10 cambios claves para implementar la nueva ISO 37301
Artículo escrito por Prof. Hernan Huwyler, MBA CPA
Director académico programas ejecutivos de compliance del IE Law School
La reciente ISO 37301 sobre sistemas de cumplimiento ha cambiado drásticamente la agenda de los compliance officers a nivel global. Este estándar certificable aprobado en abril de 2021 contiene requisitos específicos sobre un sistema de cumplimiento. Conjuntamente con otros estándares sobre gestión de riesgos legales de líneas de denuncias y privacidad, los compliance officers cuentan con mayores referencias internacionales para comparar y justificar sus prácticas. La implementación y posterior ejecución de los nuevos procesos y controles necesarios para alcanzar los requisitos de la ISO 37301 requiere modificar el enfoque de todos los elementos del programa de ética y cumplimiento. Este artículo resume los 10 desafíos más comunes en la gestión del cambio en nivel general.
Implementar un registro de obligaciones de cumplimiento (cláusula 4.5)
Para poder entender el contexto interno y externo del sistema de compliance es necesario listar obligaciones que la organización debe cumplir. Este registro materializa la determinación del alcance de la función de cumplimiento. En la práctica y para cada obligación, se deben desagregar los atributos de control, el alcance de aplicación, el estado de implementación, el dueño, la relación con procedimientos y las partes interesadas. El alcance debe detallar actividades, productos, geografías y puestos relevantes.
El desafío de los compliance officers es convertir este registro como una herramienta de gestión para que sea actualizado sistemáticamente. El registro debe ser dinámico para ajustarse a cambios frecuentes en los objetivos estratégicos, regulaciones, productos, y geografías. Otro desafío es dar granularidad e integridad al listado de obligaciones, especialmente en casos de licencias, sentencias, órdenes ejecutivas del regulador, pronunciamientos y políticas internas contando con un sistema de alertas de nuevas obligaciones.
Identificar las partes interesadas (cláusula 4.2)
Tomando herramientas desarrolladas en comunicación, es necesario identificar las partes interesadas que generan requisitos para el sistema de compliance y requieren recibir información sobre riesgos y procedimientos. La definición amplia de grupos de interés internos y externos implica identificar actores usualmente no contemplados como las organizaciones no gubernamentales, los grupos locales de la comunidad, los activistas, los medios, los financistas, los auditores y las funciones internas.
El desafío de los compliance officers es efectuar un mapa de las partes interesadas vinculado al registro de obligaciones. Esto se logra listando las partes interesadas por ciclos de negocio y jurisdicciones entendiendo la naturaleza de cada relación. El conocimiento y la gestión de los requerimientos de nuevos actores requieren el desarrollo de relaciones de los compliance officers.
Valorar y desagregar los riesgos de compliance (cláusula 4.6)
Los análisis de riesgos basados en adjetivos y colores han quedado demostrados por la ciencia de inducir a la mala toma de decisiones por sus falencias matemáticas y sesgos. Aseverar que los riesgos legales, contractuales o de compliance en general pueden gestionarse con un mapa de calor en rojo, amarillo y verde o estar basados en opiniones es una mala praxis. Debido a que las regulaciones crecientemente solicitan adoptar enfoques basados en riesgos, un análisis superficial de riesgos con metodologías no científicas impide la defensa corporativa.
Los principios ISO en riesgos requieren utilizar la mejor información disponible y comparar exposiciones contra el coste de las medidas de gestión. Es necesario entonces el uso de datos sobre impactos cuantificados y probabilidad de escenarios de incumplimiento concretos. Estos requisitos necesitan la valoración desagregada y actualizada de impactos y probabilidades en actividades, productos, servicios y terceras partes a nivel inherente y residual. El uso de metodologías probabilísticas como simulaciones de Monte Carlo y árboles de decisión permiten valuar rangos de escenarios sobre riesgos de incumplimientos. Otros desafíos llegan por el requisito de identificar las fuentes de potenciales incumplimientos en actividades y jurisdicciones, así como el establecer un nivel aceptable del riesgo consistente y formalizado.
Desarrollar una matriz de controles operaciones (cláusula A.8.1)
La planificación de las acciones de compliance requiere testear y monitorear los controles operaciones incorporados en los procedimientos así como fueron detallados en el registro de obligaciones. De esta forma, se puede reevaluar aquellos riesgos de incumplimientos tratados con controles. El aseguramiento de estos controles operaciones complementa al tratamiento de riesgos con seguros de responsabilidad, outsourcing, renegociación de cláusulas, aceptaciones y decisiones de «no-go».
Una matriz de controles de operaciones permite al compliance officer poder planear el desarrollo de procedimientos, testeos y monitoreo con el soporte interno y de consultores necesario. Además permite entender aquellos controles ejecutados por las terceras partes para coordinar revisiones externas.
Incorporar responsabilidades de compliance en las descripciones de los puestos (cláusula 5.1.1)
Las obligaciones en el registro deben articularse en requerimientos de puestos concretos y aprobados. De esta forma, la responsabilidad de ejecutar y de rendir cuentas sobre controles de cumplimiento se delegan, comunican y documentan dentro de la organización y también externamente a través de poderes.
El desafío sobre este requerimiento es identificar y asignar las obligaciones a cumplir en los tipos de puestos y las condiciones de empleo de la organización. Esto necesita que el compliance officer desagregue las obligaciones para diferenciar grupos de empleados con funciones homogéneas y alienadas a los destinatarios de las políticas y procedimientos. En la práctica, en este paso también se verifica la vinculación a los planes de formación mandatorios para asegurar que estas obligaciones son comunicadas. Agregar los puestos que pueden originar incumplimientos al el registro de riesgos y contar con un registro de competencias simplifican el proceso de implementación de este requisito.
Extender el alcance a obligaciones por requisitos voluntarios (cláusula 3.25)
Entiendo a compliance como la forma que una organización planea cumplir con las expectativas de las partes interesadas, se requiere extender el alcance de la función de cumplimiento desde obligaciones legales, penales y regulatorias a compromisos en contratos, acuerdos, y otros objetivos auto-asumidos como aquellos de responsabilidad social y medioambientales, de calidad, certificaciones y valores corporativos.
El desafío de los compliance officers es aumentar el alcance de la política y el programa de ética y cumplimiento a requisitos voluntarios. La definición amplia de obligaciones requiere nuevas habilidades de facilitar la gestión de riesgos y asegurar controles especialmente en países donde la función de compliance ha estado muy vinculada solamente a responsabilidad penal corporativa, lavado de dinero o normativa anti-corrupción.
Mejorar la debida diligencia e incentivos de empleados, ejecutivos y consejeros (cláusula 7.2.2, 9.1.1)
La ISO 37301 requiere que los procedimientos de debida diligencia se apliquen ante la contratación, cambio de puesto o promoción del personal. En general, los procedimientos de revisión de antecedentes, obtención de referencias, validación de titulaciones y certificados no son efectuados en forma periódica ni ante los cambios de puestos. Asimismo, el procedimiento de due diligence debe evaluar las competencias de un candidato o empleado para cumplir con las obligaciones del puesto.
En paralelo, el proceso de revisión periódica debe extenderse a las metas de desempeño e incentivos para que fomenten el cumplimiento. De esta forma, los compliance officers deben revisar que la aprobación de metas en los salarios variables está alineada a los valores de la organización y se revisan para asegurar la ética y legalidad. El sistema de compensaciones debe promover que no se asuman riesgos de incumplimientos por intereses personales. En la práctica, las cláusulas malus y clawback son un buen control aquí que permiten solicitar el reembolso de incentivos mal asignados. Estas provisiones contractuales permiten recuperar bonos mal pagados a ejecutivos en caso de descubrirse incumplimientos corporativos.
Implementar controles para prevenir represalias de denunciantes (cláusula 8.3)
Con el soporte de la nueva ISO 37002 sobre los sistemas de gestión de denuncias, las organizaciones deben proteger efectivamente a los denunciantes y brindarles orientación. El mayor activismo para resguardar a quienes dan visibilidad a sus inquietudes éticas necesita una respuesta efectiva desde el compliance. No hay lugar para el compliance en papel si buscamos proteger a los valientes que asumen riesgos personales en defensa de la ética.
El desafío de los compliance officers es articular controles anti-represalia efectivos que impidan el bullying, la presión de pares, la exclusión y otros riesgos. En una buena práctica internacional, esto requiere que se incluyan aprobaciones para cambios de cualquier condición laboral del denunciante, la protección personal extendida a sus familiares, y el soporte emocional y legal durante los 3 a 5 años siguientes de la denuncia. La ISO 37301 no solicita el pago de incentivos a los denunciantes aún.
Cuantificar la medición de la eficiencia del sistema de cumplimiento (cláusula A.9.1/3)
La ISO 37301 solicita que el seguimiento del desempeño del compliance incluya indicadores predictivos y reactivos vinculados a los riesgos. Esto requiere utilizar datos trazables y validados que sustenten la efectividad del sistema de cumplimiento y sus controles, como pérdidas por fraudes y multas, demoras, y reclamaciones.
En la práctica, la mejora de los indicadores requiere valorar el impacto de fallas en los controles de cumplimiento y otros eventos de naturaleza no financiera. Un buen procedimiento para valuar indicadores de cumplimiento permite comparar la asignación de recursos y la razonabilidad de acciones frente a los riesgos.
Reforzar el protocolo de investigaciones (cláusula A.8.4)
La implementación de la ISO 37301 requiere que el protocolo de actuación ante investigaciones del canal de denuncias, por sospechas de incumplimientos, o vulnerabilidades detectadas sea independiente, oportuno y completo. De esta forma, el compliance officer debe implementar un procedimiento para el reporte y escalamiento de las investigaciones a un comité de supervisión y dependiendo el caso, a fuerzas de orden público y reguladores.
Esto requiere que el resultado de las investigaciones concluya con la evaluación de medidas de disciplinas, remediaciones de controles y reevaluación de riesgos por lecciones aprendidas.