Por Carlos Sáiz, socio director Ecixgroup

“Compliance”. Una sola palabra que entraña un mundo que no está definido, ni homogeneizado, ni consensuado, ni estandarizado … ni siquiera claro, al menos para muchas entidades y profesionales. Pero el Compliance ya está aquí y hay que abrazarle y darle la bienvenida, y después pensar si le vamos a alojar en la suite o en el sótano sin ventana de nuestra organización.

El Compliance o Cumplimiento Normativo procede del mundo jurídico-empresarial anglosajón, pero su expansión es imparable en los países latinos, que recogemos esa herencia para poder gestionar la gran cantidad de normas que se publican cada semana y afectan a las empresas, así como para establecer controles en entornos operativos que no han estado muy controlados en décadas anteriores.

Entre las dudas que se suelen plantear las empresas se encuentran: ¿qué materias se engloban dentro del Compliance? ¿cómo se diferencian Asesoría Jurídica y Compliance? ¿cómo se relaciona Compliance con áreas como Control Interno, Gestión de Riesgos y Auditoría? ¿quién es y a quién reporta el Compliance Officer? Cada una dará para un artículo entero, pero antes hagamos algunas reflexiones generales con relación a cómo aterriza el Compliance en las empresas.

Sin duda, hay compañías que se apalancan en el Compliance para legitimar un plan de monitorización de los empleados y militarización de la organización, mientras que en otras compañías se pretende que el Compliance fortalezca conceptos como cultura corporativa, negocios éticos, transparencia, responsabilidad social corporativa, gestión de riesgos, minimización de fraude, etc.

Hay compañías que quieren cumplir el mínimo posible asumiendo riesgos y hay compañías que realizan grandes inversiones para alcanzar y mantener un alto grado de cumplimiento. Hay compañías que sólo quieren pasar una auditoría y hay otras que quieren aprovechar el gran resultado de políticas de Compliance como ejemplo de mejora en los procesos y de su aportación al negocio.

El sector bancario tiene ya muchas referencias, y es, sin duda, el sector que desde hace años lleva invirtiendo en Compliance y designando a Compliance Officers con más tradición de lo que lo han hecho las compañías de otros sectores, principalmente debido a lo establecido en la normativa MiFID. No obstante, la tendencia de tener una función de Compliance en todo tipo de organizaciones es evidente, y a mi modo de ver, suelen coincidir tres aspectos fundamentales para su creación y desarrollo:

1)     No sólo se consideran normas legales (leyes, reglamentos, etc.), sino también políticas internas, códigos éticos y compromisos contractuales (p.e. imaginemos la cantidad de controles que tiene que cumplir una empresa que preste servicios de Cloud Computing en base a los SLA´s con los clientes). Llamémosle a todas esas normas, políticas y compromisos en su conjunto “Marco Normativo”.

2)     Dentro de ese Marco Normativo, las materias que se incluyen en el concepto y la función de Compliance suelen tener estas características

a) conllevan la implantación de controles internos en los procesos de producción y/o comercialización de la compañía (p.e. información en la web para consumidores, firma de aceptación de políticas por empleados, implantación de un canal de denuncia interno, obligaciones en comunicaciones comerciales, uso de firma electrónica corporativa, etiquetado de productos, work flow de toma de decisiones, medidas de seguridad, respeto de plazos de devolución, etc.)

b) son normas cuyo cumplimiento normalmente está sometido a algún tipo de auditoría:

i.      porque la propia ley específica lo prevea (p.e. protección de datos, prevención de blanqueo de capitales, Sarbanes-Oxley,  etc.) ,

ii.      porque la revisión de su cumplimiento se suele englobar en el alcance de otras auditorías (p.e. Buen Gobierno Corporativo, control interno de información financiera SCIIF, etc.),

iii.      porque se incluye en auditorías de cumplimiento de políticas internas (p.e. políticas de uso y clasificación de información, código de prevención de delitos, FCPA, auditorías SAM Software Assests Management, etc.).

iv.      porque se incluyen en el cumplimiento de estándares internacionales, Códigos de Conducta o compromisos contractuales (PCI DSS para el tratamiento de datos de tarjetas de crédito, actividad publicitaria, Binding Corporate Rules, ISO 27000 sobre Seguridad de la Información, ISO 9000 sobre Calidad, ISO 14000 sobre Medio Ambiente, etc.).

3)     El desarrollo de la función de Compliance está muy ligado a las ya desarrolladas metodologías de gestión de riesgos, en este caso de riesgos legales y de cumplimiento.

El resultado que se persigue ya no sólo es el cumplo o no cumplo, sino que se consideran nuevos elementos y matices que enriquecen la toma de decisiones y hacen más complejo el proceso, pero más alineado al negocio, elementos tales como: nivel de exposición, nivel de riesgo, principales amenazas y vulnerabilidades, probabilidad, consecuencias del incumplimiento, consecuencias del cumplimiento parcial, inversión y ROI, riesgo reputacional derivado, etc.

Como conclusión, en los próximos años nos encontramos con el reto de ayudar a las compañías a adoptar en sus organizaciones nuevos métodos de trabajo y nuevas materias, que bien digeridas y organizadas, pueden dar lugar a una oportunidad para muchos profesionales para ganar visibilidad, alinear el Compliance al negocio y gestionar los riesgos legales de manera más eficiente.

3 Comentarios

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.