legales y financieros: está claro que nadie quiere verse en la situación de tener que enfrentarse a una multa o problemas legales porque su empresa no cumple con determinada normativa. En este caso, la ISO 37301 se convierte en tu aliada. Al implementar esta norma, se establecen controles claros para prevenir incumplimientos. Así reduces al máximo los contratiempos.
• Optimización de procesos internos y toma de decisiones: la ISO 37301 te hace revisar tus procesos, definir responsabilidades claras y asegurarte de que todo esté alineado con tus objetivos. El resultado es un equipo más enfocado y eficiente, una estructura interna más sólida y una mejor capacidad para tomar decisiones informadas. Al final, lo que parece ser solo «cumplir con las reglas» se convierte en una ventaja competitiva que impulsa el crecimiento de la empresa.

Software ISO 37301

Para garantizar una evaluación efectiva y en tiempo real de tu programa de cumplimiento, ISOTools ofrece el Software ISO 37301 una solución avanzada que automatiza procesos, facilita la identificación de riesgos y mejora la toma de decisiones estratégicas.

Ventajas de utilizar ISOTools:

• Monitoreo continuo: supervisa el cumplimiento en tiempo real y detecta posibles fallas.
• Automatización de procesos: reduce la carga operativa y optimiza la gestión normativa.
• Gestión centralizada: accede a todas las políticas y regulaciones desde una plataforma unificada.
• Análisis predictivo: anticipa riesgos y mejora la estrategia de cumplimiento.

Poner a prueba tu programa de cumplimiento según ISO 37301 es una necesidad para minimizar riesgos y fortalecer la confianza en tu organización. Con ISOTools, puedes llevar tu sistema de cumplimiento al siguiente nivel y garantizar que tu empresa opere con la máxima transparencia y eficiencia. ¡Descubre hoy mismo cómo optimizar tu gestión de cumplimiento!

La entrada Importancia de poner a prueba tu programa de cumplimiento según ISO 37301 se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

En este artículo, exploraremos los pasos necesarios para preparar una Auditoria Interna, su importancia en el contexto del compliance, y cómo apoyarse en herramientas tecnológicas para optimizar los resultados.

Auditoria Interna

Una Auditoria Interna es un proceso sistemático y objetivo diseñado para evaluar el desempeño de una organización en áreas específicas, asegurando que sus operaciones cumplan con políticas internas, normativas externas y estándares de calidad o cumplimiento.

En el ámbito del compliance, este proceso evalúa si la empresa está alineada con marcos normativos como la Ley Sarbanes-Oxley (SOX), la FCPA, o estándares internacionales como la ISO 37301:2021 de Sistemas de Gestión de Cumplimiento.

Objetivos principales de la Auditoria Interna en compliance:

• Identificar no conformidades o áreas de incumplimiento.
• Evaluar la efectividad de los controles internos.
• Proporcionar recomendaciones para la mejora continua.
• Garantizar la transparencia y la integridad en las operaciones de la organización.

Importancia para el Compliance

Mitigación de riesgos legales y reputacionales

Un incumplimiento puede derivar en sanciones legales, multas económicas y daño reputacional. Una Auditoria Interna permite anticiparse a estos riesgos, identificándolos y corrigiéndolos antes de que se conviertan en problemas mayores.

Fomento de una cultura de cumplimiento

El proceso de auditoría promueve la concienciación entre los empleados sobre la importancia de adherirse a normativas y políticas corporativas. Esto fortalece la cultura ética de la organización.

Optimización de procesos

Al revisar procedimientos y controles, las auditorías identifican ineficiencias y áreas de mejora, optimizando recursos y asegurando que la empresa opere de manera más efectiva.

Preparación para auditorías externas

Una Auditoria Interna sólida prepara a la organización para futuras evaluaciones externas, asegurando un proceso fluido y exitoso.

Pasos para Preparar una Auditoria Interna

1. Definir los objetivos y alcance

Antes de iniciar, es fundamental establecer:

• Objetivos específicos: ¿Qué se busca evaluar? Por ejemplo, controles financieros, protección de datos o políticas anticorrupción.
• Alcance de la auditoría: Determinar qué departamentos, procesos o geografías serán revisados.

2. Diseñar un plan de auditoría

Un plan bien estructurado es esencial para garantizar que la auditoría sea eficiente y efectiva. Este debe incluir:

• Criterios de evaluación: Normas internas, regulaciones externas y estándares internacionales.
• Cronograma: Fechas específicas para cada fase del proceso.
• Asignación de responsabilidades: Definir roles para los auditores y las partes involucradas.

3. Seleccionar un equipo de auditores

El equipo debe ser independiente, objetivo y contar con la formación necesaria en compliance. En algunos casos, puede ser útil incluir consultores externos para asegurar imparcialidad.

4. Revisión documental

Los auditores deben recopilar y analizar documentos relevantes, tales como:

• Políticas internas.
• Manuales de procedimientos.
• Registros de actividades y controles.
• Informes de auditorías previas.

5. Realizar entrevistas y observaciones

Interactuar con empleados y observar los procesos en acción permite obtener una visión clara sobre cómo se implementan las políticas y controles.

La Auditoria Interna es una herramienta clave para garantizar que las organizaciones cumplan con los estándares y regulaciones de compliance.
Compartir en X

6. Identificación de hallazgos

Durante la auditoría, los auditores deben registrar:

• Fortalezas: Aspectos donde la organización cumple de manera efectiva.
• Debilidades: Áreas donde se detectan incumplimientos o riesgos potenciales.

7. Generar un informe final

El informe debe incluir:

• Resumen ejecutivo.
• Hallazgos clave, con énfasis en no conformidades.
• Recomendaciones prácticas para corregir las debilidades identificadas.
• Plan de acción propuesto, con plazos y responsables.

Mejores prácticas para el éxito

Compromiso de la alta dirección

El liderazgo debe respaldar el proceso de auditoría, garantizando que los empleados colaboren y se implementen las mejoras necesarias.

Comunicación efectiva

Informar a los empleados sobre el propósito y los beneficios de la auditoría ayuda a reducir resistencias y fomenta la transparencia.

Enfoque en la mejora continua

Más allá de identificar problemas, el objetivo debe ser fortalecer los sistemas y procesos de la organización.

Uso de tecnología

Herramientas como compliance software pueden automatizar la recopilación de datos, el análisis y la generación de informes, facilitando una auditoría más ágil y precisa.

Beneficios de la Tecnología en el Proceso de Auditoría

La implementación de tecnología en las auditorías internas no solo ahorra tiempo, sino que también mejora la precisión y la consistencia. Un compliance software permite:

• Automatizar la evaluación de controles y procesos.
• Generar informes detallados en tiempo real.
• Monitorear el cumplimiento continuo.
• Facilitar la gestión de riesgos y la toma de decisiones basada en datos.

Software de GRCTools para llevar a cabo las auditorias internas

El Software de Compliance de GRCTools es una solución integral diseñada para simplificar y optimizar las Auditorias Internas en el ámbito del compliance. Esta herramienta permite a las organizaciones gestionar todos los aspectos de sus programas de cumplimiento, asegurando que se alineen con las normativas aplicables.

Características destacadas:

• Gestión de auditorías: Planifica, ejecuta y da seguimiento a auditorías internas de manera automatizada.
• Evaluación de riesgos: Identifica y mitiga riesgos de cumplimiento en tiempo real.
• Documentación centralizada: Almacena políticas, registros y reportes en un solo lugar, garantizando accesibilidad y seguridad.
• Monitoreo continuo: Supervisa el cumplimiento de normativas y estándares internacionales.

Con el Software de Compliance de GRCTools, las organizaciones pueden garantizar auditorías más eficientes y precisas, minimizando riesgos y fomentando una cultura sólida de cumplimiento.

La entrada Cómo Preparar una Auditoria Interna para Cumplir con los Estándares de Compliance se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La inteligencia artificial produce noticias todos los días. Por ello no sorprende la que reporta la incursión de la inteligencia artificial en GRC. Los informes indican que una de cada tres organizaciones ya implementó inteligencia artificial en su gestión GRC, mientras que las otras dos ya exploran caminos para llegar al mismo punto.

Las organizaciones, en una primera conclusión, tienen mucho que aprovechar al incorporar la inteligencia artificial en GRC. ¿En qué casos prácticos pueden hacerlo y cuáles son las tendencias? Lo analizamos a continuación.

¿En qué casos de uso prácticos se puede aplicar inteligencia artificial en GRC?

Para algunas organizaciones que aún no implementan modelos de gestión GRC, la inteligencia artificial es una amenaza y un factor generador de nuevos riesgos. Entrar en la órbita de GRC hace que esta percepción cambie.

La inteligencia artificial en GRC se convierte en un activo de valor estratégico al permitir identificar riesgos en tiempo real, fomentar la colaboración en todas las áreas y aumentar la eficiencia en general.

El concepto se entiende mejor si se conocen los casos de uso reales con los que la tecnología revoluciona la gestión GRC:

1. Diseño de estrategias proactivas de Gestión de Riesgos

Procesar grandes cantidades de datos en una fracción de segundo es una capacidad que puede ser aprovechada por herramientas de inteligencia artificial en GRC, proponiendo estrategias efectivas para prevenir riesgos.

2. Identificar desviaciones y patrones

En miles o millones de datos y registros, para un ser humano resulta imposible identificar patrones o desviaciones. Los dos son eventos importantes porque permiten establecer tendencias, predecir escenarios futuros o identificar un problema o un riesgo.

3. Definición de Marcos de Control

Un Marco de Control es un sistema de gestión que integra cinco componentes: contexto, evaluación de riesgo, comunicación, procesos y supervisión. Este tipo de Marcos permiten a la Alta Dirección dar respuesta inmediata, con un alto nivel de efectividad, a todo tipo de eventos y situaciones en cualquier área de la organización. El diseño de estos modelos de gestión es complejo y requiere de una gran cantidad de datos e información. El problema lo soluciona la Inteligencia Artificial.

4. Automatización de procesos

GRC incorpora tres elementos – Gobernanza, Riesgo y Cumplimiento – que necesitan grandes cantidades de datos y registros. La Debida Diligencia y la Evaluación de Riesgos, son dos ejemplos representativos de ello.

La Inteligencia Artificial en GRC permite automatizar estos y muchos otros procesos. Una plataforma dotada con funcionalidades de Inteligencia Artificial puede tomar datos de forma autónoma, procesarlos, producir informes automáticos, extraer información relevante, generar mapas de calor, producir flujos de trabajo y notificar a las personas interesadas, entre otras muchas e interesantes posibilidades.

5. Automatización de la Gestión de Riesgos

Aunque se menciona en los ítems anteriores, es preciso individualizar y resaltar el gran servicio que puede prestar la Inteligencia Artificial en un área que resulta vital para cualquier organización, pero especialmente para las que operan bajo un marco GRC.

Habar de la utilidad de las evaluaciones de riesgo para una organización resulta redundante. No obstante, el tiempo y los recursos que consume esta tarea se convierte en un obstáculo para muchos equipos de Gestión de Riesgos. La Inteligencia Artificial puede automatizar la Gestión en su totalidad, entregando evaluaciones diarias si es preciso, prediciendo amenazas para periodos de tiempo no imaginados y generando informes constantes sobre el estado de la Gestión de Riesgos.

6. Comprobación automática del cumplimiento

La capacidad para aprender es una de las habilidades que separa la Inteligencia Artificial de su antecesora, la Big Data. Esto hace que la Inteligencia Artificial en GRC tenga la capacidad para recopilar las novedades en cuanto a marco regulatorio, legal y normativo, evaluarlas, establecer aplicabilidad y relevancia, alertar sobre nuevas obligaciones y, finalmente, hacer un rastreo constante en busca de fallas de cumplimiento, inminencia de incumplimiento o riesgos potenciales.

7. Producción automática de informes

Las organizaciones GRC tienen, entre sus obligaciones de cumplimiento, la de presentar ciertos informes de carácter regulatorio. Las herramientas de Inteligencia Artificial pueden generar estos informes, ya que cuentan con la información y los datos necesarios. La gran diferencia es que estas herramientas incorporan funcionalidades de aprendizaje automático y procesamiento de lenguaje natural, que llevan a la producción automática de informes y análisis.

Software ISO 37301 de ISOTools

Las exigencias normativas y regulatorias cambian todos los días. La tendencia es hacia el crecimiento de requisitos y obligaciones. Las organizaciones necesitan procesar grandes cantidades de datos y registros en muy poco tiempo.

Para empresas que operan bajo modelos GRC el Software ISO 37301 de ISOTools se convierte en la herramienta ideal, apoyada por Inteligencia Artificial, para afrontar el desafío. Automatizar tu programa de cumplimiento es el camino por seguir. Todo inicia aquí.

La entrada El auge de la inteligencia artificial en GRC: tendencias y casos de uso se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La relación que se establece con los trabajadores es compleja. Implica considerar, además de las obligaciones contractuales que adquiere la empresa con sus empleados, normas de origen local, nacional y requisitos de orden internacional. Por eso, el cumplimiento en Recursos Humanos enfrenta desafíos mayores.

La amplitud del espectro sobre el que se mueve el cumplimiento en Recursos Humanos y la diversidad de fuentes de obligaciones legales y regulatorias, llevan a los profesionales encargados a cometer errores.

Por supuesto, son fallas entendibles, pero no por ello de obligatoria aceptación. Es preciso tomar acciones para resolver los problemas. Es el tema que abordamos hoy, empezando por entender la importancia del cumplimiento en Recursos Humanos.

¿Por qué es importante el cumplimiento en Recursos Humanos?

El cumplimiento en Recursos Humanos demuestra que la organización, además de verificar el cumplimiento de múltiples obligaciones, se preocupa por implementar las mejores prácticas de convivencia laboral, de Seguridad y Salud en el Trabajo y de bienestar económico y social de sus trabajadores.

Comportamientos censurables, como el acoso laboral, sexual o la discriminación por cualquier causa, también competen al cumplimiento en Recursos Humanos. Pero existen otras razones relevantes para considerar que este es un tema de gran importancia en una organización que espera generar un crecimiento constante y ser exitosa en su industria:

• Enfoca la Gestión de Riesgos en un área definida, facilitando la búsqueda de amenazas.
• Evita el pago de multas y sanciones por incumplimiento, y de costosas demandas de trabajadores.
• Protege la reputación de la organización.
• Mejora el Employer Branding de la empresa.
• Crea un ambiente laboral feliz, proclive a la productividad.

¿Cómo construir un marco seguro de cumplimiento en Recursos Humanos?

El cumplimiento en Recursos Humanos es algo más que un propósito. Necesita un marco de operación que le entregue las herramientas necesarias para ser efectivo. Conformar un equipo de trabajo con la experiencia y el conocimiento adecuados es la primera acción para desarrollar.

La tecnología, como se evidenciará en adelante, es un factor determinante para alcanzar los objetivos propuestos en poco tiempo y generar una tendencia de mejora continua sostenible. Lo que sigue se puede resumir en los siguientes pasos:

1. Definir políticas y diseñar procesos

El cumplimiento en Recursos Humanos es un Sistema de Gestión. Por eso requiere de una política proveniente de la Alta Dirección, en la que se incluya, además del compromiso con el cumplimiento, los objetivos que se persiguen y la seguridad de la asignación de los recursos necesarios. Es preciso, igualmente, diseñar los procesos, los procedimientos que los conforman y las tareas y actividades que hacen parte de cada uno de ellos.

2. Identificar brechas de formación

La organización necesitará crear un programa de formación, de acuerdo con las necesidades del Sistema. Algunos empleados, con funciones específicas en el cumplimiento, requerirán programas muy definidos y técnicos. Otros empleados necesitarán contenidos que busquen la sensibilización y la creación de cultura de cumplimiento.

3. Crear la estructura para documentación y registro

Un marco eficaz y transparente de cumplimiento en el área de Recursos Humanos, necesita documentar y registrar muchos eventos, actividades de monitoreo y seguimiento y resultados de evaluaciones e inspecciones, entre otros hechos relevantes. Los instrumentos utilizados necesitan asegurar la accesibilidad, la incorruptibilidad y la trazabilidad de la información. Es preciso adoptar una solución informática que tenga la capacidad para afrontar los desafíos.

4. Realizar un inventario minucioso de obligaciones

Lo más importante, cuando se desea cumplir, es saber con precisión qué es lo que se debe cumplir. Las obligaciones en el área de Recursos Humanos provienen de muchas fuentes, algunas muy cercanas, otras no tanto. Es importante entender también, que el marco regulatorio y legal es dinámico. Esto significa que el inventario se debe revisar y actualizar mes a mes.

5. Implementar canales de comunicación fluidos

La comunicación debe fluir en los dos sentidos. Por una parte, se busca mantener informados a todos los empleados, sobre lo que se pretende hacer y lo que se espera obtener en el medio y largo plazo. Pero también se espera la retroalimentación de los trabajadores que expresen problemas, alerten sobre incumplimientos o propongan ideas para mejorar.

6. Auditar el marco

Aunque los resultados de la Gestión de cumplimiento en Recursos Humanos sean evidentes, es preciso monitorear, inspeccionar y, sobre todo, auditar. La auditoría es el único mecanismo efectivo y reconocido para comprobar los buenos resultados, encontrar problemas y mejorar de forma continua.

¿Cuáles son los errores recurrentes en el cumplimiento en Recursos Humanos?

Las auditorías, las inspecciones o las revisiones de la Alta Dirección sirven para identificar problemas y abordarlos con anticipación. Estos problemas surgen como consecuencia de errores que son recurrentes. Los 10 más comunes son:

1. Realizar auditorías poco confiables, con base en documentos inexactos

La práctica regular y sistemática de auditorías disminuye la probabilidad de error y promueve la mejora continua. El trabajo y los recursos, no obstante, pueden desperdiciarse si los documentos no son confiables, no existe trazabilidad, la información no está disponible y los registros no están completos.

El problema más grave que se hereda de la práctica de auditorías con estas características, es que generan la falsa percepción de seguridad. Esto es común en organizaciones que aún gestionan documentos y registros en papel o, cuando mucho, en Hojas de Cálculo.

¿Cómo evitar el error?

Tres componentes forman parte de la solución de este problema: automatizar y digitalizar la Gestión de Cumplimiento en Recursos Humanos, diseñar procesos eficaces para la creación, actualización, almacenamiento, comunicación y accesibilidad de documentos y registros y, finalmente, practicar auditorías frecuentes, sistemáticas y realizadas por auditores certificados.

2. No contar con apoyo tecnológico

La tecnología resuelve muchos problemas en la Gestión de Cumplimiento. Los relacionados con la Gestión de Documentos, ya mencionados, son importantes. Pero el error recurrente número dos es no contar con el soporte tecnológico de respaldo adecuados para cumplir muchas de las tareas que demanda el cumplimiento en Recursos Humanos.

El cumplimiento de muchos requisitos, regulaciones, normas o acuerdos contractuales, implica realizar tareas, conformar equipos de trabajo, realizar acciones y crear flujos de trabajo. Asumir el desafío, hace que los flujos de trabajo sean ineficientes, se cometan errores, muchas cosas importantes pasen por alto y, finalmente, generar incumplimiento.

¿Cómo evitar el error?

La tecnología se necesita para evitar los errores, pero también para automatizar tareas repetitivas, evitar la duplicación de funciones, mejorar la productividad de la Gestión y obtener actualizaciones en tiempo real sobre el estado de cumplimiento y sobre el devenir de las obligaciones. Evitar el error es fácil. Basta que la organización entienda la necesidad de invertir en tecnología.

3. Dejar de monitorear la actualidad regulatoria y legislativa

Tal vez el error más recurrente en el área de cumplimiento en Recursos Humanos es regirse a una lista de obligaciones que no es revisada y actualizada nunca. Cuando se afirma que el marco regulatorio y normativo en Recursos Humanos es dinámico y volátil no se exagera un ápice.

La diversidad de fuentes de normas, leyes o requisitos aumenta la dificultad para seguir los cambios. Algunos equipos de cumplimiento llegan a tener reuniones diarias para debatir sobre el acontecer noticioso y las novedades legislativas.

¿Cómo evitar el error?

La solución es estar alerta a cualquier movimiento. Por supuesto, los medios de comunicación en general son un buen punto de partida. Pero también hay foros o escenarios de debate especializados. Los compañeros, en otras empresas de la misma industria, son una buena fuente de noticias. Pero, todo esfuerzo será inútil si no se cuenta con una plataforma que permita procesar, clasificar, analizar, almacenar y distribuir la información recopilada.

4. No prestar atención a la voz de los trabajadores

Las organizaciones en las que no se escucha la voz de los empleados, en áreas criticas como Seguridad y Salud en el Trabajo, y por supuesto, cumplimiento en Recursos Humanos, no cuentan con una verdadera y transparente cultura de cumplimiento.

Las razones son varias: los equipos de gestión de cumplimiento desestiman la opinión o el valor del aporte del trabajador, se cree que alentar la participación representa algún tipo de peligro para la estabilidad de la organización o simplemente no se ha formado a los trabajadores para que piensen y actúen de esa forma.

¿Cómo evitar el error?

Capacitación, comunicación y, nuevamente, tecnología. La capacitación lleva al trabajador a comprender porqué es importante su voz y su aporte. La comunicación asertiva motiva al trabajador a involucrarse con la Gestión y la tecnología entrega los canales y las herramientas para facilitar los reportes de los empleados.

5. Ignorar la tecnología

La necesidad de utilizar una plataforma para procesar los datos, automatizar tareas y digitalizar la Gestión de cumplimiento en Recursos Humanos, es una preocupación recurrente en este texto. Y lo es porque la resistencia a acoger la tecnología es uno de los errores que mayores costes trae para la organización.

¿Cómo evitar el error?

Una plataforma así, está preparada para analizar los CV de los empleados, desde la misma etapa de selección y contratación, establecer puntos de interés, aplicar debida diligencia, verificar antecedentes y, en general, optimizar todos los procesos del área, incluyendo por supuesto, los que atañen al cumplimiento.

6. Diseñar procesos ineficientes

Los procesos en el área de Recursos Humanos son especialmente críticos. Una falla en ellos redunda en toda la organización. Después de todo, es precisamente el Departamento que provee el talento para toda la organización y el responsable de la buena relación de los trabajadores con la organización.

Muchos procesos son complicados sin necesidad, poco claros, o simplemente no sirven para el objetivo para el que fueron implementados. Las fallas en procesos relacionados con el cumplimiento son especialmente lesivas para la organización. Cuestan dinero, afectan la reputación y hacen que se pierdan buenos empleados.

¿Cómo evitar el error?

Es importante diseñar procesos para que se adapten a las necesidades de la Gestión de Cumplimiento en un área tan sensible al error. Lo contrario, hacer que el sistema se adapte al proceso, nunca funcionará. Un software que provea flujos de trabajo automatizados, con puntos de intercepción con otros procesos, con entradas y salidas lógicas, facilitará la tarea y aportará fluidez y coherencia a la Gestión.

7. Falta de documentos

Algunas áreas dependen mucho más de documentos que otras. Recursos Humanos tiene una muy alta dependencia. Todo se documenta y todo se evidencia con un documento. Desde la identificación de los empleados, el historial de Salud, los resultados de las capacitaciones, el registro histórico de incidentes y accidentes… Todo se basa en documentos. No contar con los documentos suficientes y adecuados, es un error más de cumplimiento en Recursos Humanos.

¿Cómo evitar el error?

La organización necesita un sistema confiable para la creación, modificación, actualización, comunicación, almacenamiento y eliminación de toda clase de documentos que involucren la Gestión de Cumplimiento. Este sistema requiere automatización que es el factor que asegura transparencia, seguridad y trazabilidad.

8. Ausencia de comunicación con los trabajadores

Algunos equipos de Recursos Humanos sienten que se encuentran en una esfera superior, en la que no es posible tener contacto con las personas que se encuentran bajo su control. Esto genera estrategias alejadas de la realidad, desconexión total con el acontecer diario, baja moral de los empleados, disminución de la productividad y, finalmente, deserción.

¿Cómo evitar el error?

El profesional en Recursos Humanos, y en particular, el que se especializa en cumplimiento, necesita habilidades naturales de comunicación. Estos profesionales necesitan canales fluidos para comunicarse con sus “clientes”, que son los trabajadores de la organización. Deben ser, además, profesionales que se informan a diario, aumentan su conocimiento cada día y aprovechan el aporte de la tecnología.

9. No evaluar la Gestión de Cumplimiento

La Gestión de Cumplimiento en Recursos Humanos necesita ser auditada, inspeccionada, monitoreada, pero también evaluada. La evaluación es un concepto que se diferencia de los otros en la capacidad que tiene para calificar el rendimiento y el trabajo de las personas encargadas.

Las evaluaciones proporcionan información valiosa, señalan brechas de cumplimiento y muestran oportunidades de mejora.

¿Cómo evitar el error?

La solución es apenas obvia: es preciso practicar evaluaciones a la Gestión y a las personas encargadas. Sin embargo, no se realizan evaluaciones con la suficiente periodicidad, porque representan un desgaste por la dificultad que implica obtener la información requerida para hacerlo. Nuevamente, la tecnología soluciona el problema.

10. Hacer uso de soluciones no adecuadas

Cuando se habla de tecnología para el área de cumplimiento en Recursos Humanos, se piensa en una solución creada y diseñada para solucionar problemas de cumplimiento. Algunas plataformas, muy eficientes en otros terrenos, no han sido diseñadas para automatizar la Gestión de Cumplimiento y terminan convirtiéndose en un costoso problema más, antes que en una solución.

¿Cómo solucionarlo?

Por supuesto, contratando una plataforma que se especialice en Cumplimiento, que se aloje en la nube, que sea parametrizable, que crezca con la organización y, por supuesto, que sea amigable y fácil de operar. Una buena opción es la que presentamos en nuestro apartado final.

Software ISO 37301 de ISOTools

El Software ISO 37301 de ISOTools es una plataforma creada específicamente para automatizar la Gestión de Cumplimiento. El Software provee indicadores, muestra mapas de calor, elabora flujos de trabajo, genera notificaciones automáticas a las personas indicadas y, en resumen, está preparada para afrontar los desafíos que propone el cumplimiento en Recursos Humanos. Conócela aquí.

La entrada 10 Errores comunes de cumplimiento en Recursos Humanos y cómo evitarlos se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

La continuidad del negocio es un elemento de la resiliencia operativa. Pero la resiliencia va mucho más allá. No se trata tan solo de seguir operando. La clave es producir, pero a la vez, trabajar en la recuperación y mantener los estándares de Gobierno, Riesgo y Cumplimiento, para las organizaciones que trabajan sobre este marco de gestión.

Con empresas cada vez más expuestas a ciberataques, pandemias, desastres naturales, crisis financieras, guerras, conmociones sociales y políticas, entre otras amenazas disruptivas, la resiliencia operativa surge como la opción para mantener el control, aprovechar las oportunidades y fortalecer el negocio.

¿Qué es resiliencia operativa?

Es la capacidad que tiene una organización para sobrevivir al impacto de un evento disruptivo, adaptarse a nuevas condiciones, convertir el riesgo en oportunidad e iniciar de inmediato la recuperación.

La organización necesita resiliencia operativa para afrontar un corte prolongado de energía, un sismo o un ciberataque. El principio básico es prever los eventos y sus consecuencias y estar preparados para minimizar el impacto negativo, procurando que las consecuencias no se trasladen al consumidor.

¿Por qué es importante la resiliencia operativa?

La percepción que tendrán los clientes sobre una empresa que, además de seguir operando durante y tras un evento de alto impacto negativo, se convirtió en una fuente de valor para sus consumidores, justifica pensar y trabajar para incorporar la resiliencia operativa en el ADN de la organización.

Pero hay otras razones para explicar su importancia:

1. Crea un muro que impide la propagación del efecto dominó

Uno de los problemas que mayor preocupación provocan los riesgos operativos es el efecto dominó que producen. Sectores como Financiero y Sanitario lo han demostrado en el pasado. Las organizaciones que logran construir estrategias eficaces de resiliencia operativa actúan como un muro que impide la propagación del efecto dominó.

2. Cumplimiento regulatorio

Los Estados esperan que un mayor número de empresas piensen en estrategias de resiliencia para enfrentar riesgos operativos y las implementen con éxito. Sin embargo, es claro que, si este deseo forma parte de un escenario regulatorio, los resultados serán mucho más efectivos. El enfoque regulatorio en la Unión Europea se encamina hacia la aprobación de una Ley de Resiliencia Operacional Digital, como un primer paso que pronto se extenderá a otras áreas.

3. Crea un marco de tranquilidad para tomar mejores decisiones

La incertidumbre, apenas natural, con respecto a eventos que pueden literalmente acabar con una empresa, hace que la Alta Dirección sea cauta y en extremo moderada a la hora de planificar expansiones, inversiones o incluso programas básicos necesarios para la operación cotidiana.

¿Cómo construir estrategias efectivas de resiliencia operativa?

Los riesgos operativos son muchos, variados, proceden de diversas fuentes y el grado de impacto es difícil de pronosticar. Por eso es difícil creer que se pueden generar estrategias que garanticen la operabilidad y la capacidad de resiliencia.

Pero sí es posible hacerlo. Estos cinco pasos llevarán a cualquier organización a obtener estrategias efectivas de resiliencia operativa:

1. Identificar los servicios y funciones críticos clave

Es claro que en una situación de emergencia no todos los servicios que contrata u obtiene la organización adquieren el mismo valor. Existen funciones críticas de alto valor, debido al aporte que tienen sobre la producción del bien o la prestación del servicio que entrega la empresa a sus consumidores.

Este primer paso va un poco más allá de elaborar una lista de procesos, funciones o servicios. El equipo de Gestión de Riesgos necesita:

• Realizar un mapeo completo de los procesos, determinado la jerarquía de cada uno de ellos y la interrelación y dependencia entre ellos.
• Determinar los procesos, funciones y servicios que son esenciales, y el grado en que lo son.
• Elaborar un estudio predictivo que indique el grado de compromiso de cada servicio o función, de acuerdo con cada una de las amenazas consideradas.
• Crear un plan de sustitutos alternativos en un escenario de emergencia.
• Someter el mapa completo a la consideración de los propietarios de procesos o encargados de cada una de las funciones críticas, para obtener visibilidad completa y aportes nuevos que mejoren el plan.

2. Establecer indicadores de tolerancia al riesgo

Por muchas razones, la organización puede estar preparada para aceptar un riesgo determinado, pero no otro. Una organización de la misma industria, puede experimentar lo contrario.

Es importante que la organización establezca con qué puede lidiar y qué definitivamente no puede tolerar. Algunas acciones adecuadas son:

• Revisar los informes de Gestión de Riesgos sobre apetito de la organización y tolerancia a determinadas amenazas.
• Obtener indicadores matemáticos sobre el impacto real que la ausencia o el deterioro de un servicio o una función tiene sobre el consumidor.
• Crear escenarios hipotéticos para predecir el impacto real de cada riesgo, en cada área de la organización.
• Identificar la tolerancia real de la organización a un evento o a la ausencia de un proveedor, un contratista, un servicio o un suministro.

3. Identificar y comprender las dependencias en todos los sentidos

Un error frecuente en la Gestión de Riesgos operativos es obviar las dependencias y las interrelaciones entre procesos, personas y terceros. La resiliencia operativa no puede hacer a un lado las dependencias, y tiene que conocerlas y comprenderlas en los cuatro sentidos: arriba, abajo, a la derecha y a la izquierda.

El mapeo de procesos propuesto en el primer paso ayuda a entender las dependencias. En este tercer paso el objetivo es buscar dependencias externas de alta sensibilidad: proveedores, subcontratistas, elementos clave en la cadena de suministro y otros.

Las acciones recomendadas son:

• Automatizar la Gestión de Riesgos, utilizando una plataforma especializada en Gestión de Riesgos de Cumplimiento, que permita obtener un plano general de las interrelaciones que generan dependencia esencial.
• Crear una base de datos de sustitutos eventuales, que ya hayan pasado el filtro de la debida diligencia, y que se encuentren en diferentes ubicaciones para disminuir el riesgo de impacto negativo simultáneo del riesgo sobre esos terceros.

4. Crear escenarios de acuerdo con posibles fallas

Todos los planes tienen la posibilidad de fallar. Los de contingencia o de continuidad del negocio, dadas las condiciones en las que se ponen a prueba, son especialmente prolijos en fallas.

Las estrategias que buscan la resiliencia operativa también pueden fallar. Lo interesante es anticiparse a las fallas, y crear un plan B, para lo que fue diseñado para atender un evento disruptivo. Algunas ideas son:

• Revisar los informes históricos sobre lo que ha fallado en el pasado y cómo logró subsanarse el error. La experiencia ajena también es valiosa en este paso.
• Evaluar las estrategias con un grupo amplio de personas provenientes de diferentes áreas. La diversidad de enfoques enriquece la teoría y ayuda a blindar las estrategias con planes de contingencia alternativos.
• Considerar el apetito de riesgo para los planes alternativos.
• Comprobar la alineación de las nuevas estrategias con los objetivos de negocio de la organización.
• Validar la contribución que las estrategias aportan a la recuperación.
• Realizar escenarios teóricos y ejercicios de prueba. En lo posible, también simulacros.
• Identificar puntos débiles en el plan y en las estrategias.

5. Documentar el plan, comunicarlo y debatirlo con las partes interesadas

El plan no lo será hasta que no forme parte de un informe escrito, revisado y comunicado a todos los que tengan algún interés en él. La comunicación, y la forma en que se haga, son elementos importantes para el éxito de la estrategia.

Para lograr el objetivo es importante:

• Identificar las partes interesadas, internas y externas. Empleados, organismos estatales, proveedores de servicios esenciales, sustitutos alternativos, todos ellos forman parte de la estrategia y todos necesitan conocerla.
• Suministrar evidencia sobre la práctica de pruebas, exámenes y simulacros, y sobre los resultados que arrojaron.
• Documentar todo y mantenerlo disponible para consulta de los interesados.

Software ISO 37301 de ISOTools

Los planes de continuidad del negocio y las estrategias de resiliencia operativa necesitan ser una práctica sistemática en la organización. Para que esto sea así, es preciso procesar grandes cantidades de datos e información. El Software ISO 37301 de ISOTools es la herramienta ideal para afrontar el desafío.

La plataforma, basada en la nube, incorpora elementos de Inteligencia Artificial y Big Data, para garantizar el cumplimiento, pero también para diseñar estrategias realmente efectivas de resiliencia operativa. Todo lo haces con esta funcional solución.

La entrada Guía práctica para desarrollar una estrategia de resiliencia operativa se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

GRC en seguridad de la información mejora la eficiencia de la gestión, genera retorno de la inversión y elimina riesgos, sobre la base de tres ejes fundamentales: buenas prácticas de Gobernanza, cumplimiento y gestión de riesgos.

En entradas anteriores hemos analizado el modelo de gestión GRC con detalle. Hoy hablamos del alcance real de GRC en seguridad de la información, cómo contribuye a lograr objetivos y por qué es importante implementarlo en cualquier organización.

¿Qué es GRC en seguridad de la información?

El concepto de gestión basada en la alineación de Gobernanza, Riesgo y Cumplimiento aparece con el nuevo milenio. Se trata de un modelo que busca mejorar la productividad, disminuir la posibilidad de error, evitar riesgos y asegurar el cumplimiento normativo y legal en todas las operaciones de la organización.

Hasta ahí, no hay mucho que aclarar. Lo novedoso están en el impacto que tiene GRC en seguridad de la información: el marco de gestión elimina los silos de información, al promover la comunicación entre diferentes áreas y departamentos. Así, todos tienen acceso a información y recursos.

¿Cómo trabaja la Gobernanza en un modelo GRC en seguridad de la información?

La Gobernanza implica tomar buenas decisiones, éticas y ajustadas a lo que se consideran buenas prácticas en cualquier lugar del mundo. La Gobernanza, de forma adicional, incorpora el cumplimiento de todas las obligaciones voluntarias o legales de la organización.

GRC en seguridad de la información aplica la Gobernanza al diseñar protocolos o controles que garanticen la seguridad de la información y de los activos, y la buena conducta de los empleados propietarios de esos activos y de los procesos asociados.

La Gobernanza es el elemento que garantiza la transparencia en la gestión de seguridad de la información. Pero también hace que exista comunicación fluida y productiva sobre el tema en todas las áreas de la organización.

¿Cómo funciona la Gestión de Riesgos en un modelo GRC en seguridad de la Información?

Una de las ventajas de adoptar un modelo GRC para gestionar la Seguridad de la Información es el derrumbe de barreras entre diferentes áreas para dinamizar el flujo de información. Como ya se advirtió, desaparecen los silos de información.

Las preocupaciones y los informes sobre riesgos inminentes se exponen con una alta exposición, facilitando la Gestión de Riesgos. La Gestión de Riesgos es ahora integral y tiene alcance sobre toda la organización.

¿Qué función cumple el cumplimiento en un modelo GRC en seguridad de la información?

Asegurar el cumplimiento en el área de seguridad de la información es cubrir la mayoría de las grietas que representan riesgos. El cumplimiento evita de paso el pago de multas o sanciones y la consecuente erosión de la imagen y la reputación de la organización.

GRC promueve el cumplimiento normativo, contractual, legal y regulatorio. Los datos y la información sensible de la organización, así como la conformidad con los requisitos de algún estándar como ISO 27001 o de reglamentos como RGPD, están asegurados.

¿Qué busca un modelo GRC en seguridad de la información?

Los objetivos son varios. El primero de ellos es mejorar los resultados de la gestión y optimizar el uso de recursos. Otros objetivos específicos son:

• Aumentar los indicadores de Retorno de la Inversión en el área de IT.
• Reducir costes y eliminar tareas redundantes.
• Eliminar silos de información.
• Promover la automatización de procesos y de Sistemas de Gestión.
• Aumentar la confianza en los inversores, los inversores y los reguladores.

Software ISO 37301 de ISOTools

Los modelos GRC tienen altos requerimientos de información. Muchas organizaciones necesitarán procesar grandes cantidades de datos en muy poco tiempo. El Software ISO 37301 de ISOTools es una herramienta diseñada para afrontar los retos que ofrece el modelo, pero también la gestión de cumplimiento.

Se trata de una plataforma que incorpora elementos de Big Data y de Inteligencia Artificial. Automatiza tu programa de cumplimiento con esta solución.

La entrada ¿Qué significa GRC en seguridad de la información? se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Las políticas, y la gestión de políticas, son la herramienta que utiliza la Alta Dirección para expresar, más que sus deseos, sus límites. Se trata de documentos en los que se define un marco para la toma de decisiones por parte de los ejecutivos medios de la organización.

La gestión de políticas desempeña un papel importante en la capacidad de gobernanza de la Alta Dirección. Pese a ello, no todas las Juntas Directivas lo entienden así y hace uso de una adecuada gestión de políticas.

¿Por qué la Alta Dirección necesita una adecuada gestión de políticas?

La Alta Dirección tiene la responsabilidad de tomar las mejores decisiones para el bienestar financiero, legal, social y reputacional de la organización. Sin embargo, es un hecho que el fragor del trabajo diario impide consultar todos los asuntos a la Alta Dirección.

Los ejecutivos, los directores de área y los gerentes de nivel medio toman decisiones inmediatas, que muchas veces no son conocidas por la Alta Dirección. Y no tienen por qué hacerlo: el trabajo de la Alta Dirección es guiar, conducir, liderar… no gestionar o tomar decisiones sobre todos y cada uno de los temas en la organización.

La Alta Dirección delega la toma de decisiones sobre asuntos menores, pero también de asuntos de importancia media. Incluso, algunos grandes temas entran en el radio de acción de los gerentes y ejecutivos medios, dentro de un marco que les permite saber hasta dónde pueden llegar y que no pueden hacer.

Ese marco está compuesto por las políticas que ha publicado la Alta Dirección. Y para que las políticas cumplan con su función se requiere una acertada y eficaz gestión de políticas.

La gestión de políticas es también una responsabilidad de los ejecutivos de la organización. A esta altura, muchos lectores estarán preguntándose sobre el trabajo real de la Alta Dirección.

La Alta Dirección, en una organización, es un órgano consultivo. No es operativo. Los miembros de la Alta Dirección se reúnen apenas algunas horas al mes. Algunos de esos miembros pertenecen a las Juntas de varias organizaciones.

Por eso necesitan las políticas: para comunicar lo que se espera que se haga, o lo que no se permitirá, en áreas como cumplimiento, seguridad de la información, seguridad en el trabajo, gestión ambiental… Todo esto, en conjunto, se denomina Gobernanza.

Las políticas son la guía que consulta y tiene en cuenta cada ejecutivo, cada gerente, cada supervisor, cada director de área, en el momento de tomar una decisión o aprobar un proyecto.

Y para que las políticas se produzcan a tiempo, sobre los temas que la Gobernanza requiere, y el mensaje llegue a las personas adecuadas, se necesita una eficaz, adecuada y oportuna gestión de políticas.

¿Qué elementos clave necesita considerar la gestión de políticas?

Algunas políticas son publicadas por la Alta Dirección obedeciendo un deseo autónomo o una necesidad identificada por los miembros de la junta. Otras, la mayoría, son solicitadas por equipos de gestión en las diferentes áreas.

En ambos casos los documentos son importantes. Para que cumplan con su cometido, estos documentos necesitan incorporar elementos mínimos. Es la gestión de políticas la que se encarga de verificar que esos elementos estén presentes:

1. Decisiones y requisitos de la Alta Dirección

No tendría objeto o funcionalidad una política que no exprese el deseo de la Alta Dirección para que se haga algo. Es importante que esas decisiones contenidas en la política respondan a una necesidad vigente o a un problema que no ha ocurrido aún.

2. Comprensible para la audiencia

La política de seguridad en el trabajo, por ejemplo, interesa a todos los empleados de la empresa. Igualmente, el cumplimiento incumbe a todas las áreas. Otras son un tanto más reducidas en su alcance, como seguridad de la información. Todas las políticas, no obstante, deben expresarse en términos comprensibles para la audiencia a la que se dirigen.

3. Expectativas

La política habla sobre lo que se quiere que se haga y sobre lo que no se permite o tolera. Pero también formula expectativas. Los miembros de la Alta Dirección expresan en la política lo que desean que ocurra, lo que esperan de la gestión, las metas que les gustaría ver alcanzadas, los objetivos hacia el futuro.

4. Aplicabilidad

La política necesita ser realista. Esto implica que lo que allí se dispone sea alcanzable, medible y verificable. Pero también debe expresar el documento a quien aplica y quien asume las responsabilidades primarias.

5. Mecanismos de revisión y monitoreo

Lo que no se puede medir no se puede controlar. Un elemento esencial en la gestión de políticas, y en las mismas políticas como documento, es la inclusión de herramientas y mecanismos de revisión y monitoreo diseñados para verificar el cumplimiento.

6. Acatamiento y respeto

Finalmente, es importante que el documento adopte el tono superior propio de la Alta Dirección. Todos en la organización necesitan entender que se trata de un mandamiento expreso de la Alta Dirección y que su incumplimiento implica sanciones.

¿En qué casos no utilizar la gestión de políticas?

La gestión de políticas y su resultado natural, que es la creación de este tipo de documentos, sólo proceden cuando la Alta Dirección busca comunicar lineamientos o posiciones con respecto a la gestión en un área definida.

Aunque algunos ejecutivos de la organización piensen que, con respecto a un determinado tema, conviene una declaración de la Alta Dirección, es importante que esto se haga bajo el concepto de “Declaración” y no utilizando el de política.

Específicamente, las políticas no se deben utilizar para:

1. Impartir órdenes específicas

Especialmente cuando estas órdenes o instrucciones corresponden por delegación o por jerarquía a mandos medios, ejecutivos, directores de área, supervisores u otros empleados a los que se les ha facultado para ello.

2. Divulgar procedimientos

Todos los procedimientos normalizados o estandarizados, así como otro conjunto de instrucciones para desempeñar un proceso o un conjunto de tareas, se comunican en otro tipo de documentos. Hacerlo en documentos como políticas, hace que estas pierdan el respeto y la jerarquía que tienen por definición.

3. Expresar opiniones sobre situaciones cotidianas o imprevistas

La Alta Dirección, por supuesto, tiene el derecho y la obligación de pronunciarse sobre la ocurrencia de situaciones imprevistas o inusuales, sobre todo si el origen de ese tipo de eventos implica un reproche o un llamado de atención para algunos empleados, algún área definida o un gerente o director de área.

Pero estos pronunciamientos se hacen de forma oral en una reunión preparada para cumplir ese objetivo o un comunicado que se remita a las personas competentes.

Software ISO 37301 de ISOTools

Más allá de la parte doctrinaria, la creación de políticas necesita trazabilidad, control de documentos y comunicación efectiva. Son aspectos procedimentales que necesitan la implementación de una solución como el Software ISO 37301 de ISOTools.

Esta plataforma tecnológica, basada en la nube, se especializa en la automatización de las diferentes tareas de un Sistema de Gestión de Compliance. Entre otros objetivos, la solución apoya y garantiza la eficiencia de la Gestión de Políticas. Conócela aquí.

La entrada La importancia del papel de la Alta Dirección en la gestión de políticas se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

El riesgo de cumplimiento de terceros siempre está presente. La única forma de evitarlo sería prescindiendo de todo tipo de asociación, cooperación o tercerización. Esto, por supuesto, implicaría reducir al mínimo las oportunidades de crecimiento de la organización.

Otra opción es contar con los terceros necesarios, pero no gestionar los riesgos que la asociación implica. Con un marco regulatorio en el área de cumplimiento cada día más estricto, dejar el cumplimiento de los terceros a su libre albedrío es un riesgo que no es necesario ni prudente correr.

¿Cómo tratar el riesgo de cumplimiento de terceros?

Una primera sugerencia es asociarse o contar con la colaboración de personas y organizaciones que tengan las mismas expectativas de cumplimiento. El incumplimiento de terceros genera acciones sancionatorias, detrimento económico y deterioro de la reputación, para el tercero, pero que se traslada y transmite a la organización.

Otra consecuencia que poco se advierte es el tratamiento opresivo de los reguladores, que puede limitar el accionar de la organización y el desarrollo normal de sus estrategias comerciales. El resultado es retraso del crecimiento.

Para evitar que esto suceda, la organización necesita verificar la presencia de diez elementos clave para tratar el riesgo de cumplimiento de terceros:

1. Procesos efectivos de debida diligencia

La debida diligencia permite conocer al tercero e identificar relaciones que pueden afectar el cumplimiento, y de paso, la conducta ética. La debida diligencia de terceros es una de las actividades que más tiempo y recursos consume.

Por ello es importante contar con una plataforma que permita procesar grandes cantidades de datos y que automatice tareas repetitivas. Establecer relaciones comerciales o firmar contratos con terceros que no han pasado por procesos de debida diligencia exhaustivos aumenta de forma exponencial el riesgo de cumplimiento de terceros.

La debida diligencia, finalmente, es un proceso que se repite de forma periódica mientras subsista la relación comercial con el tercero. Algunas organizaciones lo hacen cada trimestre. La recomendación es hacerlo con una frecuencia mínima de seis meses.

2. Verificar las expectativas del tercero

Es probable que el tercero no considere el cumplimiento como algo prioritario. Una buena señal de que esto no es así, es la certificación ISO 37301. La interacción con el tercero, a nivel de Alta Dirección, ayuda a obtener una visión sobre lo que espera el tercero, sus objetivos y sus intereses en cuanto al cumplimiento propio y el de los demás integrantes de una cadena de suministro.

3. Incluir el cumplimiento en el contrato

La firma de un contrato suele ser el inicio formal de una relación comercial. Es un documento cuya importancia sobra mencionar. Es también el documento ideal para incluir el cumplimiento como una obligación, una necesidad y un objetivo común para las partes que suscriben el contrato.

4. Auditorías de terceros

En este punto existen unos terceros que saben que la organización exige el cumplimiento, y se han comprometido a hacerlo firmando un contrato. Una herramienta de verificación y control eficaz es la auditoría de terceros.

La tarea será más fácil si la organización auditada cuenta con un Sistema de Gestión de Cumplimiento estandarizado y, en lo posible, basado en la norma ISO 37301. Un Sistema automatizado y digitalizado también facilita la tarea del auditor y el logro de los objetivos de la organización.

5. Priorizar los terceros de acuerdo con la Gestión de Riesgos

El riesgo de cumplimiento de terceros está en todos los socios comerciales de la organización. Pero, por diversas razones, algunos implican mayor probabilidad o suponen un riesgo de mayor impacto.

Los elementos anteriores permiten obtener la información necesaria para entender cuáles son, y cuáles deben encabezar un listado de alto riesgo. Estos, por supuesto, deben ser monitoreados y vigilados con mayor profundidad.

6. Extender el alcance a la cultura de cumplimiento

Es común pensar que la cultura de cumplimiento tiene alcance limitado a las fronteras de la organización. Compartiendo programas de formación y capacitación, charlas, foros, o incluso, tecnología, la cultura puede transmitirse y extenderse al ámbito de los terceros, con los beneficios que ello implica para la gestión del riesgo de cumplimiento de terceros.

7. Mantenerse actualizados y comunicar al tercero

El escenario regulatorio es dinámico y en ocasiones volátil. La organización necesita mantenerse al día con las novedades, los cambios y la evolución en general del escenario regulatorio en todas las áreas.

Se espera que los terceros hagan lo mismo. Pero no está de más comunicar y alertar. Esto demuestra interés y, de paso, fomenta cultura en todas las organizaciones involucradas.

8. Revisar el cumplimiento en conjunto

Las tareas que se realizan de forma colaborativa entregan mejores resultados y eliminan el riesgo de que el tercero se sienta intimidado o presionado. Reuniones amigables para discutir problemas, para verificar el avance de la gestión o para plantear nuevas expectativas, contribuyen a controlar el riesgo de cumplimiento de terceros.

9. Procesos de reacción ante infracciones

La gestión de riesgos trata de eliminar todas las amenazas, pero también de entregar herramientas para reaccionar ante la ocurrencia de un incidente o un problema. En el caso del riesgo de cumplimiento de terceros no es diferente.

La organización necesita contar con un procedimiento de acción ante la ocurrencia de incidentes o infracciones de cumplimiento. Esto incluye la interacción con el tercero, la investigación, la identificación de la causa raíz, las acciones inmediatas para minimizar el impacto negativo y las de medio y largo plazo para evitar la repetición.

10. Documentar todo

Nada contribuye más al éxito de la Gestión de Riesgos, que contar con un repositorio de información histórica que permita entender la evolución, las causas de los problemas acaecidos y las expectativas y tendencias hacia el futuro.

Nuevamente, es importante la incorporación de tecnología a la gestión. Mantener registros actuales, garantizar la trazabilidad de los documentos y asegurar su disponibilidad y comunicación, son elementos esenciales para tratar el riesgo de cumplimiento de terceros.

Software ISO 37301 de ISOTools

Un consejo final: la gestión de riesgo de cumplimiento de terceros también necesita indicadores eficientes y confiables para lograr objetivos y avanzar. El Software ISO 37301 de ISOTools es una herramienta diseñada para afrontar todos los desafíos que se mencionan en este informe y muchos más.

Esta funcional plataforma está lista para automatizar la Gestión de Compliance de tu organización. Encuéntrala aquí.

La entrada Riesgo de cumplimiento de terceros: 10 elementos clave para su gestión se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Las cifras y los datos son ahora más importantes que la percepción. Esto, suponiendo que las métricas consideradas son las indicadas. Los indicadores de cumplimiento utilizados necesitan entregar información relevante que ofrezca certeza sobre el rumbo de la gestión y su impacto positivo real en la organización.

¿Qué son indicadores de cumplimiento?

Los indicadores de cumplimiento son las métricas, cifras o datos que, en su conjunto, verifican el buen funcionamiento de la gestión de compliance, o, por el contrario, su incapacidad para cumplir con los objetivos propuestos.

Utilizar los indicadores de cumplimiento eficaces evita que una organización se vea inmersa en problemas de mala conducta o tenga que pagar multas o sanciones, por confiar en un Sistema de Compliance que en la práctica presenta muchas fallas.

Contar con indicadores adecuados disminuye los riesgos de cumplimiento y ayuda a identificar problemas con suficiente antelación. Brechas de capacitación, deficiencia en políticas o procedimientos o ausencia de tecnología, son entre otros, problemas que evidencian los indicadores de cumplimiento.

Todo esto, por supuesto, si se mide lo que se debe medir y se utilizan las herramientas adecuadas. Los indicadores pueden ser los necesarios. Pero si se obtienen cuando los hechos medidos ya son historia, resultarán poco relevantes.

¿Cuáles son los cinco indicadores de cumplimiento que debería utilizar toda organización?

Dos características hacen que un indicador sea relevante: que compruebe sin lugar a duda que la gestión garantiza el cumplimiento o que señale un problema existente que dificulta o impide el logro de los objetivos.

Los Sistemas de Gestión de Compliance digitalizados, con un alto grado de automatización, entregan datos e informes confiables y, por tanto, indicadores relevantes que tienen impacto inmediato en la mejora continua de la Gestión. Los cinco más importante, que toda empresa tendría que utilizar son:

1. Tiempo en el que se identifican los problemas

Este indicador muestra la media de tiempo que toma a la Oficina de Cumplimiento identificar un problema, desde su origen hasta que se produce el hallazgo. No se toma en cuenta, aún, el tiempo de reacción ni el que se utilizará para resolver el asunto.

El momento en que se identifica el problema es fácil de ubicar. Aparece en un informe de auditoría, en una inspección, como resultado de una denuncia interna o cuando la organización es sancionada o recibe el impacto negativo de una infracción o un incumplimiento.

El verdadero problema está en encontrar la fecha del origen. Los programas digitalizados pueden entregar pistas de trazabilidad que permiten encontrar el momento real en que aparece un problema. De hecho, suelen tener la capacidad de informarlo de forma automática.

Entrevistas, investigaciones dispendiosas o exámenes a documentos son formas tradicionales a las que es preciso acudir cuando no se cuenta con el debido soporte tecnológico.

El tiempo medio en el que el programa logra hallar un problema e identificarlo, evidencia la agilidad de la Gestión, la eficacia de la comunicación interna, el nivel de cultura de cumplimiento y la capacidad real para encontrar problemas antes de que su impacto sea irreparable.

Es un indicador expresado en tiempo, que se espera siempre esté a la baja.

2. Tiempo de reacción

Un problema identificado tendría que ser intervenido de inmediato. Es lo que se espera, pero no siempre es así. En algunos casos es preciso realizar una investigación para encontrar la causa raíz, diseñar estrategias para eliminarla, solicitar recursos, modificar un proceso, implementar un control…

El tiempo que transcurre desde la identificación del problema, y la intervención efectiva del equipo de cumplimiento con una acción correctiva o preventiva es fácil de obtener. Es un indicador muy importante ya que demuestra la capacidad de reacción que tiene el Sistema.

Es, además, un indicador que muestra que tan preparada está la Oficina de Cumplimiento para enfrentar imprevistos. Evitar ‘incendios’ es importante. Pero estar preparados para apagarlos lo más pronto posible también lo es.

3. Tiempo empleado para resolver problemas

Es, en la cadena de gestión, el siguiente indicador natural. La fecha de inicio en este caso es muy fácil de señalar: es el momento en que el problema es reportado en un informe de auditoría, en una inspección o a través de una denuncia, siendo estas las fuentes usuales para este tipo de hallazgos.

La fecha final es, por supuesto, cuando se resuelve el problema. Es un indicador útil para identificar problemas en la investigación o en la capacidad para implementar acciones correctivas. Muchos problemas no son resueltos con la debida oportunidad por ausencia de recursos. Otros delatan la resistencia de los empleados a ofrecer información y colaborar con la investigación.

En algunas organizaciones existen profesionales con competencias forenses que facilitan la resolución de problemas de cumplimiento. El tiempo para resolver los problemas es, no obstante, significativamente más bajo en organizaciones que cuentan con una gestión automatizada.

4. Coste de la Gestión

El coste total de la Gestión es ya un indicador de cumplimiento muy interesante. Sin embargo, obtener el coste por problema tratado entrega una cifra en dinero que necesita la Alta Dirección para la toma de decisiones futuras.

Esta cifra se puede enfrentar con el coste que hubiesen representado los problemas si no se trataran a tiempo. Otra forma de presentar el indicador es tomando el coste total del programa y dividiéndolo entre los casos exitosos.

La métrica ayuda a entender qué tipo de problemas resultan más costosos en su resolución, y cuál es la etapa de la resolución que más recursos consume: identificación, investigación, implementación de medidas, monitoreo, revisión…

5. Impacto previsto vs impacto real

La Gestión de Riesgos en cualquier área se basa en unos eventos hipotéticos. Eventos respaldados por cifras, por tendencias, por antecedentes históricos, pero, igualmente hipotéticos hasta que no se presentan.

No existe la Gestión de Riesgos infalible. Y la única forma de comprobar que tan acertadas son las predicciones es, desafortunadamente, la ocurrencia del evento negativo.

Cuando el riesgo impacta los profesionales encargados tienen la valiosa oportunidad de obtener un indicador muy interesante: la diferencia real entre el impacto negativo pronosticado y el real.

Esta brecha se puede medir de forma numérica, expresada en un valor monetario, o de forma cualitativa, cuando el impacto es sobre la reputación de la organización o sobre el nivel de confianza de los empleados o de un organismo regulador.

Entre los indicadores de cumplimiento este es el que mejor permite medir la eficacia de las evaluaciones de riesgos que, sabemos, miden probabilidad e impacto negativo.

Software ISO 37301 de ISOTools

Obtener indicadores de cumplimiento eficaces, relevantes y oportunos requiere un soporte tecnológico adecuado para la Gestión de Compliance. El Software ISO 37301 de ISOTools es una plataforma basada en la nube que ofrece funcionalidades diseñadas para ayudar a las organizaciones a potenciar la eficacia y el rendimiento de sus programas de cumplimiento.

La plataforma incorpora funcionalidad avanzada para producir informes inmediatos, señalar puntos críticos en mapas de calor, elaborar predicciones, mostrar tendencias, automatizar tareas repetitivas de la Gestión, entre otras características. Conócela aquí.

La entrada 5 indicadores de cumplimiento que toda empresa debería medir se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.