¿Cómo definir los objetivos de compliance de mi organización?

DE LAS OBLIGACIONES A LOS OBJETIVOS DE COMPLIANCE

¿Qué debemos entender por obligaciones de compliance?

En muchas ocasiones se percibe cierta confusión al utilizar términos muy frecuentes en compliance, como son riesgo, objetivo, requisito y obligación de modo que, antes de exponer cómo debemos definir nuestros objetivos de compliance quizás sea útil fijar una definición para cada uno de estos términos.

Si el Comité de Basilea nos definía el compliance como el riesgo que tienen las organizaciones de sufrir daños derivados del incumplimiento de leyes o normas de autorregulación, es obvio deducir que los términos antes indicado guardan una relación directa con dicha definición.

El término obligación de compliance está directamente relacionado con esas leyes o normas autoimpuestas que generan sobre la organización conjunto de necesidades o expectativas que una organización debe cumplir (requisitos).

Cuando los requisitos:

tienen su origen en una ley o regla que la organización no puede escoger si cumple o no cumple, estamos ante un requisito de compliance.

son el fruto de una elección de la propia organización, que se exige voluntariamente dicho requisito, estamos ante un compromiso de compliance.

Las organizaciones deben establecer una metodología que les ayude a identificar, catalogar y evaluar tanto los requisitos, como los compromisos de compliance para convertirlos en obligaciones de compliance, de modo que a partir de ese momento da igual cual sea el origen de las mismas, ya que lo único que importa es asegurar su cumplimiento mediante la definición adecuada de los objetivos de compliance.

Este término hace referencia la forma como debe actuar la organización en todo momento para no incurrir en incumplimiento de las obligaciones de compliance. Los objetivos se formulan positivamente, como resultados que debemos alcanzar para, de este modo, poder también definir el riesgo de compliance, que es el efecto de la incertidumbre sobre los objetivos.

A mayor nivel de definición de objetivos, mayor precisión en la identificación de riesgos y en consecuencia mayor capacidad de afrontar una respuesta frente a aquellas incertidumbres que nos puedan llevar al incumplimiento.

¿Cómo establecer una metodología adecuada para identificar y mantener las obligaciones de compliance?

Es necesario identificar de forma sistemática las obligaciones de compliance, para ver cómo se implican en las actividades, productos y servicios que presta la organización como paso previo a definir los objetivos de compliance que debemos alcanzar a través de la implantación del Sistema de gestión de Compliance.
Procesos de obligaciones

Identificación

Podemos establecer un proceso diferenciado para los requisitos de compliance y otro para los compromisos de compliance. Respecto a estos últimos, al tratarse de obligaciones que la organización asume voluntariamente, deben constar recogidas en los libros de actas u otros registros donde se documente la voluntad de la organización o de sus órganos de gobierno. De modo que debemos acudir a los órganos de gobierno de la organización para que nos den referencia de los mismos.

 Compromisos de compliance

Los compromisos de compliance acostumbran a concretarse en los siguientes tipos de documentos:

• Políticas y códigos internos
• Códigos de buenas prácticas y otros documentos emitidos por organismos profesionales o independientes a los que se adhiere la organización
• Normas técnicas o estándares implantados voluntariamente
• Compromisos voluntarios asumidos en la página web, comunicaciones comerciales, etiquetado de productos o servicios
• Acuerdos con grupos sociales o comunitarios y acuerdos derivados de obligaciones contractuales no exigibles judicialmente

En cuanto a los requisitos de compliance es imprescindible la intervención en el proceso de expertos legales o asesores jurídicos de la organización, dado que los requisitos vienen impuestos por la autoridades mediante procesos públicos y externos a la organización sin necesidad de un acto expreso de aceptación por ésta, lo que conlleva que en muchas ocasiones la organización puede no conocer o identificar requisitos que le son exigibles. De este modo, el soporte legal de la asesoría jurídica interna o/y de los asesores externos de la organización deviene aquí imprescindible para evitar el primer riesgo de compliance, como es la ignorancia de los requisitos legales que le son aplicables.

Fuentes de los requisitos de compliance

En cuanto a las fuentes de los requisitos de compliance, las principales identificadas son:

• Normas legales y reglamentos administrativos que las desarrollan
• Permisos, licencias o autorizaciones administrativas
• Requisitos derivados del sometimiento de la organización a una autoridad regulatoria o una agencia: guías, órdenes, recomendaciones o procesos de inspección
• Normas internacionales exigibles a la organización: tratados, reglamentos, directivas comunitarias, etc.
• Resoluciones de tribunales y órganos administrativos.

Mantenimiento

Una vez identificadas las obligaciones de compliance, es recomendable crear un cuadro de obligaciones y una metodología de mantenimiento y actualización que tenga en cuenta las fuentes de su origen. Obviamente. el soporte legal en esta fase de mantenimiento continúa resultando imprescindible. Entre los mecanismos más habituales para el mantenimiento de este cuadro de obligaciones los estándares y marcos de referencia contemplan:

• Servicios de actualización jurídica
• Seguimiento de servicios de comunicación de los reguladores relevantes
• Asistencia a congreso y formaciones relevantes
• Subcontrata de asesores legales
• canales de comunicación interna con áreas o departamentos que asumen o gestionan obligaciones autoimpuesta

Contextualización

Una vez identificados, tanto los requisitos como los compromisos de compliance se deben contextualizar en la organización para comprender la implicación exacta que tienen en esta.

Ejemplo- Consideramos dos organizaciones: una fábrica metalúrgica que ofrece un servicio de comedor gratuito para sus trabajadores a través de una empresa subcontratada y una empresa de elaboración de comidas y entrega a domicilio, ambas están sometidas a la legislación sobre elaboración y manipulación de alimentos (requisito de compliance), pero dicha legislación impacta en cada una de una manera diferente, así que la formulación de obligaciones de compliance derivadas de los mismos requisitos normativos serán también diferentes.

La contextualización es muy importante para formular correctamente la obligación de compliance que se deriva del requisito o compromiso. Debemos comprender bien el contexto en que se nos aplica el requisito o compromiso para definir correctamente la obligación de compliance que se nos deriva del mismo.

Siguiendo con el ejemplo anterior, la obligación de compliance que se deriva para la industria metalúrgica consiste en contratar a un proveedor capacitado para cumplir dicha regulación, mientras que para la empresa de elaborados consiste en cumplir los requisitos en sus procesos operativos.

Definición de objetivos

La definición de objetivos tomará como punto de partida las obligaciones de compliance ya definidas conforme al punto anterior, para convertirlas en objetivos a través de los trabajos de análisis y contexto de la organización y paralelamente a la identificación y evaluación de riesgos.

A través de la definición de objetivos, convertimos las obligaciones de compliance específicas de nuestra organización en resultados concretos a lograr. Los objetivos así definidos pueden ser estratégicos, tácticos u operativos y referirse a diferentes niveles o disciplinas de la organización.

Siguiendo con el ejemplo anterior, los objetivos finalmente definidos para la empresa metalúrgica pueden incluir desde uno más estratégico consistente en ofertar un servicio de comedor gratuito que cumpla en todo momento con los estándares de seguridad alimentaria, hasta otros más tácticos u operativos como adaptar las instalaciones del comedor a ciertos estándares de calidad o definir un proceso específico de diligencia debida para el proveedor que se subcontrata.