Los directores deben supervisar las obligaciones de cumplimiento según la nueva guía del AICD

El Instituto Australiano de Directores de Empresas (AICD) lanzó una nueva guía sobre la supervisión por parte de los directores de las obligaciones de cumplimiento de las empresas en octubre de 2024. La nueva Declaración de Prácticas describe las responsabilidades clave que tienen los directores para garantizar que sus empresas cumplan con el cumplimiento normativo. Enfatiza la importancia de la gestión proactiva de riesgos, mantenerse alerta ante las posibles señales de alerta de cumplimiento y desafiar a la dirección cuando sea necesario para garantizar la alineación con las obligaciones legales.

Para las organizaciones, esto significa un mayor enfoque en la cultura de cumplimiento, auditorías periódicas y el aprovechamiento de la tecnología GRC para supervisar los riesgos y obtener una mayor visibilidad de las obligaciones de cumplimiento. Se espera que los directores se mantengan informados para comprender y abordar mejor los riesgos de cumplimiento emergentes.

En este blog, exploramos lo que esta nueva guía significa para los directores de empresas y las organizaciones que supervisan. También exploramos cómo el software GRC puede proporcionar visibilidad de las obligaciones de cumplimiento y su estado para ayudar a las organizaciones a alinearse con los requisitos.

¿Por qué el AICD ha introducido estas directrices?
El AICD ha introducido esta nueva guía debido a los requisitos normativos cada vez más complejos, una avalancha de fallos en materia de riesgo y cumplimiento, y el grado de ambigüedad con respecto a quién es responsable. La guía está diseñada para garantizar que las organizaciones adopten un enfoque estructurado más proactivo para gestionar el riesgo y el cumplimiento, garantizando la visibilidad y la rendición de cuentas. Los nuevos mandatos exigirán a los consejos de administración que desempeñen un papel más activo en el cumplimiento y animarán a las personas a denunciar los casos de incumplimiento que presencien para garantizar que se aborden y resuelvan rápidamente. El objetivo es reducir el “riesgo de cumplimiento” y aprender de los fallos y cuasi accidentes.

¿A qué tipo de obligaciones de cumplimiento se aplica la regulación?
Las empresas australianas deben cumplir con una variedad de obligaciones regulatorias no financieras, incluyendo la salud y seguridad en el trabajo, los derechos de los empleados, la ciberseguridad y la protección de datos. También están obligadas por las leyes relacionadas con la lucha contra el blanqueo de capitales, la lucha contra el soborno y la corrupción. Además, muchas empresas están obligadas a cumplir con las normas de sostenibilidad, como la presentación de informes sobre el riesgo climático, el seguimiento de las emisiones, la lucha contra la esclavitud moderna en la cadena de suministro, el cierre de la brecha salarial de género y la prevención del acoso sexual en el lugar de trabajo. También existe una gran cantidad de normas y regulaciones específicas de la industria y relacionadas con ESG que las organizaciones deben cumplir para seguir operando.

Independientemente del sector o el tamaño de una empresa, sus obligaciones pueden ser intrincadas, lo que plantea riesgos operativos, de cumplimiento y regulatorios. Estas obligaciones requieren una supervisión continua por parte de los directores. El incumplimiento puede acarrear importantes daños legales, financieros y de reputación, que pueden perjudicar las relaciones con los clientes, los empleados, los accionistas y los reguladores.

¿Cuándo se puede considerar a los directores responsables de los fallos de cumplimiento?
El incumplimiento de las obligaciones legales o regulatorias de una empresa no implica automáticamente que un director haya violado su deber de diligencia. Por el contrario, los directores pueden ser considerados responsables de un incumplimiento del deber, incluso si la empresa no ha violado sus obligaciones de cumplimiento. La declaración de prácticas del AICD proporciona una guía completa para ayudar a las empresas a distinguir entre los fallos de gobernanza, la responsabilidad organizativa y las irregularidades individuales.

Por lo tanto, es importante que una organización tenga sistemas establecidos que garanticen que las personas conozcan las obligaciones de cumplimiento de la empresa, y que las empresas puedan proporcionar pruebas de las medidas y los procesos que han implementado para garantizar el cumplimiento. También debe haber procedimientos para que las empresas aborden las áreas de incumplimiento y registren las posibles señales de alerta y cuasi accidentes para garantizar que se aborden. Procesos como estos dejarán claro tanto a las organizaciones como a los reguladores si el fallo de cumplimiento se debió a los sistemas de cumplimiento de las organizaciones y a la falta de comunicación, o si un individuo fue responsable de ser deliberadamente negligente y pasar por alto los requisitos.

El AICD afirma que los directores deben permanecer alerta a las “señales de alerta” que requieren una mayor investigación. Estas pueden incluir, por ejemplo:

• Falta de informes, o lagunas en los mismos, o falta de franqueza de la dirección al consejo de administración sobre asuntos clave de cumplimiento.
• Informes críticos o comentarios de los reguladores que sugieren una mala gestión de riesgos.
• Falta persistente de inversión en sistemas clave y áreas de riesgo.
• Excepciones frecuentes o crecientes a las políticas y protocolos.
• Una categoría de riesgo que se califica como alta y/o creciente.
• Deficiencias no resueltas o repetidas en el control interno relacionadas con asuntos de cumplimiento.
• Falta de comunicación o intercambio de información entre las líneas funcionales y de negocio.
• Falta de evidencia o diligencia documentada para respaldar las garantías de la dirección.
• Alta confianza de la dirección en que los controles de riesgo son eficaces sin una revisión o verificación periódica.
• Aumento de las quejas de los clientes/proveedores.
• Subcontratación significativa de servicios con una supervisión o control de la dirección limitados.

*Fuente: AICD

¿Cómo puede el software GRC ayudar a las empresas a alinear los procesos con la nueva declaración de prácticas del AICD?
El software GRC (gobierno, riesgo y cumplimiento) puede desempeñar un papel fundamental para ayudar a las organizaciones a alinear sus procesos con la nueva declaración de prácticas del AICD. Estos sistemas ofrecen marcos, plantillas, flujos de trabajo y formularios de mejores prácticas listos para usar para ayudar a las empresas a:

• Comprender sus obligaciones de cumplimiento.
• Implementar controles de gobernanza, políticas y procedimientos para garantizar el cumplimiento.
• Realizar un seguimiento de los fallos de cumplimiento y los cuasi accidentes.
• Gestionar el riesgo.
• Implementar controles.
• Permitir que el personal informe sobre posibles incumplimientos del cumplimiento normativo y cuasi accidentes.
• Utilizar flujos de trabajo de gestión de casos para rectificar los incumplimientos del cumplimiento.

Aquí detallamos cómo el software GRC puede ayudar a la alineación con la declaración de prácticas del AICD en varias áreas clave:

Seguimiento de las obligaciones de cumplimiento
Las empresas pueden utilizar el software GRC para construir una biblioteca digital de obligaciones. Cada regulación aplicable y los requisitos se capturan en el sistema, y se establecen controles, procesos, procedimientos y políticas para garantizar el cumplimiento. Se asigna la propiedad de cada obligación y los pasos que se implementan para garantizar el cumplimiento.

Se utilizan flujos de trabajo automatizados para establecer una supervisión y controles de cumplimiento regulares para supervisar el estado del cumplimiento, y se utilizan flujos de trabajo de gestión de incidentes para escalar cualquier señal de alerta, laguna de cumplimiento o cuasi accidente para que puedan ser rectificados.

Esta visibilidad completa de cuáles son las obligaciones y lo que la empresa ha implementado para cumplir actúa como un registro de auditoría para demostrar el cumplimiento y destaca la rendición de cuentas de cualquier área de incumplimiento.

Gestión de riesgos
Tener un programa de gestión de riesgos de mejores prácticas es una excelente manera de cumplir con algunos de los requisitos descritos en la declaración de prácticas del AICD. El software GRC ofrece marcos, plantillas, flujos de trabajo y formularios de mejores prácticas para implementar un programa de gestión de riesgos de mejores prácticas listo para usar. Las empresas pueden construir un registro de riesgos que incluya todo tipo de riesgos, desde el riesgo operativo y empresarial hasta el riesgo de cumplimiento y el riesgo cibernético. Se pueden establecer indicadores clave de riesgo para cada riesgo, y los niveles de riesgo se supervisan a través de evaluaciones de riesgo regulares o mediante la vinculación de la plataforma a otros sistemas y fuentes de datos. Los flujos de trabajo se utilizan para automatizar completamente el proceso de “evaluación de riesgos”, el personal simplemente recibe un correo electrónico automatizado y completa un formulario en línea, y todos los datos introducidos se incorporan directamente a la plataforma.

Cuando los niveles de riesgo son altos, el sistema alerta a las partes relevantes y los flujos de trabajo de gestión de casos permiten a las empresas escalar el riesgo y documentar completamente cuándo y cómo se resolvió. Tener una supervisión adecuada del riesgo de cumplimiento en todos los niveles del negocio ayuda a las empresas a alinearse con la declaración de prácticas del AICD. Utilizando el software GRC, los directores pueden obtener fácilmente visibilidad del cumplimiento y el riesgo operativo, lo que les permite intervenir cuando sea necesario.

Controles y supervisión de controles
Para lograr el cumplimiento y gestionar el riesgo, una empresa debe tener una serie de controles establecidos. Los controles pueden ser una política o un procedimiento, puede ser una comprobación o inspección regular, puede ser una formación, puede ser un equipo de seguridad. Sea cual sea el control, la organización tendrá que llevar a cabo comprobaciones y pruebas de control regulares para garantizar que los controles son eficaces. El software GRC facilita la documentación de todo el proceso de “gestión de controles”. La documentación completa del proceso permite a los directores obtener fácilmente visibilidad de las lagunas y los fallos de control que podrían poner en peligro el cumplimiento. Los flujos de trabajo de gestión de casos también se utilizan para escalar las lagunas de control y documentar las acciones de remediación. Esto permite la visibilidad de las lagunas de control (y los procesos de cumplimiento afectados), lo que permite a las personas responsables tomar medidas y ayuda a los directores a ser plenamente conscientes de cualquier problema.

Gobernanza
El software GRC apoya el desarrollo de marcos de gobernanza sólidos definiendo claramente los roles, las responsabilidades y los procesos relacionados con el cumplimiento. Esto garantiza que los directores y la dirección estén alineados en su comprensión de las obligaciones de cumplimiento y las expectativas de gobernanza. Al facilitar la comunicación y la colaboración entre los diferentes departamentos y formalizar los procesos y procedimientos, las herramientas GRC ayudan a crear una cultura de cumplimiento en toda la organización, tal como defiende el AICD.

Gestión de incidentes y gestión de casos
El software GRC agiliza los procesos de informe de incidentes y gestión de casos, lo que permite a las organizaciones documentar y abordar rápidamente los incidentes y las infracciones de cumplimiento. El personal de todos los niveles puede registrar un “incidente”, esto podría ser un fallo de control, una laguna de cumplimiento, una infracción de la política o cualquier cosa que pueda comprometer el cumplimiento. Esta funcionalidad permite a las empresas evaluar el impacto de los incidentes relacionados con el cumplimiento, implementar acciones correctivas y prevenir la recurrencia, lo cual es esencial para mantener el cumplimiento de las recomendaciones del AICD sobre la provisión de visibilidad en las áreas de incumplimiento, la escalada de los fallos de cumplimiento y la aclaración de la propiedad.

Gestión de políticas
El software GRC eficaz proporciona herramientas para crear, distribuir y gestionar las políticas en toda la organización. Esto garantiza que todos los empleados sean conscientes de sus obligaciones y responsabilidades y que operen de acuerdo con las políticas de la empresa. Al mantener las políticas actualizadas y realizar un seguimiento de las enmiendas, las aprobaciones y las certificaciones de los empleados, las organizaciones pueden fomentar una cultura de cumplimiento y rendición de cuentas, tal como se destaca en la declaración de prácticas del AICD. Si se observa que un miembro del personal está incumpliendo una política, esto puede ser capturado en el sistema y las acciones tomadas pueden ser completamente documentadas.

Denuncia de irregularidades
Muchas plataformas GRC ofrecen un portal de denuncia de irregularidades en línea discreto. Esto proporciona una ruta anónima sencilla para que los empleados denuncien casos sospechosos de mala conducta o incumplimiento. Los flujos de trabajo automatizados escalan las instancias al equipo relevante y facilitan la gestión de casos hasta que el incidente se resuelve. Esto demuestra al AICD que la organización es proactiva en el tratamiento de posibles malas conductas que podrían afectar al cumplimiento y proporciona claridad sobre quién fue responsable.

Gestión de auditorías
Las empresas suelen ser auditadas en función de sus obligaciones de cumplimiento, ya sea con auditorías internas regulares o con auditorías externas programadas por los propios reguladores. El software GRC también puede ayudar a las empresas a formalizar el proceso de auditoría. Las empresas pueden utilizar el software para planificar y programar sus auditorías y capturar los hallazgos a través de formularios en línea, creando una visión completa de todas las auditorías y sus resultados. Los flujos de trabajo de gestión de casos también se pueden utilizar para escalar y resolver las no conformidades, documentando todo el proceso de auditoría. Se pueden clonar auditorías similares para facilitar la configuración. Las herramientas facilitan a las empresas el aprendizaje de los hallazgos de auditorías anteriores, garantizando la mejora continua. La documentación de todo el proceso de auditoría demuestra al AICD que las empresas se están tomando en serio el cumplimiento y están abordando activamente los fallos de cumplimiento.

Mediante la utilización del software GRC para gestionar estas áreas clave, las empresas pueden alinear eficazmente sus procesos con la nueva declaración de prácticas del AICD, garantizando que cumplen con sus obligaciones legales y regulatorias al tiempo que fomentan una cultura de cumplimiento y gobernanza.

Conclusión
La alineación con la nueva declaración de prácticas del AICD requiere que las organizaciones adopten un enfoque proactivo y estructurado para la supervisión del cumplimiento. El aprovechamiento del software GRC proporciona las herramientas necesarias para que los directores y sus empresas obtengan visibilidad de las obligaciones de cumplimiento, gestionen los riesgos y supervisen los controles de forma eficaz. Desde el seguimiento de los requisitos regulatorios hasta el informe de incidentes, la gestión de políticas y las auditorías regulares, las plataformas GRC permiten a las empresas crear una cultura de rendición de cuentas y cumplimiento. Al adoptar estas tecnologías, las empresas no solo pueden cumplir con sus obligaciones legales, sino también mejorar sus marcos de gobernanza, garantizando la sostenibilidad a largo plazo y la confianza con las partes interesadas.

Si está interesado en saber más sobre cómo el software GRC puede ayudar a su organización a alinear los procesos con la nueva guía descrita por el AICD, solicite una demostración.