Evaluación del desempeño en ISO 37301: pasos para realizar la evaluación de riesgos
La evaluación del desempeño en ISO 37301, planteada en el capítulo 9 del estándar de cumplimiento, solicita a la organización realizar una evaluación periódica de riesgos de acuerdo con lo dispuesto en la sub-cláusula 4.6.
Pero el capítulo 9, también asigna responsabilidades para la evaluación del desempeño en ISO 37301 a la Alta Dirección. Y dentro de esas responsabilidades, la Alta Dirección debe “adecuar la evaluación de riesgos de cumplimiento”.
Entonces, la evaluación de riesgos es sin duda una parte esencial en la evaluación del desempeño en ISO 37301. De ahí la importancia de evaluar los riesgos de cumplimiento, y de conocer la forma adecuada para hacerlo. Hoy proponemos un procedimiento en 12 pasos.
Evaluación del desempeño en ISO 37301 – ¿Cómo realizar la evaluación de riesgos de cumplimiento?
La afluencia de regulaciones, controles y normativas crea un escenario complejo para identificar, evaluar y tratar los riesgos de cumplimiento en una organización. El mundo corporativo, por otra parte, cambia tan rápido que una evaluación de riesgos realizada hace un mes, hoy podría no ser ajustada al contexto de la organización.
Contar con un procedimiento estandarizado, que garantice evaluaciones de riesgos efectivas, realistas, sin duda ayudará a la organización a protegerse contra estas amenazas y, de paso, alcanzar la conformidad con los requisitos de evaluación del desempeño en ISO 37301.
Continuemos entonces desglosando cada uno de los 12 pasos de nuestra guía para evaluar riesgos, como requisito para cumplir con la evaluación del desempeño en ISO 37301:
1. Obtener el compromiso y el liderazgo de la Alta Dirección
El compromiso y el liderazgo de la Alta Dirección son solicitados en muchos epígrafes del estándar de cumplimiento, y en general de las normas ISO. Es apenas razonable: si la cabeza principal de la organización no quiere o no puede hacer algo, es absolutamente improbable que otros empleados, con menos capacidad de decisión, logren avanzar en este o en cualquier otro proyecto.
Los altos ejecutivos tienen algo en común: toman decisiones informadas. Entonces, para “vender el proyecto” alguien tendrá que presentarlo, resaltar sus beneficios y mostrar con claridad cómo se recibirá de retorno la inversión.
Los profesionales en el área de cumplimiento pueden utilizar algunas estrategias para obtener el apoyo de la Alta Dirección:
- Evidenciar los beneficios: es preciso enfocar la discusión en puntos como el aumento de ingresos, eliminación de sanciones, aumento de valor de la marca, retención de personal, etc.
- Suministrar evidencia de los beneficios: una cosa es mencionarlos y otra comprobarlos. Indicar puntualmente en qué casos se hubiese podido ahorrar dinero y evitar problemas, es una forma de hacerlo. Mostrar cómo lo han logrado organizaciones similares, sin duda inclinará la balanza hacia la aprobación y el compromiso.
- Establecer alianzas y aprender a comunicar el proyecto: podemos pensar que no sería necesario promover la gestión de riesgos o la misma implementación de un Sistema de Cumplimiento, ya que ellos por sí solos muestran sus beneficios y oportunidades. Pero lo cierto es que es preciso hacerlo. Para ello, es importante identificar los ejecutivos que no necesitan ser convencidos porque ya lo están, y tratar de construir con ellos una avanzadilla para comunicar el proyecto y sus beneficios.
2. Diseñar un proceso
Esto implica explicar por qué se hace, cómo se piensa hacer y qué se espera obtener. Tener estos puntos claros facilitará diseñar un proceso para la evaluación de los riesgos de cumplimiento, y para la evaluación del desempeño en ISO 37301 en general.
Para que el proceso resulte eficaz y productivo, es importante tener en cuenta que la Alta Dirección es la propietaria de la responsabilidad de implementar, revisar, monitorear y medir los procesos de evaluación de riesgos. Esto no significa que tenga que ejecutarla, pero sí liderarla y asegurarse de que se cuenta con los recursos apropiados para hacerlo bien.
3. Garantizar los recursos apropiados
Las evaluaciones de riesgos de cumplimiento son especialmente complejas. Y lo son porque no basta revisar antecedentes históricos, hacer una lluvia de ideas o tomar las experiencias de otra organización similar. Tengamos en cuenta que el universo regulatorio siempre presenta alguna novedad, o muchas en algunos momentos coyunturales.
Esto hace la tarea un poco más difícil. Dificultad que implica consumir más recursos humanos, económicos y tecnológicos. Recursos que tienen un coste y que deben estar disponibles. Es parte del liderazgo que debe ejercer la Alta Dirección, por supuesto, pero también es obligación de los profesionales en el área de cumplimiento, o los encargados del Sistema, identificar estos recursos, solicitarlos y asegurar su disponibilidad.
4. Diseñar la metodología y construir un marco de operación
Podríamos definir la metodología como el conjunto de herramientas que utilizaremos para realizar la labor. Es claro que, cuanta más tecnología se incorpore a la Gestión de Cumplimiento, más fácil será realizar una evaluación de riesgos.
Pero también necesitamos construir un marco de operación. Esto significa, crear un entorno que facilite que la evaluación de riesgos, o sus resultados, se incorporen en la vida diaria de la organización, especialmente en sus procesos comerciales.
En la práctica, se trata de establecer un mecanismo para identificar y evaluar los riesgos, que funcione ahora y en un futuro cercano. Esto implica establecer qué métodos se utilizarán, qué personas intervendrán, si la evaluación será cuantitativa, cualitativa o las dos…
5. Establecer el apetito de riesgo de la organización
En la práctica, algunas organizaciones están más ávidas de asumir riesgos que otras. ¿Por qué sucede esto? Porque encuentran oportunidades en un riesgo, que les resultan más rentables que el coste que implica tratar el riesgo. En algunas ocasiones, el apetito de riesgo se define desde la misma Alta Dirección.
Pero también encontramos riesgos que tienen una probabilidad de ocurrencia tan insignificante, y su gestión en cambio implicaría asumir un coste más allá de lo razonable.
Por ejemplo, la probabilidad de que un satélite obsoleto caiga sobre las instalaciones de la organización es mínima. Protegerse contra esa eventualidad tiene un coste elevado en exceso. Así es que el apetito de riesgo puede ser suficiente para admitir y tolerar esta amenaza.
Determinar con precisión el apetito de riesgo, con argumentos y basados en la cultura, la política y el contexto de la organización, es entonces el quinto paso para realizar una adecuada evaluación del desempeño en ISO 37301.
6. Identificar la necesidad y la oportunidad de automatizar
Las organizaciones que implementan un Sistema de Gestión de Cumplimiento cada día dependen más de la tecnología para alcanzar la conformidad y para lograr sus objetivos. Además de las evaluaciones de riesgos, la gestión de cumplimiento encuentra un verdadero desafío en tareas como la debida diligencia.
Utilizar hojas de cálculo no es hoy una opción. Los procesos manuales aumentan el riesgo del error humano y la generación de silos o grupos de trabajo que operan como islas independientes.
La automatización ofrece grandes beneficios para la gestión de riesgos. Entre ellos:
- Integrar evaluaciones de riesgos de cumplimiento, con riesgos de terceros, riesgos de calidad, de medio ambiente o de seguridad y salud en el trabajo, entre otros.
- Importar y combinar datos relevantes provenientes de otras fuentes.
- Establecer un proceso maduro de evaluación de riesgos, caracterizado por procedimientos y estándares probados.
- Mejorar la calidad de la comunicación y la colaboración entre diferentes áreas y departamentos.
- Desarrollar un enfoque unificado y coherente en toda la organización, con respecto a la ética y el cumplimiento.
7. Recopilar datos
Terminamos la etapa de planificación y pasamos a la evaluación de riesgos en la práctica. La recolección de información el primer paso en esta segunda fase. Son varias las formas para recopilar información:
- Consultar los antecedentes estadísticos e históricos de la organización.
- Documentación sobre sanciones o multas por incumplimiento.
- Informes recibidos en un canal de denuncias.
- Informes de debida diligencia de empleados, proveedores, socios…
- Informes de auditoría sobre hallazgos y no conformidades.
- Entrevistas y encuestas practicadas por el área de Recursos Humanos.
- Entrevistas a miembros de la Alta Dirección, proveedores, clientes, auditores internos, autoridades locales, accionistas, inversores, representantes de organismos reguladores.
- Encuestas.
- Autoevaluaciones.
- Talleres, foros y otro tipo de actividades interactivas.
8. Identificar factores de riesgo específicos
Con la información recopilada, lo procedente ahora es identificar factores de riesgo de cumplimiento y éticos específicos. Hablamos de las razones puntuales por las que puede presentarse un incumplimiento.
Esto permitirá conocer y comprender otros riesgos que no son perceptibles en primea instancia, o riesgos subyacentes. El objetivo es obtener una lista de riesgos y factores de riesgo lo más completa posible.
9. Evaluar y categorizar los riesgos
Son dos los criterios con los que se evalúan y categorizan los riesgos de cumplimiento, pero también en otras áreas: la gravedad del impacto negativo y la probabilidad de ocurrencia.
Este, que puede ser un proceso subjetivo, sin embargo arroja información comparativa relevante, que se complementa con las entrevistas, consultas, formularios y otros mecanismos de recolección de información.
La evaluación de la magnitud de un riesgo debe tener en cuenta el daño financiero, operativo y de reputación de la organización, así como cualquier impacto negativo en los empleados y otras partes interesadas. Los resultados así obtenidos los consideramos como “riesgo inherente”, por el momento.
10. Identificar controles y diseñar e implementar los que se requieran
En primera instancia, todos los riesgos se consideran inherentes. Es en este paso donde establecemos para cuáles de ellos ya se han implementado controles y que tan efectivos son esos controles.
Este es un trabajo que requerirá la participación de muchas personas en muchas áreas. La eficacia de los controles se determina con base en evidencia y en la forma en que han demostrado ser realmente eficientes.
Tras esta evaluación, subsistirán aún algunos riesgos, que son los que denominamos “riesgo residual”.
11. Calcular el riesgo residual
El riesgo residual es el que aún subsiste sin control. Un riesgo residual alto, en una organización con un bajo apetito de riesgo, representa un problema serio. Problema que merece toda la atención de la Alta Dirección y la administración de la organización.
12. Desarrollar un plan de acción
La evaluación de riesgos, solicitada para completar la evaluación del desempeño en ISO 37301, concluye con la formulación de un plan de acción que pretende priorizar las acciones sobre los riesgos inminentes. Este es un paso crítico para garantizar que se implementarán las acciones de mejora necesarias.
El plan de acción debe ser realista y las acciones que propone deben ser medibles y verificables. Un plan de acción eficiente debe considerar no solo los riesgos y los factores de riesgo. También debe tener en cuenta:
- La descripción detallada de cada acción correctiva.
- Quién tendrá la responsabilidad de implementar la medida.
- En qué tiempo tendrá que estar implementada.
- Los recursos que se requerirán para solucionar los problemas.
- La fecha para una nueva evaluación de riesgos.
Software ISO 37001/19600 de ISOTools
La gestión de compliance, que involucra requisitos como la debida diligencia, y, por supuesto, la evaluación del desempeño en ISO 37301, hace que las organizaciones consideren la necesidad de automatizar la gestión y contratar soluciones tecnológicas innovadoras y eficientes.
La tarea, con base en procesos manuales, puede llegar a ser sencillamente frustrante. El Software ISO 19600/ISO 37001 de ISOTools, es un recurso tecnológico avanzado, que permite automatizar las tareas rutinarias de la gestión y alcanzar así la conformidad con todos los requisitos del estándar, y el logro de los objetivos propuestos.
Esta herramienta está diseñada para impulsar el crecimiento de su organización. Conózcalo aquí.