¿Cómo implantar un programa de compliance?
¿Cómo implantar un programa de compliance?
Francisco Bonatti Bonet. Socio director de Bonatti
La conexión entre compliance[1], Buen Gobierno y responsabilidad corporativa es evidente: Las organizaciones concretan su responsabilidad corporativa en códigos éticos que imponen la necesidad de establecer reglas precisas de gobernanza y el compliance deviene una herramienta fundamental para que la alta dirección puede asegurar razonablemente que todos los miembros de la organización actúan conforme a dichas obligaciones.
Índice
1.- Compliance y función de compliance
2.- Claves prácticas para el diseño de un sistema de gestión de compliance
2.1.- comprender la organización y el entorno en que se desenvuelve
2.2.- Identificar las obligaciones de compliance
2.3- Identificar, evaluar y planificar el tratamiento de los riesgos de compliance
2.4.- Definir políticas, procedimientos y controles adecuados
2.5.- Crear una función de compliance adecuada al tamaño y estructura de la organización
2.6.- mantener y mejorar
3.- Eficacia del sistema de compliance: la transformación cultural
1.- COMPLIANCE Y FUNCIÓN DE COMPLIANCE
Actualmente, los estándares internacionales publicados por ISO (ISO 19600 e ISO 37001) y UNE (UNE 19601), han sabido recoger las mejores prácticas internacionales en materia de compliance e integrarlas en la estructura de alto nivel ISO[2] que es, a su vez, el referente internacional en cuanto al diseño de sistemas de gestión en las organizaciones.
Aunque existen otras alternativas para diseñar programas o sistemas de compliance, la normalización de compliance[3] se impone en todo el mundo porque permite someterse a procesos de evaluación de la conformidad realizados por entidades de certificación acreditadas. Este factor facilita que las organizaciones puedan demostrar frente a terceros (clientes, proveedores, administraciones, reguladores y socios de negocio) que disponen de un SGC[4] eficaz y alineado con los más reconocidos estándares internacionales en la materia.
El compliance en las organizaciones depende de la Función de Compliance, es decir, el conjunto de roles, responsabilidades y procesos que deberemos implementar en la organización para alcanzar los objetivos de compliance. Función de compliance va más allá del concepto de compliance officer y comprende estructuras tan diversas como las propias organizaciones[5].
Actualmente la mejor herramienta para comprender qué es la función de compliance, las diversas estructuras que puede presentar, sus cometidos esenciales y las capacidades y responsabilidades de sus integrantes es el Libro Blanco de la Función de Compliance[6] publicado por la Asociación Española de Compliance.
2.- CLAVES PRÁCTICAS PARA EL DISEÑO DE UN SISTEMA DE GESTIÓN DE COMPLIANCE
Con independencia del método o estándar de compliance que utilicemos como referencia el diseño de un sistema de compliance en una organización nos va a requerir unos pasos comunes, que a su vez nos ofrecen unas claves prácticas concurrentes.
2.1.- Comprender la organización y el entorno en que se desenvuelve
Metodología práctica: Los sistemas de compliance deben adaptarse a las características específicas de cada organización, nuestra primera labor es analizar la organización identificando todas aquellas cuestiones relevantes que necesitamos conocer para un correcto diseño del SGC, como mínimo:
- Los principios de buen gobierno que fundamentan la gestión de la alta dirección de la organización y la alinean con su código ético.
- La estructura de la organización: organigrama, áreas en las que opera y complejidad de los procesos y actividades que desarrolla, así como las relaciones que mantiene con socios de negocio y entidades dependientes de la organización.
- Las relaciones que mantenemos con otras partes interesadas[7], que van desde las autoridades y reguladores que esperan de nuestra organización una actitud o un comportamiento concreto, hasta la opinión pública y los mercados que pueden aceptar o rechazar a nuestra organización a causa de comportamientos o conductas que ésta ha mantenido en el pasado, mantiene en el presente o creen que puede mantener en el futuro.
- Los permisos y licencias, autorizaciones, contratos o convenios que generan obligaciones para la organización cuyo incumplimiento comporta consecuencias legales, reputacionales o económicas.
Nuestro objetivo fundamental es obtener todos los datos necesarios para poder planificar la función de compliance que deberemos implementar, las obligaciones de compliance y los riesgos que afectan a las mismas a fin de darles el tratamiento adecuado.
Ejemplos prácticos respecto a la metodología para analizar una organización los encontramos en la familia de normas ISO 31000 sobre marcos de gestión del riesgo y también en los marcos COSO sobre gestión de riesgo. También puede resultarnos bastante útil acudir a estándares como ISO 9001 y también al capítulo 4 de la UNE 19601, que ofrece un detallado checklist sobre aspectos que debemos tener en cuenta.
Recomendación: Es importante dejar evidencias documentadas de estos trabajos para poder acreditar en qué nos hemos basado a la hora de diseñar el SGC y evaluar sus riesgos.
2.2.- Identificar las obligaciones de compliance
Si nos enfrentamos a un sistema de compliance penal la labor es más simple ya que las obligaciones vienen establecidas por el articulado de la parte especial de la responsabilidad penal de la persona jurídica, pero si afrontamos un sistema de compliance más amplio – por ejemplo, cuyo alcance fuera el código ético de la organización- será necesario en primer lugar identificar todas aquellas obligaciones legales (requisitos) y éticas (compromisos) que forman parte del alcance del sistema.
Un ejemplo práctico de metodología para la identificación de las obligaciones de compliance lo encontramos en el apartado 4.5 de la norma ISO 19600[8].
2.3- Identificar, evaluar y planificar el tratamiento de los riesgos de compliance
Partiremos de los trabajos anteriores para ubicar en los departamentos y procesos de la organización las obligaciones de compliance y evaluar el nivel de riesgo neto[9] que afrontamos.
La metodología práctica más reconocida es el marco de gestión del riesgo de la norma ISO 31000, que establece un proceso estructurado de consulta a la organización a través del cual identificamos aquellos procesos donde se puede concretar un riesgo de compliance.
Los errores más habituales se cometen al calcular el riesgo inherente[10], es frecuente que al evaluar la probabilidad se introduzca entre las dimensiones de cálculo algunas relacionadas con los controles preexistentes en la organización.
A la hora de evaluar la eficacia de los controles (tanto aquellos preexistentes, como las mejoras o nuevos controles que vamos a recomendar) deberemos tener en cuenta el diseño del control y su eficacia operativa.
Recomendación: No olvidemos que el cálculo de los riesgos de compliance es siempre prospectivo y subjetivo, es recomendable actuar siempre con criterios de prudencia y ser conservador a la hora de evaluar un nivel de riesgo o la eficacia de un control.
Una vez definido el riesgo neto, la Alta Dirección debe fijar el apetito de riesgo de la organización, identificando entornos en los que el riesgo es tan inaceptable que la organización no operará en ellos. Definido el entorno de riesgo aceptable, se procede a fijar objetivos de compliance ahí dónde se han identificado riesgos superiores a bajo, mediante un proceso de planificación estratégica de compliance que fija las grandes directrices del sistema.
Un ejemplo de metodología práctica lo encontramos en el apartado 6.3 de la norma UNE 19601 y en el capítulo 6 de la norma ISO 19600, ambos dedicados al establecimiento de los objetivos de compliance.
2.4.- Definir políticas, procedimientos y controles adecuados
Para alcanzar los objetivos de compliance la organización deberá aprobar políticas, procedimientos y controles adecuados para eliminar o mitigar el riesgo de compliance, la principal es siempre la Política de Compliance, que regula el compromiso de la organización.
Un ejemplo práctico de Política de Compliance lo encontramos en el apartado 5.2 de la Norma UNE 19601.
Antes de proceder al diseño del sistema de gestión de compliance es recomendable consultar los múltiples estándares y guías de buenas prácticas que se han emitido para mitigar toda clase de riesgos en las organizaciones[11] y que nos ayudarán a seleccionar e implantar las mejores políticas, procedimientos y controles en cada organización en concreto.
Recomendación: La mayor eficacia del compliance se alcanza cuando lo integramos plenamente en los procesos operativos de modo que la vía más óptima para obtener un SGC eficaz es a través de los controles que la organización ya tiene implementados, aunque sean con una finalidad distinta. En la medida que los controles preexistentes nos sirvan es aconsejable no acudir a nuevos controles, que pueden acabar produciendo rechazo en los miembros de la organización.
Figura 1: Ciclo completo desde la identificación de las obligaciones hasta la planificación de compliance
2.5.- Crear una función de compliance adecuada al tamaño y estructura de la organización
Paralelamente a las tareas anteriores, la organización debe poner en marcha la función y el SGC[12]. Las normas ISO y UNE acostumbran a configurar detalladamente los requisitos que -para cada sistema- debe reunir dicha función de compliance y la relación que mantiene con el órgano de gobierno, máximo garante de las obligaciones en base al principio tone from the top[13] aceptado en la práctica totalidad de los estándares de compliance.
Recomendación: Entre los cometidos esenciales que debemos incluir en la función de compliance están los siguientes:
- Identificación, actualización, difusión de las obligaciones de compliance, asignando responsabilidades y favoreciendo su integración en los procesos de negocio
- Identificación, análisis y evaluación de los riesgos de compliance, así como la identificación y evaluación de los controles de compliance.
- Formación y concienciación, con un especial desempeño de los procesos de transformación cultural en la organización que trataremos más adelante
- asesoramiento a la organización y reporte a la alta dirección y órganos de gobierno
- gestión de los canales de denuncia
- gestión y mantenimiento de las evidencias documentales del sistema de compliance
- evaluación del desempeño o monitoreo del sistema de compliance
2.6.- mantener y mejorar
Malas prácticas: Es habitual encontrar programas de compliance que no tienen en cuenta que la mejora continua es lo que convierte un sistema de gestión de compliance en un sistema eficaz, vivo, más allá de un conjunto de papelitos bellamente clasificados y conservados en un estante.
Metodología práctica: Las normas de compliance generalmente aceptadas (y a modo de ejemplo y guía útil recomendamos la UNE 19601 cuyo capítulo 9 explica detalladamente cómo crear desde la función de compliance un sistema de evaluación del desempeño), se fundamentan en un proceso de mejora continua que incluye en general diferentes acciones:
- Planes de monitoreo planificado ejecutados por la función de compliance y que realizan periódicamente una revisión más detallada sobre la eficacia de los componentes del SGC.
- Procesos de auditoría interna realizados por personal independiente a fin de encontrar puntos débiles y puntos de mejora que refuercen su eficacia.
- Procesos predefinidos y estructurados de informes de compliance ajustados a las características de cada organización, facilitando un reporte sistemático desde la función de compliance a los diferentes departamentos de la organización (especialmente los del liderazgo) a la vez que prevé las circunstancias extraordinarias que van a exigir informes de compliance ad hoc.
Recordar: Que el monitoreo del sistema debe ir acompañado de procesos de mejora continua que -fundamentalmente- deberán dar respuesta a los incumplimientos de compliance ( es decir aquellas acciones que pueden haber comportado un riesgo de compliance) o a las no conformidades del sistema.
3.- EFICACIA DEL SISTEMA DE COMPLIANCE: LA TRANSFORMACIÓN CULTURAL
El objetivo último de cualquier sistema de compliance es pasar de un sistema de gestión basado en el control a un sistema de gestión basado en la integridad de las conductas y significa que debemos buscar una verdadera transformación cultural de la organización, concretada en que cada uno de sus integrantes acabe siendo consciente de los riesgos de compliance que gestiona personalmente en su día a día y asuma que el incumplimiento de sus obligaciones comporta una pérdida de valores para toda la organización y unas consecuencias que afectan a todos sus integrantes.
Conseguir que la organización integre como un valor propio el compliance es el objetivo final de todo SGC.
Metodología práctica: Cada vez más, los principales estándares de compliance inciden en la importancia de esta cuestión, como comprobamos en la UNE 19601 cuyo apartado 7.1 se esfuerza en definir qué debemos entender por cultura de compliance penal y cómo podemos identificarla. En este mismo capítulo, se nos ofrecen directrices sobre implementación de diligencia debida interna, formación y concienciación de los miembros organización.
La importancia de la función de compliance: En este cambio cultural es uno de los principales roles del órgano de compliance ahí donde la complejidad de la organización permite la creación de este tipo de estructura. Para organizaciones más pequeñas -en las que el nivel último del órgano de compliance coincide con el órgano de gobierno- deberá ser éste quien, con su ejemplo e implicación, fomente el cambio cultural que toda organización necesita para alcanzar la eficacia en compliance.
CONCLUSIONES
La implementación de SGC eficaces debe partir de un análisis de la organización que permita diseñar un sistema personalizado y que debe orientarse a dos grandes objetivos:
1º.- Identificar las obligaciones de compliance, los riesgos que les afectan y darles el tratamiento adecuado mediante objetivos que se alcanzarán a través de políticas, procedimientos y controles integrados en los procesos operativos de la organización.
2º.- Crear una Función de Compliance adecuada para cada organización, que implemente el SGC y sus procesos de mejora continua, a la par que impulsa una transformación cultural que impulse a la organización hacia Sistemas de gesti
[1] El Comité de Basilea define compliance como el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.
[2] High Level Structure (HLS) de ISO/IEC directives, part 1
[3] Es decir los sistemas basados en normas ISO y/o UNE
[4] SGC- Sistema de Gestión de Compliance
[5] Así, en organizaciones muy pequeñas la Función de Compliance se ejecutará desde la Alta Dirección con la ayuda de internos y externos no dedicados exclusivamente a compliance. A la inversa, en grandes organizaciones encontraremos múltiples personas asignadas a la Función de Compliance, cada una de ellas con un perfil tan diferenciado que, en el mejor de los casos, el término compliance officer será tan solo una forma de identificarlos en su conjunto.
[6] Se trata de un documento publicado por la Asociación Española de compliance en el mes de marzo de 2017 y que se ha convertido en referencia nacional e internacional a la hora de comprender y diseñar funciones de compliance en organizaciones. El Libro Blanco ha tenido en consideración los principales marcos de referencia de compliance nacionales e internacionales para ofrecer un marco de trabajo idóneo a las organizaciones, que a la vez sirve tanto a reguladores como a legisladores para comprender mejor esta importante función cuándo comenten su labor supervisora o legislativa.
Puede descargarlo en
[7] stakeholders. Las partes interesadas son cada vez más relevantes en un mundo global interconectado, en que el compromiso de las organizaciones con la ley y con los valores está constantemente sometido a la supervisión de los ciudadanos/consumidores
[8] Recordemos que muchos de los requisitos y compromisos que acaban conformando las obligaciones de compliance están recogidos en esa lista de contratos, convenios, pactos, permisos, licencias y autorizaciones administrativas que hemos indicado en el apartado anterior
[9] Es cálculo que establecemos entre el riesgo inherente de la organización y los controles implementados
[10] El riesgo propio de la actividad que afronta una organización por el mero hecho de realizar dicha actividad
[11] Entre los recursos más utilizados, encontramos los recogidos en el capítulo 8 de la norma UNE 19601 o en el mismo capítulo de la norma ISO 37001 para los riesgos de soborno y corrupción, pero también podemos acudir a la guía de aplicación de la FCPA, guía de aplicación de la bribery act, las recomendaciones de la OCDE, las recomendaciones del GAFI sobre prevención de blanqueo de capitales, recomendaciones de la OIT que pueden facilitar la implementación de normas de compliance laboral, etcétera.
[12] entendido aquí como aquellos procesos específicos que nos permitan alcanzar una seguridad razonable respeto a la eficacia del sistema que hemos o estamos implementando.
[13] Junto con el Libro Blanco de la función de compliance resulta útil para el diseño de esta función consultar la norma UNE 19601, que en los apartados 5.1.2, 7.3.1 aportan directrices sobre el órgano de compliance y en los capítulos 6, 7, 8 y 9 ofrece pautas muy útiles sobre sus cometidos esenciales.