Cómo implementar la ISO 19600 en organizaciones para evitar riesgos

La ISO 19600 es la normativa internacional por excelencia para implementar sistemas de gestión de cumplimiento normativo o compliance en las organizaciones empresariales. Se trata de una normativa que todo profesional de la Gestión de Riesgos debe conocer.

El cumplimiento corporativo consiste en una manera de organizarse dentro de las compañías para prever, en la medida de lo posible, riesgos derivados de incumplir normativas u obligaciones. Este cometido es muy importante en sectores que están muy regulados, como el sector financiero, donde es clave para que la organización funcione de la manera más eficiente posible y se eviten riesgos operativos o de incumplimiento legal.

Dentro de las diferentes normativas que regulan el cumplimiento corporativo de las empresas, la normativa ISO 19600, aprobada en más de 180 países, fomenta que el riesgo de incumplimiento normativo se trate como un riesgo más dentro de la organización y se gestione igual que otros riesgos (como el reputacional, o el riesgo de pérdidas, por ejemplo).

Implicaciones de la ISO 19600

La aplicación de la normativa ISO 19600 para reforzar la función de cumplimiento normativo de las empresas conlleva las siguientes implicaciones:

• Llevar a cabo una autoevaluación de riesgos y definir controles para los mismos.
• Realizar test de estrés (Stress Testing): Consiste en valorar diferentes variables para analizar si, en una situación de exposición al riesgo en un momento dado, la empresa seguiría pudiendo afrontar ese riesgo o no.
• Tener en cuenta los escenarios que pueden dar lugar a un incumplimiento grave de la normativa o la regulación.
• Establecer “incidentes de riesgo” (Risk Incidents): Se trata, por ejemplo, de focalizarse en una regulación que va a ser difícil de cumplir para tratar de gobernar el cumplimiento de la misma.
• Aplicar indicadores de riesgo clave (“Key Risk Indicators”): sirven para analizar si los controles de riesgos de nuestra compañía están funcionando o qué impacto están teniendo.

Obligaciones de la función de cumplimiento

Para garantizar el correcto cumplimiento normativo por parte de las organizaciones, la ISO 19600 establece una serie de directrices que han de llevarse a cabo:

• Analizar e identificar las necesidades de la organización en términos de Compliance. Es decir, analizar cómo está estructurada la empresa y cuáles son sus necesidades para afrontar los riesgos de incumplimiento normativo.
• Evaluar los riesgos que acarrea el incumplimiento de cada una de las obligaciones, teniendo en cuenta que la regulación puede tener un efecto cuantitativo (sanciones monetarias) o cualitativos (impacto en la reputación de la compañía).
• Definir las funciones a cubrir y las responsabilidades en términos de Compliance: Han de definirse quiénes son los responsables del riesgo del incumplimiento normativo (por lo general, el Chief Compliance Officer) y cuáles son sus responsabilidades.
• Crear, promover y monitorizar KPI’s para la supervisión de los riesgos, y analizar si está bien implantada la función de cumplimiento normativo dentro de la gestión de riesgos de una empresa.
• Documentar y comunicar: Establecer procedimientos para que los empleados de la compañía sepan cómo han de actuar ante un posible riesgo de incumplimiento.
• Identificar puntos de mejora continua.
• Formación a los miembros de la organización, para que sepan el proceso que se está llevando a cabo.
• Identificación de novedades y cambios normativos que pueden llegar en un futuro.

Estas directrices de la ISO 19600 ayudarán a evitar o mitigar en la medida de lo posible el impacto que puede tener el incumplimiento de una regulación para una organización. Si bien, la aplicación de estas directrices no son certificables, como ocurre en otras normas ISO.

Puedes completar est información en el webinar impartido por María Barranco sobre ISO 19600 y la función de cumplimiento en la Gestión de Riesgos para EALDE Business School.