Luchar contra un fantasma que no se ve y que es capaz de derribar los sartenes de la cocina y de levantar las sábanas de la habitación mientras intentamos atraparlo sin éxito una y otra vez se parece mucho a implementar la norma ISO 37301 sin antes evaluar los riesgos de compliance a los que nos enfrentamos.
La batalla está perdida mucho antes de empezar, puesto que un enemigo invisible tiene todas las de ganar. ¿Cómo podemos hacernos una idea general de ese monstruo de siete cabezas al que debemos dar pelea? Y antes de que digas que somos exagerados, te contamos que los efectos del incumplimiento son potencialmente devastadores y que no es dramático asegurar que incumplir puede ser tan terrorífico como un engendro agazapado en medio de la noche.
La ISO 37301 – Sistema de gestión de compliance, en su punto 4.6, referido a la evaluación de riesgos de compliance, nos da luces en 5 pasos:
- La organización debe establecer el proceso de gestión de riesgos: identificar, analizar y evaluar sus riesgos de compliance basándose en la mejor práctica del enfoque basado en procesos. Lo básico es contar con una forma de gestionar sistemáticamente los riesgos
- La organización debe identificar los riesgos de cumplimiento relacionando sus obligaciones de cumplimiento con sus actividades, productos, servicios y aspectos relevantes de sus operaciones. Para esto es muy importante que conozcamos cuáles son los compromisos de compliance: buenas prácticas, normas, contratos, reglamentos y leyes que rigen al negocio. Estar al tanto es fundamental porque si alguien ejecuta una acción indebida o toma una decisión sin ser consciente de la ley, es posible que incumpla.
- La organización debe analizar los riesgos de compliance. El análisis consiste en combinar las probabilidades y consecuencia en una escala que permita determinar qué nivel de riesgo corresponde a cada uno de los riesgos identificados.
- Los riesgos de cumplimiento se evaluarán periódicamente y siempre que se produzcan cambios materiales en las circunstancias o el contexto organizativo. Siempre insistimos en que lo único constante es el cambio, las leyes y acuerdos varían y no hacer seguimiento de estas es un craso error que nos lleva a incumplir. Es fundamental, además de conocer qué acciones nos harían fallar, familiarizarnos con las consecuencias de incumplir. Como ya mencionamos, nuestras conductas pueden llevar a la organización a no cumplir sus objetivos de compliance. Esa es una probabilidad y es vital saber el impacto que tendrá, para luego evaluar la situación según la escala de riesgos (altos, medios y bajos). Podemos hacerlo de forma cualitativa o cuantitativa. Posteriormente, esas evaluaciones deben compararse con el apetito por el riesgo de la empresa. En función de eso se decide cuál será el plan de tratamiento de riesgos, que se divide en 3 grandes tipos: aceptar, transferir y mitigar.
La organización debe conservar información documentada sobre la evaluación de riesgos de cumplimiento y sobre las acciones para abordar sus riesgos de cumplimiento. Cuando nos enamoramos guardamos cada recuerdo preciado: fotos, cartas, envoltorios de bombones, entradas de conciertos, pétalos de flores… Al implementar normas ameritamos hacer lo propio: registrar cada evidencia de gestión que tenemos, amenazas potenciales, reportes, comunicaciones y la gestión de riesgos, en general. Esto no es comparable a una acción romántica, pero sin duda nos va a reportar beneficios.
¡No luches a ciegas!
El apartado 4.6 de la norma ISO 37301 se basa en la ISO 31000 – Sistemas de gestión de riesgos. ¿Te parece que somos muy quisquillosos en este punto? Te contamos que el análisis de riesgos es tan importante porque si pasamos por alto alguna amenaza capaz de materializarse, se incrementa la posibilidad de incumplir sin antes haber hecho nada para mitigarlo. Al saber con qué estamos lidiando podemos asignar recursos, responsables y procesos que faciliten la gestión de riesgos. Estos últimos se dividen en:
- Riesgos inherentes: se refieren a todos los riesgos de cumplimiento que enfrenta una organización en un estado no controlado sin las correspondientes medidas de tratamiento del riesgo de cumplimiento
- Riesgos residuales: son los riesgos de cumplimiento no controlados de manera efectiva por las medidas de tratamiento de riesgo de cumplimiento existentes de una organización.
El Anexo A (4.6) se extiende en el análisis de riesgo cuando expresa que algunas de las consecuencias de incumplir están ligadas a daños personales y ambientales, pérdidas económicas, daños a la reputación, cambios administrativos y responsabilidades civiles y penales. ¿Quieres saber más? Continúa leyendo nuestros artículos relacionados con la norma ISO 37301 y entérate de los pormenores del estándar más poderoso que se ha publicado recientemente.
Tomado de: https://www.isotools.org/
No hay comentarios.:
Publicar un comentario