ISO 37001: ¿Qué dificultades enfrenta un auditor Interno de Sistemas de Gestión Antisoborno?

Hay quienes minimizan la labor del auditor interno en sistemas de gestión, tales como el que se aborda en el presente artículo. Sin embargo, la labor de auditoría, lejos de ser una función poco relevante, suele ser una importante fuente de oportunidades de mejora y, eventualmente, de no conformidades, y, por ende, parte relevante de la necesaria y deseable mejora continua. 

Asimismo, y para quienes no están convencidos, es requerimiento de la norma y su ausencia derivaría en que el sistema de gestión antisoborno no sea considerado conforme a la norma y obstaría su certificación.

En nuestra experiencia, realizando Auditorías Internas o Externas de certificación, nos hemos topado con algunas dificultades que queremos a compartir con nuestros colegas interesados en las particularidades del citado estándar. Las mismas fueron expuestas y debatidas hace pocos días en un webinar que hemos dictado.

Presentamos entonces, a continuación, las 10 dificultades con las que nos encontramos más frecuentemente.

 

DIFICULTAD #1 – PREPARACIÓN DE LA AUDITORÍA

 

La primera dificultad que evidenciamos está relacionada con vincular los requisitos normativos de ISO 37001 con los propios procesos de la Organización a auditar.

Es sabido que las normas ISO de Sistemas de Gestión se basan en el principio de “gestión por procesos”, por lo que una auditoría que siga este principio debería tener como eje los procesos de la Organización en lugar de los requisitos de la Norma.

Así es que deberemos comprender el funcionamiento de la Organización a auditar, dedicando tiempo a analizar sus documentos principales, en vínculo con el Sistema de Gestión y planificar las actividades de auditoría de manera adecuada. Esto cobra aún más importancia, si el equipo auditor es externo a la Organización; por el contrario el equipo auditor que sea parte del staff, corre con ventaja por “conocer el terreno”.

 

DIFICULTAD #2 – PREPARACIÓN DE LOS AUDITADOS

 

Frecuentemente los responsables de procesos en una organización (para el caso en cuestión “los auditados”) consideran que saben mucho sobre lo que hacen en el día a día. Y suele ser una gran verdad; nadie como ellos para ser especialistas en lo que les toca. A veces mejor, a veces peor, pero son los “dueños de sus procesos”.

Sin embargo es denominador común en este tipo de trabajos que se desconozca la norma en detalle, que las supuestas evidencias de las actividades realizadas (en especial las de control que mitigan riesgos), y sus adecuados registros no existan o no cuenten con los requerimientos mínimos aceptables por un SGAS que se precie de eficaz. En estas circunstancias, obviamente, un buen auditor interno observará estas deficiencias o debilidades, pudiendo incluso cristalizarse en una no conformidad.

Nuestra recomendación en este caso será que los auditados conozcan la ISO 37001 en su totalidad, se imaginen las preguntas que responderían a una adecuada implementación, y, por ende, que el auditor podría formular. Que hagan el ejercicio de ir muñidos de todas las evidencias que permitan a un tercero independiente probar que las actividades existen y se ejecutan en la forma en que fueron planeadas.

 

DIFICULTAD #3 – PRINCIPIOS DE LA AUDITORÍA: IMPARCIALIDAD

 

Ya nos decía Bernard Shaw que “La justicia estriba en la imparcialidad y sólo pueden ser imparciales los extraños”.

Entonces, así como la dificultad #1 los auditores que son miembros de la Organización a auditar tienen una ventaja, aquí deberán mediar ciertos recaudos para cumplir con un principio fundamental del proceso de auditoría: la imparcialidad.

ISO 19011, que nos plantea “Directrices para la Auditoría de Sistemas de Gestión” le da una jerarquía destacable a este principio, pues es la base de la objetividad de los resultados.

Resulta importante entonces velar por la independencia de los procesos que toque auditar, contando con al menos dos auditores internos en caso sean staff permanente de la Organización a auditar. Es particularmente importante al auditar sistemas anti-soborno pues uno de los valores fundamentales de estos sistemas es la transparencia. Los auditores externos a la organización auditada, cuentan con ventaja en este punto.

 

DIFICULTAD #4 – ÉNFASIS EN CONOCER LOS RIESGOS

 

Como bien sabemos, un SGAS se estructura sobre la base de la gestión de riesgos. De hecho, podemos afirmar que constituye su columna vertebral. Notamos sin embargo que los responsables de procesos suelen realizar controles sin tener en consideración los riesgos a los que está expuesta la organización en materia de soborno y, en particular, los que se relacionan en forma directa con el área en particular, incluyendo los terceros que operan a las órdenes de la misma.

Es razonable suponer que esta “falta de concientización” sobre los riesgos específicos de cada área de responsabilidad impacte sobre la calidad y efectividad de los controles antisoborno implementados, o peor aún, que no existan tales controles. En estos casos difícilmente puedan pasar estos responsables una auditoría interna de SGAS de manera exitosa.

Nuestra recomendación: implementar técnicas de identificación de riesgos que incluyan la participación y opinión de los citados responsables de procesos. Esto incrementará su involucramiento. Adicionalmente será importante difundir el concepto de dueño de riesgos (“risk owner”). Cada responsable de objetivos por área, lo debe ser también de los riesgos que podrían afectar la consecución de los mismos. Clarificar este concepto por parte de las altas autoridades ejecutivas facilitará que esto ocurra.

 

DIFICULTAD #5 – PLAN DE AUDITORÍA

 

Recordando mi formación de Auditores Líderes en el año 2008, el tutor de entonces nos recomendaba “usen sus listas de verificación como guía, pero no pasen por alto las pistas de auditoría”.

Los años en esta actividad, me han demostrado que es una recomendación muy sabia. Sin embargo tiene un enemigo: el tiempo.

Quienes hayan realizado alguna vez una auditoría sobre un Sistema de Gestión, coincidirán con nosotros en que el tiempo parece nunca ser suficiente.

Así es que resulta muy importante, prestar atención para no poner en riesgo la planificación de la auditoría y la disponibilidad de los auditados que tenemos “en cola”.

Para mitigar este efecto, la recomendación es dejar márgenes en la planificación, para poder volver sobre aspectos o procesos que hayan quedado inconclusos. Por ejemplo, cada final de día, dejar 1 hora para “evaluar hallazgos del día”.

Por supuesto que no será aconsejable planificar en exceso por obvias razones: eficiencia, costos, disponibilidad de auditados, competitividad (si somos externos a la organización).

Pero habrá algunos aspectos que pueden afectar gravemente el trascurso de la auditoría y en estos casos aplica la recomendación. Estos pueden ser, pero no se limitan a: estacionalidad de la Organización (picos de producción o demanda), operación en varios sitios, disponibilidad de auditados (sobre todo la Alta Dirección).

 

DIFICULTAD #6 – LOGÍSTICA INTELIGENTE

 

A fin de evitar reprocesos, visitas superpuestas y molestias innecesarias, solemos recomendar planear las entrevistas en función de a) las características de la Norma (la misma tiene muchos “vaivenes” y encadenamientos que responden a cierta lógica); y b) las características propias de la organización (dispersión geográfica, estructura organizativa, características del trabajo de su personal, entre otras cuestiones). No deberíamos volver a contactar a un responsable ya entrevistado diciéndole, por ejemplo: “no me di cuenta que la norma más adelante pedía tal o cual cuestión de la cual, entiendo, tu área es la encargada”

Por otro lado, es más que frecuente que las entrevistas planeadas sufran cambios de último momento. Sabemos que la organización no vive de las auditorías a la hora de tener que administrar una parada de planta, un contagio en plena pandemia o la falta de un insumo crítico (por solo citar algunos ejemplos). Una planificación flexible puede ayudar mucho para que la hoja de ruta nos lleve a obtener adecuadas evidencias de auditoría con la mayor eficiencia posible.

 

DIFICULTAD #7 – AUDIT & TEACH

 

La labor de auditoría interna sobre la base de la norma 19011, ya sea efectuada con personal de la organización o por medio de expertos contratados, debe contar con un enfoque consultivo (sin por ello descuidar la necesaria objetividad).

Si bien constituye un trabajo importante para evaluar la adecuación del sistema y las evidencias de su cumplimiento, además de ser requisito de la ISO 37001, es una gran oportunidad para levantar las debilidades que deberán ser remediadas antes de que sea el turno del Auditor de tercera parte (el Ente que emitirá la certificación en el mejor de los casos y que la revalidará con el organismo de acreditación con el cual trabaje).

Y decimos que es una instancia para que “salga todo a flote”, porque si existen no conformidades no detectadas en esta etapa, posiblemente no podrán ser abordadas a tiempo cuando las identifique el ente certificador.

 

DIFICULTAD #8 – RESPONSABILIDAD DEL EQUIPO AUDITOR

 

Esta norma ISO en particular, por vincularse con requisitos regulatorios de fuero penal (globalmente, en la mayoría de las jurisdicciones), presenta riesgos para los auditores dignos de tener en cuenta.

Se deberá tener especial cuidado sobre la comprensión de los riesgos de la Organización a auditar y la eficacia de los controles y acciones implementados para mitigar dichos riesgos. Por otro lado, se debería tener alguna certeza de que no existan riesgos de alto impacto que no hayan sido identificados, por ejemplo haciendo un benchmark con otras empresas del rubro (que el auditor conozca o bien recurriendo a un experto del rubro para formar parte del equipo auditor).

Ya sea entonces conociendo el rubro o bien armando un equipo auditor heterogéneo para garantizar competencias, y garantizando una buena preparación previa, podremos minimizar incertidumbre del proceso y posibles omisiones.

 

DIFICULTAD #9 – CHECK-LIST vs. CRITERIO PROFESIONAL

 

Cuando comencé a usar esta norma en casos reales (y lo mismo me sucedió con otras en el pasado), la lista de chequeo supo ser una herramienta irreemplazable.

Claro está que cuando hablamos de un “check-list” es el que resulta de la mejor interpretación de los requerimientos de la norma al tipo de organización y sus características.

Poco a poco, mucho de lo que está escrito va siendo modelado por el criterio profesional y el check-list pasa a ser un ayuda memoria, más que nada para no omitir de preguntar algo de significación.

Sucede además que es la propia conversación y los dichos de nuestro interlocutor, los que nos llevan frecuentemente a “salirnos del libreto”.

Dicho esto, podemos aseverar que checklist + criterio profesional son una dupla exitosa a la hora de mantener una entrevista de auditoría eficaz.

 

 

DIFICULTAD #10 – EQUILIBRIO ENTRE REQUISITOS Y BUENAS PRÁCTICAS

 

Comenzaremos citando la ley 27401 de la República Argentina, para abordar esta dificultad. En su artículo 23 establece que:

“el Programa de Integridad deberá contener, conforme a las pautas establecidas en el segundo párrafo del artículo precedente, al menos los siguientes elementos:

a) Un código de ética o de conducta, o la existencia de políticas y procedimientos de integridad aplicables a…”

Cabe aclarar que tampoco es una exigencia de ISO 37001 implementar un Código de Ética o Conducta.

Entonces nos preguntamos, ¿podremos exigir un Código de Ética o Conducta si nos toca auditar un Programa de Integridad o un Sistema de Gestión Antisoborno? La respuesta es, sabiendo que puede traer controversias, que no podremos exigirlo.

Debemos entonces tener allanarnos a los requisitos de ISO 37001 al auditar un Sistema de Gestión en base a esta norma, dejando de lado las “buenas prácticas” que conozcamos de antemano, para evitar sesgar los resultados del proceso.

Cabe destacar que como Anexo, la norma ISO 37001 trae Lineamientos para la interpretación de los requisitos establecidos en el cuerpo de la norma, que pueden ser tomados también como “buenas prácticas” pero de la misma manera, no podrán ser exigidos.

Por ejemplo, en los capítulos A11 y A12 se tratan con mayor profundidad los controles financieros y no financieros, respectivamente. En ambos caso propone un listado no taxativo, pero que cuya enunciación nos ayuda a comprender los controles relevantes.

Para concluir, mencionamos que luego de revisar varias decenas de programas de Compliance, vemos que el área de Compliance no esta entrando en este tema con la profundidad que el mismo merece. Podemos citar como ejemplo, la falta de conocimiento en detalle de cómo funcionan los anticipos par gastos en efectivo y con tarjeta de crédito, el uso de fondos fijos, las conciliaciones, etc.

Es así que un justo equilibrio entre lo que la norma exige y lo que conocemos de ante mano, como profesionales del rubro Compliance, debe convivir para alcanzar los resultados deseados, mitigando adecuadamente los riesgos identificados.

 

Como conclusión, podemos destacar que el mayor provecho del proceso de Auditoría de un Sistema de Gestión Antisoborno se conseguirá con una buena planificación previa, el liderazgo de la Alta Dirección y el involucramiento de todo el personal de la Organización, obteniendo así los mejores resultados de la implementación de la Norma ISO 37001.

{{cta(‘1c628048-22bf-4c91-9d91-ebcea24ec918’)}}

 

 

 

Por Amadeo Berdou y Carlos Rozen (*)

(*) Acerca de los autores

Carlos Rozen

Experto Implementador ISO 37001

Socio – BDO Argentina

 

Entradas recomendadas

Aún no hay comentarios, ¡añada su voz abajo!


Añadir un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *