Implementación de ISO 37301 en el sector financiero

Show Notes

En este episodio conversamos sobre la ISO 37301, el estándar internacional certificable para sistemas de gestión de cumplimiento, que está ganando cada vez más relevancia en el sector financiero.

Chapters

• 0:00: Introducción a Mundo Financiero Seguro
• 1:16: Entrevista con expertos de cumplimiento
• 2:57: Experiencia de certificación ISO 37301
• 10:42: Sistema automatizado y tecnología aplicada
• 16:45: Beneficios estratégicos y tácticos
• 24:41: Conclusiones y recomendaciones finales

Transcript

Speaker 1: 0:02

Mundo Financiero Seguro, tu espacio para estar a la vanguardia en ciberseguridad, prevención de fraude, aml, fintech y gestión de riesgos. Descubre las últimas amenazas, innovaciones y herramientas clave para construir un futuro financiero más seguro. Únete a la conversación y transforma los desafíos en oportunidades. La presión regulatoria y reputacional sobre las instituciones financieras sigue en aumento. Hoy en día enfrentamos un entorno normativo cada vez más complejo, con regulaciones que evolucionan rápidamente tanto a nivel nacional como internacional, desde las recomendaciones del Grupo de Acción Financiera Internacional GAFI, la ley AMLA en Estados Unidos, que, por cierto, especialmente es relevante para la banca corresponsal, hasta las leyes de protección de datos, ciberseguridad y muchas otras normativas clave para el sector financiero. En este contexto, contar con un sistema sólido de gestión de cumplimiento no sólo es una buena práctica, es una necesidad estratégica.

Speaker 1: 1:16

Bienvenidos a Mundo Financiero Seguro, el podcast de Plus-T. Soy Juan José Ríos. En este episodio hablaremos sobre la ISO 37301, el estándar internacional certificable para sistemas de gestión de cumplimiento, que está ganando cada vez más tracción entre las instituciones financieras. Ustedes se preguntarán por qué. Bueno, es muy sencillo porque proporciona un marco estructurado y eficaz para demostrar a reguladores y stakeholders que los riesgos normativos están siendo gestionados de forma proactiva y transparente, además de fortalecer la cultura de integridad, mejorar la gobernanza corporativa y, además, realmente contribuye a construir una confianza dentro y fuera de la organización. Hoy día nos acompañan dos expertos. Por un lado, xiomara Saavedra, gerente de cumplimiento de Banco Popular Colombia. Xiomara es especialista en gerencia y gestión de riesgos y cuenta con más de 15 años de experiencia como oficial de cumplimiento. Raúl Castellanos, gerente de soluciones de cumplimiento en Plusti, con más de 20 años en la industria financiera, certificado por FIBA como asociado en prevención de lavado de dinero financiera certificado por FIBA como asociado en prevención de lavado de dinero.

Speaker 2: 2:27

Buenos días, Juan José y Raúl. Un gusto estar con ustedes el día de hoy y también un saludo muy especial para todos los que escuchan este podcast.

Speaker 3: 2:34

Hola, juan José. Me da mucho gusto nuevamente compartir contigo y, en esta oportunidad, acompañar a Xiomara Saavedra, quien es un excelente profesional en temas de cumplimiento y a quien tengo el placer de conocer hace algunos años, así que estoy seguro que este podcast será de mucho provecho para todos aquellos que puedan escucharlo.

Speaker 1: 2:52

Perfecto, entonces, si les parece, entremos en materia. Voy a comenzar contigo, xiomara hasta Colombia. Banco Popular de Colombia, precisamente, se ha caracterizado en ser pionero en cuanto a la adopción de estándares. Se ha caracterizado en ser pionero en cuanto a la adopción de estándares internacionales. Y, dado el papel que has tenido en este esfuerzo, por favor coméntanos, compártanos, cómo ha sido tu experiencia en el proceso de certificación de ISO 37301 e ISO 37001, así como también cuáles aprovecho para preguntarte fueron las principales razones que los motivaron a tomar este reto?

Speaker 2: 3:28

Juan José, en el Banco Popular venimos trabajando desde hace varios años incansablemente en el logro de nuestros objetivos estratégicos con la oferta de valor para el segmento silver, las entidades oficiales y las pequeñas y medianas empresas. En este sentido, desde el equipo de cumplimiento nos comprometimos con ir más allá de los mínimos que nos exigía la normativa en materia de la administración del riesgo de lavado de activos y financiación del terrorismo y la prevención del soborno y la corrupción, buscando implementar mejores prácticas En este sentido. Sin lugar a dudas, contar con los estándares internacionales ISO 37301 y 37001 son instrumentos que consideramos idóneos para lograr esa entrega de valor respecto a negocios sanos, tanto para el Banco Popular como para la sociedad Vivir. Este proceso de certificación fue un reto bastante importante y satisfactorio, tanto para mí como en general, como para todo el banco general, como para todo el banco. Tuve la fortuna de contar con un equipo de trabajo absolutamente comprometido en el desempeño de esta función para el logro de los objetivos, y abordamos cada uno de los aspectos requeridos por la CISO con rigurosidad.

Speaker 2: 4:59

Durante el primer semestre del año pasado abordamos temas como la evaluación de los riesgos y la definición de los controles. Acá hicimos todo un ejercicio de análisis del contexto interno y externo y su relación con el objetivo estratégico del banco. También la actualización de políticas y controles internos en materia de los riesgos mencionados. Observamos las reglas claras para prevenir y sancionar los actos ilícitos o las denuncias de la línea ética. Acá estoy hablando del establecimiento de un programa de consecuencias, también del compromiso del Comité de ética y de la alta gerencia. Abordamos temas relevantes sobre capacitación y sensibilización a partir de un enfoque de ética empresarial de la administración del riesgo, el lado de activos y financiación del terrorismo y el antisoborno. Trabajamos de manera dedicada la gestión de cambio, donde definimos estrategias para gestionar la resistencia al cambio dentro del mismo equipo de trabajo de cumplimiento, ya la automatización de procesos operativos y adquirimos competencias un poco más técnicas dentro del equipo de trabajo de cara al Modeler, al Python y Power BI. Nos enfocamos también en el monitoreo y mejora continua a cabo de la rigurosidad del ciclo de riesgos no-transcript.

Speaker 1: 7:08

¿qué podrías comentarnos sobre la forma en que se debe planificar ese plan de trabajo? Me refiero al involucramiento de distintas áreas a nivel corporativo y, por supuesto, los mejores retos asumidos.

Speaker 2: 7:22

Claro que sí, juan José. En primera instancia hicimos un análisis y una definición del alcance de la certificación, identificando cuáles eran esos procesos específicos que íbamos a evaluar y a certificar, e identificamos los requisitos de la certificación ISO de cara a lo que teníamos. Luego iniciamos la búsqueda de cuál iba a ser ese organismo certificador con el cual íbamos a contratar este proceso y, bueno, adelantamos todos esos procesos de contratación que toman bastante, bastante tiempo o, por lo menos en nuestra entidad, requieren un esfuerzo de varias áreas. Tenía que aplicarnos. Nos preparamos con una auditoría interna sobre el cumplimiento de cada uno de los componentes requeridos por la ISO. Para esta auditoría interna tuvimos que desarrollar unas competencias ISO específicas.

Speaker 2: 8:39

Recibimos el informe de nuestro auditor, entendiendo cuáles eran esas brechas o esas oportunidades de mejora, e hicimos todo un proceso de aplicación o de cierre de gaps. Luego entró el certificador con una evaluación preliminar de su parte, donde también identificó la situación actual de los sistemas de administración de riesgos del banco. Realmente, en nuestro caso salieron unas observaciones menores que conllevaron unos ajustes de políticas y de procesos, particularmente porque el lenguaje ISO tiene unas connotaciones propias que pueden diferir o pueden no estar incluidas dentro de las políticas institucionales. Estos alcances a las políticas, pues, a nivel interno como por parte del certificador.

Speaker 2: 9:47

Ya nos adentramos en ese proceso de entrega de evidencias y entrevistas, ese proceso de certificación que nos tomó dos semanas y tuvo la participación no solamente del equipo de la gerencia de cumplimiento, sino también de todo el banco, no solamente el equipo de la gerencia de cumplimiento, sino también de todo el banco. Finalizadas estas dos semanas, tuvimos una respuesta positiva que nos dio mucha alegría, y era que lograbamos el objetivo y, un par de semanas después, nos fue otorgado el certificado. Este proceso, desde la primera parte que les comenté hasta obtener el certificado, nos tomó más o menos unos nueve meses. Ahora lo que sigue es un ejercicio de mantenimiento, de auditoría de seguimiento al primer y segundo año y, al tercero, contar con la recertificación.

Speaker 1: 10:40

Gracias, Xiomara Raúl. cuéntanos qué importancia tiene entonces utilizar un sistema automatizado, La implementación del ISO 37301.

Speaker 3: 10:52

Claro que sí, juan José. Como hemos venido escuchando las intervenciones de Xiomara, podemos notar que hay diversidad de tareas que atender. Algunas, como ella decía, han utilizado algunas herramientas para modelación de información, para análisis estadístico, así que, en principio, puedo comentar que hay diferentes sistemas periféricos que se atienden de acuerdo a las necesidades de cada unidad de negocio. Ahora bien, en cuanto a la implementación centralizada o al hilo conductor que va a atender todas estas unidades, podemos hablar de un sistema central de atención de la implementación de este estándar. Hay algunas características importantes a resaltar que permiten apoyar a esta implementación, como por ejemplo el alineamiento estratégico. Es sumamente importante que todas las directrices que se obtienen de la alta dirección y de las unidades de negocio, en función de cómo pueden aportar a la implementación de ese estándar, se materialicen con hechos concretos, Que todos aquellos criterios de seguimiento tiempos de desarrollar tareas, indicadores de desempeño, etcétera sean establecidos de una manera concreta y que tengan un seguimiento continuo.

Speaker 3: 12:14

Así que, número uno, alineamiento estratégico. Luego, en consecuencia de ello, permite estructurar, almacenar y acceder la documentación del sistema, por ejemplo políticas, procedimientos algo básico para auditoría evidencias de los controles aplicados, así que también aumenta la trazabilidad y rendición de cuentas. Así que, sobre estas bases, contando con un sistema automatizado que centralice la información. Podemos tener análisis de indicadores de desempeño, indicadores de riesgo, avance de todos los procesos, así que hoy en día es fundamental contar con un sistema de apoyo, dada la diversidad de tareas, diversidad de equipos de trabajo y el posible error humano que podemos tener si no contamos con una herramienta que nos permita supervisarlo de manera adecuada.

Speaker 1: 13:13

Raúl, entonces contar con un sistema automatizado para la implementación del estándar ISO 37301 representa una ventaja estratégica. Este tipo de solución tecnológica no sólo agiliza la adopción del sistema de gestión de cumplimiento, sino también habilita una supervisión continua que garantiza el alineamiento permanente con políticas corporativas y, por supuesto, reduciendo riesgos y fortaleciendo la cultura de integridad en toda la organización. Ahora, raúl, ¿qué características continuando con esta plática, características funcionales debe tener este sistema y en qué áreas específicas puede aprovecharse?

Speaker 3: 14:16

En ese sentido, una de las características importantes que debe tener este sistema es la capacidad de integrarse con múltiples plataformas de información, en principio para recibir o extraer información, así como retroalimentar a esos sistemas. La integralidad o la orquestación de información es una característica sumamente importante en este tipo de sistemas. Por otro lado, el alto nivel de eficacia, modelando los controles especializados, enmarcando tareas en tiempos de gestión que sean establecidos para cumplir los planes de trabajo, debe ser muy interactivo. Hoy día no se concibe una aplicación que no esté constantemente comunicándose con el usuario final, sea a través de recordatorios, sea, eventualmente, a través de un chat o un formulario de seguimiento. Así que no debe ser una herramienta pasiva sino que realmente promueva la interacción, no solo con el usuario final, sino a nivel de grupos de trabajo, no solo con el usuario final sino a nivel de grupos de trabajo.

Speaker 3: 15:14

Para todo ello se debe poder aprovechar tecnologías distintas, como herramientas de mensajería, y algo que también voy a tocar más adelante es la inteligencia artificial, sea generativa, que es de mucho uso hoy en día, o también robots que ayuden a acompañar estos procesos. Entonces, en resumen, integración a múltiples fuentes de información, eficacia en sus modelos de concepción y seguimiento, muy interactivo con los usuarios, fácil de utilizar y que aproveche la tecnología disponible.

Speaker 1: 15:46

Gracias, Raúl, por hacernos entender que implementar entonces un sistema automatizado especializado en la ISO 37301, bueno, permite a la organización aprovechar tecnología de vanguardia pero al mismo tiempo fortalecer el marco de control interno y proporcionar un soporte sólido al negocio para alcanzar sus objetivos estratégicos con integridad y sostenibilidad. Regreso contigo, Xiomaraara. Por favor, cuéntanos qué beneficios han encontrado ustedes en la implementación de estos estándares y cómo esto ha contribuido a su cultura organizacional y el impacto, sobre todo, cuéntanos, en alcanzar objetivos corporativos.

Speaker 2: 16:45

Sí, juan José. Bueno, hay unos beneficios estratégicos y otros tácticos también muy importantes. Uno de ellos es el aumento de la competitividadno, por supuesto, pero también de cara a los clientes. Fortalece la imagen y la reputación porque hay una mejor percepción de las partes interesadas, desde los clientes hasta los reguladores. También la detección oportuna y preventiva, porque esto permite identificar irregularidades en operaciones financieras o comerciales, evitando simplemente ser reactivos frente a cumplimientos que ya sean evidentes. Esto es ya adentrarse en una cultura proactiva del compliance. La mitigación de los riesgos de sanciones también es un componente muy importante porque en la medida que hay una identificación y una reducción proactiva de los riesgos pues por supuesto hay un impacto en la minimización de sanciones legales o en multas y la eficiencia operativa optimizada porque se previenen interrupciones costosas debido a inconvenientes relacionados con el incumplimiento. Y, hablando de esos beneficios tácticos, nos ha permitido lograr una integración de los sistemas de administración de riesgos de lavado de activos, financiación del terrorismo y anticorrupción a partir de cinco elementos que voy a referir rápidamente como un factor determinante para analizar vulnerabilidades correr los ciclos de identificación, medición, control y monitoreo de esas vulnerabilidades, identificar triggers que deban ser observados, esta definición de disparadores para activar los próximos pasos de cara a los riesgos que se puedan materializar y la estructuración de un monitoreo de contextos recurrentes de cara a la operación con los clientes, con los proveedores y con los socios de negocios. En esta parte de análisis de contextos, por ejemplo, lo que tenemos implementado nosotros se encuentra a través del método PESTAL para la gestión del compliance y también de esa eficiencia operativa que se logra a través de herramientas tecnológicas e inteligencia artificial como las que estaba mencionando ahorita Raúl. Logramos una caracterización de los perfiles o de la exposición de riesgo de los clientes, los usuarios y los socios de negocios a partir del SARLAV y de la exposición al soborno y la corrupción.

Speaker 2: 19:56

Identificamos esos sectores de gobierno y terceras partes intermediarias de mayor riesgo para la entidad e hicimos la respectiva estrategia comercial y de portafolio y de riesgos para garantizar el negocio sano Y observamos particularidades que son del negocio. Esto quiere decir que el estándar GAFI así como el estándar ISO no se pueden aplicar a rajatabla a negocios específicos, a rajatabla a negocios específicos, sino que tiene que haber una customización y una adaptación de los sistemas de riesgos. Es clave. La estrategia de monitoreo tiene que observar componentes de inteligencia artificial o de aplicativos de near real time que permitan la detección oportuna de las alertas.

Speaker 2: 21:08

Tiene que haber el procesamiento de los datos en este tipo de herramientas que involucre otras opciones periféricas, como decía ahorita, modeler, python, entre otras, para que la tarea analítica pueda tener un escopio de observancia más amplio y los profesionales que hacen ese análisis se puedan enfocar en las señales que realmente tienen un impacto de riesgo y no se desgasten operativamente en falsos positivos de esta implementación, porque la entidad se ve abocada a reconocer el compromiso ético y cultural de todos los trabajadores como un factor clave que requiere un mantenimiento recurrente, empezando desde el tono de la alta gerencia hasta todos los niveles de la organización. Con esto te resumo los principales beneficios estratégicos y tácticos de la implementación de los estándares ISO.

Speaker 1: 22:21

Gracias, omara. Muy interesante Ahora, sobre este mismo diálogo. Raúl sé, y también Omara, que tomar decisiones puede incluir inseguridades, dudas. Raúl, danos más luz¿. Cómo puede apoyar la que tomar decisiones puede incluir inseguridades, dudas. Raúl, danos más luz. ¿cómo puede apoyar la toma de decisiones, un sistema informático y asimismo asegurar el cumplimiento de políticas y procedimientos?

Speaker 3: 22:43

Con todo gusto, Juan José. Tomando algunas de las ideas que mencionaba Xiomara, por ejemplo, el enfoque que deben de tener los colaboradores, así como tomar decisiones en momentos críticos, es sumamente relevante para este proceso centralizado. podemos aplicar esos criterios tanto en tiempos de ejecución como en aquellos criterios de toma de decisión que pueden ser validados por los sistemas. Algo sumamente importante es que podamos tener la información disponible en el momento oportuno, con el contexto adecuado y, por supuesto, presume que la información está vigente y actualizada, y es que, justamente para poder tomar decisiones o dar seguimientos, la información tiene que ser 100% fiable y también retoma algo que mencionaba Xiomara no actuar en base a falsos positivos o a información que no sea veraz.

Speaker 3: 23:52

Entonces el sistema informático debe estar presente. En mi respuesta anterior yo mencionaba el tema de ser interactivo Justamente a estas partes. es algunas de las que se refiere. las que se refiere Poder tomar decisiones en el momento oportuno y actuar con el usuario en tiempo real. Independientemente de la forma en la que la información llega, si es tiempo real, tiempo cercano al real o carga de información masiva. cuando estamos en el momento de la toma de decisión, el sistema tiene que centralizar datos que puedan ser oportunos para un análisis inmediato y una toma de decisión oportuna.

Speaker 1: 24:32

personas de tal manera que lo que se busca es facilitar el trabajo para que la decisión sea más asertiva parte de conclusiones y recomendaciones, y voy a apoyarme una vez más en tu experiencia Xiomara ¿Qué recomendarías a las instituciones para tomar en cuenta el iniciar un proyecto de esta envergadura? así como, por supuesto, que nos recomiendes cómo las conclusiones y lecciones aprendidas te han dejado en este proceso.

Speaker 2: 25:23

Claro que sí, juan José. Mi principal recomendación para que las instituciones den este importante cambio es que den el primer paso y luego que continúen avanzando en el proceso de mejora continua mediante la implementación de mejores prácticas locales o internacionales y que contemplen los estándares ISO, los equipos de cumplimiento. Contribuimos de manera frontal a la sociedad en la lucha con estos delitos transnacionales deplorables como la corrupción y el lavado de activos Y, en la medida que todos mantengamos la mejor versión de nuestros programas de cumplimiento, vamos a generar un impacto positivo en la sociedad y en nuestras instituciones. Todos vamos a ganar Como lección aprendida.

Speaker 2: 26:20

Resalto el reto fundamental de la tecnología para hacer más eficientes las labores analíticas, con minería de datos y con la automatización de funciones operativas que restan tiempo de análisis a los equipos de monitoreo, y también resalto como predominante la construcción y mantenimiento de la cultura ética dentro de las entidades. También resalto el establecimiento de indicadores claves que permitan hacer una frecuente medición de los resultados de la madurez de los programas de cumplimiento, indicadores para la estrategia de monitoreo para medir cómo están siendo esos resultados y la calidad y el impacto de las denuncias internas mediante los canales de denuncia.

Speaker 3: 27:38

A esta altura de la plática sustentemos contigo, raúl, cuáles son tus recomendaciones para la implementación de estándares internacionales acompañados de tecnología de punta, por se certifiquen en el estándar. las instituciones deben de tomar en cuenta estos marcos de referencia Marcos, como el ISO 37301, que es un estándar reconocido a nivel global, lo cual facilita la cooperación con instituciones extranjeras y, por supuesto, abrir negocios en otros territorios. Y, por supuesto, abrir negocios en otros territorios. De esta manera, contando con herramientas que faciliten su implementación, pueden posicionarara y de la filosofía de Banco Popular, que es el hacer negocios seguros, crecer con aquellos nos permiten reducir el riesgo regulatorio y sancionatorio al cual podemos estar sujetos como instituciones en el mercado.

Speaker 3: 29:11

Las nuevas generaciones, como los millennials y la generación Z, estiman mucho que las instituciones tengan buena reputación, que se preocupen por el medio ambiente y que tengan una buena proyección social. Así que, a través de estos estándares, podemos fortalecer la gobernanza y la cultura organizacional Y, como bien lo indicaba Xiomara, poder obtener lo mejor de cada uno de todos los que formamos parte de este esfuerzo empresarial por contribuir a la mejora de nuestra sociedad. así que sumamente importante tomar en cuenta buenas prácticas locales. estándares internacionales nos va a dar mayor competitividad, mayor penetración de mercado, mejores índices de rentabilidad y, por supuesto, al final del día, contribuir con el crecimiento de nuestros países.

Speaker 1: 30:02

Bien pues, ha sido una gran aportación de conocimiento y experiencias, además de una conversación sumamente enriquecedora que sin duda nos aporta valores a quienes buscamos fortalecer los sistemas de cumplimiento, promover una cultura de integridad y enfrentar con éxito los desafíos del entorno regulatorio. Gracias a nuestros invitados, Xiomara Saavedra y Raúl Castellanos, por compartir su experiencia y conocimientos sobre la implementación de la norma ISO 37301 y su impacto positivo en el sector financiero Y, por supuesto, gracias a ustedes por acompañarnos en Mundo Financiero Seguro, el podcast de Plus Tip. Nos escuchamos en el próximo episodio. Soy Juan José Ríos. Hasta la próxima y que todo esto sea de mucha utilidad.