Menos juicios y más acción. ISO 31022 (Guía para Gestionar los Riesgos Legales).

Después de 5 años de carrera universitaria y unos 5 años más de especializaciones siempre me pregunté ¿por qué la ley, en su mayoría, es “reactiva”? Esta pregunta me rondo unos cuantos años en la cabeza y erradamente pensaba que me sentía como pez en el agua en los tribunales, en la pelea de todos contra todos, donde no ganaba quien tenía la razón sino quien podía más y donde siempre el abogado era capaz de preguntar lo que ya sabía. 

Sonará atrevido y no dejaré de recibir las fuertes críticas de quienes se codean con orgullo en las salas de un tribunal, pero creo que deben haber menos tribunales, menos leyes “garantistas de derechos”, y más leyes que controlen “PROACTIVAMENTE” (lo que para mi es el futuro, sin miedo a pecar en decir que ya es el presente) las actividades o relaciones de las organizaciones y las personas, como muy bien lo piensa todos los días la Organización Internacional de Estandarización (por sus siglas ISO en inglés).

Hago esta introducción para hablar de lo nuevo en ISO, un estándar que pretende darnos trabajo a los abogados (no se preocupen los tribunales no se irán a ningún lado)  ya que el mes pasado se publicó la ISO 31022 (Guía para Gestionar los Riesgos Legales), misma que toma especial relevancia entre las nuevas normas ISO del compliance (cumplimiento) que se vienen publicando por la Organización Internacional de Estandarización desde la ISO19600 (Sistema de Gestión del Cumplimiento). 

 Este nuevo estándar, dividido en 6 capitulo, proporciona una guía basada en la ISO31000:2018 (Guía para Gestión Riesgos), pero lógicamente más enfocado en los posibles riesgos legales, internos y externos (sobre las actividades, productos, servicios, reputación, entre otros), que puede afrontar una organización, no solo las que son producto de una ley o de una relación contractual, sino también aquellos que podrían estar relacionados con los Stakeholders (partes interesadas), haciendo énfasis en el necesario análisis del contexto de la organización (tamaño, giro de negocio, lugares donde ejecuta su actividad, entre otros) para determinar el alcance y la complejidad de la gestión de riesgo legal. 

En este nuevo estándar se establecen 9 principios sobre los cuales deben sentarse las bases para una correcta gestión de riesgos legales, es decir que para la gestión de este tipo de riesgos el sistema debe:  

• Ser integrado: No es más, para aquellos que manejamos sistemas de gestión basados en normas ISO, que los riesgos estén integrados a la gobernanza y a los procesos de la organización.
• Estar estructurado y que sea comprensivo: Que sea apropiado al contexto de la organización y sea de fácil entendimiento para la misma; 
• Ser personalizado: No basta con tener una matriz de riesgos legales, sino que esta necesariamente debe estar adaptada a la realidad de la organización (características de la organización, relacionada con los objetivos…), donde se analice el impacto de cualquier incumplimiento para la misma, así como aquellos que sean producto de un cambio de la legislación.
• Ser inclusivo: Incluir a todas las partes interesadas y determinar que donde la organización no pueda mitigar eventos adversos con estos, debe aplicar regulaciones adicionales (siempre respetando los principios de privilegio legal según la normativa aplicable).
• Ser dinámico: Debe monitorear los cambios legales, cambios de políticas de la organización o cualquier cambio del contexto donde se opera, estableciendo indicadores que permitan anticiparse a los cambios; 
• Contener la mejor información disponible: La información no debe limitarse a lo establecido en las leyes, cualquiera que sea su rango, sino que también debe incluir las experiencias de los consultores legales internos o externos (el estándar siempre habla de la necesidad de contar con esta asesoría para la implementación de esta guía), las debidas diligencias realizadas, bases de datos legales o sistemas informáticos con bases legales y cualquier otra información útil para la correcta gestión del riesgo legal.
• Estar claros cuales son los factores humanos y culturales: Diferentes tipos de partes interesadas contienen diferentes formas de gestionar los riesgos legales frente a estos. Entender las emociones, la cultura, las formas de la sociedad nos pueden brindar información importante sobre los riesgos legales a los que estaría sujeta nuestra organización, incluso la percepción de estos.
• Estar basado en la mejora continua: La organización debe tomar en consideración las lecciones aprendidas, las transacciones realizadas, las mejores prácticas sobre la gestión de riesgos legales, las consultas legales que pudieron ser evacuadas por expertos, tanto internos como externos, los resultados de las auditorías y los cambios legales.
• Ser equitativo: Las decisiones de la organización para gestionar los riesgos legales, deben estar fundamentadas en el principio de equidad, tomando en cuenta el conflicto de intereses como una regla, así como la toma de decisiones de manera imparcial e independiente, ejecutando para ello la debida diligencia, cuidando los intereses de la organización.

 El proceso para la gestión de riesgos legales no dista, para nada, del proceso establecido en el estándar ya mencionado ISO31000:2018 (incluso durante todo el estándar se menciona), basado en 4 pasos principales: 1) Determinación del contexto; 2) Identificación de Riesgos Legales; 3) Análisis y evaluación de riesgos legales, y; 4) Tratamiento de los riesgos (hablando en idioma de quien conoce los Sistemas de Gestión basados en normas ISO).

Lo interesante es que se incluyen factores sobres los cuales se pueden llevar a cabo cada uno de estos pasos, los cuales se resumen así: 


Paso 1: Determinación del contexto: Este estándar nos dice que debemos establecer los factores internos y externos que pueden ser relevantes para la correcta gestión de los riesgos legales. 

Bajo este mismo orden de ideas, este estándar también nos dice que la organización debe establecer los “criterios para la gestión de riesgos legales”, esto igualmente basado en el estándar madre (ISO31000:2018), bajo su apartado 6.3.4., incluyendo 7 criterios específicos, tales como: la forma como se van a identificar y evaluar los riesgos legales significativos para la organización, así como el nivel de tolerancia de los mismos, las consecuencias del incumplimiento de la normativa legal o de las obligaciones contractuales, la necesidad de incluir a un responsable definido para la correcta gestión del riesgo así como los recursos necesarios para esto, dando incluso, como toda guía que venga de un estándar ISO, algunas luces de cuales son esos factores que se deben tomar en cuenta para determinar estos criterios.


Paso 2: Identificación de Riesgos Legales: Determinado el contexto y los criterios, pasamos entonces a la identificación de riesgo, tarea para nada fácil en todo proceso de implementación de sistemas de gestión basados en riesgos (todos los estándares, en su mayoría, desde el 2015), más aún cuando hablamos de riesgos legales.

Para este estándar, así como todo lo que venga de esta familia, se hace especial mención de la importancia de la estrecha relación entre los riesgos y cumplimiento de los objetivos de la organización, ¿qué podría poner en riesgo el cumplimiento de mis objetivos? Y allí entonces identificar los posibles eventos sus causas y consecuencia. 

Bajo ese mismo orden de ideas este estándar nos dice, palabras mas o menos, que la identificación de estos eventos de riesgos legales, actuales o futuros, debe ser “integral, sistemática y precisa”, para lograr los objetivos de esta guía. 


Pero ahora bien, ¿cuales son las fuentes de los riesgos legales? La respuesta es “veamos nuestro contexto cómo organización”: ¿Cuáles son nuestros objetivos y prioridades? ¿Qué pasa si somos víctimas de un Cyber-Attack o cualquier amenaza cibernética?, ¿Cómo está estructurada la gobernanza y la organización? ¿Cuáles son nuestros activos? ¿Qué tipo de servicios prestamos? ¿Quiénes son nuestros socios de negocio? ¿Qué ocurre si interpretamos mal o aplicamos incorrectamente la ley o cláusulas contractuales? ¿Si incurrimos o somos víctimas de violaciones a los derechos de autor o propiedad intelectual? ¿Qué normativa nos aplica para cada caso en particular, la normativa legal nacional o internacional? Son preguntas que nos pueden dar algunas luces de cuales son nuestras fuentes de riesgos legales en nuestras organizaciones.  


Paso 3: Análisis y evaluación de riesgos legales: En esta etapa de estos 4 pasos, el estándar nos indica que la organización debe hacer una análisis cualitativo y cuantitativo de los riesgos ya identificados en el paso anterior, evaluando la probabilidad y la consecuencia (o impacto en SG), esto mediante la consulta de expertos, las mejores prácticas, data histórica de la organización en temas de cumplimiento, simulaciones o incluso consultando el estándar IEC 31010 (Guía para la selección y aplicación de técnicas útiles para la evaluación del riesgo en una gama diversa de situaciones).


Existe cierta complejidad en establecer los criterios de como se evaluará la probabilidad y el impacto bajo el estándar ISO31000:2018, esto que no deja de ser complejo para la ISO31022:2020, pero, para alivio de algunos, los capítulos 5.3.3.2 y 5.3.3.3 nos dan una guía clara de cuales son los factores que se pueden tomar en cuenta para evaluar esto, incluso dándonos ejemplos en sus anexos C y D, los que incluyen, entre otros: Los rangos legales, cambios normativo, los factores internos que van desde los empleados hasta los directivos, las políticas de la organización y su cumplimiento, frecuencia de ejecución de las actividades, eventos pasados, riesgos que podrían representar determinadas actividades en periodos específicos, balanza entre los beneficios y las perdidas (financieros y no financieros), cobertura mediática del hecho en caso de materializarse, reacción de las partes interesadas, etcétera.


Por último, y no menos importante en esta etapa, el estándar reitera la importancia de priorizar los riesgos legales evaluados, lo que ayudará a tomar las medidas necesaria para el tratamiento de estos.
 

Paso 4: Tratamiento de los riesgos: En este apartado la ISO31022 establece que la organización deberá tomar soluciones o medidas financieras y no financieras, operacionales y reputacionales para el tratamiento de los riesgos, brindando, nuevamente como buena guía, opciones para lograr el cumplimiento de los objetivos de este apartado, que no es mas que aquel de mitigar los riesgos legales a los que se encuentran sujetas a las organizaciones. 


Bajo este mismo capitulo, refiriéndonos al capitulo 5 sobre el proceso de gestión de riesgos legales, el estándar cierra refiriéndose a la comunicación y consulta, externa e interna, el monitoreo y la revisión, el mantenimiento de la información documentada y los reportes sobre los cambios del sistema implementado para la gestión de riesgos legales, siempre bajo los principios referidos al privilegio de la información entre abogado y cliente, sin menospreciar la importancia de las partes interesadas. 

Otras consideraciones importantes de este estándar, como en otros de la familia del compliance, incluye la importancia de la existencia de una política para la gestión de riesgos legales, alineadas a los objetivos de la organización, así como de la creación de una función de seguimiento para este sistema, con funciones y responsabilidades específicas (lo que muchos conocemos como en compliance officer u oficial de cumplimiento) y procedimientos integrados a los procesos de la organización. 

Es preciso acotar que este estándar es una “guía” no certificable, basada, como todos los estándares ISO, en las mejores prácticas para la gestión de riesgos legales, guía que considero debe implementar todas las organizaciones donde sus directivos quieren todas las noches poner su cabeza sobre la almohada y dormir plácidamente.

Desde mi punto de vista, hay 3 aspectos que me saltan a la vista en este estándar: 1) Se convertirá en la guía para la gestión de riesgos legales por excelencia, muy especialmente en organizaciones que piensan tener o ya cuentan con  ISO19600 (Sistema de Gestión del Cumplimiento) o ISO37001 (Sistema de Gestión Antisoborno) y en miras de la próxima ISO37301 (Sistema de Gestión del Cumplimiento); 2) Hace especial énfasis en la importancia del ojo experto para la correcta gestión del riesgo legal (abogados internos o externos); 2) Importancia de la “personalización” para que el sistema deje de ser de los llamados “programas de cumplimiento milagrosos, que los extraterrestres han traído a la tierra” haciendo mención al articulo de nuestro CEO Iván Martínez.

 


Por: Luis José Montes.

Dir. Asociado de Intedya Quito / Ecuador. 

Fundador de World Compliance Association Ecuador.