{"id":220,"date":"2019-07-26T21:28:47","date_gmt":"2019-07-26T19:28:47","guid":{"rendered":"https:\/\/compliancebonatti.com\/compliance\/?p=220"},"modified":"2023-10-10T10:11:42","modified_gmt":"2023-10-10T08:11:42","slug":"los-siete-pilares-de-los-sistemas-de-gestion-de-compliance","status":"publish","type":"post","link":"https:\/\/compliancebonatti.com\/compliance\/los-siete-pilares-de-los-sistemas-de-gestion-de-compliance\/","title":{"rendered":"Los \u201csiete pilares\u201d de los Sistemas de Gesti\u00f3n de Compliance"},"content":{"rendered":"

IDW AssS 980 y los siete componentes fundamentales de un sistema de\u00a0gesti\u00f3n de Compliance.-<\/strong><\/h2>\n

Hablar de los siete componentes de un sistema de gesti\u00f3n de compliance es, necesariamente, hablar del est\u00e1ndar IDW AssS 980 alem\u00e1n ya que fue el Instituto de Auditores de Cuentas de dicho pa\u00eds el que \u2013en el a\u00f1o 2011\u2013 y en el marco de redacci\u00f3n de la citada norma de Assurance, quien identifica siete elementos que, de forma transversal y universal, encontramos en todo sistema de compliance<\/em><\/strong> y que al analizar una organizaci\u00f3n nos permiten concluir razonablemente que se dispone de un sistema de gesti\u00f3n de compliance<\/em><\/strong>.<\/p>\n

Estos siete componentes son:<\/p>\n

    \n
  1. El principio Tone from the Top<\/li>\n
  2. Objetivos y pol\u00edticas de compliance<\/li>\n
  3. Organizaci\u00f3n y funci\u00f3n de compliance<\/li>\n
  4. An\u00e1lisis de riesgos<\/li>\n
  5. Establecimiento de controles<\/li>\n
  6. Comunicaci\u00f3n y reporte<\/li>\n
  7. Monitoreo y acciones correctoras<\/li>\n<\/ol>\n

    La norma alemana IDW AssS 980, aplica el t\u00e9rmino compliance management system<\/em> (CMS) o sistema de gesti\u00f3n de complianc (SGC), para referirse a los modelos que analiza con el objetivo de desarrollar su est\u00e1ndar.<\/p>\n

    El elemento identificador de los compliance management system<\/em><\/strong> (CMS), es que ofrecen una visi\u00f3n conjunta sobre un contexto de cumplimiento, mediante un modelo concreto que, dise\u00f1ado y aplicado a una organizaci\u00f3n determinada, establece medidas eficaces preventivas y adecuadas para que den respuesta en un tiempo determinado y que constituir\u00e1n parte integral del sistema de gobierno corporativo de dicha entidad.<\/p>\n

    Partiendo del an\u00e1lisis de m\u00faltiples CMS desarrollados en base a diversas normas o marcos de referencia, los siete pilares se nos aparecen como principios operativos necesarios, que interrelacionan y sustentan un concreto sistema de gesti\u00f3n de compliance<\/strong>, proyect\u00e1ndose de manera conjunta e interdependiente sobre la organizaci\u00f3n, estableciendo una exigencia integral de eficacia y seguridad razonable, a partir de una cultura de ejemplo en el cumplimiento y el control interno que emana de la m\u00e1s Alta Direcci\u00f3n.<\/p>\n

    La identificaci\u00f3n de estos siete elementos permiten demostrar inequ\u00edvocamente el compliance<\/em> <\/strong>como una disciplina aut\u00f3noma y madura, que ha ido tomando elementos de otros sistemas y modelos de gesti\u00f3n para dotarlos de sus propias caracter\u00edsticas y funcionalidad.<\/p>\n

    Si a trav\u00e9s del ADN del compliance<\/em> se explica c\u00f3mo esta disciplina toma elementos de marcos, est\u00e1ndares y modelos muy variados, a trav\u00e9s de los siete pilares comprendemos c\u00f3mo este ADN ha adquirido un valor y significaci\u00f3n propios de compliance<\/em> <\/strong>y distintos del que ten\u00edan en sus sistemas de origen.<\/p>\n

    Del mismo modo, estos siete pilares permiten identificar un sistema de gesti\u00f3n de\u00a0compliance<\/em> sin necesidad de acudir a un est\u00e1ndar o marco de referencia concreto, ya que en ellos encontramos todos los requisitos necesarios para alcanzar tal objetivo.<\/p>\n

      \n
    1. El principio \u00abtop from the top\u00bb como elemento configurador de la cultura de compliance<\/strong><\/li>\n<\/ol>\n

      La idea de que la direcci\u00f3n de la organizaci\u00f3n debe implicarse sin reservas en cualquier proceso de transformaci\u00f3n cultural de la organizaci\u00f3n es, hoy, indiscutida. Desde los procesos de mejora continua de la calidad desarrollados en la segunda mitad del S XX, la idea de un liderazgo claro se considera fundamental para implantar una cultura de organizaci\u00f3n.<\/p>\n

      La idea fundamental es que la transformaci\u00f3n cultural en una organizaci\u00f3n nunca se produce sin el impulso y compromiso de la m\u00e1s alta direcci\u00f3n de la misma. Por este motivo la alta direcci\u00f3n debe poner todos los medios necesarios para corregir los d\u00e9ficits culturales y alcanzar los objetivos definidos, liderando el proceso con una actitud comprometida y evidente para toda la organizaci\u00f3n.<\/p>\n

      La cultura de compliance<\/em> se traslada de arriba a abajo de la organizaci\u00f3n. porque el liderazgo no s\u00f3lo es el fundamento sobre el que se construye la cultura del compliance <\/em>de una empresa, sino que es el fundamento sobre el que se construye cualquier sistema de gesti\u00f3n.<\/p>\n

      El \u00f3rgano de gobierno asume la responsabilidad general del cumplimiento de la organizaci\u00f3n, y ofrece un\u00a0 respaldo inequ\u00edvoco a aquellos que deben generar ejemplo. Es el primer eslab\u00f3n, que define, controla, vigila y mantiene los valores y principios en los que se asienta la organizaci\u00f3n.<\/p>\n

      El tone from the top<\/em> conforma un elemento esencial de los c\u00f3digos de gobierno corporativo, pues el comportamiento de la alta direcci\u00f3n moldea la cultura organizativa que orienta el comportamiento de los empleados y, las relaciones con terceros.<\/p>\n

      Implicaci\u00f3n por parte de la direcci\u00f3n de la entidad<\/p>\n

      Aplicar este principio exige una total implicaci\u00f3n de la alta direcci\u00f3n ya que la mayor parte de los fraudes modernos se atribuyen a las direcciones de la empresas, precisamente por la falta de control en la parte superior, que debe necesariamente mantener controles internos y pautas de actuaci\u00f3n, no s\u00f3lo conforme a las leyes sino tambi\u00e9n a las buenas pr\u00e1cticas en consonancia con la sociedad, conformando de esta manera una aut\u00e9ntica cultura de compliance <\/em>empresarial.<\/p>\n

      Esta visi\u00f3n del liderazgo ya fue enfatizada por la Ley Sarbanes-Oxley y desarrollada ampliamente en COSO, donde se la considera el prerrequisito para un sistema de cumplimiento s\u00f3lido. Aparece tambi\u00e9n con nitidez en el Red Book<\/em> de OCEG como uno de sus componentes fundamentales\u00a0 y se significa con la misma relevancia en la Gu\u00eda de Buenas Pr\u00e1cticas de la OCDE o en sus Recomendaciones para la lucha contra el cohecho y la corrupci\u00f3n, la recoge el est\u00e1ndar australiano AS 3806 en el primero de sus principios y se desarrolla ampliamente en el Cap\u00edtulo 5 de todas las normas ISO y UNE sobre compliance<\/em>. En la lucha contra la corrupci\u00f3n adquiere una especial relevancia, tanto a trav\u00e9s de la norteamericana FCPA como en la UK Bribery Act<\/em> o en las Recomendaciones de la OCDE.<\/p>\n

      Acciones y compromisos para la exigencia de liderazgo<\/p>\n

      Con m\u00e1s o menos variantes, todos los marcos de referencia indicados concretan la exigencia del liderazgo en una serie de acciones y compromisos que emanan siempre desde la alta direcci\u00f3n:<\/p>\n

      1.\u2013 Debe aprobar expresamente el sistema, asegurar su observancia tomando las decisiones ejecutivas necesarias para alcanzar los objetivos.<\/p>\n

      2.\u2013 Debe crear, dotar de autoridad y dar soporte y recursos a las funciones de cumplimiento relacionadas con el sistema.<\/p>\n

      3.\u2013 Debe predicar con el ejemplo y amparar las conductas de los subordinados conformes con el sistema de compliance<\/em>.<\/p>\n

      4.\u2013 Debe responder firmemente frente al incumplimiento.<\/p>\n

        \n
      1. Fines del \u00abcompliance\u00bb: objetivos y pol\u00edticas de compliance<\/strong><\/li>\n<\/ol>\n

        La norma IDW ASSS 980 habla de \u00abfines del compliance\u00bb para identificar como un elemento com\u00fan de todos los sistemas a lo que nos gusta identificar como \u201cobjetivos de compliance\u201d<\/em>, que se alcanzan a trav\u00e9s de la definici\u00f3n de pol\u00edticas y la creaci\u00f3n de una estructura con cargos y roles definidos y adecuados.<\/p>\n

        La organizaci\u00f3n fija sus objetivos a trav\u00e9s alg\u00fan tipo de norma de alto nivel que se\u00f1ala a sus miembros el resultado que se desea lograr, alineando su comportamiento con los mismos. Bien sea un c\u00f3digo \u00e9tico, un c\u00f3digo de conducta o una pol\u00edtica de compliance<\/em>, de los principios que establezca la norma se derivar\u00e1 el sistema de compliance <\/em>necesario para alcanzar los objetivos definidos. Muy frecuentemente estas normas de alto nivel interact\u00faan con otras normas de rango inferior y m\u00e1s concretas que configuran el entramado de pol\u00edticas de empresa.<\/p>\n

        En toda organizaci\u00f3n tienen que existir unas pautas de comportamiento que emanan de un correcto conocimiento de su estructura organizativa, funciones asignadas y los riesgos aparejados a las misma, de modo que podamos articular estas pautas mediante el fomento de las conductas positivas y\u00a0 la prohibici\u00f3n de las contrarias a la cultura organizacional, pues son las personas las que cumplen o deben cumplir estas directrices establecidas. En consecuencia, otro aspecto importante y recurrente en este tipo de normas de alto nivel es la necesidad de su difusi\u00f3n y conocimiento por toda la estructura organizacional y la exigencia explicita de su aplicaci\u00f3n.<\/p>\n

          \n
        1. Organizaci\u00f3n y Funci\u00f3n de compliance<\/strong><\/li>\n<\/ol>\n

          El cumplimiento de las pol\u00edticas pasa necesariamente por la asignaci\u00f3n de cargos y funciones en la estructura de la organizaci\u00f3n, generalmente creando para ello cargos o comisiones espec\u00edficos, aunque en ocasiones no es as\u00ed y dichas funciones, por el reducido tama\u00f1o de la organizaci\u00f3n u otros motivos, se asumen directamente por la alta direcci\u00f3n u otros cargos preexistentes de la organizaci\u00f3n.<\/p>\n

          Caracter\u00edsticas<\/h3>\n

          Dada la variedad de formas y composiciones que puede tener este \u00f3rgano, es mejor identificarlo como funci\u00f3n de compliance<\/em><\/strong> y centrarnos en sus caracter\u00edsticas, que son recurrentes en casi todos los marcos de referencia:<\/p>\n

          1.\u2013 En general se establecen cometidos relacionados con el dise\u00f1o e implantaci\u00f3n eficaz del sistema, se la dota de recursos adecuados para desempe\u00f1ar su labor y se le asegura autonom\u00eda en su gesti\u00f3n.<\/p>\n

          2.\u2013 Se debe asegurar la independencia, gestionando correctamente los conflictos de inter\u00e9s que pudieran mantener sus integrantes. En este sentido, cuando el tama\u00f1o de la organizaci\u00f3n lo permite, no se desempe\u00f1an sus funciones por cargos o personas relacionadas con el front line<\/em> o el back office<\/em> de la organizaci\u00f3n, asimil\u00e1ndose a modelos propios de auditor\u00eda interna, aunque tambi\u00e9n se intenta mantener independiente de esta \u00faltima. Cuando estamos ante peque\u00f1as organizaciones en que la intervenci\u00f3n de Font line o back office es inevitable, se mantiene la independencia mediante la gesti\u00f3n del conflicto de inter\u00e9s que derive del concreto rol que cada miembro tiene dentro de la funci\u00f3n de compliance.<\/p>\n

          3.\u2013 Normalmente se le asigna una posici\u00f3n adecuada en el seno de la organizaci\u00f3n que, por un lado, refuerce su autoridad frente al resto de integrantes y por otro facilite una comunicaci\u00f3n fluida con la alta direcci\u00f3n.<\/p>\n

          4.\u2013 Su actuaci\u00f3n se fundamenta en el principio de proporcionalidad y generalmente con un enfoque basado en el riesgo.<\/p>\n

          Actualmente, el documento de mayor relevancia publicado respecto a esta cuesti\u00f3n actualmente es el Libro Blanco de la Funci\u00f3n de \u00abCompliance\u00bb de la Asociaci\u00f3n Espa\u00f1ola de Compliance \u2013 ASCOM, que se puede descargar gratuitamente en su p\u00e1gina web<\/a>.<\/p>\n

            \n
          1. Individualizaci\u00f3n de riesgos: an\u00e1lisis de riesgos<\/strong><\/li>\n<\/ol>\n

            La identificaci\u00f3n, an\u00e1lisis y tratamiento de los riesgos es un elemento recurrente de todos los marcos de referencia en compliance<\/em>, que progresivamente tienden a adoptar una visi\u00f3n basada en el riesgo, ya que se comprende que las organizaciones se desenvuelven en entornos donde el riesgo cero no existe, y deben habituarse a concentrar sus esfuerzos en mitigar los riesgos m\u00e1s potentes. Por ello, la determinaci\u00f3n clara y concisa de los riesgos constituye la actividad clave de todo buen sistema de compliance<\/em>.<\/p>\n

            El prop\u00f3sito del an\u00e1lisis de los riesgos es comprender a la organizaci\u00f3n, sus departamentos, procesos y funciones con el fin de identificar y evaluar los riesgos de incumplimiento de los objetivos.<\/p>\n

            La gesti\u00f3n del riesgo o risk management<\/em>, es un enfoque integrado por las organizaciones para actuar conforme a las directrices, obligaciones reguladoras, y norma auto-impuestas que afectan a su actividad, mediante un an\u00e1lisis de evaluaci\u00f3n, clasificaci\u00f3n y definici\u00f3n en cada \u00e1rea de negocio sobre cu\u00e1les son los riesgos para gestionar una estrategia de desempe\u00f1o, planificaci\u00f3n, control, seguimiento y respuesta ante su impacto antes de que sucedan, mediante una coordinaci\u00f3n y colaboraci\u00f3n de las partes interesadas.<\/p>\n

            Hemos de tener en cuenta que la evaluaci\u00f3n de los riesgos se deber\u00e1 realizar conforme a una metodolog\u00eda adecuada a las propias circunstancias de la organizaci\u00f3n, y que el an\u00e1lisis tendr\u00e1 en cuenta la probabilidad de que los riesgos se materialicen\u00a0 y las consecuencias que se derivar\u00eda de ello, orientando as\u00ed a la funci\u00f3n de compliance<\/em> sobre el tratamiento m\u00e1s adecuado a aplicar en cada caso, siempre atendiendo al principio de proporcionalidad.<\/p>\n

            Es importante realizar mapas de riesgos por \u00e1reas, departamentos o sectores, correlacionando probabilidad e impacto, con el objetivo de visualizar en todo momento su tratamiento para minimizar la amenaza que cada riesgo supone a los objetivos de la organizaci\u00f3n.<\/p>\n

            La revisi\u00f3n peri\u00f3dica de los riesgos es otro requisito recurrente en los marcos de referencia, al igual que las revisiones sobrevenidas por cambios en la organizaci\u00f3n, el entorno, o como consecuencia de la manifestaci\u00f3n de no conformidades o de incumplimientos.<\/p>\n

              \n
            1. Programa de \u00abcompliance\u00bb: establecimiento de controles<\/strong><\/li>\n<\/ol>\n

              Correlativamente a las identificaci\u00f3n y evaluaci\u00f3n del riesgo, en general los marcos de referencia exigen la implementaci\u00f3n de pol\u00edticas, procedimientos y controles para detectar, reducir o mitigar su impacto. Este conjunto de controles se dirige a las diversas \u00e1reas y departamentos de la organizaci\u00f3n y su aplicaci\u00f3n queda en manos de los integrantes de la misma que son propietarios del riesgo (es decir, que pueden consumar o evitar su consumaci\u00f3n).<\/p>\n

              El programa de compliance consistir\u00e1 en imponer nuevas formas de realizar las cosas o modificar y mejorar las ya existentes. Sus principales objetivos deben ser:<\/p>\n