CONTENIDO Página
Directora: Yudy Tunjano
8
Página EL VALOR DE LAS NORMAS ISO EN LA INNOVACIÓN Y SOSTENIBILIDAD DEL COMPLIANCE
26
Erik Maldonado. Guatemala.
Comité Editorial: Carlos Boshell David Díaz Erik Maldonado Santiago Rojas Yudy Tunjano
10
12
EL INSTITUTO DE DESARROLLO URBANO DE BOGOTÁ, COMPROMETIDO CON LA ERRADICACIÓN DEL SOBORNO. Diego Sánchez. Director IDU. Colombia.
Diseño: María Alejandra Ramírez
EL NUEVO ESTÁNDAR ISO 37301 SOBRE COMPLIANCE. Alain Casanovas. España.
20
ISO 17024 Y LA CERTIFICACION INTERNACIONAL DE PERSONAS.
ISO 9001:2015, UNA NORMA QUE AGREGA VALOR A LAS EMPRESAS. FACTORES CLAVE PARA SU IMPLEMENTACIÓN.
HERRAMIENTAS DE CUMPLIMIENTO PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y DE LOS DATOS PERSONALES: ISO/IEC 27001:2013 E ISO 27701:2019 Marilia Moreno. Venezuela.
34
CERTIFICACIÓN TRINORMA ISO 14001:2015 CON 0, NO CONFORMIDADES Jaime Henríquez. Chile.
38
CUMPLIMIENTO: EXPECTATIVA VS REALIDAD. Susana Sierra. Chile.
43
Miller Romero. Colombia.
23 Todos los Derechos Reservados, se autoriza la reproducción total o parcial del contenido de Vive Compliance Magazine, siempre y cuando se cite la fuente completa y nuestra dirección electrónica: www.vivecompliance.com
29
Miquel Fortuny. España.
16
Las opiniones expresadas por los autores en esta Edición no necesariamente reflejan el pensamiento del Comité Editorial. En Vive Compliance Magazine, abogamos por el pluralismo y la neutralidad.
UNA APROXIMACIÓN A LA ISO 37002 WHISTLEBLOWING MANAGEMENT SYSTEMS
Edgar Pretel. Colombia.
Edición No. 4
Vive Compliance Magazine
Editora General: Yudy Tunjano
LA IMPORTANCIA DEL OFICIAL DE CUMPLIMIENTO EN LOS SISTEMAS DE GESTIÓN DE CUMPLIMIENTO.
LA PROTECCIÓN DE DATOS Y SU RELACIÓN CON CIBERSEGURIDAD Rebeca Chacón. Panamá.
48
María Altamirano. Perú.
BASC-ISO 28001: SISTEMAS DE GESTIÓN DE LA SEGURIDAD EN LA CADENA DE SUMINISTRO. Carlos Boshell. Colombia.
52
¿SABÍAS QUÉ?
3
Buscando enfrentar y frenar a quienes pretenden lucrarse con los recursos públicos, recientemente se sancionó la Ley de Transparencia, Prevención y Lucha Contra la Corrupción.
EDITORIAL EDITORIAL EDITORIAL EDITORIAL
Yudy Tunjano G. Directora General “Vive Compliance Magazine”
¡Es urgente recuperar la ética del trabajo honesto, del esfuerzo y de la persistencia y la disciplina! La firma consultora internacional Ipsos recientemente publicó los resultados del estudio “What Worries the World” en el que se analizaron 28 países en los que se preguntó a la opinión pública sobre las tendencias actuales y globales, los problemas sociales y políticos más importantes de sus estados. Lo que hace este estudio es revelar la clasificación de diferentes problemas que los habitantes de los países analizados consideran más preocupantes y los que se deben priorizar. En los resultados destacaron la pandemia y las crisis económicas que esta dejó en varios sectores. En Colombia, por ejemplo, la pobreza y la corrupción son las preocupaciones de primer orden.
Grupo de Compliance que logró la acreditación ISO 37001 Sistema de Gestión Antisoborno.
En cuanto a la corrupción, varios indicadores muestran que los esfuerzos realizados en Colombia durante 2021 para enfrentar esta problemática fueron insuficientes. Nuevamente el país fue testigo de escándalos que involucraron millonarios recursos públicos, entramados de corrupción que salpicaron a actores públicos y privados, actuaciones muy cuestionables de líderes políticos y prácticas sociales tramposas que muestran que es necesario hacer mucho más para salir de un estancamiento en la lucha contra la corrupción.
Adicionalmente, la ley aplica cuando la lesión al patrimonio público o a la afectación de intereses patrimoniales de naturaleza pública, se haya generado por apropiación de bienes o recursos públicos en beneficio de terceros. Esta norma plantea desarrollar programas de transparencia y ética empresarial de cumplimiento obligatorio, fortaleciendo proyectos educativos institucionales de los colegios.
Edición No. 4
Vive Compliance Magazine
Esta norma levanta "levanta el velo corporativo de compañías para enfrentar a quienes pretenden lucrarse con los recursos públicos" a través de un sistema de detección para combatir el incremento patrimonial injustificado. Este ‘velo corporativo’ también rige cuando la persona jurídica promueva o se encuentra en estado de insolvencia o liquidación, y ponga en riesgo el resarcimiento del patrimonio público afectado.
Finalmente, se crea el sistema de detección y alerta temprana para combatir el incremento patrimonial injustificado por parte de servidores públicos y conocer a los beneficiarios finales de los contratos. Incentivar la ejecución eficiente y eficaz de esta ley es urgente. Por el lado de la ciudadanía, hay que trabajar en dejar la mentalidad mafiosa, la idea de que es posible hacerse rico de manera rápida, fácil y violando la ley. Hay que traducir la indignación ciudadana en una oportunidad en la que se reconozca que el problema de corrupción es de todos y que hay que examinar no solo el comportamiento de los funcionarios públicos, sino también el de los empresarios que pagan por pecar y el de cada uno de los ciudadanos. Sin esa reflexión ética no habrá cambio normativo, institucional o tecnológico suficiente. Los invitamos a que nos escriban a yudytunjano@vivecompliance.com o info@vivecompliance.com a que nos sigan en nuestras redes sociales y se suscriban en nuestra página web www.vivecompliance.com
¡Bendiciones para todos! 5
Erik Maldonado. Guatemala
Vive Compliance Magazine
Abogado. Consultor de Compliance e Integridad Corporativa
Si bien el convencer sobre los beneficios del compliance sigue siendo el reto y pan de cada día de los profesionales dedicados al compliance, la existencia de las Normas ISO, han constituido caballos de fuerza, de grandes revoluciones, con la potencia de un Lotus o un Bugatti, para que, con mucha potencia, permita el desarrollo natural y necesario de nuestra apasionada materia. Los sistemas de gestión a través de las Normas ISO permiten materializar lo abstracto que podía resultar el compliance para algunas personas, teniendo un marco de referencia importante, con herramientas para diseñar e implementar correctamente los diferentes elementos de un sistema de gestión de compliance eficaz. La Norma ISO 19600:2014 de Sistemas de Gestión de Compliance, permitió continuar con la madurez de estos temas en el mundo ISO, junto a otras como la Norma ISO 37001:2016 de Sistemas de Gestión Antisoborno.
El indispensable traje a la medida de las organizaciones, permite la constitución de dicha columna vertebral de compliance, a la medida, facilitando la calidad de integración y compatibilidad de diferentes estándares, considerando por ejemplo otras Normas como herramientas de compliance, por ejemplo la Norma ISO 37001:2016 Sistemas de Gestión Antisoborno, ISO 37002:2021 Sistemas de Gestión de la Denuncia de Irregularidades, ISO 31000:2018 Gestión del Riesgo, ISO 37000:2021 Gobernanza de las Organizaciones, ISO 31022:2020 Gestión del Riesgo Legal; ISO 14001:2015 Sistemas de Gestión Ambiental, ISO 9001:2015 Sistemas de Gestión de Calidad, entre otras. Los elementos del Sistema de Gestión de Compliance que se diseñe e implemente en una organización, pueden incluir y ser de acuerdo con otros estándares o Normas ISO, las cuales se desarrollan y evolucionan con el paso del tiempo, por ejemplo, libre competencia o cualquier otro tema, proponiendo nuevos compromisos, innovando en el compliance y consolidando su presencia en la sostenibilidad y éxito de las organizaciones.
Con la Norma ISO 37301:2021 de Sistemas de Gestión de Compliance, no hay retorno, para buscar la certificación de los modelos implementados en las organizaciones, constituyendo uno de los principales hitos del compliance, para continuar el camino de vivir compliance.
EL VALOR DE LAS NORMAS ISO EN LA INNOVACIÓN Y SOSTENIBILIDAD DEL COMPLIANCE. Hace algunos años la explicación de compliance representaba contar una historia desde los gangsters de New York, Watergate, pasando por documentos legales como la Foreign Corrupt Practices Act o la UK Bribery Act, o estándares extranjeros como el australiano AS 3806:2006, resultaba necesario convencer al interlocutor de los beneficios de ese término de origen anglosajón. Hoy en día las múltiples reuniones, discusiones y argumentos de profesionales multidisciplinarios, de diferentes países, a lo interno y a lo externo, a través de los esfuerzos surgidos desde la Organización Internacional de Normalización (ISO), permiten aterrizar en consensos para la creación de estándares o regulaciones técnicas sobre diferentes campos. Esa no ha sido la excepción para el compliance y la buena gobernanza.
La 37301 al ser una norma de alto impacto, ampliamente consensuada, incluso contando con una traducción oficial, a cargo de una fuerza de tarea integrada por varios países. La potencia de esta norma permite que organizaciones de países que todavía no cuentan con legislación en materia de compliance, puedan sumarse al liderazgo y compromiso con la cultura de cumplimiento normativo. Lo positivo también es la incorporación de esta norma idénticamente en las esferas nacionales, tuve la suerte de presentarla ante el Consejo Nacional de la Comisión Guatemalteca de Normas (COGUANOR), como miembro del comité de gobernanza de las organizaciones (ISO/TC 309) para que fuera aprobada y adoptada como Norma Técnica Guatemalteca. Situación que afortunadamente se repite en muchos otros países. Hoy en día la explicación de compliance trae aparejada la utilización de herramientas prácticas, que permiten hacer compliance de una manera metodológica y a través de directrices, requisitos o elementos imprescindibles como las Normas ISO. La Norma ISO 37301:2021 permite la integración de un modelo transversal, pudiendo tomar en cuenta otras Normas ISO, que han de convertirse en el motor de innovación y constante evolución del compliance. La Norma ISO 37301:2021, puede ser la columna vertebral de todos los compromisos de una organización y la facilidad de su estructura de alto nivel (HLS), permite la armonización de procesos, certificaciones y otros sistemas de gestión de las organizaciones. 7
UNA APROXIMACIÓN A LA ISO 37002 WHISTLEBLOWING MANAGEMENT SYSTEMS
Miquel Fortuny. España. Socio de Fortuny Legal. Es abogado penalista, con especialidad en delitoscorporativos. Con más de 25 años de ejercicio profesional, dentro de los cuales ha dirigido, implementado y desarrollado diversos proyectos de Corporate Compliance tanto para empresas de lIBEX35 como para grandes, pequeñas y medianas empresas, así como, ha asumido la defensa penal de empresas y directivos ante los Tribunales. Es autor de diversos artículos y libros jurídicos especializados en Derecho Penal Corporativo. Es profesor de la Universitat Pompeu Fabra de Barcelona, en el Máster de Derecho Penal Económico y Compliance, de la Universidad Complutense de Madrid en el Máster de Compliance Officer y en la Universidad Carlos III de Madrid en el Máster de Derecho Corporativo y Control de Riesgos Legales de la Empresa.
En materia de canales de denuncia destaca la publicación, en fecha 26 de julio de 2021, de un nuevo estándar normativo: la norma ISO 37002, relativa a sistemas de gestión de canales de denuncias (whistleblowing management systems). Siguiendo la estructura estandarizada de las normas ISO de alto nivel (HLS), este nuevo estándar proporciona directrices o recomendaciones para el diseño, implementación, gestión, evaluación, mantenimiento y mejora de sistemas de gestión de denuncias, y es aplicable a todo tipo de organizaciones. Por tanto, es una norma de tipo B, que no establece requisitos, no siendo, por ello, de tipo A o certificable. Este nuevo estándar pretende conferir pautas a las organizaciones que quieran implantar con eficacia sistemas para gestionar y seguir las denuncias formuladas a través de los canales de denuncia internos establecidos por aquellas, a la par de minimizar el riesgo de sufrir represalias por el hecho de reportar incumplimientos o irregularidades. De esta manera, los tres principios básicos por los que se rige el estándar, esto es, confianza, imparcialidad y protección, guían todo el sistema y permiten mejorar la cultura organizacional en materia de cumplimiento normativo, así como la gobernanza. Con el ánimo de realizar una sucinta aproximación a la ISO 37002 se exponen, a continuación, algunas de sus claves más relevantes. .
3. Toma de conciencia
Para empezar, la organización que decida implementar un sistema de gestión de denuncias basado en la ISO 37002, deberá plantearse, en base a sus características y naturaleza, algunas cuestiones tales como ¿cuáles son los objetivos de nuestro sistema?, ¿quiénes van a ser los responsables de su gestión?, ¿qué recursos se van a emplear?, entre otros aspectos. Por tanto, en base a los parámetros del estándar, se deberá realizar una planificación previa de las acciones a desarrollar, definiendo así, qué personas van a poder hacer uso del canal y qué tipo de infracciones deben ser objeto de denuncia.
Otro pilar esencial para el engranaje del sistema es la formación y la comunicación acerca del uso del canal. Difícilmente los miembros de nuestra organización comunicarán infracciones si no reciben formación acerca de la legislación aplicable y de la normativa interna vinculada al canal, de su funcionamiento o de cuáles son sus derechos y obligaciones como parte del proceso, entre otros aspectos. Cabe considerar que, en numerosas situaciones, para el denunciante no es fácil tomar la iniciativa de interponer una denuncia, de manera que, la impartición de formación comportará para el receptor de ésta una mayor percepción de transparencia y seguridad y, por ende, mayor motivación para reportar irregularidades a través de los canales internamente establecidos.
2. “Tone from the top” y la función de gestión de la denuncia de irregularidades El impulso y posterior supervivencia del sistema no será posible sin un adecuado liderazgo o “tone from the top”, que deberá emanar necesariamente del órgano de gobierno y la alta dirección. Para quién esté familiarizado con el compliance no le resultará, en absoluto, novedoso. De esta forma, le corresponde al órgano de gobierno demostrar su compromiso con la política de gestión de denuncias y su sistema, estableciendo sus objetivos y dotándolo de los recursos financieros y humanos necesarios. Por su parte, la alta dirección deberá asegurar, entre otros temas, la integración del sistema en la estrategia empresarial, el fomento del canal o la promoción de su mejora continua. Además de las funciones detalladas en la norma, el estándar impone a la alta dirección otro cometido relevante y trascendente: la atribución de la responsabilidad y autoridad a una unidad o función encargada de diseñar, implantar, operar y mejorar el sistema de gestión de denuncias. Es decir, la creación de una “función de gestión de la denuncia de irregularidades” que, dotada de recursos suficientes, deberá estar asignada a personal que tenga la competencia, integridad e independencia adecuada. Sin la existencia de este rol, y los dichos atributos predicables del mismo, el sistema no podrá evolucionar, corriendo el riesgo de ser considerado como meramente estético o cosmético.
4. Operativa del sistema de gestión de denuncias Entrando en la operativa del sistema, la norma ISO 37002 establece que su funcionamiento, en relación con la denuncia de irregularidades, viene estructurado en cuatro fases: Fase 1
Edición No. 4
Vive Compliance Magazine
La medicina tiene claro que para tratar con éxito una patología es vital detectarla a tiempo. De igual forma, en materia de compliance, el canal de denuncias se concibe como un instrumento de prevención-detección eficaz, a través del cual, el “denunciante” o “whistleblower” reporta a la organización la comisión de incumplimientos acontecidos en su seno.
1. Planificación
Recepción
Fase 2
Evaluación
Fase 3 Fase 4
Tratamiento Conclusión
La primera fase es la recepción de la denuncia. Para ello, la organización debe implantar un canal de denuncias seguro, visible, accesible y que garantice la confidencialidad, precisamente, para alcanzar uno de los objetivos del sistema: facilitar la interposición de denuncias de irregularidades. A pesar de que no siempre será fácil, especialmente si el denunciante es anónimo, en esta primera fase es recomendable obtener la máxima información posible sobre los hechos por parte del denunciante, siendo también importante comprender los verdaderos motivos que le han llevado a interponer la comunicación, así como sus expectativas. 9
En el supuesto que se considere que la comunicación es verosímil y relevante, se iniciará la tercera de las fases: el tratamiento de la denuncia. Esto es, la investigación, que podrá ser llevada a cabo por terceros externos a la organización. En ella será esencial, como en cualquiera de las cuatro etapas mencionadas anteriormente, la existencia de garantías (confidencialidad, imparcialidad, respeto a los derechos fundamentales, licitud de la prueba) y protección (ausencia de represalias) para todas las partes implicadas, no exclusivamente para el denunciante, sino también para el denunciado o cualquier tercero que pueda resultar afectado. Cabe destacar que las investigaciones internas generadas son, en no pocas ocasiones, de alta complejidad y de difícil manejo. Por ello, los gestores de la investigación deben ser personas con la formación, preparación y habilidades apropiadas. De lo contrario, el desenlace de la investigación puede ser una auténtica debacle. Por esta razón, la norma establece que los responsables de realizar actividades relacionadas con la investigación deberán presentar, entre otras, características como “inteligencia emocional”, “integridad”, “diplomacia” y “buen juicio”. Una vez realizada la investigación, la cuarta y última fase es su conclusión. En ella, puede ser corroborada o no la existencia de la infracción denunciada. Si se corrobora la infracción, se adoptarán las medidas necesarias para dar solución al incumplimiento o irregularidad, además de aplicar las sanciones apropiadas y, cuando corresponda, ponerlo en conocimiento de las autoridades.
5. Evaluación del rendimiento e introducción de mejoras Por último, es destacable remarcar que el universo de normas ISO parte de la necesidad de llevar a cabo un proceso de mejora continua del sistema implantado, a través del conocido ciclo de Deming: Plan, Do, Check, Act. La evaluación del rendimiento y efectividad del sistema, por parte de la función de gestión de la denuncia de irregularidades, permitirá detectar fallos, en base a los cuáles, deberán planificarse planes de acciones correctivas dirigidas a su subsanación y/o mejora. En conclusión, la nueva ISO 37002 es un estándar que puede ser de gran utilidad para las organizaciones que quieren conocer y gestionar internamente sus incumplimientos e irregularidades, permitiendo de este modo reforzar debidamente sus modelos de compliance y, en particular, la cultura ética y de cumplimiento. Por otro lado, les puede permitir minimizar a tiempo las consecuencias de sus incumplimientos, detectándolos a tiempo, evitando así el daño reputacional y las consecuencias económicas que del mismo se derivan. A nivel europeo, además, encaja perfectamente con el espíritu de la Directiva (UE) 2019/1937, de protección al denunciante, que impone a un espectro muy amplio de entidades, tanto del sector público como del privado, la obligatoriedad de disponer de canales de denuncia internos.
Edición No. 4
Vive Compliance Magazine
La segunda etapa es la evaluación de la denuncia. La organización debe contar con un procedimiento para clasificar y valorar las denuncias recibidas que se traduce en la necesidad de realizar un cribaje o “triage”. Este es un paso crucial que ayudará al gestor del canal a determinar si existen suficientes elementos para decidir llevar a cabo una investigación o no, siendo altamente relevante documentar su resultado.
Es relevante, según señala el estándar, que a lo largo de todo el ciclo de la denuncia se cumpla con la legislación vigente, incluida aquella en materia de protección de datos, así como que exista un “feedback” o retroalimentación constante con el denunciante y otras partes interesadas pertinentes.
11
Entrevista ¿Cómo nace la idea de la certificación? ¿Cómo nace el compromiso de crear cultura de Compliance voluntariamente en una institución pública?
Diego Sánchez. Director General.
Instituto de Desarrollo Urbano – IDU Colombia
Ingeniero Civil. Especialista en Gerencia de Proyectos de Ingeniería. Dentro de su trayectoria profesional, ha estado al frente de importantes programas y proyectos de infraestructura vial y de transporte en Colombia y en América Latina. Ha ocupado importantes cargos en diferentes entidades como el Banco de Desarrollo de América Latina, Ministerio de Transporte, Financiera de Desarrollo Nacional, Instituto de Desarrollo Urbano y Universidad Javeriana, entre otras. Profesor, conferencista internacional y responsable de diversas publicaciones sobre temas de Infraestructura en América Latina.
El Instituto de Desarrollo Urbano de Bogotá es una entidad pública, adscrita al sector de movilidad de la Alcaldía. En el año 2021, ejecutó un presupuesto total $4.9 billones de pesos, administra más de 190 contratos de obras de infraestructura y, genera anualmente más de 12.000 empleos directos e indirectos. Es un líder nacional en materia de contratación estatal de obras de infraestructura para la movilidad. Tras varios años de corrupción y retraso en la capital de Colombia y con la implementación del transporte masivo Transmilenio en la troncal caracas y portal 80 a fin de quitar de circulación los carros de transporte público que se encontraban obsoletos, inició uno de los procesos de contratación más polémicos de los cuales se desprendió una ola de corrupción en la contratación pública de la capital. Todo esto motivó a la Alta Dirección a adoptar voluntariamente estándares internacionales que permitieran generar una cultura de la prevención en la lucha contra el soborno y la corrupción. Es por ello por lo que, desde hace dos (2) años, vienen trabajando en la incorporación de controles a los procesos corporativos, con el fin de prevenir los riesgos asociados al soborno, y actualmente, cuentan con un sistema de gestión para prevenir cualquier forma de corrupción. .
El flagelo de la corrupción demanda que los líderes públicos se comprometan con acciones concretas y visibles para que la prestación de los servicios públicos a su cargo llegue efectivamente a los ciudadanos para generarles una mejor calidad de vida.
Las empresas y entidades en general enfrentan múltiples riesgos legales, comerciales, operativos y de reputación según el sector donde se hacen negocios, la ubicación y socios comerciales. ¿Cómo fue el proceso de identificar los riesgos de corrupción en tantos frentes?
La idea de contar con la certificación ISO 37001- 2016 Antisoborno nació del compromiso de la Alta Dirección del Instituto de Desarrollo Urbano –IDU- por mejorar su imagen institucional muy afectada y dejar un gran aporte a la Entidad en materia de gestión pública transparente y eficiente. Igualmente, la Alcaldesa de Bogotá, Claudia López, viene impulsando la adopción de buenas prácticas en esta materia y nos ha dado un total respaldo frente a esta iniciativa; por la relevancia que tiene en la de contratación de grandes obras de infraestructura.
Para identificar los riesgos de soborno en el contexto de los veintidós (22) procesos internos del IDU se requirió definir una metodología especial, asignar un equipo técnico en riesgos y adelantar un proceso de formación de líderes y equipos. Fue una tarea larga, pero nos sentimos satisfechos con el mapa de riesgos que hemos adoptado, el cual cuenta con un sistema de semáforos que nos permite identificar tanto actividades con mayor exposición en riesgo, como los roles que requieren mayores controles.
El éxito en la implementación del sistema de gestión antisoborno siempre parte del liderazgo de la alta dirección o gobierno en este caso, ¿cuál fue el principal reto para lograr este apoyo? El Sistema Antisoborno del IDU incluye acciones concretas con los socios de negocio. Las personas naturales y jurídicas con quienes celebramos diferentes tipos de contratos, consultoría, obra pública, interventoría, prestación de servicios, compra de bienes y servicios entre otros, firman un conjunto de cláusulas contractuales de obligatorio cumplimiento, denominados Pacto Excelencia y Compromiso Antisoborno. Con la firma de estos acuerdos, los contratistas del IDU se comprometen a dar cumplimiento a las reglas que en materia de transparencia, excelencia y prevención del soborno han sido definidas por la entidad. Lo anterior, sumado a la adopción de pliegos tipo para los contratos de obra e interventoría y las campañas de sensibilización y divulgación hacia los socios de negocio de toda la estrategia institucional Antisoborno ha generado un incremento del más del 70% en el número de empresas privadas participantes en los procesos selectivos.
Así mismo, la realización de un monitoreo periódico para revisar la efectividad de los controles, las adopciones de las recomendaciones de los auditores internos y externos fortalecen el análisis de riesgos y nos permiten la calibración periódica de los controles. Nuestro mayor reto, ha sido generar una cultura de la prevención a partir de la identificación, clasificación, control y administración de los riesgos.
Edición No. 4
Vive Compliance Magazine
EL INSTITUTO DE DESARROLLO URBANO DE BOGOTÁ, COMPROMETIDO CON LA ERRADICACIÓN DEL SOBORNO
Este esfuerzo ha generado confianza e interés del sector privado en contratar con el IDU.
La misma norma señala que su implementación no es garantía de eliminar la corrupción ¿Cuáles han sido los principales retos para el mejoramiento continuo del sistema? La implementación de un Sistema de Gestión no garantiza la eliminación del riesgo de la corrupción, pero sí disminuye su exposición. Nuestro Sistema Antisoborno contiene estándares muy especiales que lo diferencian de otros. Este se centra en un cambio en la forma de actuar de las personas; razón por la cual tenemos grandes retos para el mejoramiento continuo, como los siguientes: 13
Vive Compliance Magazine
El compromiso de la Alta Dirección debe verse reflejado en todas sus actuaciones.
b
La formación constante de los colaboradores.
c
El rol del oficial de cumplimiento es necesario para la sostenibilidad del sistema.
d
Crear una cultura de cumplimiento, ética y valores que apunte a la prevención es parte de la clave del éxito del sistema.
e
Mantener certificación como garantía de adhesión a la norma nos hace exigirnos cada día más, definir nuevas estrategias y monitorear de forma continua nuestros riesgos.
¿Cómo se vigila el cumplimiento de las normas? ¿Cuál es el rol oficial de Cumplimiento? El Sistema de Gestión Antisoborno cuenta con un Oficial de Cumplimiento, ejercido por el Subdirector General de Gestión Corporativa. A través del oficial se monitorea el cumplimiento de las normas que lo rigen y se rinden cuentas de forma periódica a la alta dirección y a nuestro Consejo Directivo sobre el desempeño del sistema. Además, se encarga de recibir y tramitar las denuncias hacia los órganos de control para las investigaciones y sanciones correspondientes. Hay que tener presente que el soborno es un delito en Colombia. Igualmente, nuestro ente de Certificación CMD realizará anualmente auditorías externas para verificar que el IDU siga cumpliendo con los estándares de la Norma ISO 37001 y cómo es su mejoramiento continuo.
A pesar de que la certificación fue otorgada en diciembre del 2020, en la vigencia 2021 empezamos a ver los primeros resultados positivos que demuestran que vamos por el camino correcto: Incremento del 76% en la pluralidad de oferentes en los procesos selectivos de 2021. Se presentaron dos mil doscientos noventa y nueve (2299) participantes, entre empresas, consorcios y uniones temporales, en los 134 procesos de selección para la contratación de obras, consultorías, interventorías en 2021. Hemos formado a 1.200 colaboradores en temas de prevención al soborno. Hemos mejorado al 100% nuestra reputación. Cero actos de corrupción materializados. Cero reportes de noticias negativas de nuestra Entidad en base de datos. Cero No conformidades y observaciones en la auditoría externa de seguimiento a la certificación. Incremento en la utilización de los mecanismos de denuncia. La apropiación del sistema llegó a un 83%.
¿Podemos decir que ha llegado una nueva generación de funcionarios dispuestos a mejorar los procesos y la reputación de las entidades públicas?
Una trasformación cultural no ocurre de la noche a la mañana. Desde 2019 el IDU viene dando los pasos para mejorar la reputación institucional y empezó el diseño y la documentación del sistema de gestión Antisoborno. Esta administración le dio prioridad estratégica su implementación y certificación, decidimos aprovechar esta oportunidad para dejar un legado, para demostrar el valor de lo público. Fue así como decidimos dar el gran paso de transformarnos, diseñar una ruta hacia el futuro en la que la corrupción no tiene espacio. Le apostamos a un trabajo honesto, transparente e íntegro para la reivindicación institucional. Hoy los directivos, funcionarios y demás colaboradores del Instituto de Desarrollo Urbano de Bogotá nos sentimos orgullosos de haber escogido el camino de la transformación. El IDU es la única entidad pública en Colombia y en la mayoría de los países de la región en ser certificada con la ISO 37001, ¿qué mensaje quieren enviar a los demás entes públicos que no se han decidido? El IDU es la primera entidad pública de Colombia en alcanzar la certificación ISO 370001 en el Sistema de Gestión Antisoborno emitido por CMD Certification, firma certificadora reconocida por la ONAC. Nos sentimos complacidos institucionalmente de ser los primeros en alcanzar este reconocimiento, especialmente porque el sector de la infraestructura enfrenta retos muy importantes en materia de lucha contra la corrupción. Con orgullo podemos decir que en el IDU existen procesos y procedimientos ajustados a estándares internacionales que le permitirán prevenir, detectar y gestionar el riesgo de soborno. Por su puesto que es nuestro mayor deseo que otras entidades públicas de Colombia y la región se sumen a esta iniciativa, por eso promovemos el intercambio de buenas prácticas abriendo espacios para compartir con otras entidades públicas y privadas nuestras experiencias. Ponemos al servicio de todos aquellos que quieran sumarse la experiencia y el conocimiento adquirido.
“
La lucha contra la corrupción es un compromiso global.
Edición No. 4
a
Sabemos que la certificación es reciente. ¿Tienen cifras que muestren los resultados positivos de la implementación?
Estamos convencidos de que la cultura de Cero Tolerancia al Soborno, es un reto de todos.
“
La misma norma señala que su implementación no es garantía de eliminar la corrupción ¿Cuáles han sido los principales retos para el mejoramiento continuo del sistema?
15
EL NUEVO ESTÁNDAR ISO 37301 SOBRE COMPLIANCE Alain Casanovas. España.
La International Organization for Standardization (ISO) publicó en el mes de abril pasado la norma ISO 37301 de sistemas de gestión de compliance, en la que llevaba trabajando desde 2018 y que sustituyó a la ISO 19600:2014, referente hasta ahora para la implementación de sistemas de gestión de compliance. Al respecto, quisiéramos profundizar en los grandes cambios que trae la norma. 1. ¿Cuál es la diferencia entre programas y los sistemas de gestión? Hasta hace relativamente poco tiempo, era común referirse a “Programas de compliance”, considerados como un conjunto de elementos o prácticas adecuadas para gestionar el cumplimiento de las normas y valores de una organización. Sin embargo, desde la publicación del estándar ISO 19600 en el año 2014, se introdujo en compliance la noción de “sistema de gestión”, donde igualmente concurren una serie de componentes clave, pero interaccionan entre ellos operando de forma continuada y no sólo puntual, formando así un modelo “vivo”. Desde entonces, todos los textos ISO en materia de compliance son “sistemas de gestión”, describiendo componentes y sus respectivas interacciones.
2. ¿Por qué cree que se hizo certificable la nueva norma? En el año 2013, fecha en la que se comenzó la elaboración del estándar ISO 19600, las entidades de normalización nacionales representadas en ISO no vieron la necesidad de que dicho estándar fuese certificable. Sin embargo, a partir de 2018 cuando se comienza a revisar dicho texto, sí se constata esa necesidad, pues muchos operadores comienzan a preguntarse acerca de los mecanismos de compliance de las organizaciones no sólo en el ámbito de la prevención del soborno, sino de otras materias también. Es una evidencia de buena gestión corporativa y se interesan por esta faceta. Por eso, la transformación de dicha norma en el actual estándar ISO 37301 obedece a la evolución normal en la curva de madurez del compliance, donde el foco de atención está primero en prevenir y detectar las irregularidades más graves (de naturaleza criminal) para luego expandir este entorno de control a otras casuísticas. Adquiere entonces importancia que un tercero independiente pueda certificar la razonabilidad de estas estructuras de compliance transversales.
3. Vimos que la ISO 37301 incorpora algunas materias que han ganado relevancia en el último tiempo, como los procesos de incorporación de personas, procesos para el planteamiento de inquietudes y procesos de investigación ¿cuál es la importancia particular de estos aspectos? El compliance evoluciona constantemente. Echando una mirada retrospectiva, se observó que el tratamiento de determinadas materias en el estándar ISO 19600 era excesivamente somero en los tiempos actuales, vista la importancia que habían adquirido. Por eso, incorpora ahora una regulación de los procedimientos para el planteamiento de inquietudes, que se han convertido en una herramienta indispensable para todo modelo de compliance robusto. También acerca de los procedimientos de investigación, vengan o no propiciados por las denuncias recibidas. Lo mismo sucede con los procedimientos de incorporación de personas, donde es clave aplicar ciertas cautelas para evitar incorporar o promocionar a posiciones de responsabilidad a sujetos de las que se conoce o podría haberse conocido que su perfil profesional no avalaba las expectativas depositadas sobre ellos en materia de compliance.
4. También aparece el Enfoque Basado en Riesgos (EBR) que es el mismo que plantea el GAFI en sus cuarenta recomendaciones para prevenir el blanqueo de capitales, ¿No aplicar el EBR puede derivar riesgos adicionales?
Edición No. 4
Vive Compliance Magazine
Socio responsable de servicios de Compliance en KPMG España. Experto acreditado en el Comité Técnico que elaboró el estándar ISO 37301:2021. Especialista en modelos de cumplimiento y prevención penal, representa a España en iniciativas de normalización nacional e internacional sobre compliance y dirige varios postgrados universitarios sobre esta materia.
La prevención, detección y gestión temprana de riesgos de compliance atraviesa necesariamente por conocer cuáles son. Desarrollar este ejercicio de pronóstico es esencial para enfocar adecuadamente una parte muy importante de los sistemas de gestión. Tanto los controles a nivel de entidad (“entity level controls”) como los que aplican a nivel de actividad (“activity level controls”) deben ser los adecuados para prevenir, detectar y gestionar de manera temprana situaciones de incumplimiento de normas o los valores de las organizaciones. Ignorar los riesgos reales de compliance en cada caso equivale a disponer de un sistema de gestión sin rumbo, donde sus componentes o actividades se ejecutan sin un sentido claro. Este escenario priva de orientación a los sistemas de gestión y aumenta la exposición de las organizaciones al riesgo. Por eso, el enfoque basado en el riesgo (EBR) es una aproximación implícita en todos los estándares ISO sobre compliance.
17
4.
La prevención, detección y gestión temprana de riesgos de compliance atraviesa necesariamente por conocer cuáles son. Desarrollar este ejercicio de pronóstico es esencial para enfocar adecuadamente una parte muy importante de los sistemas de gestión. Tanto los controles a nivel de entidad (“entity level controls”) como los que aplican a nivel de actividad (“activity level controls”) deben ser los adecuados para prevenir, detectar y gestionar de manera temprana situaciones de incumplimiento de normas o los valores de las organizaciones. Ignorar los riesgos reales de compliance en cada caso equivale a disponer de un sistema de gestión sin rumbo, donde sus componentes o actividades se ejecutan sin un sentido claro. Este escenario priva de orientación a los sistemas de gestión y aumenta la exposición de las organizaciones al riesgo. Por eso, el enfoque basado en el riesgo (EBR) es una aproximación implícita en todos los estándares ISO sobre compliance. 5. La introducción de la nueva ISO 37301 también deja claro que el estándar en compliance puede servir de referencia a los órganos reguladores y judiciales, ¿cuál cree que debe ser esa referencia? Aunque cada vez más normas nacionales hacen referencia a requisitos de compliance, normalmente no desarrollan sus características al nivel en que lo hacen las normas privadas elaboradas por plataformas de expertos reconocidos. Por eso, los estándares ISO complementan muy bien los requisitos de las legislaciones nacionales, al tiempo que permiten dotarse de modelos de compliance equiparables, en fondo y forma, a los que emplean organizaciones de muchos países de la comunidad internacional. En una economía globalizada, donde la generación de confianza es fundamental para el desarrollo de negocios, disponer de estos parámetros de entendimiento común es clave. Por otra parte, permite a las administraciones públicas, incluida la judicial, disponer de patrones de comparación respecto de las mejores prácticas al respecto, que pueden utilizar para medir la diligencia de sus administrados en el contexto de valorar una gestión empresarial responsable.
¿Si la 37301 trae en su núcleo la “cultura ética” como un elemento originador, podemos pensar que la 37001 está próxima a desaparecer o perderá vigencia? El estándar ISO 37301 remarca la importancia de la cultura ética, pero no es realmente una novedad de dicho texto, al estar igualmente presente en la norma precedente ISO 19600. Es cierto, sin embargo, que profundiza en esta materia hasta el punto de considerar que el “compliance” no es una “situación” (cumplir con las normas) sino un “proceso” (el modo en que se consigue cumplir con las normas y valores). Este objetivo precisa poner en marcha actividades para que el compliance sea una cuestión cultural (forme parte de los hábitos de las personas en la organización) en lugar de una situación puntual o inducida exclusivamente por el miedo o la represión. El estándar ISO 37001 también señalaba la importancia de las cuestiones culturales, aunque la norma 37301 seguramente lo enfatiza al tratarse de un texto novedoso y reflejar la creciente importancia de estos aspectos como factor clave de una gestión exitosa del compliance. 7. ¿Está relacionada la nueva ISO 37301 con los ODS? ¿Con cuáles y por qué? Uno de los principios que invisten al estándar ISO 37301es el de sostenibilidad. En la esfera del compliance, se traduce en desarrollar actividades de forma segura, es decir de manera sostenible en el tiempo y evitando que enfoques cortoplacistas (vinculados con el incumplimiento de las normas o los valores éticos de la organización) pongan en riesgo esa meta. Por ello, tanto el compliance, en general, como el estándar ISO 37301, en particular, son palancas relevantes para el desarrollo exitoso de Objetivos de Desarrollo Sostenible (ODS). El principio de sostenibilidad, junto con el resto de los principios que cita expresamente la norma, influyen en el modo de interpretar todos sus contenidos, de modo que cualquier duda interpretativa se resolverá considerando también si amenaza la continuidad sostenible de las operaciones de la organización.
8. La “Función de compliance” está basada en: acceso directo al órgano de gobierno, independencia y autoridad y competencia. Por favor explíquenos cómo contribuye estos 3 elementos a mejorar el sistema de gestión de compliance. Aunque el estándar ISO 37301 se refiere a la “independencia”, también se interpretan dentro de esta faceta la “autonomía”. Una función de compliance es autónoma cuando dispone de la capacidad y empoderamiento necesarios para actuar de forma proactiva -cuando lo considere preciso-, sin necesidad de ser continuamente mandatada por los órganos de gobierno social y con acceso a los documentos e informaciones que precise con motivo de su labor. Es además independiente cuando actúa exenta de factores que conculquen su libertad de juicio e influyan negativamente en su recto proceder. La proximidad al órgano de gobierno y brindarle la autoridad necesaria constituyen factores esenciales en términos de asentar su independencia y autonomía. Cuando alguno o ambos de estos elementos no concurren en la función, es muy probable que presente disfunciones graves que le impidan operar de manera efectiva, en detrimento del desempeño del sistema de gestión de compliance en su conjunto.
9. ¿Cuál es la importancia de los sistemas de gestión de compliance para los negocios y el comercio internacional? Las dinámicas económicas de cualquier país están basadas en la confianza. Cuando se producen déficits pueden darse episodios de desconfianza generalizada, como los casos de pánico bancario o pánico bursátil de los que tenemos conocimiento histórico. El miedo erosiona gravemente las actividades económicas y, por ello, ganan protagonismo aquellos elementos que generan confianza tanto a los mercados como a la sociedad en general. No cabe duda de que entre ellos se cuentan las estructuras de compliance robustas, que confirman la sensibilidad con una gestión empresarial responsable y otorgan confort en el tráfico mercantil. Esto explica las peticiones de información cruzadas que se remiten las empresas acerca de sus respectivos modelos de compliance, destinadas a detectar socios de negocio inadecuados, susceptibles de afectar negativamente a la reputación de la organización o incluso trasladarle responsabilidades legales. Por ello, disponer de modelos razonables de compliance no sólo es un elemento que reduce riesgos de sanciones y daños reputacionales, sino que facilita mantener vínculos con otras organizaciones sensibilizadas con el buen gobierno corporativo. En este sentido, no ser capaces de dar respuesta a sus inquietudes ya se ha convertido en un factor que impide consolidar relaciones estables.
Edición No. 4
Vive Compliance Magazine
También aparece el Enfoque Basado en Riesgos (EBR) que es el mismo que plantea el GAFI en sus cuarenta recomendaciones para prevenir el blanqueo de capitales, ¿No aplicar el EBR puede derivar riesgos adicionales?
6.
19
LA CERTIFICACIÓN DE COMPETENCIAS VERSUS LA FORMACIÓN DE PERSONAS. ISO/IEC 17024:2012
10.
Los estándares de compliance ISO siguieron inicialmente la llamada “estructura de alto nivel” (“High Level Structure”, HLS) y, desde el pasado mes de mayo, la “estructura armonizada” (“Harmonized Structure”, HS). Se trata de un índice de contenidos comunes, que facilita mucho integrar sistemas de gestión, al compartir la misma filosofía y elementos básicos. Por ello, un sistema de gestión anti-soborno, basado en el estándar ISO 37001:2016 puede integrarse con mucha facilidad dentro del nuevo estándar ISO 37301:2021, sin necesidad de duplicar o repetir contenidos. Una gran parte de los contenidos generales del estándar anti-soborno pueden quedar ubicados en un sistema de gestión de mayor alcance. Y como ambos comparten definiciones esenciales y una buena parte de contenidos, no será necesario repetirlos. La integración de sistemas de gestión de compliance es un fenómeno que veremos con mayor frecuencia a medida que incremente el acervo de normas ISO sobre compliance, o de estándares nacionales que recurran igualmente a la HS (como sucede en España con el estándar UNE 19601 de compliance penal). 10. ¿Qué relación tiene la ISO 37301 con ciencias que estudian la conducta? El único modo de garantizar el cumplimiento de las normas y una conducta alineada con los valores de la organización es que sus personas quieran hacerlo. Por eso, lograr ese compromiso es un objetivo trascendente del compliance. Se consigue trabajando sus modelos de creencias para que interioricen la bondad de las conductas alineadas con las normas y los valores. Este es el sentido de una adecuada “cultura corporativa”, que no se consigue sobre la base exclusiva de infundir miedo a ser descubierto o a las sanciones (enfoque exclusivo de control). Aunque los estándares ISO no olvidan las facetas de supervisión ni punitivas, la norma ISO 37301 pone especial énfasis en aspectos que realmente cambian a las personas. Por ello, no es extraño que el estándar ISO 37301 sea el primero que define el término “conducta”, y es muy previsible un acercamiento progresivo hacia las ciencias de la conducta.
Requisitos para los organismos de certificación de personas
Miller Romero. Colombia. Maestro Experto en Acreditación ISO/IEC 17024 e ISO/IEC 17021-1 https://www.linkedin.com/in/ing millerromero/
En el mes de abril del año 2003 la organización internacional de estándares ISO decide formalizar los procesos para la certificación de competencias de personas al emitir el documento ISO/IEC 17024; por primera vez se estandarizaba con alcance mundial la forma en que se debía certificar formalmente la competencia de una persona en el manejo de determinado tema o actividad. A la fecha esta norma internacional y el proceso que establece, avalado y reconocido por el foro internacional de acreditación – IAF – www.iaf.nu hace 19 años, es aún muy desconocida en el mercado laboral. La norma en su actualización vigente del año 2012 continúa resaltando la importancia de enmarcar las competencias en una persona a partir de la evaluación formal de las variables de educación, formación y experiencia observadas en ella. Una serie de requisitos son establecidos en esta norma con el ánimo de asegurar un proceso transparente e independiente para el otorgamiento de una certificación de competencia en una persona; variables como imparcialidad, legalidad, estructura, tercerización, confidencialidad, seguridad, retroalimentación son exigidas a organismos privados o públicos que deseen certificar competencias de personas, requisitos que a su vez son evaluados por un organismo de acreditación con reconocimiento estatal y miembro del foro internacional de acreditación IAF.
Los organismos de certificación de competencias acreditados en ISO/IEC 17024 para efectos de determinar, demostrar y certificar la habilidad y capacidad de una persona para el desarrollo de una actividad, evalúan los niveles de educación, el conocimiento adquirido y la experiencia mantenida en la aplicación del tema o actividad a certificar, todo esto es realizado en un solo proceso; una vez lo anterior cumple los requisitos y es catalogado como conforme se expide la certificación de competencia a la persona evaluada. La vigencia de eta certificación es otorgada con una vigencia de 3 años con la opción de renovación en periodos iguales hacia el futuro de forma cíclica. También es requisito el seguimiento anual a la persona certificada para efectos de vigilar que se mantenga la competencia certificada por parte del organismo certificador y esta no se reduzca o pierda en pro de la satisfacción de clientes que demandan servicios de la persona certificada.
Edición No. 4
Vive Compliance Magazine
¿Se pueden integrar e interrelacionar en la práctica esta y otras normas ISO?
Esta serie de exigencias y reconocimientos son los que hacen que un proceso de certificación de competencias de personas sea más costoso que el de una formación tradicional, teniendo en cuenta que en los procesos de formación/capacitación que desarrollan organismos que no ostentan una acreditación en ISO/IEC 17024 solo se ofrece y evalúa una de las 3 partes exigidas (la formación o impartición de conocimiento) dejándose de lado la Educación obtenida y la experiencia aplicada del postulante.
21
Otro de los requisitos a resaltar en ISO/IEC 17024 para los organismos de certificación de competencias, es que deben contar con pólizas de seguros que respalden las responsabilidades legales asociadas al desempeño de sus personas certificadas; lo que los obliga a realizar procesos transparentes, idóneos y serios para evitar afectar la continuidad de su negocio. Procesos formales de verificación y validación de competencias en el personal interno (entrenadores y validadores) de los organismos de certificación de competencias también son exigidos y evaluados por parte del organismo de acreditación, previo al otorgamiento de la acreditación para que pueda certificar competencias. Dentro de los aspectos de transparencia los organismos de certificación de competencias ISO/IEC 17024 están obligados a informar a quien lo requiera y hacer público el estado de sus personas certificadas salvaguardando las leyes de protección de identificación de información personal.
Vive Compliance Magazine
Procesos formales de aplicación de exámenes también deben ser llevados a cabo con el fin de mantener la evidencia objetiva de la demostración de competencia previo al otorgamiento de la certificación a la persona. El personal involucrado en calificar y tomar la decisión de otorgar la certificación de competencia debe contar con habilidades demostradas en el tema sujeto a la certificación. Requisitos como los anteriores, hacen que los empresarios opten cada vez más por personas certificadas por competencia, al generarse una mayor confianza sobre las capacidades de su personal y el mantenimiento de estas en el tiempo para el desarrollo de sus funciones. Podríamos concluir entonces que una certificación de competencia bajo el esquema de la norma internacional ISO/IEC 17024 es un proceso mucho más completo y formal que el adelantado en una capacitación tradicional, con una serie de compromisos y responsabilidades adicionales de las partes intervinientes y una vigilancia independiente al proceso, otorgándole transparencia sobre las decisiones tomadas y mitigación de riesgo al conflicto de interés entre persona certificada (evaluado) y organismo certificador de competencia (evaluador). Contemplando lo anterior, no queda más que recomendar a la hora de comprar capacitación para colaboradores o de forma propia, identificar claramente que es lo que le están vendiendo, ya que una certificación dada en un proceso de formación tradicional nunca superará en reconocimiento al de una certificación de competencia al cumplirse requisitos de conformidad muy superiores.
ISO 9001:2015, UNA NORMA QUE AGREGA VALOR A LAS EMPRESAS. FACTORES CLAVE PARA SU IMPLEMENTACIÓN.
Edición No. 4
Es creciente en el mundo laboral en los últimos años, la exigencia de certificaciones de competencias por encima de certificaciones de formaciones/capacitación, ya que en un proceso de formación se imparte conocimiento pero no asegura que se actualice y mantenga en el tiempo y mucho menos que este sea vigilado por parte de un organismo independiente; y es que para el caso de la certificación de competencias el organismo de certificación y el organismo de acreditación que respaldan el proceso, responden por el trabajo de las personas que han certificado, para lo cual cuentan con la autoridad dada por la ISO/IEC 17024 para reducir el alcance, suspender o retirar la certificación de la persona, en el momento que se determine que la competencia se ha reducido o perdido.
María Altamirano. Perú.
Consultora, Facilitadora y Auditora en sistemas de gestión. Máster en Calidad Total de la Universidad Carlos III de Madrid. Auditora Principal IRCA QMS ISO 9001, para auditorías de certificación ISO 9001 en Bureau Veritas Certification. Evaluadora del Premio Nacional a la Calidad (Perú). Docente invitada en EALDE Business School (España). Miembro del Comité Técnico de Normalización Gestión y Aseguramiento de la Calidad en INACAL (comité espejo del ISO/TC 176). https://www.linkedin.com/in/ maria-altamirano 23
Conocí a ISO 9001 cuando se encontraba en su versión 1994, la cual sería la norma de referencia utilizada para dirigir la implementación del sistema de gestión de la calidad en un laboratorio de análisis de minerales. Sin embargo, no fue sino hasta su versión 2000, donde iniciaría mi trabajo con empresas de diferentes rubros, ayudándolas en el desarrollo, implementación y mejora de su sistema de gestión de la calidad.
Los mercados son cada vez más conocedores de los requisitos que deben cumplir los productos y servicios, por ello aquellas empresas que son capaces de demostrar esa conformidad ganándose la confianza de los clientes, logran mayor sostenibilidad. ¿Cuáles podrían ser los factores clave para que las empresas puedan diseñar, implementar y mejorar un sistema de gestión de la calidad en base a ISO 9001:2015? En este artículo, conoceremos algunos de ellos.
El liderazgo es, a mi opinión, el factor clave más importante para el éxito de los sistemas de gestión de la calidad en las organizaciones. Si no se cuenta con el compromiso de los líderes, difícilmente se logran los objetivos previstos. La integración del sistema de gestión de la calidad con el negocio de la organización alineando los objetivos con la dirección estratégica y haciendo que la revisión periódica del sistema de gestión sea parte de la revisión del desempeño de la organización, son muestras del compromiso de la alta dirección. Existen diversos factores que podrían afectar el desempeño de la organización, entre ellas el cambio del contexto. Hoy más que nunca los líderes de procesos deberían estar atentos a lo que ocurre al interior y exterior de la organización: el entorno del mercado, las nuevas tecnologías, la cultura organizacional, el marco legal; son ejemplos de elementos que podrían también tener impacto no sólo respecto al cumplimiento de requisitos del cliente, sino también a otras partes interesadas pertinentes, cuyas necesidades o expectativas no cumplidas podrían impactar en la satisfacción del cliente.
La planificación del sistema de gestión de la calidad involucra la determinación de posibles escenarios en los que podrían no alcanzarse los resultados esperados. Un seguimiento oportuno a los cambios del contexto permite a las organizaciones determinar riesgos y oportunidades y establecer acciones para abordarlos.
La confianza en que las auditorías logren su propósito depende de la competencia de los miembros del equipo auditor. Una buena recomendación es evaluar periódicamente esta competencia, incluyendo el comportamiento personal y la capacidad de aplicar sus conocimientos y habilidades. Para este aspecto y para todo lo relacionado a las auditorías de sistemas de gestión, especialmente las de primera y segunda parte, ISO cuenta con el documento de orientación ISO 19011:2018, una muy buena referencia de apoyo para esta etapa de la implementación y mejora de los sistemas de gestión de la calidad.
El pensamiento basado en riesgos promovido por ISO 9001, fomenta a las organizaciones a ser más proactivas en la toma de decisiones, determinando y controlando riesgos y oportunidades a lo largo del diseño y el uso del sistema de gestión de la calidad. Si bien no existe un requisito en ISO 9001 sobre la utilización de una gestión de riesgos formal, las organizaciones pueden elegir los métodos que les sean más convenientes de acuerdo con su contexto, recursos y necesidades. Incluso, algunas organizaciones que disponen de un proceso de gestión de riesgos a requerimiento de alguna normativa legal o reglamentaria podrían adaptar su proceso de gestión para cumplir el propósito de ISO 9001 respecto a riesgos y oportunidades.
Gestión del cambio, esencial para el éxito sostenido
Evaluando el desempeño de forma permanente
Para afrontar posibles situaciones de cambio, tales como: ingreso a nuevos mercados, nuevas prácticas de negocio, tercerización de procesos, adquisición de nuevas tecnologías, entre otros; las organizaciones deberían adoptar una predisposición al cambio, tanto desde el punto de vista de planificación, como de seguimiento y control.
La auditoría no es la única herramienta utilizada por las organizaciones como mecanismo de seguimiento o medición para analizar y evaluar el desempeño y la eficacia del sistema de gestión de la calidad. Debemos aplicarlo también en: los objetivos de la calidad, el control operacional, la satisfacción del cliente, la revisión por la dirección, entre otros. Es la propia organización quien determina la mejor manera en que realizará el seguimiento, medición, análisis y evaluación, así como la determinación de los recursos que necesitará para ello.
Fomentando la cultura de la calidad Según señala la norma ISO 9000:2015, una organización orientada a la calidad promueve una cultura que da como resultado comportamientos, actitudes, actividades y procesos para proporcionar valor mediante el cumplimiento de las necesidades y expectativas de los clientes y otras partes interesadas pertinentes. Con base a lo señalado por esta norma, es importante que las organizaciones consideren la cultura de la calidad como una parte integral de la cultura organizacional.
Planificar un cambio de forma adecuada ayuda a las organizaciones a evitar consecuencias negativas y mantener la capacidad de seguir proporcionando productos y servicios conformes aún durante los cambios.
Promoviendo la mejora a través de las auditorías Las auditorías son una herramienta eficaz para obtener información sobre el desempeño y la eficacia del sistema de gestión de la calidad.
Importante resaltar que no existe una “receta” para diseñar e implementar un sistema de gestión de la calidad, y si bien este artículo no pretende exponer todos los factores clave, si pueden servir al lector como referencia, considerando que la implementación está sujeta a mejoras continuas según la organización aprende y las circunstancias de su contexto cambien, pero que siempre debieran estar orientadas a su estrategia y a lo que le pueda aportar mayor valor
Edición No. 4
Necesidad del compromiso visible de los líderes
A través de ellas, desde un punto de vista imparcial, las organizaciones aseguran que han completado las disposiciones planificadas y proporcionan la oportunidad para tratar los hallazgos y promover las buenas prácticas.
Edición No. 3
Vive Compliance Magazine
ISO 9001 ha ido evolucionando en el tiempo, actualmente se encuentra en su versión 2015 y más de un millón de organizaciones en el mundo mantienen la certificación de su sistema de gestión de la calidad con esta norma.
El enfoque continuo a los riesgos y a las oportunidades
Las organizaciones deberían tomar medidas para garantizar que la cultura de la calidad se fortalezca en el tiempo y se integre en todo lo que hace la organización. 23
25
Desde esa perspectiva, la función de cumplimiento ha pasado de un enfoque correctivo a un enfoque preventivo de detección de eventos y factores de influencia, las cuales, pudiesen desencadenar en un riesgo a la integridad de las organizaciones pequeñas, medianas, grandes, instituciones de gobierno o asociaciones no lucrativas.
Objetivos Integridad-Cultura-Conformidad -Reputación-Valor-Ética
Así las cosas, el Oficial de Cumplimiento ha pasado de ser el inspector de la organización a un actor estratégico de negocio; es decir, es la persona quien realiza las labores de asesoramiento en las decisiones clave para asegurar que éstas se tomen en apego a la legislación vigente y se consideren los riesgos que pudiesen amenazar sus operaciones y en realidad contribuyan al logro de sus objetivos.
Principios
Edgar Pretel. Colombia.
Mantener
ar alu v E ar fic
ar nt
Ve ri
Auditoría interna. Revisión por la dirección. Seguimiento y medición. Planteamiento de preocupaciones. Proceso de investagación
Liderazgo Gobierno Cultura
Apoyo. Competencia y conciencia. Comunicación y entrenamiento. Operación. Información documentada.
Organización y su contexto Legal-Social-Cultural-Digitalización -Finanza-Estructura-AmbientePartes Interesadas
ISO (Organización Internacional de Normalización). (2021). Elementos de un sistema de gestión del cumplimiento [Gráfica]. ISO 37301:2021 Sistemas de gestión de cumplimiento.
Es por eso, que en la actualidad existen un sin número de organizaciones que ofertan formación certificada en Oficial de Cumplimiento, sin embargo, si analizamos el contexto en el cual se mueve el oficial de cumplimiento debemos considerar el riesgo que la persona no cuente con los conocimientos y destrezas necesarias para desempeñar dicha actividad de tan alto nivel, debido a que, actualmente los soportes con los que respalda la idoneidad para desempeñarse en este cargo son a lo sumo un certificado de un curso no formal, a excepción de las especializaciones ofertadas por las instituciones de educación superior, todas las demás se encuentran en el marco de la educación no formal, que en conjunto, es decir, las formaciones de educación formal y no formal solo permite demostrar asistencia y participación al curso y/o diplomado mas no es evidencia suficiente y válida para demostrar los conocimientos y habilidades para desempeñarse como dinamizador de la debida diligencia.
Edición No. 3 4
Mej or ar
De
Lo anterior, nos lleva a cuestionar el verdadero propósito de la función de cumplimiento, además de la necesidad de contar con personas e incluso estructuras especializadas y debidamente calificadas que permitan adaptarse a estos desafíos.
Por todo lo anterior, las organizaciones deben ser conscientes que es necesario contar con evidencias que demuestren de manera suficiente que las personas responsables de liderar las actividades de debida diligencia deben soportar el conocimiento y las destrezas establecidas a nivel internacional a través de las normas ISO 37301:2021 en su Numeral 5.3.2. Funciones del Oficial de Cumplimiento. No obstante, debemos tener en cuenta que un Oficial de Cumplimiento debe ser integral en el desarrollo de dichas funciones, es por ello por lo que se hace necesario contar con los conocimientos y habilidades establecidos en la Norma ISO 19011:2018 Directrices para la Auditoría de los Sistemas de Gestión, en la cual, se describen los principios que debe tener un auditor, las metodologías para realizar auditorías y los registros como resultado de la misma. A razón de lo anterior, el Oficial de Complimiento con los conocimientos de auditoría, aportará a la organización un enfoque más crítico y dinámico en aras de la mejora continua del Sistemas De Gestión de Cumplimiento. Edición No. 3
Así las cosas, la implementación de un Sistema de Gestión de Cumplimiento es una decisión estratégica y un trabajo multidisciplinario, para lo cual, es importante considerar el compromiso con todas las partes interesadas y para honrarlos hay que tener un marco como el de ISO 37301 que llega hasta los niveles más altos de toma de decisiones de las organizaciones.
Pla
blecer Esta
H a ce r
Al entrar en el mundo de los sistemas de gestión, es importante resaltar que es un mercado que se encuentra en un proceso constante de renovación, el cual, implica tener en cuenta las nuevas exigencias ubicándonos ahora en Sistema de Gestión de Cumplimiento, que es el encargado de apoyar a las organizaciones en la gestión de los riesgos asociados a fraudes, actos de soborno, corrupción, lavado de activos y evitar involucrarse con personas u organismos que tengan vínculos con financiación del terrorismo y/o financiación de la proliferación de armas de destrucción masiva.
ar
Compromiso a todos los niveles . Alcance. Política de compliance Roles y Responsabilidades Obligaciones y riesgos
Im p l em e
LA IMPORTANCIA DEL OFICIAL DE CUMPLIMIENTO EN LOS SISTEMAS DE GESTIÓN DE CUMPLIMIENTO.
Gestión de no cumplimiento. Mejora continua.
ar fic ni
Coordinador de Servicios de Acreditación del Organismo Nacional de Acreditación de Colombia – ONAC; Evaluador líder y experto técnico de laboratorios del Organismo Nacional de Acreditación de Colombia – ONAC; Con competencia laboral certificada en los esquemas de evaluación de la conformidad NTC-ISO/IEC 17025, NTC-ISO/IEC 17024 y NTC-ISO/IEC 17020
ollar rr sa
Vive Compliance Magazine
Ingeniero Mecánico con estudios en Ingeniería de la Formación en el Colegio Nacional de Ingenieros de Metz - Francia y en Capacitación Vocacional en Cooperación con el Sector Industrial JICA Kiushu – Japón.
Ac tu
Integridad-Buen Gobierno-Proporcionalidad-Tran sparencia-Rendición de cuentas-Sustentabilidad
27 25
ISO 37001 Sistemas de Gestión de Antisoborno ISO 37301 Sistema de Gestión de Cumplimiento
Vive Compliance Magazine
Numeral 5.3.2 Función de Cumplimiento
HERRAMIENTAS DE CUMPLIMIENTO PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y DE LOS DATOS PERSONALES: ISO/IEC 27001:2013 E ISO 27701:2019
ISO 19011 Directrices para la Auditoría de los Sistemas de Gestión
Marilia Moreno. Venezuela. En la actualidad, a raíz de la necesidad sentida de las organizaciones de contar con un Oficial de Cumplimiento competente, en la industria ya es una realidad que los oficiales de cumplimiento puedan demostrar su competencia en una entidad que cuenta con reconocimiento internacional por medio de la acreditación del Organismo Nacional de Acreditación de Colombia – ONAC bajo el esquema de la Norma ISO/IEC 17024:2012 como Organismo Certificador de Personas – OCP, la cual es International Security Certification Board – ISCB ubicada en Colombia. Esta entidad ofrece al mercado la certificación formal y pública como Oficial de Cumplimiento bajo el estándar internacional de las Normas ISO 37301:2021 Numeral 5.3.2 Funciones del Oficial de Cumplimiento e ISO 19011:2018 Directrices para la Auditoría de los Sistemas de Gestión. Con esto, las organizaciones podrán acceder a personal competente, el cual, le brindará una adecuada implementación del Sistema de Gestión de Cumplimiento en su organización respaldado por la revisión periódica en todos los niveles organizacionales, garantizando de esta manera, la oportuna identificación de desviaciones y su adecuado tratamiento.
Abogada. Magister en Compliance, Universidad Camilo José Cela, España. Magister en Derecho Internacional de la Empresa, Universidad de Barcelona, España. Magister en Derecho Administrativo, Universidad de Salamanca. España. Consultor especialista en Compliance, gestión corporativa y protección de datos bajo la norma ISO 27001 e ISO 27701. Profesora de Capacitación USACH de la Universidad de Chile en el Diplomado de Privacidad y Compliance.
29
Las organizaciones deben estar cada día más atentas al cumplimiento de sus obligaciones en cada una de las áreas de su actuación, por lo que es vital la efectiva gestión de dichas obligaciones a los fines de evitar sanciones pecuniarias, el daño reputacional y la pérdida de su capacidad competitiva. Ahora bien, el Compliance normativo encuentra un aliado invaluable en las normas ISO, como verdaderas herramientas para gestionar el cumplimiento de las obligaciones que en determinadas áreas se imponen a las actividades que realizan las organizaciones, estas herramientas en conjunto las llamo las “ISO Compliance Toolbox”. En esta oportunidad abordaremos las herramientas que nos proporcionan la ISO/IEC 27001:2013 y la ISO 27701:2019, para gestionar las obligaciones de cumplimiento tanto en materia de seguridad de la información como de protección de datos:
Obligaciones de Cumplimiento en Seguridad de la Información: a. Propiedad Intelectual: Las organizaciones tienen obligaciones de cumplimiento que tienen su origen en las leyes que regulan la propiedad intelectual, las cuales protegen las invenciones, los programas informáticos, las marcas y otros signos comerciales, estableciendo condiciones para su uso. Por ello, las empresas deben asegurarse principalmente: 1
2
3
Con respecto a los programas informáticos que utilizan: que las licencias de los softwares utilizados respetan los derechos de autor, que se utilizan para el fin que son adquiridas y dentro del territorio que son contratadas. Con relación a la actividad de marketing y publicidad: que sus publicaciones de contenido, fotos y videos se realizan de acuerdo con las condiciones establecidas para el tipo de licencias: por ejemplo, Creative Commons. En cuanto al uso de la marca comercial, que se utiliza solo si se está debidamente autorizado su uso a través de una licencia.
b.
Secreto Industrial:
Una mención aparte merece la obligación de cumplimiento que supone para las organizaciones, el resguardo de la información confidencial que versa sobre el proceso productivo, la prestación del servicio, en fin, sobre el Know How de la empresa, denominado el secreto industrial o empresarial. Dependiendo del país donde operen las organizaciones deben cumplir con la normativa relativa a la protección del secreto industrial, teniendo en mente no obstante, las normas internacionales para la protección de secretos ("información no divulgada") en el marco del Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio (ADPIC) el cual en su artículo 39 establece que los Estados miembros protegerán la "información no divulgada" contra el uso no autorizado "de manera contraria a los usos comerciales honestos", así como las obligaciones pactadas voluntariamente con clientes para el resguardo de su información, debiendo en todo caso, abstenerse de compartirla o divulgarla cuando no este autorizado para ello, así como evitar el acceso de personas no autorizadas, o que sea vulnerada la integridad de la información de manera tal que se afecte la veracidad o correctitud de la información empresarial. Sin duda el incumplimiento de estas obligaciones afecta de manera directa el posicionamiento en el mercado de una organización, pensemos por un momento: ¿Celebraríamos algún tipo de negociación con una empresa que haya tenido algún problema relacionado con uso indebido de la información comercial o industrial, al haber podido garantizar el secreto industrial confiado para la ejecución de un proyecto? Definitivamente la mayoría de las respuestas serían que es difícil la celebración de una negociación con una organización que no ofrece las garantías necesarias para el resguardo de la información comercial y/o industrial tan sensible. Estas obligaciones normativas y contractuales de protección de la información industrial suponen riesgos muy actuales de "spear-phishing", de ciberataques, de phishing, ransomware, por mencionar algunos.
Herramienta de gestión de las Obligaciones de Cumplimiento en Seguridad de la Información: La Herramienta más eficaz para gestionar los riesgos tanto en la gestión de las obligaciones de propiedad intelectual como en las del secreto industrial, y asegurarse de realizar el tratamiento de la información comercial con la seguridad esperada por las partes interesadas de la organización, que nos encontramos en la “ISO Compliance Toolbox”, es la ISO/IEC 27001:2013, Sistema de Gestión de Seguridad de la Información. Esta norma contiene un conjunto de requisitos y de buenas prácticas que deben cumplir las organizaciones, (sin importar su localización geográfica, ni área de prestación de sus servicios, ni su tamaño), para abordar de manera eficaz los riesgos a los que pueden estar sometida la información que maneje, bien sea propia, de empleados, clientes y proveedores, a los fines de garantizar su confidencialidad, disponibilidad e integridad. Esta norma establece una serie de controles, 114 para ser más específicos, a través de los cuales nos indica medidas organizacionales, técnicas y de cumplimiento, que se deben implementar para realizar la gestión de los recursos humanos desde la perspectiva de seguridad de la información, el establecimiento de la política de Seguridad de la información, de políticas específicas de Seguridad de la Información, siendo las principales: de control de acceso, de gestión de activos, de teletrabajo, de gestión de capacidades, de transferencia de la información, de eliminación segura de la información, de copias de seguridad, el establecimiento de medidas técnicas como encriptación de la información, redundancia, auditorías técnicas y de cumplimiento, etc.
Obligaciones de Cumplimiento con respecto al tratamiento de los Datos Personales: Al mismo tiempo, las organizaciones dentro de toda la información que manejan realizan el tratamiento de datos personales de empleados, clientes, proveedores y socios. Actualmente se han emitido leyes, normativas y reglamentos en distintos países para la protección de los datos personales, a la par del Reglamento General de Protección de Datos (RGPD) europeo, que expresan su firme voluntad de regular el tratamiento de dichos datos, estableciendo sendas obligaciones (obligaciones de cumplimiento) al momento de realizar dicho tratamiento.
De igual manera se establece el denominado principio de seguridad de los datos, con base en quién de los responsables del tratamiento de los datos deben adoptar las medidas técnicas y organizativas para garantizar la seguridad de estos, e incluso informar cuando se ha presentado algún incidente con la seguridad de estos. Considerándose además como infracciones a la legislación de protección de datos personales, y por supuesto generador de sanciones (multas cuyo valor variará dependiendo del país), el almacenar, gestionar, transferir, en fin, realizar el tratamiento de datos personales sin contar con las adecuadas condiciones y medidas de seguridad. Solo basta mencionar la cantidad de sanciones o de multas multimillonarias a empresas a lo largo de la unión europea, por incumplimiento de la legislación en materia de protección de datos, en especial por brechas de seguridad en el tratamiento de datos: tal es el caso de RTVE la cual fue multada por la pérdida de los datos sensibles de su plantilla, el caso de la sanción impuesta por el Reino Unido por 204,6 millones de euros a la aerolínea British Airways por “falta de seguridad en la empresa” luego de experimentar una brecha que afectó aproximadamente a 500.000 clientes, quedando expuesta la información sobre sus tarjetas de crédito, incluyendo sus códigos de seguridad, al ser sustraída los datos de sus clientes de la página web de la aerolínea. Y más recientemente el caso de Caixa Bank cuya multa asciende a 6 millones de euros por infringir la Ley de Protección de Datos Española, siendo uno de los aspectos considerados para la imposición de dicha multa que la política de privacidad de la empresa era imprecisa. Ahora bien, en este punto, es importante preguntarnos: ¿Pueden realmente ayudar las normas ISO/IEC 27001:2013 e ISO 27701:2019 a las organizaciones a gestionar el cumplimiento de las obligaciones impuestas por las distintas leyes en materia de protección de datos personales? Frente a este panorama de exigencia normativa para las organizaciones, (tanto para los responsables como para los encargados de tratamientos de datos), de un conjunto de obligaciones para garantizar la seguridad y licitud en el tratamiento de los datos personales, la respuesta es definitivamente SI. 31
Es precisamente en este punto donde la implantación de un sistema de gestión de seguridad de la información garantiza a la organización que se identifiquen los riesgos asociados al tratamiento de datos, se establezcan los métodos, políticas, procedimientos para mitigarlos y se aumente el nivel de seguridad en la gestión de los datos personales que la empresa maneja. Adicionalmente ISO en el año 2019 emite la norma ISO 27701:2019 específicamente para la gestión de la privacidad, siendo esta norma una extensión de la norma ISO/IEC 27001:2013 Gestión de la Seguridad de la Información, y la cual establece las directrices para que las organizaciones gestionen los datos personales o la información de identificación personal (IIP). Esta segunda herramienta de nuestra “ISO Compliance Toolbox”, ayuda gestionar las obligaciones de cumplimiento normativo establecidas en el RGPD o en las legislaciones en materia de Protección de Datos de cada país, a la par de demostrar el cumplimiento dicha normativa (responsabilidad proactiva). Al ser la norma ISO 27701:2019, una extensión de la norma ISO/IEC 27001:2013, es importante mencionar que el primer paso de la organización debiera ser la implementación del sistema de gestión de seguridad de la información, y como segundo paso, la implantación de un sistema de gestión de la privacidad, que ayudará a gestionar los riesgos en el tratamiento de los datos, a los fines de minimizarlos, y en el caso que ocurra un incidente con la seguridad en el tratamiento de la información de identificación personal, gestionarlo correctamente reduciendo daño, costos y evitando sanciones. Finalmente, la implantación de estos sistemas de gestión tanto el de seguridad de la información como el de gestión de la privacidad, son las herramientas de cumplimiento ideales que tienen a disposición las organizaciones para cumplir con las obligaciones de cumplimiento a las que están sometidas por la normativa en materia de seguridad de la información y de protección de datos personales, ya que proporcionan un marco de trabajo sobre el cual pueden garantizar a todas las partes interesadas internas y externas, la gestión eficaz del tratamiento de los datos personales y de la seguridad de la información corporativa, evitando posibles sanciones que conlleven a afectar la operación su posición competitiva en el mercado y rentabilidad del negocio mismo.
33
CERTIFICACIÓN TRINORMA ISO 14001:2015 CON 0, NO CONFORMIDADES Jaime Henríquez. Chile. FCAB es un conglomerado chileno de cuatro áreas de negocio: FCAB Ferrocarril de Antofagasta, FCAB Transportes Integrados Train, FCAB Shippers y FCAB Ingeniería y Servicios, que en conjunto brindan soluciones de transporte integral en la Región de Antofagasta, Chile. Cuenta con 700 kilómetros de vía férrea, infraestructura que inició su construcción en Antofagasta y concluyó en Ollagüe –localidad fronteriza- catapultándose como el primer ferrocarril de la zona.
La historia de Región de Antofagasta, Chile, está profundamente conectada con el ferrocarril. Son 133 años de trayectoria compartida, ya que ambos nacieron juntos con la finalidad de cumplir con el crecimiento de la minería y el desarrollo económico de la región. En ese entonces, el ferrocarril necesitaba un lugar para sacar la producción mineral de la pampa y la ciudad de Antofagasta, se formó y creció en torno a sus instalaciones. El crecimiento de la actividad ferroviaria y portuaria trajo consigo el desarrollo que necesitaba la ciudad para erigirse como capital minera de Chile. Ferrocarril de Antofagasta durante 133 años, ha visto crecer, social, cultural y económicamente a la región, con un compromiso real que se materializa en las políticas internas de la compañía que hablan de vincular el crecimiento productivo con el medio ambiente y la relación virtuosa con las comunidades en donde opera.
Este compromiso implica seguir siendo buenos vecinos, respetando y cuidando el entorno donde operamos, a través de diversas acciones, tales como: la gestión regular ambiental; la reducción de emisiones de CO2; el uso de hidrógeno verde; y el Plan de Reconversión de Patios Ferroviarios, que considera la remediación de suelos.
1 Sin lugar a duda toda operación tiene sus impactos, ¿de qué manera han podido hacer frente y remediar los impactos operacionales? Nuestros principales impactos es el ruido y con respecto a este hemos sido muy rigurosos en asegurar el cumplimiento a nuestros compromisos legales y voluntarios, para de esta forma asegurar la mantención de nuestra licencia ambiental y social para operar.
Es así como este año decidimos innovar en la gestión de impactos y resolvimos la generación de instancias colaborativas de trabajo con las distintas áreas operacionales, en donde justamente la mesa de ruido ha sido una de las más exitosas y la consideramos un ejemplo de trabajo colaborativo y coordinado. En esta nos propusimos innovar en las medidas que habitualmente ejecutábamos y a través de un par de jornadas logramos una nueva identificación de medidas que finalmente se tradujeron en la instalación de barreras reforzadas con mallas acústicas; el traslado de algunas labores operacionales, a un sector ubicado fuera del radio urbano; y la disminución de trabajos nocturnos. El resultado fue muy positivo, dado que, gracias a estas acciones, durante el segundo semestre del 2021, no registramos quejas por ruidos, lo que para nosotros es muy importante, dado que estamos siempre preocupados por ser considerados unos buenos vecinos.
2 Hoy en día los efectos medioambientales es un tema que se debe priorizar en la operatividad de la compañía ¿Cuáles son las medidas que han optado para disminuir las emisiones de CO2? Disminuir nuestra huella de carbono es fundamental para nosotros, es así como el 2021,
Edición No. 4
Vive Compliance Magazine
Abogado. Gerente de Sustentabilidad y Desarrollo Territorial de Ferrocarril Antofagasta Bolivia.
la compañía logró disminuir en un 7% sus emisiones de CO2.
Importante destacar que desde el 2020 el FCAB cuenta con la Certificación Trinorma, que involucra la ISO 14001/2015 con 0 no conformidades ambientales. Lo que nos ha permitido comprobar la efectividad en el manejo y control de nuestros principales aspectos ambientales asociados a nuestros servicios y compromisos.
Esto lo logramos gracias al mejoramiento en las mantenciones de los equipos, aumentando la frecuencia de revisiones y de cambios de componentes, así mitigamos aún más la generación de emisiones de material particulado a la atmósfera. Además, hemos aumentado las frecuencias de lavado de las locomotoras e integrado a nuestra flota nuevas locomotoras ecoeficientes que utilizan un 15% menos de combustibles fósiles.
A esto se suma un Acuerdo de Producción Limpia Logístico Minero Puerto Antofagasta que la compañía firmó el 2019 y que a la fecha llevamos 2 años consecutivos manteniendo esta certificación que avala que hemos utilizado las mejores técnicas disponibles para mitigar las emisiones por el transporte de concentrado de cobre hacia el Puerto de Antofagasta.
La compañía tiene como meta reducir en 30% sus emisiones al 2025, adquiriendo compromisos y sumándose con acciones concretas a la lucha contra el cambio climático, por lo tanto, es clave aprovechar todas las oportunidades que se presenten para desarrollar industrias con bajas emisiones, trabajando anticipadamente en innovación y tecnología, ajustándose a las transformaciones medio ambientales. 35
4 Finalmente ¿En qué consiste y cuál es el objetivo del Plan de Reconversión de Patios Ferroviarios de Ferrocarril de Antofagasta?
3 ¿En qué etapa se encuentra el proyecto de transformar una locomotora diésel a una que funcione con hidrógeno verde? En este momento estamos en la fase del piloto, haciendo los estudios para poder tener una locomotora lo más eficiente posible y, por ende, también podríamos convertirnos en los primeros en Sudamérica en contar con locomotoras a hidrógeno verde. Seríamos pioneros e inclusive Antofagasta podría ser la capital regional de trenes funcionando con esta tecnología. Es por esto por lo que vemos en el
Hidrógeno Verde una tremenda oportunidad de crecimiento para la región de Antofagasta, potenciando una industria verde que contribuiría enormemente al desarrollo de la región aportando también a que nuestros clientes reduzcan su huella de carbono en sus emisiones de alcance 3.
Este desafío no es menor, dado que por el prolongado tiempo de uso de este suelo este contiene trazas de metales pesados que es necesario remover de forma previa a su urbanización, y es por ello por lo que hace ya 3 años que venimos trabajando en un proyecto que denominamos Plan de Reconversión de Patios Ferroviarios, este proyecto en su primera etapa busca remediar estas 45 ha, para lo cual hace casi 3 años venimos trabajando en un Estudio de Impacto Ambiental que en julio de este año fue aprobado. Esta es una iniciativa única e innovadora en Chile, dado que es primera vez que se pretende desarrollar un proyecto de remediación de suelos de tal envergadura. Para esto nos contactamos con el mejor grupo de expertos, trabajamos en conjunto con comunidades y autoridades y logramos la elaboración de un proyecto de remediación sitio específica que permitirá que estos terrenos pasen de un uso industrial a uno urbano.
Edición No. 4
Vive Compliance Magazine
Nosotros como empresas llevamos 133 años ubicados en la ciudad de Antofagasta, nuestra historia parte con la fundación de la ciudad, y es así como pasamos de estar en la periferia norte de la ciudad a estar en pleno centro de esta, por lo que creemos que es tiempo de darle espacio a un desarrollo urbano a estas 45 ha de terreno que tenemos en la ciudad.
Posteriormente viene las otras etapas que consisten en el traslado de nuestras instalaciones de servicio a un área industrial que esté consolidada (acá es importante mencionar que el tren seguirá pasando, este proyecto aborda solo a los patios de servicios), para finalmente ejecutar un proyecto de desarrollo urbano que busque: nuevas áreas verdes para la ciudad que mejore la cantidad de puntos de encuentro entre los vecinos y aportando a una ciudad más peatonal; mejorar la conectividad vial abriendo nuevas calles y de esta forma disminuir la congestión y la cantidad de emisiones; también la densificación de áreas de muy baja densidad y de pérdida de espacios residenciales en la ciudad con edificios de mediana y baja altura; y finalmente la puesta en valor del patrimonio ferroviario, es aquí donde quedemos dejar plasmado nuestro sello con una clara valoración de nuestra impronta patrimonial y el aporte que generó y seguirá generando. 37
CUMPLIMIENTO: EXPECTATIVA VS REALIDAD
Ingeniera Comercial, MBA, empresaria y emprendedora, reconocida en el mundo del Compliance por su experiencia en materias de probidad, anticorrupción, libre competencia, transparencia y desarrollo de la cultura del Compliance en América Latina. Directora Ejecutiva de BH Compliance. Directora de Chile Transparente.
Las empresas están expuestas a un sinfín de riesgos, los cuales, de no ser analizados con la debida seriedad, aparte de causar un daño irremediable a la reputación lograda, pueden afectar también la salud del negocio. Entonces, vale la pena preguntarse
¿Por qué las empresas fallan en sus controles? Los problemas son diversos y van desde medidas mal aplicadas, objetivos e incentivos mal alineados, una incorrecta evaluación de los riesgos que son propios del negocio, pero por, sobre todo, creer que lo están haciendo bien por el hecho de cumplir con la ley.
1
2
Cultura de integridad: liderazgo ético y compromiso del directorio
Canal de denuncias: El 95% de las empresas no reciben denuncias
La creación de una cultura de integridad en la empresa se convertirá en el fundamento de un programa de cumplimiento exitoso, al facilitar el comportamiento ético como parte de la organización, más allá de lo que exige/estipula la ley.
A pesar de que muchas empresas creen que implementar un canal de denuncias resolverá parte de sus problemas o será el espacio para que los integrantes de la compañía se atrevan a denunciar malas prácticas; la realidad es que estos canales no reciben denuncias.
Esta cultura de integridad requiere de un liderazgo organizacional, donde el directorio entienda su rol para la empresa, y al mismo tiempo, el rol que ésta tiene en la sociedad. Muchas veces vemos directorios que solo abordan las temáticas propias del negocio, pero no se hacen cargo de la efectividad de los programas de compliance ni de las políticas de la compañía. Las buenas prácticas deben gestionarse y ser aplicadas a todos los niveles de la organización.
Como BH Compliance, hemos podido determinar que el 95% de las empresas con las que hemos trabajado no reciben denuncias a través de esta vía. Y esto se debe a diversos factores, que van desde la falta de un real compromiso por parte de la empresa para promover estos canales, así como pocas garantías para quienes denuncian, pues temen a represalias o que los hechos no sean investigados posteriormente, en especial si el denunciado ostenta un alto cargo. Asimismo, muchas empresas insisten en que los denunciantes revelen su identidad, lo que limita la denuncia y dificulta el seguimiento.
Edición No. 4
Vive Compliance Magazine
Susana Sierra. Chile.
La experiencia nos ha demostrado que cumplir con las leyes y contar con políticas para el control y la prevención de la corrupción no son sinónimos de efectividad. El tema debe ir más allá de la legalidad, pues de nada sirve contar con programas de compliance en el papel e implementar medidas de control si no hay convicción de que crear una cultura de integridad al interior de la organización, debe ser el corazón del negocio.
Exponemos a continuación algunos de los factores que convierten al compliance en una expectativa más que una realidad.
Lo anterior nos muestra que, aunque los programas de cumplimiento son esenciales para la prevención de la corrupción corporativa, no pueden ser efectivos por sí solos. En BH Compliance, hemos visto empresas multinacionales que han invertido millones de dólares en el cumplimiento de la normativa, y que aun así fracasan por no estimar los riesgos a los que pueden estar sometidos en un sector cambiante y una normativa en constante evolución.
39
3 Cultura de integridad: liderazgo ético y compromiso del directorio
La capacitación en materia de compliance debe estar alineada a los riesgos del negocio y el giro de la empresa. Por lo mismo, una buena manera de capacitar a los trabajadores es incorporar dilemas éticos en relación con los posibles riesgos a los que pueden verse expuestos y cómo enfrentarlos.
4 Due Diligence debida: El 30% no realiza la diligencia debida a los proveedores Siempre es preciso realizar una adecuada evaluación de riesgos antes de una oportunidad de negocio, ya que se deben despejar posibles conflictos de interés además de actuar conforme a la probidad durante el proceso. Por lo tanto, realizar/ actuar con Due Diligence es fundamental para no verse envueltos en hechos de corrupción. En este sentido, es importante conocer quiénes son los beneficiarios finales de las empresas con las que evaluamos hacer negocios, pues el avance del crimen organizado ha incrementado la probabilidad de verse involucrado en negocios utilizados para actividades de lavado de dinero. Tener un mayor número de socios comerciales no traerá el éxito de su empresa, si no hemos revisado cada detalle para prevenir futuros riesgos.
El 90% de las empresas no tiene un departamento de cumplimiento designado Contar con un departamento de compliance designado en la organización puede marcar la diferencia en la prevención de delitos y sanciones legales o monetarias. Este departamento se ocupará exclusivamente de crear una cultura de integridad y buenas prácticas, vigilando constantemente las políticas establecidas y las normas de la empresa. Por esto, la figura del Compliance Officer adquiere una gran relevancia dentro de la empresa y debe tener toda la autonomía necesaria para evaluar y prevenir los riesgos de la compañía. Sin embargo, solo el 12% de las empresas cuenta con un área exclusiva de compliance, mientras en un 40% el compliance forma parte del departamento de auditoría/intervención y en un 34% pertenece a la función legal.
Hacer de la expectativa una realidad Cumplir con la ley de compliance es importante, pero no sirve de nada si se queda en el papel y no se convierte en parte del negocio. Lo anterior es más relevante aún hoy en día con la pandemia. El aumento de la corrupción ha provocado un incremento en las sanciones impuestas a las empresas latinoamericanas en virtud de la Ley de Prácticas Corruptas en el Extranjero (FCPA), puesto que invertir tiempo, esfuerzo y dinero en la prevención y el control es mucho mejor que gastarlo en sanciones o para mitigar los costos de reputación.
Conclusiones
1
3 La eficacia del programa de compliance dependerá de la formación de los empleados y del conocimiento de las políticas y procedimientos de prevención de la empresa.
Una sólida cultura de integridad producirá un comportamiento ético positivo, un liderazgo responsable y una junta directiva involucrada en la organización.
2
4 Las organizaciones deben realizar una diligencia debida exhaustiva y en profundidad a todos los proveedores, empleados y futuros socios para evitar futuros riesgos empresariales.
Las empresas deben implementar un canal de denuncias que asegure seguimiento, garantice el anonimato y no haya represalias.
5 El compliance debe tener su departamento designado dirigido por un Oficial de Cumplimiento que tenga total autonomía para actuar.
Edición No. 4
Vive Compliance Magazine
Para que un programa de cumplimiento sea eficaz, es esencial que todos los miembros de la empresa estén formados en él. De hecho, una de las razones por las que fallan los controles es porque no se educa sobre lo que hace la empresa en materia de prevención, y no se divulgan políticas como la de regalos o el código de ética. Esto explica la falta de interés de los empleados por conocer lo que se hace en este ámbito o cómo proceder en caso de presenciar malas prácticas.
5
BH Compliance se ha posicionado como líder de la industria en materia de gestión empresarial. Mediante la formulación de programas para monitorear las operaciones de empresas especialmente en América Latina, cualquier actividad fraudulenta o corrupta puede ser detectada y reportada en forma oportuna. Nuestro principal objetivo consiste en crear una cultura de cumplimiento dentro de las organizaciones, promoviendo los más altos estándares de conformidad a la par con la adherencia más estricta a las prácticas regulatorias, tanto a nivel local como mundial. 41
Edición No. 4
LA PROTECCIÓN DE DATOS Y SU RELACIÓN CON CIBERSEGURIDAD Rebeca Chacón. Panamá Contadora Pública y Auditoría Interna (Forense). ACAMS, FIBA en Delitos Financieros. Consultora en Cumplimiento y Auditoría Forense y Socia Senior en Cumplimiento de Signature Law Regional. CFO de ThreatSHIELD Security LATAM. Cuenta con 28 años de experiencia en: Cumplimiento, Auditoría Interna y Forense, Riesgos, Gobierno Corporativo, Organización y Mejora continua, Operaciones Bancarias y Tarjetas de Crédito en Bancos, Financieras y Cooperativas.
43
Las regulaciones de protección de datos son muy afines a la Ley GDPR (General Data Protection Regulation) publicada en la unión europea, la cual se toma como base para el siguiente análisis.
En la siguiente gráfica se muestran los principales puntos que aborda esta ley:
Multas hasta un 4% de la facturación Las organizaciones que han sido victimas de filtración de datos serán multadas con un 4% de su facturación o 20 millones de Euros
Notificación de filtraciones Las filtraciones de datos deben reportarse dentro de las primers 72 horas de haberse detectado una violación de seguridad de los datos
Mayor Alcance territorial Aplica a las organizaciones que procesen datos personales de ciudadanos de la unión europea independientemente de su localización
Privacidad por diseño La protección de los datos debe estar embebida en el diseño de las aplicaciones.
Mayor Alcance territorial Aplica a las organizaciones que procesen datos personales de ciudadanos de la unión europea independientemente de su localización Derecho de acceso y portabilidad Los usuarios pueden requerir información sobre cómo se procesar sus datos
GDPR
Vigencia de los datos Las instituciones controladoras de datos, deben borrar la información de los clientes y potencialmente de terceras partes. Resguardo de información Las instituciones deben tener un responsable que asegure y demuestre el cumplimiento de las regulaciones de protección de datos.
Las instituciones pueden hacer uso de la información de sus clientes únicamente si cuentan con el consentimiento de este.
Estos temas son más directos en regulaciones complementarias como PCI-DSS que van más encaminadas a temas de seguridad de la información.
Moderar la utilización de esta para no abusar en cuanto a la generación de campañas o promocionales Dictar requerimientos mínimos para el resguardo de los datos (aquí es donde se intersecta con uno de los niveles de ciberseguridad) Eliminación de la información cuando el cliente termina su relación comercial con la institución
En conclusión, las leyes de protección de datos están encaminadas a: Según Gartner, ciberseguridad es la combinación de Personas, Políticas Procesos y Tecnologías Utilizadas por una empresa para la protección de sus activos digitales. Según ISACA, la ciberseguridad contempla la mitigación de múltiples riesgos que difieren en tecnología, vectores de ataque y otros componentes. Basado en estas definiciones, puede agregarse que la ciberseguridad es un tema complejo, que está muy relacionado con las áreas de tecnología, pero cuyo impacto debe evaluarse a nivel de junta directiva, ya que este tipo de eventos pueden afectar directamente la supervivencia de la empresa, es por eso por lo que, en distintos países a nivel mundial, existe la práctica que el responsable de ciberseguridad (CISO o equivalente) reporte al directorio de las empresas.
Los expertos de la materia dividen la ciberseguridad en 7 capas: ridad disruptiv Segu a
ridad perimetra Segu l ridad de red Segu
idad de en dispo siti gur e S vo de ridad aplicac gu ión e S
ad urid de da g t e
os
Lo que refiere a la privacidad por diseño, puede acotarse a que la información debe almacenarse bajo estándares de acceso y limitar su visibilidad únicamente a personas autorizadas.
Brindar un uso eficiente de la información
Edición No. 4
Vive Compliance Magazine
Mayor responsabilidad y mayores repercusiones
En conclusión, las leyes de protección de datos están encaminadas a:
S
El incremento de la productividad y la toma de decisiones basadas en información, que está disponible de forma inmediata y con un alto nivel de exactitud, lo cual se facilita utilizando tecnologías 5G. Estos hechos hacen notar la importancia que tiene la buena administración de la información en cuanto a la disrupción de servicios y de la economía en general. No obstante, paralelo a este buen uso de los datos, el cibercrimen ha crecido en más de 1000% en los últimos 18 meses.
Activos de misión critica
45
Como puede notarse, cada capa tiene un ámbito de acción específico. En relación con la seguridad de los datos, vemos que hay una intersección entre la segunda capa y algunas recomendaciones como PCI-DSS y el espíritu de GDPR. Algunos componentes más conocidos en las primeras seis capas son: Sistemas operativos, antivirus y los Firewall. Todos ellos con importantes funciones, tanto en el ámbito de ciberseguridad y otros, como, por ejemplo: el uso eficiente de los recursos del sistema, identificar amenazas conocidas o bien autenticar a los usuarios que acceden a los aplicativos de la institución.
Las empresas deben activar las 7 capas de ciberseguridad para que funcionen de forma conjunta y que todas se complementen en un ambiente colaborativo. Anteriormente la 7ma capa era conocida como “la capa humana” por el hecho que la decisión final de acción recae sobre una persona. Hoy día, la tecnología es capaz de delegar, en un sistema robotizado, la decisión de reaccionar ante un ataque y neutralizarlo. Esto se deriva del hecho que los ataques sofisticados se ejecutan en menos de treinta segundos (tiempo que sigue bajando según evolucionan los ciberataques), mientras que la etapa de recolección de datos, traslado a un centro de seguridad (SOC por sus siglas en inglés) o acciones paralelas, pueden tomar al menos 10 minutos en la etapa de recolección y envío, para luego tomar horas y hasta semanas en tener una solución al problema. Esta es justamente la razón por la cual, miles de empresas, que solo cuentan con las primeras 6 capas, han sido vulneradas sin tener una defensa que sea eficiente. Entonces la solución del problema debe encaminarse a un mecanismo que sea capaz de responder en milisegundos ante un ataque. De esto se desprende la utilización de sistemas robotizados para poder neutralizarlos.
La industria 4.0 caracterizada por la transformación digital se potencia en la comunicación para que puedan realizarse operaciones financieras en tiempo real, así como tareas de investigación, comunicaciones y traslado de información de una forma que no tiene precedentes en la historia. La gestión de seguridad de los datos se vuelve crítica, principalmente cuando se relaciona con información sensible de los usuarios. El uso de la información personal se regula como parte de un ordenamiento comercial y estratégico para las empresas. Los ciberataques sofisticados surgieron como actores, particularmente en esta revolución 4.0 y sus ingresos se estiman en 6 trillones de dólares al año.
Edición No. 4
Vive Compliance Magazine
Un hecho relevante, es que la ciberseguridad logra un alto nivel de eficiencia únicamente cuando se integra la séptima capa, que denominamos “disruptiva” que es la que ese especializa en neutralizar ataques sofisticados.
Conclusiones
La defensa ante ataques sofisticados ha evolucionado a procesos 100% automatizados y actualmente, las empresas están adoptando esta nueva tecnología como parte de su estrategia de resiliencia. La tecnología está en el centro del cambio empresarial, lo que permite a las organizaciones transformar sus modelos operativos y de negocio y responder con agilidad a las amenazas competitivas. La clave del éxito empresarial radica en gestionar los riesgos de forma oportuna.
47
EL SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASC COMO APOYO A LA LABOR DE CUMPLIMIENTO DE ORGANIZACIONES PÚBLICAS Y PRIVADAS
Administrador de Empresas. Máster en Seguridad y Defensa de la Escuela Superior de Guerra. Oficial retirado de la Policía Nacional de Colombia, miembro del comité de expertos en seguridad de la Dirección de Investigación Criminal e Interpol de la Policía Nacional.
La creación de la primera iniciativa global BASC se remonta a 1996 cuando la Corporación Mattel decidió presentar la propuesta ante el Comisionado del Servicio de Aduana de los Estados Unidos en San Diego, California, con el propósito de implementar mecanismos y procedimientos que ayudaran a evitar que las empresas importadoras fueran utilizadas por organizaciones ilícitas para el transporte de narcóticos, y para poner fin a una larga lista de experiencias con robos y cargamentos contaminados de empresas de todos los sectores.
La iniciativa BASC es el reflejo del compromiso de las empresas por mejorar las condiciones de su entorno; asimismo, contribuye a desalentar aquellos fenómenos que desfavorecen los intereses económicos, sociales y comerciales de los países miembros de la Organización. Con el apoyo de la Aduana de los Estados Unidos, se logró promover esta experiencia exitosa, y gracias a la confianza de los empresarios líderes que creyeron en esta iniciativa, con el soporte de los Gobiernos de la región, aduanas y autoridades, el programa logró expandirse de manera progresiva en Latinoamérica. Siendo el año 2003 la Organización Mundial BASC aplicando un nuevo enfoque de protección y seguridad integral emite la primera versión de la norma, la cual fue actualizada en el año 2005 con la versión número dos , en el año 2008 aparece la versión tres donde se integra la primera parte de los requisitos C-TPAT y en la versión número cuatro en el 2012 donde se terminó de integrar la segunda parte del C-TPAT, en el año 2017 fue presentada la versión número cinco cuyo objeto es establecer, documentar, implementar, mantener y mejorar el Sistema de Gestión en Control y Seguridad, asegurando el cumplimiento de los compromisos establecidos en la política de gestión en control y seguridad, gestionando los riesgos con base en el enfoque en procesos, demostrando su capacidad para mantener la integridad de la cadena de suministro, para la implementación y mantenimiento de programas tales como C-TPAT y Operador Económico Autorizado -OEA, entre otros. Fue concebida de tal forma que se puede integrar con otras publicaciones o normativas aplicadas, a las cuales hace referencia explícita o implícitamente y que dan información u orientación.
¿CUÁL ES EL IMPACTO EN EL SECTOR PÚBLICO Y PRIVADO? Tomando como referencia la investigación que realizo la Universidad de STANFORD a nombre del INSTITUTO DE FABRICACIÓN PELEG GILLAI, BHAT Y SEPT (2006), cuyo informe fue publicado en el documento “Innovadores en el suministro, Cadena de seguridad: Una mejor seguridad impulsa el valor comercial Julio 2006”, que nos indicaba la seguridad de los productos (Reducción 38% hurtos y perdidas), mejora de la gestión de inventario (14% Reducción de exceso de existencias, 12% de distribución puntual), mejora visibilidad cadena logística(50% Acceso datos cadena logística, aumento 30% puntualidad información envíos), mejora de la velocidad(Reducción de 29% periodo en tránsito, reducción del 28% en interfaz plazo expedición), mayor satisfacción cliente(Reducción del 26% en abatimiento del cliente y aumento del 20% en el número de nuevos clientes.),
Edición No. 4
Vive Compliance Magazine
Carlos Boshell. Colombia.
Durante más de 25 años BUSINESS ALLIANCE FOR SECURE COMMERCE-BASC, ha venido trabajando en pro de la seguridad pública y privada, principalmente en la cadena de suministro mediante un Sistema de Gestión en Control y Seguridad (SGCS). En el contexto de hace más de dos décadas, que era marcado principalmente por la lucha contra el “narcotráfico”, que de por si ya era un problema trasnacional, se venía presentando un factor al que no se le prestaba la atención debida como era el “terrorismo”, a raíz de las desafortunadas acciones acaecidas especialmente a finales del siglo pasado y principios de este, tuvo su punto de quiebre con la materialización de los atentados contra las “torres gemelas” (New York) en el año 2001, ademas se presentan otros factores de riesgo en los sectores públicos y privados se fueron añadiendo otras amenazas de mayor complejidad en su detección y tratamiento, pero especialmente en su control como son la Corrupción, Soborno, Lavado de Activos, Contrabando, Tráfico de Armas, entre otros flagelos que nos golpean más habitualmente y con respuestas muy tardía y en ocasiones débiles por parte del estado para su confrontación y neutralización, pero muy seguramente en los años venideros traerán otros factores y amenazas que nos tocara afrontar, otras estrategias y actividades que tendremos que emplear,
Así mismo como una forma de complementar y fortalecer los programas Carrier Initiative Program CIP y Land Border Initiative Program LBCIP, tomando la iniciativa de cambiar la mentalidad hacia la implementación de medidas preventivas más que represivas, en lo que concierne a las empresas productoras.
49
Las certificaciones en los diferentes sistemas de gestión son un indicador que las empresas buscan asegurar sus procesos de cara a cumplir las expectativas de sus partes interesadas y buscar la continuidad de su negocio, qué resalto como ventaja en una organización certificada en la Norma BASC, así:
1
2
INCENTIVAR LA CULTURA DE SEGURIDAD
Dado el surgimiento de nuevas estrategias y alianzas impulsadas desde el sector privado para la prevención y control de las amenazas presentes en el mundo contemporáneo y que atacan la cadena de suministros ha cobrado un nuevo valor de preponderancia y beneficio para las empresas. La norma internacional BASC ha sido un ejemplo claro, con bastantes casos exitosos en el mundo, por medio de la implementación y desarrollo de la cultura de seguridad integral con énfasis a la cadena de suministro, mediante la implementación de sistemas de gestión e instrumentos aplicables al comercio internacional y distintos sectores de la economía, dando una mayor seguridad y aumentando las competencias a nivel nacional e internacional tanto para las empresas como para los países.
ESTABLECIMIENTO Y ADMINISTRACIÓN DEL RIESGO
Las nuevas dinámicas de la seguridad han representado un importante auge en la gestión del riesgo, así como el surgimiento de nuevos fenómenos que amenazan la seguridad, demandantes de esta fuerza de trabajo en materia de constante análisis, vanguardia y actualización para velar por un entorno seguro y confiable, cosechando una labor mancomunada con fines enfocados a velar por la seguridad. De allí surgen como aliados estratégicos que se han convertido en un importante elemento para hacer frente a todas las amenazas que afectan la seguridad de cada uno de los procedimientos que se ejecutan en dicho entorno, esto les ha exigido a los sectores una constante modernización, en las normas, ordenamientos y esquemas de mejoramiento continuo, a causa del significativo crecimiento que ha ganado debido a su importancia comercial especialmente.
3
FORTALECIMIENTOS ALIANZAS PÚBLICO- PRIVADAS
Del mismo modo se puede ver como la organización mundial BASC se ha solidificado como modelo mundial de los programas de cooperación, gracias a la asociación exitosa entre el sector empresarial, aduanas, gobiernos y organismos internacionales que lograron fomentar procesos donde la prioridad es la seguridad en su contexto más amplio y diverso. Esta forma de cooperación se fundamenta principalmente en un intercambio permanente de prácticas conjuntas, información y capacitación, lo cual ha permitido a las partes de todo el mundo incrementar sus conocimientos y perfeccionar sus prácticas en un esfuerzo por mantener empresas de distintos sectores libres de cualquier actividad ilícita y que vallan en contra de la seguridad.
4
GENERAR CONFIANZA Y CREDIBILIDAD ENTRE EL SECTOR PÚBLICO-PRIVADO
Es claro como la seguridad se ha afianzado y reinventado en su forma de hacer frente a las necesidades del mundo moderno con innumerables variaciones de tipo profesional, teórico y tecnológico, que le han permitido situarse como una prioridad para la constitución de comunidades más estables y mejores sociedades. En relación con lo anteriormente dicho se debe dar una muestra general de qué constituyen que esta confianza este compuesta por actividades que beneficien a las organizaciones públicas y/o privadas, desarrollando beneficios a las personas naturales o jurídicas. La iniciativa que ha impulsado y fortalecido a la norma BASC refleja el compromiso de las empresas por mejorar las condiciones de su entorno, y a su vez demostrar la importancia que tiene la implementación de la norma dentro de las empresas para el mejoramiento continuo de todos sus procesos basándonos en los estándares dados por esta norma internacional. BASC desde su mismo objeto busca que las organizaciones aseguren el CUMPLIMIENTO de los compromisos establecidos en la Política de Gestión en Control y Seguridad, implementar y mantener programas como C-TPAT y Operador Económico Autorizado OEA y otros, indican que las empresas u organizaciones deben tener en cuenta para la implementación de su SGCS BASC que priman los requisitos de orden legal, sobre los criterios de la norma internacional y estándares de seguridad aplicable, por lo tanto, ningún requisito se puede implementar incumpliendo la normatividad legal vigente de cada país. Además, en la orientación sobre la aplicación del enfoque en procesos, nos exige que todos los requisitos se deben incorporar a los procesos de la organización: la forma y el alcance de su aplicación depende del contexto en el cual opera,
los procesos que se contratan externamente no eximen a la empresa de la responsabilidad de cumplir los requisitos, así como los legales y reglamentarios. En cuanto a los requisitos legales que exige la norma, obliga a las organizaciones a establecer un procedimiento documentado para identificar y tener acceso a los requisitos legales relacionados con el comercio y el alcance del SGCS BASC, además deben determinar cómo aplican a la empresa estos requisitos legales y reglamentarios, que deben estar actualizados cuando se presenten cambios, indicando la frecuencia con la que se verificara el cumplimento, que se debe evaluar y aplicar las acciones que sean necesarias, debiendo conservar información documentada como evidencia de los resultados de la evaluación del cumplimiento.
Edición No. 4
Vive Compliance Magazine
mejoras en el proceso (por ejemplo, reducción del 30 por ciento en las desviaciones del proceso), un proceso de despacho de aduana más eficiente (por ejemplo, 49 por ciento de reducción en retrasos de carga, 48 por ciento reducciones de inspecciones / exámenes de carga), la capacidad de recuperación (por ejemplo, una reducción cercana al 30 por ciento en el tiempo de identificación del problema, tiempo de respuesta para problemas, y en tiempo de resolución de problemas), entre otros resultados.
Por último, quiero dejar una reflexión que quiero compartirles “En la productividad y competitividad de la globalización, la competencia hoy en día no es de Empresa a Empresa, la competencia sé está presentando entre cadenas de suministro”, convirtiendo a BASC en nuestro mejor aliado y estar vinculados con empresas certificadas BASC garantizan que se cumplan con los requerimientos obligatorios que nos sirvan en gran medida para garantizar un comercio seguro.
51
Como antecedente a esta creación y sabiendo que la organización surgió a partir de la unión de organismos creados previamente, como la International Federation of the National Standarizing Association, también llamada ISA, fundada en Nueva York en el año 1928 y basados en el sistema métrico, cuya finalidad era dar tratamiento a las áreas que no estaban dentro del área de la electrotécnica, ya regulada por la ICE International Electrotechnical Commission, creada en 1906. Cuando estalló la Segunda Guerra Mundial en el año 1939, la ISA suspendió su actividad debido a la falta de comunicación internacional. Por ello, en el año 1944 cuando se forma la UNSCC United Nations Standards Coordinating Commitee en Londres, empujado por el desarrollo manufacturero de armamento que se vio impulsado por la aplicación de estandarización. La UNSCC se administraba desde las mismas oficinas del ICE, organismo ya por entonces con bastante renombre. Por aquél entonces, el secretario general de dicha organización era Charles Le Maistre, por muchos considerado como el padre de la normalización. El año 1945 es clave para la historia de la ISO, los delegados de la UNSCC se reunieron en Nueva York para intentar crear una organización de normalización. Le Maistre, tras la guerra mundial, tomó contacto con la ISA y les informó de la recientemente creada UNSCC. La idea que tenía Le Maistre era la creación de un único organismo conjunto internacional dedicado a la normalización y fue así como se fundó la ISO. En Julio del año 1946, en París se realizó un consejo de la ISA. Le Maitre convocó reunión de la UNSCC en el mismo lugar. Por tanto, se forzó así la determinación de unirse.
Edición No. 4
Vive Compliance Magazine
HISTORIA DE LA ISO - Organización Internacional de Normalización
Pocos meses después se disolvió la ISA por las irregularidades que existían y el paro de operaciones detectado a causa de la guerra. Poco a poco, Le Maistre consiguió la unión de los delegados de UNSCC y la ISA. La ISO (siglas para Organización Internacional de Normalización en castellano), se creó en el año 1946 con la presencia de 64 representantes delegados provenientes de 25 países. Esta reunión tuvo cita en Londres, Inglaterra en la sede del Instituto de Ingenieros Civiles. Estas personas decidieron adentrarse en el proyecto de creación de una organización cuya finalidad sería facilitar una unificación en normas de industrialización y una mejora en la coordinación internacional de empresas.
53
HISTORIA DE LA ISO - Organización Internacional de Normalización Al año siguiente, en el mes de febrero, se hizo oficial la creación de la ISO y empezó sus operaciones. La fecha oficial de inicio de actividades fue el 27 de febrero de 1947. Desde aquel año, se han creado más de 19.500 normas para todos los sectores de producción, incluidos por supuesto, la industria, el sector salud, el sector alimentario, tecnológico, etc.) La organización tiene sede en Ginebra (Suiza) y desde allí, donde se encuentra la Secretaría General de ISO, se controlan al resto de países.
Vive Compliance Magazine
Actualmente la organización internacional de normalización acoge a 165 países miembros y lo conforman alrededor de 3368 órganos técnicos encargados de cuidar la elaboración de dichas normas. La palabra ISO, significa según su raíz griega “igual”, de ahí el nombre de la organización, que, además, coincide con las siglas de esta. Se trata de un juego de palabras muy adecuado para la finalidad de la organización. Esta es una federación internacional independiente que intenta aportar mayor seguridad, calidad y eficiencia a los sistemas de trabajo para hacer más simple el intercambio entre países y regiones de bienes y servicios producidos.
Edición No. 4
En el año 1951 fue publicada la primera norma ISO que en aquel momento se llamó simplemente una “recomendación”. Esta primera, la ISO/R 1:1951, fue una norma que abarcaba la temperatura estándar de referencia para medir la longitud industrial. Dicha primera norma fue actualizada en varias ocasiones hasta llegar a la más actual que es la del año 2002 sobre especificaciones del producto genérico – temperatura de referencia estándar para especificación geométrica de los productos. La ISO reconoció en el año 1977 durante una conferencia, que la ISA fue el primer prototipo de la organización y que la mayoría de los comités técnicos que la componen son los mismos que operaban en la ISA. Fue por este motivo que se termina de definir a la ISO como organización única a nivel internacional para la normalización.
Cada país tiene su propio organismo nacional de normalización de tipo no gubernamental que se puede ver como un puente de contacto entre el sector público y el sector privado. Los miembros son parte de la estructura de gobierno de cada país al que pertenecen, pero también existen miembros que tienen raíces no gubernamentales ya que provienen del sector privado únicamente. Por ello, las normas de la ISO permiten llegar a consensos sobre las posibles soluciones de cara a los negocios como para el beneficio general de la sociedad, en un ámbito más amplio. La norma más conocida e implementada es la ISO 9001:2015
18
https://www.bonattipenal.com/legal-compliance-i-una-breve-historia/
55