La función del Compliance Officer.

por | Mar 5, 2024 | Publicaciones

 

Autor Dr. José Mª Ramírez Fernández. Governance, Risk & Compliance Senior Strategic Consultant. Linkedin. https://www.linkedin.com/in/jramirezfp/

 

1. Principales cometidos del Compliance Officer en el desempeño de su función empresarial.

Imaginemos el siguiente escenario:

Nos acaban de contratar en una organización, ya sea grande, mediana o pequeña empresa, con el objetivo de diseñar e implantar eficazmente un Sistema de Gestión de Compliance (en adelante el “sistema”) con un alcance corporativo.

Más allá de nuestra experiencia como Compliance Officer (en adelante “CO”) apenas contamos unas líneas claras de actuación emitidas por parte de la propia organización sobre cómo actuar para tal efecto.

Sólo sabemos que, nuestra nueva empresa, tiene cierta urgencia en adoptar un marco de control que permita identificar, gestionar y mitigar riesgos de cumplimiento para así tratar de evitar acciones irregulares efectuadas por parte de sus trabajadores, independientemente de su cargo y/o función, o bien por parte de sus socios de negocio, las cuales podrían derivar en la comisión delitos penal/legales, lo que sin duda supondría pérdidas financieras o pérdida de reputación, como resultado del incumplimiento de la legislación, regulación y normas de autorregulación y códigos de conducta que son de aplicación a su actividad.

Pues bien, es el día de nuestra incorporación, se comunica a toda la organización nuestro nombramiento como CO por parte del máximo órgano de administración, se nos dota de la independencia y autonomía suficiente para llevar a cabo nuestra función y también de determinados recursos para ello, aunque no los suficientes, y llega el momento de ponerse manos a la obra y, en la soledad de nuestro puesto de trabajo, preguntarnos eso de: ¿por dónde empiezo?

Sí, por dónde empiezo, máxime cuando nos encontramos en un entorno que muestra una notable resistencia a que el compliance entre a formar parte de su día a día, ya que, inexplicablemente, lo perciben más como una intromisión en su trabajo o un gasto en vez de una función empresarial que, además de aportar valor a todos y cada uno de los trabajadores, se encarga de asegurar la adopción de una cultura ética y sostenible que nos va a beneficiar a todos.

Respiramos profundamente, adoptamos una actitud positiva y motivadora por comenzar a trabajar en el que quizás pueda ser uno de los grandes retos a los cuales nos vamos a enfrentar en nuestra carrera profesional y nos disponemos a dibujar una hoja de ruta en la que figuren los principales hitos para poder llevar era cabo nuestra tarea, hitos que se podrían traducir en las siguientes etapas de desarrollo:

 

2. Análisis y comprensión de la organización.

Para diseñar objetivamente el sistema, debemos tener en cuenta determinados factores que nos ayuden a conocer aún mejor a nuestra empresa y el entorno en el que nos movemos, entre los cuales podemos destacar:

  • Su tamaño, estructura y composición, fundamentalmente cuando hablamos de una multinacional que tiene una sede matriz que ha de controlar filiales en diferentes jurisdicciones, es decir, aquellas entidades sobre las que ejerce control.
  • Miembros de la organización, sus cargos, funciones y responsabilidades, comenzando por el órgano de administración pasando por todas y cada una de las cajas que forman parte de su organigrama.
  • Aquellos sectores de actividad de negocio en los que la organización opera o tenga previsto operar en el futuro.
  • La naturaleza y complejidad de las actividades y operaciones de la organización.
  • Aquellas obligaciones legales y normativas a las cuales está sujeta y que son de obligado cumplimiento.
  • Las relaciones jurídicas o contractuales que mantiene con terceros y cómo se llevan a cabo: clientes, accionistas, reguladores, socios de negocio, proveedores y funcionarios públicos.
  • Las políticas, procesos, controles y procedimientos existentes que cada área, departamento o unidad de negocio tiene implantado (i) para llevar a cabo su actividad laboral y (ii) para gestionar riesgos de cumplimiento.
  • Aquellos aspectos materiales que son de interés para la organización como para las partes interesadas en materia de cumplimiento, e incluso en el ámbito social, medioambiental y de gobernanza.

Esta fase sin duda requiere no sólo mantener encuentros y reuniones de trabajo con los trabajadores para comprender cómo llevan a cabo su actividad laboral, sino también, estudiar y revisar toda aquella documentación y evidencias que nos permita entender la actividad y contexto interno de la organización.

 

3. Fomento del liderazgo responsable. 

El liderazgo es una pieza clave que se debe tener en cuenta en la adopción no sólo del sistema sino también de una cultura de cumplimiento que nos permita desempeñar nuestra actividad laboral aplicando criterios éticos y sostenibles.

En este sentido, la voluntad del órgano de administración a la hora de aprobar la adopción de este tipo de sistemas es fundamental, pues es el que ostenta el poder de gestión del mismo así como otras obligaciones atribuidas, en el caso de España por la Ley de Sociedades de Capital, como es la de actuar de acuerdo con el deber de adoptar las medidas precisas para la buena dirección y control de la sociedad (artículo 225 LSC), para que, entre otros aspectos, se lleve a cabo una gestión eficaz en la prevención de delitos, asegurando también el cumplimiento de todas las normas que afecten a la compañía y de los estándares éticos de la empresa.

Esto quiere decir que el órgano de administración debe, con el apoyo y reporte periódico del CO, garantizar, entre otros aspectos, que el sistema se implante de forma eficaz e impulsar y supervisar la adopción de modelos de vigilancia y control que aseguren el cumplimiento de las normas y los estándares éticos establecidos en el seno de la organización.

Como CO, debemos tener muy presente que nuestra relación con el órgano de administración ha de ser transparente y cercana.

Debemos ganarnos su confianza, informar periódicamente sobre el correcto funcionamiento del sistema y servir como guía para que todos sus integrantes no pierdan el foco de la importancia que supone contar con una cultura empresarial de cumplimiento, sirviendo ellos mismos como ejemplo de que hay que “hacer las cosas bien y de una manera responsable”.

Por otro lado, el CO debe emplear los esfuerzos necesarios para promover la existencia de un Comité de Compliance, que cuente con una sólida estructura y funciones claras de desempeño lo que, sin duda, será la llave para garantizar el correcto funcionamiento del sistema, el cual debe abarcar al conjunto de actividades y empleados de una empresa tanto a nivel local como internacional.

 

4. Asignación de recursos y responsabilidades.

Para poder desempeñar eficazmente nuestra función de CO, con todas las responsabilidades y obligaciones que ello conlleva, la organización debe aprobar y proporcionar la asignación de los recursos necesarios para el diseño, implementación, mantenimiento y mejora continua del sistema, recursos que deben contemplar los humanos, financieros y tecnológicos, así como la posibilidad de acceso a un asesoramiento externo especializado.

Teniendo además en cuenta que nuestra función puede tener un alcance global, asumiendo por tanto determinadas responsabilidades (ejm, compliane penal, gobernanza, gestión de canales internos de comunicación, investigaciones forenses, protección de datos, etc..) se justificará con mayor motivo la necesidad de:

  • contar con un equipo de profesionales especializado para asignar roles y responsabilidades con sentido,
  • disponer de un presupuesto que nos permita, por ejemplo, implantar un programa de formación integral en compliance para todos los empleados, e incluso, ofrecer programas de formación a equipos especializados, por ejemplo en la detección de operaciones relacionadas con el crimen financiero (fraude, la corrupción y blanqueo de capitales), y,
  • contratar plataformas tecnológicas que nos permitan gestionar de una manera ágil y segura los riesgos, canales de denuncia o la recogida, análisis y gestión de datos en tiempo real.

Si bien es cierto que este sería el “mundo ideal”, como CO debemos ser conscientes de nuestras necesidades, tener en cuenta el sentido de proporcionalidad a la hora de solicitar recursos, y confeccionar nuestro propio presupuesto de compliance para poder justificar las mismas.

 

5. Identificación y análisis de riesgos.

Los CO somos puros gestores de riesgos. Confeccionamos mapas de aquellos riesgos que previamente hemos identificado, asignamos controles y medidas de vigilancia para mitigarlos (reducir su nivel de impacto o probabilidad) y establecemos planes de monitorización, revisión y evaluación.

Todo ello resulta indispensable para adoptar un sistema sobre una base correcta y lograr así su eficacia.

Si no se identifican, analizan y gestionan los riesgos de una manera adecuada, las organizaciones estarán aceptando riesgos por defecto y, si no se analizan y evalúan correctamente, el entorno de control y evaluación será inadecuado y, por tanto, difícilmente se alcanzará el objetivo de mantener una adecuada conducta en el seno de las organizaciones.

Las organizaciones actuales necesitan gestionar los riesgos en un entorno económico, social, regulatorio en constante cambio y en el que los riesgos, tanto los generales como los emergentes, son cada vez más impredecibles.

Como CO, debemos asesorar sobre las medidas apropiadas para mitigar los riesgos, establecer mecanismos para responder con prontitud ante los mismos, ser capaces de identificar cualquier debilidad existente en los controles establecidos y canalizar adecuadamente la información (reportar) para que llegue correctamente (en tiempo y forma) a los órganos de decisión y control interno (por ejemplo, a las comisiones de auditoría y control interno o comités de riesgos).

 

6. Evaluación de controles y medidas de mitigación. 

Como continuación al apartado anterior, podríamos decir que un sistema de gestión de riesgos de compliance se sustenta a través de:

  • Controles generales, que se constituyen como base del control del riesgo y tienen eficacia para mitigar el riesgo genérico de comisión de delitos.
  • Controles específicos, constituidos por medidas concretas cuya finalidad es mitigar un riesgo penal específico o un grupo de riesgos de compliance concretos.

Una vez identificados y definidos los controles asociados a cada riesgo, es necesario proceder a su evaluación, analizar su diseño, la efectividad de su funcionamiento y la automatización o no del control (un control manual, por ejemplo, será generalmente menos seguro que uno automático).

En ocasiones, los controles pueden estar bien diseñados (por ejemplo, un sistema de alertas para detectar operaciones sospechosas relacionadas con el blanqueo de capitales), pero su funcionamiento no es eficaz debido a deficiencias en la forma en la que se esté ejecutando.

De la misma forma, un control puede estar siendo ejecutado correctamente, pero estar mal diseñado. En ambos casos el resultado de la evaluación global del control (efectividad del control) será deficiente.

En definitiva, como CO debemos transmitir los siguientes mensajes, a la hora de impulsar internamente la implantación de controles que mitiguen los riesgos, tales como:

  • Los riesgos, permiten Identificar el riesgo, la amenaza, vulnerabilidad, así como detectar posibles incumplimientos,
  • Pueden materializarse en políticas, procedimientos automatizados, protocolos, manuales y/o sistemas de reporte,
  • Deben estar sometidos a testeos periódicos a fin de garantizar su efectividad en todo momento,
  • Deben ser proporcionales a la probabilidad y a los resultados potenciales de una mala conducta,
  • Han de clasificarse entre controles generales (con alcance corporativo) y específicos (para la actividad/proceso/área).

A modo ilustrativo sobre el tema que ocupa este apartado, en la siguiente imagen se reflejan aquellos controles que son fundamentales para combatir el crimen financiero en las organizaciones:

 

7. Definición de un marco de control. 

Paralelamente al ejercicio de identificación, análisis y gestión de riesgos, como CO debemos comenzar a diseñar nuestro marco de control, es decir, desarrollar aquellas políticas y procedimientos internos que:

  • regulen el sistema y,
  • que sirvan como punto de referencia para trabajadores y las partes interesadas para saber cómo actuar ante cualquier situación irregular que pueda producirse (ejm, una situación de conflicto de interés).

Entre ellas, podemos destacar el Código de Conducta como columna vertebral del marco de control, un documento que ha de recoger los comportamientos y valores de conducta que deben seguir de manera obligatoria todas las personas que forman parte de una organización y, que constituye un claro ejemplo de lo que se denomina autorregulación, es decir, la capacidad de las organizaciones para regularse a sí mismas, cuyo éxito se pone de manifiesto cuando un empleado recurre al mismo o a sus responsables para resolver una situación susceptible de generar un riesgo de conducta.

Un documento que cualquier empleado, independientemente de su responsabilidad y/o categoría profesional, ha de tener en cuenta en el desarrollo de su actividad profesional y del cual, han de colgar otras políticas y/o procedimientos que regulen nuestra actividad empresarial y que sirvan para prevenir y gestionar riesgos, tales como:

  • Plan de compliance penal (o plan de prevención de delitos penales).
  • Políticas de prevención del soborno y conflictos de interés.
  • Política anticorrupción.
  • Reglamento del Canal de denuncias.
  • Política de sostenibilidad.
  • Manual de riesgos
  • Plan de compliance medioambiental.
  • Plan de compliance fiscal.
  • Plan de compliance legal.
  • Política de seguridad de la información.
  • Política de diversidad.
  • Política de igualdad.

 

8. Diseño del Plan de Formación.

Como parte de las tareas y responsabilidades del CO, se encuentra la de impulsar y supervisar el diseño e implantación de programas formativos en materia de compliance, con el objetivo principal de dar a conocer los riesgos a los que los empleados de una organización se enfrentan en su día a día, así como los medios disponibles para mitigar dichos riesgos.

Estos programas de formación deben tener en cuenta los siguientes aspectos para que así sean diseñados e implantados correctamente:

  • Estar confeccionados a medida de las obligaciones y los riesgos de compliance relacionados con los roles y responsabilidades de los empleados.
  • Llevarse a cabo al comienzo de la relación laboral con el empleado y posteriormente de forma continua.
  • Estar alineados con el programa de formación corporativo e incorporado en los planes anuales de formación.
  • Ser prácticos y fácilmente comprensibles.
  • Ser lo suficientemente flexibles como para que puedan ser impartidos en varios formatos e idiomas para así atender las diferentes necesidades de las organizaciones, geografías y los propios empleados.
  • Ser evaluados por su eficacia, actualizados y registrados.

En cualquier caso, la formación en compliance ha de estar diseñada de acuerdo con los perfiles de riesgo y las necesidades de los miembros de la organización y en función de la actividad profesional que desempeñan.

El programa o los programas de formación deben tener en cuenta las normas legales que les son de aplicación y las políticas internas de la organización, lo que ayudará a que los miembros de la organización conozcan las pautas con las que deben actuar y además les permite ser conscientes de las consecuencias de los incumplimientos.

Las formaciones deben clasificarse en:

  • Formaciones genéricas: una formación global en materia de compliance que es común para todo el personal de la organización.
  • Formaciones específicas: formaciones sobre materias específicas con un enfoque basado en riesgos, dirigidas al personal que esté relacionado con actividades expuestas a riesgos alto o medio, o que se hayan visto afectados por un riesgo que se haya materializado.

Paralelamente a una acción formativa, el CO también deberá desarrollar actividades de difusión y comunicación en materia de Compliance, por ejemplo, con motivo de la publicación de nuevas políticas o procedimientos que formen parte del sistema, cambios en la legislación, o cambios destacables nuestra organización.

 

9. Fomento del uso de los sistemas internos de formación.

En el desempeño de nuestra función como CO, una de las tareas más destacadas que debemos adoptar es la implantación de canales internos de información, o canales de denuncia, que permitan a los empleados comunicar cualquier hecho que presuntamente vulnere lo establecido en el código ético de la entidad, la normativa interna que rige a la misma o la legalidad vigente.

Estos canales han de estar sustentados bajo los principios de confidencialidad, respeto al anonimato de las personas que no deseen identificarse, imparcialidad y objetividad, ausencia de represalias respecto del informante que comunique de buena fe y respeto a los derechos de todas las partes involucradas en la gestión de los expedientes.

A parte de los distintos requerimientos normativos en la gestión de los canales de denuncias, como CO debemos tener cuenta una serie de principios que ha de regir su funcionamiento, concretamente en:

Fomentar una comunicación transparente sobre su existencia:

  • Comunicar los empleados la existencia del canal y, concienciación continua sobre la importancia de utilizarlo.
  • Dejar bien claro que la empresa cumplirá con el deber general de mantener al informante en el anonimato.
  • Comunicar la existencia de un régimen específico de protección frente a las represalias que puedan sufrir las personas físicas que informen sobre infracciones normativas y la corrupción.
  • Hacer hincapié en la protección de los derechos sobre protección de datos personales.
  • Impartir formación interna en cuanto a la finalidad, objeto y el correcto uso del canal.
  • Facilitar medidas de accesibilidad al canal en los distintos canales de comunicación existentes (web & intranet).

Medición de impacto y monitorización de resultados:

  • Definición de indicadores cuantitativos, que contribuyan a medir y/o monitorizar el funcionamiento eficaz del canal (los denominados Key Performance Indicators o bien “KPIS”):
  • Nº de comunicaciones recibidas en el Sistema.
  • Nº de comunicaciones consideradas para investigación.
  • Duración media de tramitación.
  • Tipología de comunicaciones recibidas (ejm, comportamientos irregulares en contra de los principios y valores corporativos, relaciones laborales, fraude interno, acoso laboral, comercialización irregular de productos, igualdad de oportunidades, discriminación etc..).
  • Nº de medidas sancionadoras aplicadas.
  • Tipología de medidas adoptadas (ejem, despidos).
  • Nº de acciones realizadas en el fomento del uso del canal.
  • Nº de investigaciones abiertas (causas y motivos).

 

10. Reporte y transparencia informativa.

Para el CO, el hecho de depender directamente del órgano de administración implica tener vía directa de contacto o reporte al mismo, sin tener que solicitar permiso para la consulta o comunicación de información a otro ente u órgano.

En este sentido, y de manera anual, el CO reportará al Consejo sobre:

  • Las necesidades económicas, humanas y materiales, para el cumplimiento de las obligaciones de cumplimiento, a la vista de los dictámenes internos de conclusiones que se emitan.
  • El estado de la supervisión y actualización del sistema.
  • Las necesidades derivadas del plan formación de compliance.
  • Los resultados de las auditorías de compliance realizadas.
  • Las consultas, denuncias, comunicaciones recibidas a través del canal de denuncias interno.

Por otro lado, el CO debe realizar tanto informes periódicos como informes específicos como elemento de control de manera estructurada y con fines concretos.

Los informes periódicos podrán tener un contenido y un formato estándar en la organización, incluyendo la información necesaria para que los miembros del órgano de administración puedan tomar decisiones acertadas y justas.

A continuación, podemos encontrar una serie de contenidos de los informes periódicos de compliance al órgano de administración:

  • Principales novedades normativas adoptadas, previsión de nuevas normativas, estado de implementación de las normativas que impactan en la organización.
  • Relación de nuevas políticas y procedimientos asumidos internamente, actualización de políticas y procedimientos existentes, incidencias acontecidas con las políticas internas.
  • Número de empleados formados, acciones de concienciación y sensibilización realizadas, incidencias producidas en la formación.
  • Relación con los organismos supervisores y estado de implantación de los acuerdos adoptados con los mismos.
  • Revisiones realizadas del funcionamiento del sistema, deficiencias encontradas, medidas de remediación propuestas.
  • Resultados obtenidos en las mediciones realizadas de los indicadores de riesgo (KRI) y en los indicadores de desempeño (KPI).
  • Estado de implantación de las medidas correctivas derivadas de auditorías internas o externas, informe sobre su evolución, incidencias surgidas en la implementación de las medidas correctivas en fase de ejecución y acciones establecidas no realizadas.
  • Número, tipología y objeto de reclamaciones, análisis de sus causas raíz, tiempo medio de resolución, incidencias no resultas, etc….
  • Canal de denuncias: denuncias recibidas, investigaciones realizadas, conclusiones obtenidas, resoluciones adoptadas.

 

11. Supervisión y monitorización.

La monitorización se puede definir como “el proceso que evalúa la efectividad de los sistemas de control interno en su conjunto y que gestionan o mitigan los principales riesgos de una organización”.

La monitorización constituye un elemento esencial en cualquier programa de compliance, el cual nunca estará completo si no se realiza adecuadamente esa tarea de supervisión continua para verificar la adecuación de los controles existentes.

El plan de monitorización de compliance genera además un documento estructurado, que se elabora con carácter periódico (anualmente) en el que se definen y se documentan las tareas de supervisión que se van a ejecutar por parte de compliance durante el periodo.

Debe estar adecuadamente estructurado y documentado para posibilitar la aprobación por parte del máximo órgano de gobierno e indudablemente, desde ser elaborado por el CO, pero su aprobación debe ser realizada por la alta dirección de la organización.

El proceso de aprobación del plan de monitorización debe ser adecuadamente documentado y hay que tener en cuenta que, a lo largo del periodo que cubre el plan de monitorización pueden surgir circunstancias que hagan necesaria su modificación o adaptación, circunstancias que pueden ser tanto internas como externas a la organización.

Finalmente, es recomendable que cada cierto tiempo se proceda a revisar el plan de monitorización, verificando si la evaluación de riesgos realizada, la identificación de los controles o la información seleccionada continúan siendo adecuadas o no.

 

Este artículo es de propiedad de su autor José Mª Ramírez Fernández goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG). Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

Compartir