La debida diligencia en ISO 37001
Evaluación de riesgos en relación con la debida diligencia en ISO 37001
La debida diligencia en ISO 37001 se establece como un enfoque muy interesante que implica definir la información requerida para entender los riesgos de corrupción que pueden afectar a una organización en un contexto concreto. Además, conlleva a tomar las medidas pertinentes para la prevención o mitigación de tales riesgos.
En este sentido, es coherente con el enfoque basado en el riesgo y las oportunidades requerido por ISO 37001. Así, la debida diligencia puede ser en la práctica un conjunto de procesos tácticos que se sitúan por debajo de las políticas y los controles de alto nivel.
Evaluar el riesgo de corrupción es necesario para poder prevenirlo y evitarlo. Algunas evaluaciones de riesgos podrán combinarse con otras dentro de la organización y precisarán de mayores o menores esfuerzos según el área. Por ejemplo, los controles de tesorería o de adquisiciones requerirán evaluaciones de seguridad más amplias, especialmente, si las actividades comerciales se realizan en sectores o en países de mayor riesgo.
En este sentido, las organizaciones harán todo lo posible por clasificar los sectores y países que pueden implicar riesgos altos. Por ejemplo, el “Índice de Percepción de la Corrupción” suele usarse como guía para estas clasificaciones. Y también están los bufetes de abogados u otros consultores, que proporcionan información financiera detallada sobre diferentes áreas del mundo. Este tipo de conocimiento ayudará en la toma de decisiones en relación a la debida diligencia en ISO 37001.
Algunos puntos clave sobre la debida diligencia en ISO 37001
La debida diligencia en ISO 37001 debe ser ponderada de acuerdo con el riesgo. La norma adopta una postura firme en oposición a un enfoque anterior de “diligencia única”. De este modo, es posible que los asociados comerciales de bajo riesgo, como los clientes o proveedores minoristas, no requieran una evaluación exhaustiva.
Los asociados de riesgo medio o alto, entre los que se incluyen las compañías o personas que realizan negocios en una jurisdicción conocida por su alto riesgo de soborno, aquellos que mantienen operaciones descentralizadas, que actúan como intermediarios o agentes, o los que realizan transacciones con funcionarios púbicos, requieren un nivel más profundo de examen.
En el argot de la gestión de riesgos de soborno y corrupción, se utiliza el término “bandera roja” para señalar a las organizaciones que son sospechosas de utilizar malas prácticas comerciales proclives al soborno y la corrupción. Sin embargo, no existe una definición universalmente aceptada sobre lo que realmente representa una bandera roja. Una organización puede asumir erróneamente que las banderas rojas se limitan a hallazgos negativos explícitos, como una condena penal o una investigación de soborno.
La perdida de reputación por soborno o fraude sigue siendo un área en la que los investigadores de debida diligencia en ISO 37001 deben prestar especial atención. El texto de la norma aclara que las banderas rojas pueden venir de muchas otras fuentes.
Así, la ausencia de evidencia verificable de que un socio comercial esté debidamente registrado, y, por lo tanto, un ente gubernamental legitime su operación, podría indicar que algo no es correcto. Si un socio comercial no tiene un historial claro que demuestre que ha completado con éxito uno o varios proyectos o transacciones similares, puede sugerir una situación de alto riesgo.
Un ejemplo de debida diligencia en ISO 37001
Un ejemplo puede tener que ver con el hecho de que todas las facturas de los contratistas y socios de la organización deben verificarse. Ese es el modo de garantizar que los honorarios y los gastos sean razonables, estén justificados y realmente se haya incurrido en ellos. Así, se minimiza el riesgo de que se oculten pagos inapropiados.
Cualquier política contra el fraude existente puede considerar esto. Una forma de proceder en este sentido sería asignar un presupuesto determinado para un contratista. Si las facturas sobrepasan el presupuesto, se generará una alerta. Otro control sería garantizar que las facturas de pago al contratista sean aprobadas por más de una persona.
La debida diligencia en ISO 37001 puede tener importantes consecuencias comerciales. A nadie le gusta cambiar un negocio rentable o romper relaciones con agentes o contratistas supuestamente valiosos. Sin embargo, un enfoque ético para los negocios, no solo es una obligación legal, sino una forma de proteger la reputación y el crecimiento del negocio.
Software ISOTools para ISO 37001
Las organizaciones que desean implementar un sistema basado en ISO 37001, pueden apoyar su gestión antisoborno aprovechando herramientas como el Software ISOTools para ISO 37001.
Esta es una solución tecnológica que proporciona una estructura adecuada para aplicar la debida diligencia, desde un formato único, permitiendo así un análisis sencillo de la información.
Si tiene interés en este software de ISOTools, consulte aquí con uno de nuestros asesores.