Blog, Compliance

Los “siete pilares” de los Sistemas de Gestión de Compliance

Los siete pilares del compliance

IDW AssS 980 y los siete componentes fundamentales de un sistema de gestión de Compliance.-

Hablar de los siete componentes de un sistema de gestión de compliance es, necesariamente, hablar del estándar IDW AssS 980 alemán ya que fue el Instituto de Auditores de Cuentas de dicho país el que –en el año 2011– y en el marco de redacción de la citada norma de Assurance, quien identifica siete elementos que, de forma transversal y universal, encontramos en todo sistema de compliance y que al analizar una organización nos permiten concluir razonablemente que se dispone de un sistema de gestión de compliance.

Estos siete componentes son:

  1. El principio Tone from the Top
  2. Objetivos y políticas de compliance
  3. Organización y función de compliance
  4. Análisis de riesgos
  5. Establecimiento de controles
  6. Comunicación y reporte
  7. Monitoreo y acciones correctoras

La norma alemana IDW AssS 980, aplica el término compliance management system (CMS) o sistema de gestión de complianc (SGC), para referirse a los modelos que analiza con el objetivo de desarrollar su estándar.

El elemento identificador de los compliance management system (CMS), es que ofrecen una visión conjunta sobre un contexto de cumplimiento, mediante un modelo concreto que, diseñado y aplicado a una organización determinada, establece medidas eficaces preventivas y adecuadas para que den respuesta en un tiempo determinado y que constituirán parte integral del sistema de gobierno corporativo de dicha entidad.

Partiendo del análisis de múltiples CMS desarrollados en base a diversas normas o marcos de referencia, los siete pilares se nos aparecen como principios operativos necesarios, que interrelacionan y sustentan un concreto sistema de gestión de compliance, proyectándose de manera conjunta e interdependiente sobre la organización, estableciendo una exigencia integral de eficacia y seguridad razonable, a partir de una cultura de ejemplo en el cumplimiento y el control interno que emana de la más Alta Dirección.

La identificación de estos siete elementos permiten demostrar inequívocamente el compliance como una disciplina autónoma y madura, que ha ido tomando elementos de otros sistemas y modelos de gestión para dotarlos de sus propias características y funcionalidad.

Si a través del ADN del compliance se explica cómo esta disciplina toma elementos de marcos, estándares y modelos muy variados, a través de los siete pilares comprendemos cómo este ADN ha adquirido un valor y significación propios de compliance y distintos del que tenían en sus sistemas de origen.

Del mismo modo, estos siete pilares permiten identificar un sistema de gestión de compliance sin necesidad de acudir a un estándar o marco de referencia concreto, ya que en ellos encontramos todos los requisitos necesarios para alcanzar tal objetivo.

  1. El principio «top from the top» como elemento configurador de la cultura de compliance

La idea de que la dirección de la organización debe implicarse sin reservas en cualquier proceso de transformación cultural de la organización es, hoy, indiscutida. Desde los procesos de mejora continua de la calidad desarrollados en la segunda mitad del S XX, la idea de un liderazgo claro se considera fundamental para implantar una cultura de organización.

La idea fundamental es que la transformación cultural en una organización nunca se produce sin el impulso y compromiso de la más alta dirección de la misma. Por este motivo la alta dirección debe poner todos los medios necesarios para corregir los déficits culturales y alcanzar los objetivos definidos, liderando el proceso con una actitud comprometida y evidente para toda la organización.

La cultura de compliance se traslada de arriba a abajo de la organización. porque el liderazgo no sólo es el fundamento sobre el que se construye la cultura del compliance de una empresa, sino que es el fundamento sobre el que se construye cualquier sistema de gestión.

El órgano de gobierno asume la responsabilidad general del cumplimiento de la organización, y ofrece un  respaldo inequívoco a aquellos que deben generar ejemplo. Es el primer eslabón, que define, controla, vigila y mantiene los valores y principios en los que se asienta la organización.

El tone from the top conforma un elemento esencial de los códigos de gobierno corporativo, pues el comportamiento de la alta dirección moldea la cultura organizativa que orienta el comportamiento de los empleados y, las relaciones con terceros.

Implicación por parte de la dirección de la entidad

Aplicar este principio exige una total implicación de la alta dirección ya que la mayor parte de los fraudes modernos se atribuyen a las direcciones de la empresas, precisamente por la falta de control en la parte superior, que debe necesariamente mantener controles internos y pautas de actuación, no sólo conforme a las leyes sino también a las buenas prácticas en consonancia con la sociedad, conformando de esta manera una auténtica cultura de compliance empresarial.

Esta visión del liderazgo ya fue enfatizada por la Ley Sarbanes-Oxley y desarrollada ampliamente en COSO, donde se la considera el prerrequisito para un sistema de cumplimiento sólido. Aparece también con nitidez en el Red Book de OCEG como uno de sus componentes fundamentales  y se significa con la misma relevancia en la Guía de Buenas Prácticas de la OCDE o en sus Recomendaciones para la lucha contra el cohecho y la corrupción, la recoge el estándar australiano AS 3806 en el primero de sus principios y se desarrolla ampliamente en el Capítulo 5 de todas las normas ISO y UNE sobre compliance. En la lucha contra la corrupción adquiere una especial relevancia, tanto a través de la norteamericana FCPA como en la UK Bribery Act o en las Recomendaciones de la OCDE.

Acciones y compromisos para la exigencia de liderazgo

Con más o menos variantes, todos los marcos de referencia indicados concretan la exigencia del liderazgo en una serie de acciones y compromisos que emanan siempre desde la alta dirección:

1.– Debe aprobar expresamente el sistema, asegurar su observancia tomando las decisiones ejecutivas necesarias para alcanzar los objetivos.

2.– Debe crear, dotar de autoridad y dar soporte y recursos a las funciones de cumplimiento relacionadas con el sistema.

3.– Debe predicar con el ejemplo y amparar las conductas de los subordinados conformes con el sistema de compliance.

4.– Debe responder firmemente frente al incumplimiento.

  1. Fines del «compliance»: objetivos y políticas de compliance

La norma IDW ASSS 980 habla de «fines del compliance» para identificar como un elemento común de todos los sistemas a lo que nos gusta identificar como “objetivos de compliance”, que se alcanzan a través de la definición de políticas y la creación de una estructura con cargos y roles definidos y adecuados.

La organización fija sus objetivos a través algún tipo de norma de alto nivel que señala a sus miembros el resultado que se desea lograr, alineando su comportamiento con los mismos. Bien sea un código ético, un código de conducta o una política de compliance, de los principios que establezca la norma se derivará el sistema de compliance necesario para alcanzar los objetivos definidos. Muy frecuentemente estas normas de alto nivel interactúan con otras normas de rango inferior y más concretas que configuran el entramado de políticas de empresa.

En toda organización tienen que existir unas pautas de comportamiento que emanan de un correcto conocimiento de su estructura organizativa, funciones asignadas y los riesgos aparejados a las misma, de modo que podamos articular estas pautas mediante el fomento de las conductas positivas y  la prohibición de las contrarias a la cultura organizacional, pues son las personas las que cumplen o deben cumplir estas directrices establecidas. En consecuencia, otro aspecto importante y recurrente en este tipo de normas de alto nivel es la necesidad de su difusión y conocimiento por toda la estructura organizacional y la exigencia explicita de su aplicación.

  1. Organización y Función de compliance

El cumplimiento de las políticas pasa necesariamente por la asignación de cargos y funciones en la estructura de la organización, generalmente creando para ello cargos o comisiones específicos, aunque en ocasiones no es así y dichas funciones, por el reducido tamaño de la organización u otros motivos, se asumen directamente por la alta dirección u otros cargos preexistentes de la organización.

Características

Dada la variedad de formas y composiciones que puede tener este órgano, es mejor identificarlo como función de compliance y centrarnos en sus características, que son recurrentes en casi todos los marcos de referencia:

1.– En general se establecen cometidos relacionados con el diseño e implantación eficaz del sistema, se la dota de recursos adecuados para desempeñar su labor y se le asegura autonomía en su gestión.

2.– Se debe asegurar la independencia, gestionando correctamente los conflictos de interés que pudieran mantener sus integrantes. En este sentido, cuando el tamaño de la organización lo permite, no se desempeñan sus funciones por cargos o personas relacionadas con el front line o el back office de la organización, asimilándose a modelos propios de auditoría interna, aunque también se intenta mantener independiente de esta última. Cuando estamos ante pequeñas organizaciones en que la intervención de Font line o back office es inevitable, se mantiene la independencia mediante la gestión del conflicto de interés que derive del concreto rol que cada miembro tiene dentro de la función de compliance.

3.– Normalmente se le asigna una posición adecuada en el seno de la organización que, por un lado, refuerce su autoridad frente al resto de integrantes y por otro facilite una comunicación fluida con la alta dirección.

4.– Su actuación se fundamenta en el principio de proporcionalidad y generalmente con un enfoque basado en el riesgo.

Actualmente, el documento de mayor relevancia publicado respecto a esta cuestión actualmente es el Libro Blanco de la Función de «Compliance» de la Asociación Española de Compliance – ASCOM, que se puede descargar gratuitamente en su página web.

  1. Individualización de riesgos: análisis de riesgos

La identificación, análisis y tratamiento de los riesgos es un elemento recurrente de todos los marcos de referencia en compliance, que progresivamente tienden a adoptar una visión basada en el riesgo, ya que se comprende que las organizaciones se desenvuelven en entornos donde el riesgo cero no existe, y deben habituarse a concentrar sus esfuerzos en mitigar los riesgos más potentes. Por ello, la determinación clara y concisa de los riesgos constituye la actividad clave de todo buen sistema de compliance.

El propósito del análisis de los riesgos es comprender a la organización, sus departamentos, procesos y funciones con el fin de identificar y evaluar los riesgos de incumplimiento de los objetivos.

La gestión del riesgo o risk management, es un enfoque integrado por las organizaciones para actuar conforme a las directrices, obligaciones reguladoras, y norma auto-impuestas que afectan a su actividad, mediante un análisis de evaluación, clasificación y definición en cada área de negocio sobre cuáles son los riesgos para gestionar una estrategia de desempeño, planificación, control, seguimiento y respuesta ante su impacto antes de que sucedan, mediante una coordinación y colaboración de las partes interesadas.

Hemos de tener en cuenta que la evaluación de los riesgos se deberá realizar conforme a una metodología adecuada a las propias circunstancias de la organización, y que el análisis tendrá en cuenta la probabilidad de que los riesgos se materialicen  y las consecuencias que se derivaría de ello, orientando así a la función de compliance sobre el tratamiento más adecuado a aplicar en cada caso, siempre atendiendo al principio de proporcionalidad.

Es importante realizar mapas de riesgos por áreas, departamentos o sectores, correlacionando probabilidad e impacto, con el objetivo de visualizar en todo momento su tratamiento para minimizar la amenaza que cada riesgo supone a los objetivos de la organización.

La revisión periódica de los riesgos es otro requisito recurrente en los marcos de referencia, al igual que las revisiones sobrevenidas por cambios en la organización, el entorno, o como consecuencia de la manifestación de no conformidades o de incumplimientos.

  1. Programa de «compliance»: establecimiento de controles

Correlativamente a las identificación y evaluación del riesgo, en general los marcos de referencia exigen la implementación de políticas, procedimientos y controles para detectar, reducir o mitigar su impacto. Este conjunto de controles se dirige a las diversas áreas y departamentos de la organización y su aplicación queda en manos de los integrantes de la misma que son propietarios del riesgo (es decir, que pueden consumar o evitar su consumación).

El programa de compliance consistirá en imponer nuevas formas de realizar las cosas o modificar y mejorar las ya existentes. Sus principales objetivos deben ser:

  • asegurar la eficacia del sistema de controles internos integrándolos dentro de los procesos de gestión,
  • monitorear las actividades y los riesgos con rapidez,
  • documentarlo
  • y poder tomar decisiones correctas así como medidas correctivas y/o mitigadoras adecuadas.

Los controles proporcionan a la organización procesos estructurados conscientes y coherentes con la cultura de la organización, influyendo en el control de los posibles cambios, de modo que únicamente se implementen cambios aprobados y adecuados. Proporciona así mismo, un seguimiento continuo y una visión de la salud del modelo implementado, y permite identificar las áreas que requieren mayor atención, asegurando acciones correctivas o preventivas de acuerdo a las exigencias de la organización.

  1. Comunicación y reporte de «compliance»

La información es necesaria para que la entidad lleve a cabo las responsabilidades de control interno y para apoyar el logro de sus objetivos (COSO III Marco 2013).  La administración o alta dirección, obtiene y/o genera y utiliza la información relevante y de calidad de fuentes internas y externas para apoyar el funcionamiento de otros componentes del control interno. La comunicación es un proceso continuo que proporciona, comparte y obtiene la información necesaria.

Por medio de la comunicación interna la organización conoce los aspectos necesarios para llevar a cabo su función, que permite a los miembros de la organización, recibir ese mensaje claro de la alta dirección.

La comunicación externa, permite atender las expectativas de las partes interesadas, facilita la comprensión y proporciona información en respuesta a los requisitos, obligaciones y expectativas.

La información y la comunicación consisten en cumplir con la función de reporte de la información del CMS a los órganos de administración, y viceversa. Y cumple con la función de información y comunicación de las áreas de negocio, áreas funcionales hacia la función de cumplimiento.

Formación, información,  concienciación y reporte

El sistema de compliance deben incluir acciones en la que se dará periodicamente formación a toda la organización para conocer los riesgos a los que su actividad diaria está sometida, y especialmente a aquellos sujetos a determinadas exigencias o responsabilidades, con el fin de evitar los riesgos inherentes a la actividad y el programa de compliance haya detectado.

Igualmente deberá resolver las dudas que puedan plantearse en el entorno laboral vinculado con el programa de compliance implantado, bien sea aclarándolas de manera individualizada, bien sea a través de acciones planificadas destinadas a incidir en alguna cuestión en concreto, concienciar respecto a un riesgo especifico o motivar una respuesta adecuada en todo o parte de los integrantes de la organización

Y reportará periódicamente a la alta dirección de los cambios que ha ido produciendo la implantación del sistema de compliance como de los cambios que se produzcan en las obligaciones que les afecten en su actividad.

Es importante tener en cuenta que la cadena de reporte del compliance puede trascender a la propia empresa, ya que teniendo en cuanta el propio marco en el que se mueva la actividad empresarial será necesario que algunos reportes sean facilitados a órganos supervisores o Administraciones públicas.

  1. Monitoreo y acciones correctoras

Monitorización y auditoría

Que el modelo se adapte a los cambios del entorno de la organización y mejore constantemente su respuesta frente a los riesgos, y que además proporcione un seguimiento continuo de evaluación y desempeño, es un ideal de eficacia del sistema de gestión de compliance.

No podemos hablar de un sistema de gestión o CMS, si no aparejamos la idea de seguimiento y control del mismo, ya que todos los sistemas de control interno cambian con el tiempo y estos cambios afectan a su eficacia. Para ello será necesario que de forma periódica se desarrolle una adecuada supervisión y monitorización con el objetivo de evaluar si se están llevando a cabo correctamente las políticas y controles establecidos en el programa.

El monitoreo y la vigilancia, son componentes fundamentales, pues sin un seguimiento del programa, no se pueden tomar acciones para controlar el programa, medir el rendimiento, determinar variaciones y decidir si necesitan un cambio, proyectando la eficacia e informando del rendimiento del programa de compliance.

Dichas acciones de monitorización se reportarán periódicamente en forma de reportes o memorias anuales que se integrarán en la cadena de reporte ya comentada.

Acciones correctoras

El sistema de compliance deberá de establecer desde la mas Alta Dirección acciones correctoras para aquellas situaciones o acciones dentro de la organización que incumplan los objetivos (incumplimientos) o afecten al buen funcionamiento del sistema (no conformidades).

Estas acciones no solo emanarán del seguimiento y monitoreo del sistema de compliance, sino también de los controles aplicados por la organización. Para ello, además de los controles preventivos y detectivos el sistema de compliance debe establecer canales adecuados para que los empleados o terceros puedan comunicar situaciones en relación con su actividad y a la función del compliance.

Estos canales serán adecuados en la medida en que generan suficiente confianza al comunicante, atendidas las circunstancias de cada caso, pero en general se plantean dos grandes vías de comunicación: las de reporte ordinario, y los canales de denuncia anónimos o confidenciales destinados a facilitar que la persona que desee comunicar alguna incidencia no se vea presionada de ninguna forma.

La respuesta frente al incumplimiento no solo debe consistir en medidas disciplinarias que castiguen a las personas que incumplan las políticas y procedimientos de la organización de forma proporcionada a la infracción cometida, también es oportuno que se promuevan incentivos para aquellas personas que desarrollan su labor conforme al programa de compliance o colaboren en su mejora o eficacia y que visibilizan una respuesta anticipada y motivadora que impulse al empelado a optar siempre por cumplir.

Una acción correctora, es una acción que se realiza para alinear de nuevo el rendimiento del programa de cumplimiento, bien por la identificación de un riesgo, nuevo, potencial o actual, bien por la verificación de un control y la observancia de la necesidad de ajustar la desviación del alcance del programa en su carácter preventivo del sistema de control interno, para determinar si el sistema mitiga el efecto de los riesgos identificados.

Si quieres saber qué necesitas para definir un sistema de gestión de Compliance eficaz, puedes leer nuestro artículo pinchando aquí.