ISO 31022: GESTION DEL RIESGO. DIRECTRICES PARA LA GESTIÓN DEL RIESGO LEGAL.

Artículos de:
ISO 31022: GESTION DEL RIESGO. DIRECTRICES PARA LA GESTIÓN DEL RIESGO LEGAL.

La norma ISO 31022 (Risk management – Guidelines for the management of legal risk) no ha sido traducida aún al español, quizás por ello no es todavía especialmente conocida y menos aún aplicada en los Sistemas de Gestión de Compliance Penal (UNE19601), en los Sistemas de Gestión Antisoborno (ISO 37001) o en la novísima ISO 37301 sobre Compliance sin ningún apellido que la califique.

Es claro que las organizaciones operan en entornos complejos con una gran variedad de riesgos legales. Complejidad que no sólo debemos considerar en los riesgos legales que una organización debe afrontar cuando opera en más de un país, sino también el mantenerse al día en los cambios regulatorios, afrontar nuevas actividades, cambios en los entornos operativos, …, las organizaciones se enfrentan a considerables incertidumbres para la toma de decisiones que pueden tener importantes consecuencias legales.

La ISO 31000 establece un marco genérico para la gestión de todo tipo de riesgos, incluido el legal. La ISO 31022 está alineada con la ISO 31000 y proporciona directrices más específicas aplicables a la gestión del riesgo legal con el fin de ayudar a las a las organizaciones y a los directivos a mejorar el entendimiento de la gestión del mismo. Por tanto, es importante dejar claro que esta norma ayuda a entender su gestión y no al propio riesgo en sí.

¿Qué se entiende por riesgo?

Es el efecto de la incertidumbre sobre los objetivos.

Un efecto es una desviación de la expectativa y puede ser positivo, negativo o ambos y puede crear o generar oportunidades o amenazas.

Y, ¿qué es un riesgo legal?

Es un riesgo relacionado con asuntos legales, normativos o contractuales y de derechos y obligaciones no contractuales.

La efectiva gestión del riesgo legal se rige por valores y principios que son recogidos en la ISO 31000 y desarrollados en la ISO 31022.

La gestión del riesgo legal en una organización debe estar personalizada (customized) para ella, es decir, cada organización tiene su propio riesgo legal, que se refleja en las diferencias de su contexto externo, incluyendo el entorno legal y normativo y características del sector, así como en las diferencias de su contexto interno, incluyendo la naturaleza legal de la entidad, los valores y objetivos de la organización.

El contexto interno y externo de una organización es un aspecto muy importante, vital diríamos, para poder diseñar un Sistema de Gestión de Compliance Penal.

Una identificación errónea o insuficiente de cualquiera de los dos contextos nos va a llevar a un sistema defectuoso que no va a cumplir de forma adecuada y eficaz la prevención de comisión de delitos en la persona jurídica.

La organización debe tener una comprensión detallada de la aplicabilidad, impacto y consecuencias del error o fallo en el cumplimiento de las leyes y procesos y debe asegurarse que las nuevas legislaciones o la actualización de las existentes son adecuadamente identificadas, valoradas en su impacto e interpretación.

La gestión del riesgo legal es repetitiva y debe estar integrada en todas las actividades y operaciones de la organización.

Una de las herramientas más importantes que ayudan a tener actualizadas la totalidad de requisitos legales aplicables a una organización, se basa en procesos de comunicación tanto internos como externos. La finalidad es evitar que la organización desempeñe su actividad en una burbuja normativa y se dote de mecanismos para que dicha burbuja sea permeable a los nuevos requisitos.

Por ello, la comunicación interna y externa, el asesoramiento y presentación de informes son mecanismos para la gestión del riesgo legal (requisito incluido en la norma).

Hay que asegurarse de que hay una apropiada comunicación sobre los elementos clave del sistema de gestión del riesgo legal en tiempo y profundidad, de tal forma que se asegure que la comunicación fluye tanto dentro de la organización como hacia los interesados externos.

La falta de comunicación entre los distintos departamentos o áreas de la organización es otro de los problemas con que se encuentra el Sistema de Gestión de Compliance Penal (SGCP) en su proceso de implantación. Esto se debe a la existencia de estructuras estancas que impiden que la información fluya. Es habitual que las personas que componen un departamento o área desconozcan o tengan un conocimiento muy pobre del resto de la organización. Estas situaciones que vienen enquistadas en el tiempo por diferentes motivos (el que el responsable de área haga de ella su corralito, el narcisismo en el sentido de que la tarea que hace mi área es la más importante y sin ella la organización quiebra, …), deben ser valoradas por la consultora en la implementación del sistema y debe dotar a la organización de recursos para que sean superadas, si no se consigue, el SGCP no podrá ser implementado de forma eficaz y, por tanto, no cumplirá con el primordial objetivo de prevenir la comisión de hechos delictivos.

En los procesos de implantación de sistemas de gestión, puede resultar útil aplicar metodologías de “Gestión del Cambio Organizacional”, en concreto se puede aplicar el HCMBoK®[1] (Human Change Management Book of Knowledge) del HUCMI[2] (Human Change Management Institute). Estas metodologías reducen la probabilidad de fracaso a la hora de acometer un proyecto de cambio organizacional como pueden ser los Sistemas de Gestión de Compliance.

La comunicación suele ser una de las olvidadas en los modelos de organización y gestión que no toman como referencia la UNE 19601, y ello, porque un sistema de prevención de delitos es mucho más que conocer los tipos penales y los potenciales riesgos de la organización. El diseño e implementación de un SGCP en una organización debe nutrirse no sólo de conocimientos jurídicos (indispensables) sino también del conocimiento de otras disciplinas que posibiliten su aplicación real.

Otro elemento clave que nos indica la ISO 31022 es el seguimiento y revisión (monitoring and review) del riesgo legal.

Por tanto, debe estarse atento a los cambios en el entorno, tales como la aparición de nueva legislación, para adecuar la estrategia de la organización.

El seguimiento incluye también la vigilancia de hechos desencadenados por el riesgo legal, analizando su frecuencia y patrones y sacando conclusiones de ellos.

El seguimiento y revisión debe ver los resultados que se dan después del tratamiento del riesgo y compararlos con el progreso previsto en dicho plan. El plan de tratamiento del riesgo debe revisarse y actualizarse periódicamente y de manera oportuna para buscar garantías sobre su idoneidad y eficacia en relación a la gestión del riesgo legal.

Por lo que respecta a la implementación de la gestión del riesgo legal la ISO 31022 recoge aspectos aplicables al SGCP, como, por ejemplo, que aquellos que son designados por la organización con autoridad y responsabilidad para la gestión del riesgo legal deberán tener conocimientos, experiencia y capacidad para llevar a cabo las tareas que conllevan tales funciones.

Mismas cualidades debe tener un compliance Officer a la hora de ser designado por el órgano de gobierno, además de otras cualidades que no viene ahora al caso. El problema surge cuando la persona que designa al compliance Officer no sabe cuáles son las funciones de éste, a lo que generalmente se añade que el que es designado como Compliance Officer no conoce tampoco ni las funciones ni las obligaciones que se derivan del puesto. En estos casos va a suponer un esfuerzo por parte de la organización y, especialmente por parte del designado, en adquirir los conocimientos necesarios para poder desempeñar las actividades y funciones del puesto. Contando con la voluntad y capacidad de la persona designada, deberá añadirse el tiempo que se necesita para esa adecuación al puesto, y una vez obtenidas las capacidades, entonces se podrá empezar a diseñar e implementar el SGCP.

Por último, en esta breve exposición de la ISO 31022 no queremos finalizar sin destacar otro aspecto fundamental que es la conciencia del riesgo legal:

  1. “Tone at the top”: compromiso del órgano de gobierno y la alta dirección con la gestión del riesgo legal. Otro elemento clave de un SGCP. Sin un compromiso claro por parte de ellos nos encontraremos con un “fake” o “make up”compliance. Si la idea es sólo la de conseguir un sello de certificación, muy probablemente ni conseguirán el sello de una entidad certificadora de primer nivel, ni protegerán a la empresa frente a un proceso penal, más bien al contrario, se estarán disparando en el pie al asumir voluntariamente obligaciones que no habrán cumplido y por las que pueden ser sancionados tanto ellos como personas físicas (recordemos que tienen entre otras penas las de cárcel como administradores o alta dirección) como para la organización para la que prestan, defectuosamente, sus servicios.
  1. “Tone from the top: este nivel de compromiso no sólo debe radicar en el órgano de gobierno y la alta dirección, sino que desde ellas debe hacerse llegar a toda la organización. Y esto se conseguirá con una verdadera cultura de cumplimiento.
  1. “Training”: debe establecerse un programa sistemático de entrenamiento para la gestión del riesgo legal a través de talleres, clases y formación impartida por expertos en la materia. Recordar que la Circular 1/2016 de la Fiscalía General del Estado recomienda la formación externa de los miembros de la organización sin que deba descuidarse la interna.

 

CONCLUSIONES 

  • Es necesaria una metodología de Gestión de Riesgos que tenga en cuenta la identificación y actualización de requisitos normativos. Por ello CMS incluye en el diseño de su sistema de gestión procesos y procedimientos que cubren esta necesidad.
  • Proceso de implementación: en CMS aplicamos métodos y técnicas del HCMBoK® que hacen posible que el SGCP sea eficaz, que realmente se encuentre implementado en la organización. Con esta praxis se reducen los riesgos de rechazos, boicots, … Recordemos que el SGCP no puede ser un conjunto de normas y documentos para la exhibición en un momento dado, sino que deben estar integrados en el día a día de la organización.
  • Dado que estamos hablando de sistemas de gestión transversales (que afectan a todas las áreas de la organización), desde CMS realizamos todos nuestros proyectos mediante equipos multidisciplinares (Abogados, Auditores, Responsables de Sistemas, Economistas, …). Con ello se garantizan sinergias y se consigue un sistema de gestión plenamente implantado.

 

Septiembre 2021

 

[1] Estándar con herramientas para la implementación de los cambios en las organizaciones. https://hucmi.com/hcmbok/

[2] Organismo de carácter internacional emite el estándar HCMBoK® y que trabaja en la elaboración de normas y material para la gestión de los cambios en las organizaciones. https://hucmi.com/

Sigue leyendo

Más noticias