Cómo construir un sistema de ‘compliance’ efectivo, idóneo y eficaz

En una sesión de trabajo en la que participé, se planteó la siguiente pregunta: ¿Qué diferencia hay entre un sistema de gestión de compliance “efectivo”, “idóneo” y “eficiente”? En sistemas de gestión de cumplimiento (en lo sucesivo, CMS o Compliance Management System) y sin considerarlo en términos absolutos, nos referimos al término “efectivo” cuando el sistema funciona de manera proactiva para identificar, prevenir, con capacidad de detección y reacción de determinadas conductas y/o infracciones, a través del diseño e implementación de CMS orientado a la reducción del riesgo a unos niveles que resulten aceptables y, previamente definidos por el órgano de administración.

La idoneidad se refiere a la adaptación de la organización al contexto y a los riesgos sobre la base de su estructura, tamaño, países en los que opera y la actividad que desarrolla. Si el CMS careciera de esta adaptación al contexto interno y externo, el CMS no sería efectivo para la prevención de riesgos. Será necesario que todos los componentes del CMS, como el diseño de las políticas (definen el qué), procesos (conjunto actividades para la consecución de objetivo), los procedimientos (detalla el cómo), contenidos formativos, así como los profesionales que lo operan lo hagan —entre otros— en cumplimiento con los requisitos de independencia y autonomía y sean los adecuados para la finalidad a la que son destinados.

La eficiencia está ligada a la optimización de los recursos que pueden ser humanos, materiales o económicos en la consecución de los objetivos perseguidos (eficacia del CMS). En este ámbito, será necesario analizar si se decide por un modelo centralizado o descentralizado teniendo en cuenta la idoneidad del sistema, por ejemplo, si hay dispersión geográfica, complejidad jurídica, etcétera. Además, la asignación de recursos para la consecución de los objetivos de compliance será adecuada y proporcionada porque de lo contrario puede frustrar la esencia de la función de compliance con el riesgo de derivar en modelos conocidos como Fake Compliance a los que más adelante me referiré. Otra cuestión a considerar será la gestión del tiempo, aspecto crucial para la función de compliance, valorando la dedicación de los recursos humanos a la función. En definitiva, son muchos los aspectos que harán que un CMS sea eficiente como, por ejemplo, ejecutar de forma conveniente una evaluación de riesgos que nos permita dimensionar con mejor perspectiva los recursos disponibles, los procedimientos, así como el diseño de procedimientos proporcional a los riesgos (para que pueda operar de forma eficiente y mitigue los riesgos).

De la pregunta anterior, se derivó la segunda pregunta ¿cuáles son los requisitos fundamentales que debe de cumplir un CMS para que pueda ser considerado efectivo, idóneo y eficiente? Podemos comenzar indicando que la función de cumplimiento deberá de estar dotada de autonomía e independencia y podrá designarse a un órgano unipersonal o colegiado articulando los mecanismos que mitiguen los conflictos de intereses inherentes.

Un CMS deberá observar la supervisión y eficacia del sistema, por este motivo la función de Compliance Officer deberá estar legitimada con poderes autónomos de iniciativa y control y, grosso modo se traducirá en independencia funcional (siendo idónea también la jerárquica), autoridad y, recursos financieros suficientes para que la función de Cumplimiento pueda operar de forma debida. Sin embargo, para que estos poderes puedan ser efectivos y escapar del formalismo, necesitarán estar dotados de independencia que garantice un marco de actuación y decisión imparcial en coherencia con los objetivos del CMS.

Podemos extraer que la independencia está más asociada a la neutralidad en la toma de decisiones, a la línea de reporte y a la gestión de los potenciales conflictos de intereses; y, la autonomía está más asociada con la capacidad operativa para poder actuar con libertad, con proactividad, y acceso a toda la información necesaria, así como su capacidad y autoridad para gestionar los recursos asignados.

Iratxe De Anda cree conveniente seguir las tesis de Alain Casanovas (en la imagen tercero por la izda.) en cuanto a la verificación de los programas de compliance. (Imagen: E&J)

Gobernanza coherente

Las características de autonomía e independencia deberán de traducirse en un marco de gobernanza coherente al contexto organizativo y a la gestión del riesgo y, para abordarlo considero útil basarlo en el Modelo de las Tres Líneas del IIA (revisado en 2020 y anteriormente conocido como las Tres Líneas de Defensa). Este modelo ayuda a evitar conflictos de intereses, identificar estructuras y procesos con la finalidad de conseguir objetivos y promover un modelo de gobierno y gestión de riesgos sólido.

En este modelo, la función de compliance se situará en segunda línea que asesorará y supervisará la gestión del riesgo que se realiza por primera línea. Por su parte, la función de auditoría será la encargada de proporcionar una garantía independiente y objetiva sobre la eficacia de la gestión de riesgos y controles internos implementados, su responsabilidad incluye la evaluación independiente de la idoneidad y eficacia del CMS.

La colaboración y comunicación entre los roles que integran las tres líneas es básica para alinear la actividad de la organización con los objetivos e intereses. Una vez consolidado, la conexión del Modelo de las Tres Líneas con el marco de control COSO permitirá que los riesgos de cumplimiento se valoren junto con los riesgos financieros y estratégicos, con el mismo lenguaje de objetivos y apetito de riesgo.

De esta forma se adoptará un enfoque que contribuya a la adopción de sistemas alineados con los objetivos y circunstancias de la organización optimizando procesos y recursos disponibles. En determinados contextos, la función de cumplimiento es ejercida por un gestor del riesgo de la línea operativa situado en la primera línea, este caso deberá de observarse como una situación excepcional, y en todo caso deberán de establecerse salvaguardas adecuadas a preservar la autonomía e independencia de la función de cumplimiento.

Una verdadera cultura de compliance comienza por el tono ético corporativo que requerirá el respaldo, compromiso y apoyo del órgano de administración. Por ende, será necesario huir del diseño y aplicación de modelos genéricos o estandarizados. Además, sin el mencionado compromiso, el CMS estará destinado a ser como popularmente se conoce, un Make up Compliance o Paper Compliance dejando vacía la función de cumplimiento con la consecuente exposición al riesgo de la organización.

Desde mi punto de vista, este tipo de CMS agravan la exposición al riesgo por generar una falsa sensación de seguridad al alimentar la creencia que será suficiente tener diseñado un CMS de estas características para gestionar los riesgos. Para que un CMS sea eficaz e idóneo deberá diseñarse con resiliencia, es decir, que el CMS sea capaz de adaptarse a cualquier circunstancia y para ello será fundamental tener un conocimiento de la actividad, contexto interno/externo, y los procesos del negocio, todo ello sobre la base de un diseño adecuado de la estructura de gobierno corporativo.

Como conceptos complementarios a lo anterior, para dotar de eficacia y eficiencia al CMS, sería conveniente que la fase de diseño se realizara sobre la base de los procesos o actividades de la organización con el fin de evitar solapamientos y duplicidades en coherencia con el resto de sistemas de gestión que estén operando en el entorno corporativo.

Con el fin de abordar la complejidad de los diferentes bloques normativos y más teniendo en cuenta que nos encontramos en un escenario de alta producción normativa, un CMS valorará el diseño de superestructuras de complinace con el objetivo de coordinar y aprovechar las sinergias que además nos faciliten una visión integral[1]. En este diseño será importante valorar las obligaciones críticas para priorizar el despliegue y añadir de forma progresiva otros bloques.

No puedo cerrar el artículo sin recordar la célebre frase de Gabriel García Márquez: “Lo que no se comunica, no existe”, por lo tanto, deberán articularse planes de concienciación y formación adecuados a cada colectivo que pivoten sobre el análisis de riesgos previamente realizado, con materiales accesibles, etcétera. Por último y siguiendo lo indicado por Alain Casanovas Ysla [2], la verificación tanto del diseño como de la implementación será acorde a los objetivos definidos que nos permitan contrastar el nivel de aplicación práctica del diseño del CMS. Para abordar la verificación será esencial establecer sistemas que articulen los mecanismos necesarios que eviten los conflictos de intereses que pudieran derivarse como, por ejemplo, garantizar la independencia y de esta forma evitar las autorrevisiones.

Como cierre a esta reflexión, puedo considerar que un CMS eficaz dará respuesta a “qué se logra” y se centrará en la prevención, detección y gestión de los riesgos con el ineludible compromiso del órgano de administración a la vez que promueva una cultura ética verdadera. La idoneidad podría dar respuesta a “cómo se diseña” y se centrará más en el diseño, la estructura y adaptabilidad del sistema que permita atender los riesgos de compliance en la organización. Por último, la eficiencia podría dar respuesta a “con qué recursos se logra” y se relaciona con la utilización óptima de recursos en la consecución de los objetivos del sistema de gestión.

[1] Test_Compliance_1.pdf de Alain Casanovas Ysla.

[2] Test_Compliance_11.pdf de Alain Casanovas Ysla.