“¿Te importaría decirme, por favor, qué camino debo tomar desde aquí? –Eso depende en gran medida de adónde quieres ir, -dijo el Gato. –¡No me importa mucho adónde…! –dijo Alicia. –Entonces, da igual la dirección –dijo el Gato.”
Alicia en el País de las Maravillas
Lewis Carrol
Por Francisco Javier Carbayo, Asociado Senior del Área de Governance, Risks and Compliance de Ecix
La realidad actual (y no es un efecto de la crisis), nos obliga a ser profesionales del siglo XXI, conocedores de nuestra empresa, de los factores de presión normativa sobre la misma, de su entorno social y reputacional, de su proyección a futuro…
El Compliance Officer es una figura relevante en esta aproximación, pero que se enfrenta (salvo quizá en algunas entidades de sectores como el financiero o el farmacéutico), a un reto: es una figura en la niebla, difusa en sus bordes y que puede estar o dar la sensación de estar perdida.
En la importación del origen anglosajón, uno más, quizá se ha perdido la oportunidad de traer las pautas de configuración de la figura: integración en el organigrama, relación con asesoría jurídica, auditoría interna o incluso IT, empowerment, etc. Y ello incluso cuando hablamos de multinacionales de sectores en los que al Compliance se le supone desarrollado, maduro y normalizado.
¿Ejemplos prácticos? Dos empresas del sector salud (en sentido amplio…). En una de ellas el Compliance Officer es realmente un Compliance Manager sin equipo ni recursos, dependencia funcional de un Compliance Officer EMEA y “vinculado” de uno u otro modo a una Asesoría Jurídica que le permite un espacio de actuación, que tiene un empowerment de la que él no goza y que sí tiene numerosos recursos humanos, tecnológicos y económicos. En otra existe un compliance para clientes, otro para proveedores, otro para propiedad intelectual / industrial… ¿Están equivocadas estas empresas? No, en absoluto, sólo demuestran que el concepto “Compliance Officer” no es un concepto perfectamente delimitado, homogéneo y estandarizado. Pero es un concepto real, vigente, necesario y en franca pujanza, un reto y una oportunidad.
A la vista de esta situación, pero sin ánimo de dogmatismo ni de dar consejos a nadie (nunca me atrevería), sí que creo que hay algunos elementos muy a tener en cuenta la creación del “Compliance Officer (casi) perfecto”:
1.Soft skills. Disponer de una gran capacidad de comunicación, interactuación y networking con quienes son los destinatarios finales de nuestros servicios, sea el cliente interno (en el caso del Compliance Officer), sea el cliente externo (en el caso de servicio de Compliance, inclusive la externalización de la función de Compliance Officer), son imprescindibles. Ante y todo el Compliance Officer debe tener una total empatía con el negocio y con las áreas de soporte a ese negocio. El objetivo final no es ser tangencial, transversal, paralelo, perpendicular…, al negocio. El objetivo es ser parte del negocio, aporta valor al negocio. ¿Somos capaces de empatizar y apotar valor al negocio hasta convertirnos en parte de él?
2.Ser “la persona / departamento del NO” impide apreciar los riesgos y gestionarlos. La gestión de cumplimiento deben ser actividades a ayudar a identificar los riesgos asociados a una determinada actividad, expresados de manera sencilla, clara y directa, para que puedan gestionarse. ¿Somos capaces de alimentar el proceso de decisión, sobre si lanzar un nuevo negocio, con una representación de riesgos de cumplmiento en un sola hoja?
3.Conocer es el primer paso para poder actuar. Aunque sé que es una afirmación algo exagerada, vivimos una era en que puede llegar a ser más importante saber cómo manejar las múltiples fuentes de información que tenemos a nuestra disposición, que acumular conocimiento en nuestra cabeza. ¿Sabemos manejar a conciencia las herramientas de gestión que nos provee nuestra Organización, nuestros proveedores, etc.?
4.La tecnología no es una alternativa. La base tecnológica como driver de la actividad económica es una constante en (casi) todas las empresas, pequeñas, medianas y grandes. Es con ella como mejoran su actividad, amplían su negocio y llegar a nuevos mercados (y no sólo me refiero a Internet). ¿Hemos obtenido un mínimo conocimiento tecnológico que nos permita entender las herramientas que utilizan nuestros clientes (internos y externos) como driver y/o soporte de su actividad?
5.La automatización es esencial para ser más eficiente, mejor y más barato. Más allá de consecuencias sociales que desde luego hay que gestionar, lo cierto es que actualmente la tendencia es que si siempre que sea posible las tareas se hacen por máquinas y software y no por personas. Y esa afirmación es extensible a las actividades de cumplimiento normativo. ¿Nos ayudamos en nuestra actividad con tecnologías que automatizan tareas de cumplimiento y nos permiten ser más eficientes y más baratos?
Una vez lo anterior, ahora la pregunta puede ser cuál es el la material prima con la que trabaja el Compliance Officer: el riesgo.
También en cumplimiento normativo, el riesgo es la probabilidad de que una amenaza aproveche una vulnerabilidad, para provocar un impacto. Las amenazas no las vamos a identificar de manera expresa, para que las autoridades públicas, consumidores, accionistas, clientes, grupos de interés, etc., no se sientan señalados… Las vulnerabilidades sí, ya que son las temas que estén dentro del alcance competencial del Compliance y que pueden o suelen ser:
– Leyes, como las de privacidad, corporate compliance, prevención del blanqueo de capitales, propiedad intelectual e industrial, FATCA, SOX, etc.
– Contratos, como SLAs, acuerdo de socios (p.e. conflictos de interés), controles en servicios cloud, Software Assets Management, etc.
– Autorregulación, Buenas prácticas, como ISO 27001, Binding Corporate Rules, Reputación online, etc.
– Normativa interna, como códigos éticos, control de fraude interno, whitleblowing, antibribery, uso de recursos informáticos, etc.
En definitiva, el Compliance Officer tiene que huir de la actitud de Alicia, a la que no le importa la dirección a la que dirigirse, ya que en tal caso ciertamente no llegará a ningún lugar que le interese, y si lo hace, no se dará cuenta de dónde ha llegado. Antes bien, quienes quieran realmente desempeñar la función de Compliance Officer o prestar servicios de Cumplimiento normativao tienen ante sí la oportunidad y el reto de ser realmente quienes pueden ser orgánica, funcional y materialmente.
Muy interesante todo lo que comentas, desconocía esta posición. La verdad es que he llegado a este artículo a través de la búsqueda de información sobre el fraude interno. Y es que recientemente tuvimos un caso en nuestra empresa, y teniendo en cuenta que somos una empresa pequeña nos sorprendió a todas muchísimo.
He aprendido mucho con su artículo de todas formas así que le agradezco la información. Feliz año,
Lorena.