¿Cómo ayudará a mitigar los riesgos de compliance la futura ISO 37301?

Compliance

Como asesores, auditores y consultores, nos consta que en las organizaciones incurren en incumplimientos variados por ignorancia y no por mala fe. Y el desconocimiento les juega malas pasadas a los trabajadores, puesto que no conocer las leyes, reglamentos o cláusulas de los contratos, códigos y estándares internacionales, no justifica que estos no se incumplan. Allí es cuando surgen los riesgos a los que nos debemos enfrentar cuando nos subyuga la ausencia de saber. Después de todo, ¿cómo podemos tratar riesgos cuya existencia no nos es familiar?  Es como tratarse un padecimiento que uno no puede percibir. ¿Tiene sentido tomar un analgésico cuando sentimos que todo en nuestro cuerpo marcha bien? Absolutamente no.

Las organizaciones, en cuanto a cumplimiento, requieren estar particularmente informadas. Las regulaciones internacionales surgen a borbotones, como si todo en el mundo se pudiera normar. ¿Acaso es posible? Bien, hasta hace unos años los canales de denuncias se limitaban a algunos teléfonos o correos en los que se podía emitir algún reclamo que podría – o no – llegar a resolverse. Actualmente se espera la publicación de la norma ISO 37002 para los Sistemas de gestión de denuncias. ¿Alguna vez te imaginaste que la estandarización llegara a afinarse hasta ese punto? Nosotros creemos que era previsible, y que una organización como la ISO estaría al tanto del contexto para estandarizar, en la medida de lo posible, este entorno VUCA tan difícil de domar.

¿Qué es un riesgo de cumplimiento?

El entorno organizacional, como señalamos anteriormente, es cambiante. Los marcos regulatorios y los compromisos inherentes de cada organización están en constante evolución, suceden derogaciones de leyes, publicaciones, actualizaciones… podríamos afirmar que hoy más que nunca, las empresas corren el riesgo de no cumplir con sus obligaciones. Y el riesgo consiste en una serie de amenazas que pueden afectar las operaciones, finanzas o reputación de la compañía. Lo primordial para evitarlo consiste en hacer un análisis de riesgos de incumplimiento para entender de qué forma nos exponemos, en qué áreas somos más vulnerables, ¿cuál sería el impacto si no se cumple? y ¿qué hacer ante ello?, ¿qué elementos son potencialmente riesgosos?, ¿a cuántos tipos de riesgos nos enfrentamos y de qué clase es cada uno?, entre otros. Es recomendable que esta evaluación se haga con una frecuencia marcada por la dinámica de cada organización.

Hay muchos tipos de evaluaciones de riesgos, pero la que tiene que ver con el incumplimiento cuenta con elementos diferenciadores. Por ejemplo, está hecha para identificar puntualmente lo riesgos de cumplimiento normativo, esto no tiene que ver con estrategias ni metas. En ese sentido, la norma ISO 37301 será un apoyo esencial, puesto que uno de sus objetivos será ayudar a identificar, jerarquizar y asignar responsabilidades para gestionar los riesgos reputacionales, financieros y operativos relacionados con las obligaciones de cumplimiento.

Al llevar a cabo el sistema de gestión de compliance es necesario confirmar su eficacia con una auditoría interna. La norma ISO 37301 proporcionará requisitos y orientación valiosa que ayudará a dilucidar cuáles son los riesgos y de qué manera se abordarán.  Los encargados del cumplimiento asignarán tareas a cada equipo y/o individuo correspondiente, con el propósito de evitar que se irrespeten las políticas de la organización y del país, que se incurran en malas prácticas y en comportamientos antiéticos, o se violen leyes. Esas acciones podrían evitar el pago de multas elevadas, encarcelaciones, sanciones, pérdida de confianza por parte de inversores, caída de los precios de las acciones, daños reputacionales y hasta las operaciones podrían verse seriamente limitadas. ¿Qué riesgos serán tratados con mayor prontitud? La norma exhorta a atender los que minen la capacidad de la organización para alcanzar sus objetivos y seguir un enfoque estratégico, que aporte a las ventajas competitivas de la organización.

Los aspectos financieros son cruciales. Por eso la ISO 37301 nos conmina a controlar los riesgos de cumplimiento con las obligaciones adquiridas por la organización, pues las amenazas materializadas pueden derivar en no cumplimientos mayores que comprometerían la continuidad del negocio. Además, la norma constituye una suerte de lista de chequeo en la que son muy relevantes:

• Leyes, reglamentos y acuerdos con los que la organización debe cumplir en cada lugar en el que lleva a cabo sus negocios.
• Políticas organizacionales, acuerdos y convenios contractuales.
• Políticas empresariales basadas en la cultura organizacional, valores o influenciadas por el marco legal.

Si el marco regulatorio se globaliza de forma cada vez más rápida, las organizaciones corren el riesgo de no adaptarse prontamente y de caer en el no cumplimiento, en especial si las empresas tienen presencia internacional, aunque las pymes también pueden formar parte de los potencialmente afectados. Por eso el entramado que compone al compliance puede resultar intrincado, complejo, y hasta impracticable. No obstante, la norma ISO 37301 viene en nuestro auxilio para ayudarnos a hacer evaluaciones de riesgo bien minuciosas, puesto que la consciencia acerca de la exposición puede ser clave para anticiparse a los riesgos y evitar que se materialicen. Así será más sencillo mantener una reputación favorable, evitar los desastres que acarrea el incumplimiento y hacer del compliance una ventaja competitiva.

Software ISOTools

Utilizar plataformas tecnológicas como el Software ISOTools para Compliance permitirá automatizar el cumplimiento y registrar las evidencias, además de disponer de información y documentación centralizada y accesible en todo momento, gracias a que su modalidad principal es en la nube.

Haciendo clic aquí, puede ver las funcionalidades de ISOTools para la gestión de cumplimiento.