Fundamentos de la Iso 19600 para el cumplimiento para corporativo
El manejo de la crisis y post crisis que se han desarrollado en los diferentes países, una de las medidas que se han adoptado hasta el momento, son las legales, que en el caso de nuestro país se han podido clasificar en tres fuentes primordiales, a saber, medidas sanitarias y de emergencia sanitaria, medidas de emergencia social, económica y ecológica y medidas de orden público y otras de carácter ordinario, con más de 110 actuaciones, surge la pregunta si, ¿todas las empresas han cumplido con las que les corresponde cumplir?, ¿eso es responsabilidad del área legal?, ¿de los dueños de procesos?, ¿del oficial de cumplimiento?, ¿del representante legal?, cuestionamientos que en muchas ocasiones ni se contemplan, solo hasta el momento en que se materializa un incumplimiento que tiene sus consecuencias.
Así como existen una multiplicidad de normativas que como empresarios debemos cumplir para garantizar la continuidad del negocio, además a partir del enfoque basado en riesgos también existen medidas de adopción voluntarias que las compañías deben garantizar se cumplan. Hoy queremos compartirles una aproximación de lo que es un Sistema de Gestión de Cumplimiento, y tomando como fuentes, ISO Internacional, ICONTEC Internacional, EALDE, queremos compartirles el siguiente documento.
1. ¿Qué es un Sistema de Gestión de Compliance?
El Compliance o cumplimiento corporativo es definido como “el conjunto de procedimientos y buenas prácticas adoptadas por organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control, y reacción frente a los mismos”. En general, la función de Compliance permite a las organizaciones evitar sanciones, pérdidas económicas o efectos negativos sobre su reputación como consecuencia de incumplir con normativas, leyes o códigos de conducta. Se trata por tanto de identificar aquella legislación, normativa, reglamento, código de buena conducta, o código de ética y transparencia de nuestra propia organización, para tratar de prever una respuesta, y así evitar los riesgos que se puedan dar en un momento dado por un posible incumplimiento de una norma, ya sea externa o interna y puedan afectar legalmente a las empresas. Este Oficial de Cumplimiento es el encargado de definir herramientas para prevenir, controlar y actuar ante riesgos de Compliance, en algunas jurisdicciones puede incluso llegar a tener responsabilidad penal por el incumplimiento de sus obligaciones.
2. Claves de la ISO 19600
La norma ISO 19600 está compuesta por un total de 10 puntos principales. Si bien, algunos de ellos son introductorios. Por lo general son los capítulos del 4 al 10 los que concentran los conceptos más importantes para aplicar en los Sistemas de Gestión de Compliance (SGC). El texto de la ISO 19600 comienza presentando unos principios básicos que resultan familiares en el contexto de Gestión de Riesgos de Cumplimiento Corporativo. Entre ellos podemos están:
- Buen gobierno
- Proporcionalidad
- Transparencia
- Sostenibilidad
Esta norma es útil, no sólo para poner en marcha el Sistema de Gestión de Compliance, sino también para evaluar el de las organizaciones que ya lo tengan implantados. Este análisis y evaluación conllevará cierta actitud de autocrítica, porque el fin último es conocer hasta qué punto la organización está capacitada para cumplir con sus obligaciones legales y normativas. Para entender las claves de la ISO 19600 hay que tener en cuenta los siguientes apartados:
A. Contexto de la organización
A la hora de implementar un SGC, cada organización se encuentra en un contexto específico, que hay que tener en cuenta en su implantación. Puede haber, por ejemplo, sectores donde se esté publicando mucha normativa nueva, por ineficacia de las regulaciones anteriores. Esto, paradójicamente, ayudará a implicar a la Alta Dirección de la necesidad de contar con SGS eficaz. Es decir, facilitará que los miembros de la organización tomen conciencia de contar con una estructura que garantice el cumplimiento de toda la normativa existente, o que está por venir, en el sector. En términos de contexto de la organización, la ISO 19600 describe las obligaciones y compromisos que asume la función de Compliance dentro de la organización. De esta forma, la función o el área de Cumplimiento debe analizar e identificar las necesidades de la organización en términos de Compliance, evaluar los riesgos de incumplimiento de cada una de las obligaciones de la organización y crear, promover y monitorizar indicadores (KPI) para la supervisión de los riesgos de Compliance. También tendrán otras muchas funciones, como documentar y comunicar, identificar puntos de mejora o elaborar informes.
B. Liderazgo La ISO 19600 también dedica un capítulo al liderazgo.
En él recalca la importancia de que la función de Compliance cuente con apoyo suficiente dentro de la organización, para que tanto el Sistema de Gestión de Compliance, como las tareas y actuaciones que se deriven de su puesta en funcionamiento puedan ser efectivos. Sólo en con apoyo de los distintos órganos de gobierno y de la alta dirección será posible implantar una cultura de Compliance en la organización. Es decir, el liderazgo del SGC tiene que venir de arriba. De esta forma, todos los miembros de la compañía se implicarán y conocerán sus responsabilidades en términos de Compliance. Lograr este liderazgo, implica, por su parte, que la función de Compliance explique y comunique adecuadamente a la alta dirección la necesidad de contar con una política de Cumplimiento dentro de la organización. De igual forma, no basta con que sólo la gerencia de la organización esté comprometida en este sentido, sino que el área de Compliance tiene que ser capaz de transmitir a todos los agentes implicados la necesidad de que cada uno sea consciente de su responsabilidad en el cumplimiento. Esta responsabilidad puede ser de cumplimiento legal, o simplemente de cumplir con un determinado código de conducta.
C. Planificación
En un Sistema de Gestión de Compliance, la planificación es esencial, especialmente, para gestionar y minimizar los riesgos a los que se encuentra expuesta la organización. Para ello, una de las herramientas más utilizadas son los mapas de riesgos. Con ellos, se puede identificar los riesgos, pero también controlar la probabilidad de que estos riesgos se materialicen y el impacto que podrían tener sobre la organización. Como resultado de ello, será más fácil darles una mayor o menor prioridad a estos riesgos a la hora de abordarlos. El mapa de riesgos es un instrumento que permite recopilar, de una manera simple y visual, todos estos elementos que nos resultan necesarios para analizar los riesgos de Compliance y, en función de ello, poder establecer un plan de acción efectivo. Si bien, para poder elaborar un mapa de riesgos efectivo, es necesario realizar una ardua tarea de inventariado de riesgos de Compliance a los que se enfrenta la organización, y de análisis pormenorizado de cada uno. Cada nivel de riesgo requerirá un plan de acción diferente. Además, el área de Compliance tendrá que definir un responsable distinto para cada riesgo y establecer objetivos de cumplimiento. Posteriormente, será necesario realizar un seguimiento continuado de estos riesgos y comunicar la evolución a la alta dirección.
D. Apoyo
Uno de los capítulos de la ISO 19600 se dedica específicamente al apoyo que tienen que tener las funciones de Compliance dentro de la organización. En este sentido, la normativa aclara que para poner en marcha un SGC son necesarios recursos, competencias y formación. En todos estos aspectos es necesarios transmitir la necesidad de apoyo por parte de la organización. Para ello, es necesario transmitir a la Alta Dirección que conseguir una cultura de Compliance en una organización es rentable. Sobre todo, porque el retorno de inversión en términos financieros acabará siendo positivo. Por otra parte, la ISO 19600 incide de nuevo en este capítulo en la comunicación y en la documentación, para garantizar que el Sistema de Gestión de Compliance sea férreo. De este modo, el departamento de cumplimiento ha de mantener documentada toda su actividad, para poder demostrar que la organización cuenta con una estructura para la gestión de riesgos de Compliance. Esta información será útil de manera interna, pero también a la hora de aportar documentos a un regulador, o recabar información para un proceso de operación corporativa.
E. Operación
Los aspectos operativos son abordados en el capítulo 8 de la ISO 19600. En él se mencionan cuestiones de otros capítulos, pero con un enfoque de gestión operativa. Es decir, se refiere a las acciones que hay que proponer, llevar a cabo y monitorizar para tratar riesgos de Compliance. En este apartado también se recoge una cuestión específica, que hace referencia a la utilización de las externalizaciones en las organizaciones. En este sentido, la ISO 19600 recomienda que la función de Compliance incluya en sus actividades la gestión, evaluación y control de aquellas actividades que están delegadas en terceras entidades. Y es que, cabe tener en cuenta que tener externalizada una función no exime a una organización de la responsabilidad legal y penal de esa función. Por tanto, un incumplimiento por parte del tercero será responsabilidad directa de la organización.
F. Evaluación del Desempeño
Este apartado de la ISO 19600 se centra en la evolución de los Sistemas de Gestión de Compliance, ya que estos, igual que las empresas, no son estáticos. Así, la normativa recuerda la importancia de evaluar periódicamente la eficacia del SGC y llevar un adecuado seguimiento de su desempeño. Es decir, del grado de consecución de sus objetivos, etc. También insta a evaluar con frecuencia qué opinión tiene la organización sobre la función de Compliance. Como parte de estos procesos, la ISO 19600 también incluye la auditoría interna, que funciona como el tercer nivel de control dentro de la organización. El primer nivel lo llevan las propias áreas operativas de la organización y el segundo la propia área de Compliance.
G. Mejora
Como ocurre en otras normas ISO, el capítulo 10 de la ISO 19600 está dedicado a la mejora continua de los Sistemas de Gestión de Compliance. En concreto, se centra en gestionar las no conformidades, recordando la importancia de llevar a cabo acciones correctivas. La función de Compliance será la encargada de tomar esas acciones, pero también de evaluar sus resultados y de mantener informada a la dirección acerca de los riesgos que ha corrido la organización por esta causa y sobre los que podría acarrear mantenerla sin corrección.
Cómo implantar un Sistema de Gestión en Compliance
A la hora de implementar un Sistema de Gestión de Compliance en una organización hay que tener en cuenta multitud de factores, muchos de ellos recogidos en la propia ISO 19600. El primer paso es sin duda definir el objetivo que se tiene con la puesta en marcha del SGC así como su alcance. El siguiente paso es realizar un análisis de riesgos integral en la organización. El mapa de riesgos es un elemento muy útil para ello, ya que nos permite valorar la probabilidad y el impacto de los riesgos que pueden afectar a la organización, tanto los que derivan de la actividad principal, como de actividades accesorias o que están externalizadas. Una vez se ha realizado el análisis de riesgos, será necesario verificar y valorar los controles con los que cuenta la compañía para detectar posibles incumplimientos de leyes y normativas. Para ello será necesario establecer de forma objetiva y medible la fortaleza de esos controles existentes. Por otro lado, es aconsejable crear un plan de mejoras, con el fin de que se vayan ejecutando medidas para mitigar cada riesgo. Estas medidas han de contar con un responsable, que será el encargado de ejecutarlas, pero también de controlar su seguimiento a lo largo del tiempo. Otra fase posterior para la implantación del SGC será la definición de protocolos de actuación. Estos abarcan tanto la toma de decisiones, como las políticas de la compañía en asuntos como la recepción de regalos, selección de proveedores o actuaciones ante posibles riesgos de soborno.
La organización también deberá identificar un responsable de cumplimiento corporativo, y tendrá que establecer un canal para poder comunicar las denuncias e incidencias que puedan detectar los miembros del área de cumplimiento. Por otro lado, contar con planes de formación permitirá que las medidas adoptadas en concepto de Compliance se expliquen entre toda la organización, y se logre la implicación tanto de los empleados como de la alta dirección. Además, será necesario llevar a cabo el diseño de políticas y procedimientos que expliquen la cultura de cumplimiento de la empresa y cómo se ejecuta dicha cultura. Como último paso cabe destacar la necesidad de establecer un sistema de mejora continua del Sistema de Gestión de Compliance. Esto implica crear mecanismos de evaluación y detección de desviaciones del sistema, para crear en base a ello acciones de reacción con el fin de que se cumplan los objetivos marcados. No obstante, el control no puede ser reactivo, sino también preventivo. Por ello se requieren inspecciones o auditorías internas del SGC periódicas. Todo esto conlleva, de nuevo, la involucración de la alta gerencia de la compañía, que debe revisar periódicamente de manera formal el funcionamiento del sistema y proponer mejoras al mismo.
3. La importancia de los mapas de Riesgos en Compliance
Para evaluar y cuantificar el riesgo de Cumplimiento, una herramienta fundamental es el mapa de riesgo o mapa de calor. Con este instrumento se recogerán de forma visual los distintos riesgos de incumplimiento existentes, así como su probabilidad de que se materialicen y el impacto que tendría cada uno de ellos sobre la organización. El mapa de riesgos es de mucha utilidad para la función de Compliance, pero su elaboración requiere de un proceso complejo, basado en recopilar información verificada y minuciosa. Entre los factores a tener en cuenta a la hora de evaluar un mapa de riesgos podemos encontrar:
- “Inventario” de Riesgos y descripción de los Como es obvio, para trabajar en una gestión de riesgos de Compliance, el primer paso es identificar cuáles son esos riesgos.
- “Responsable” de cada riesgo. Esta responsabilidad puede ser de un departamento entero o de un solo responsable, dependerá de la actividad de la empresa con la que esté relacionado. Probabilidad de ocurrencia de un evento negativo o incumplimiento. El mapa de calor debe indicar en qué medida puede producirse el evento negativo. Para ello, se debe recabar la información suficiente (a partir de consultas a las diferentes áreas implicadas, organizaciones del sector, consultores externos, etc.) para poder estimar y comunicar esta probabilidad. Impacto del
4. Normas de futuro en Compliance
Aunque la norma ISO 19600 fue publicada en 2015, próximamente surgirá una nueva actualización. Según recoge la World Compliance Association, el TC309, Comité Técnico de ISO responsable de esta norma, comenzó en 2018 una revisión de la misma. El resultado de la revisión se transpondrá en una norma que se llamará ISO 37301, y que sustituirá a la ISO 19600 como referente en la implantación de Sistemas de Gestión de Compliance. Como novedad, la ISO 37301 será una norma certificable y estará diseñada para adaptarse a cualquier marco legislativo. Si bien, como la norma actualmente vigente, los requisitos de este documento serán genéricos y servirán para cualquier tipo de organización, independientemente de su naturaleza o tamaño. La publicación de esta revisión está prevista para finales del año 2020, si bien, la International Organization for Standardization (ISO) aún no ha anunciado una fecha específica para su publicación.
Fuente: CARLOS ALFONSO BOSHELL NORMAN