1. Introducción :El significado más conocido del término inglés “compliance” es cumplimiento o conformidad (to be in compliance with: estar de acuerdo con …), traducción literal demasiado amplia y ambigua que a pesar de tratar una función extendida en muchas empresas y organizaciones, es todavía una figura desconocida sobre todo en el entorno Pyme y no por ello de poca importancia.Voy a intentar explicar en esta breve entrada la gradual necesidad que encuentro en muchas pymes de esta figura.
El responsable de Compliance tiene como objetivo principal implementar los procedimientos que aseguren el cumplimiento normativo interno y externo en sentido amplio.
La función (por lo tanto) de Compliance tendrá como misión asegurar uno de los objetivos de control interno mencionados en el Informe C.O.S.O. (1) [1]: cumplimiento de las leyes y de las reglamentaciones aplicables. A medida que avancemos en el análisis también veremos que su trabajo colabora significativamente en el logro dos otros objetivos de C.O.S.O. A poco de profundizar en los alcances y organización de la función de compliance nos encontramos con una gran diversidad de experiencias más o menos exitosas. El presente artículo pretende explicar cuál es la función generalmente aceptada de la “Función de Compliance”, cuál es su alcance, cuáles son sus responsabilidades y cómo debería organizarse. Para ello, y para aunar criterios, nos basaremos en el documento oficial emitido por el Comité de Basilea a principios de 2004 que contiene once principios y una definición. Recordemos que el Comité de Basilea está conformado por los representantes de los bancos centrales de todos los países afiliados – aproximadamente 150 –. Si bien sus orientaciones tienen como destinatario a los sistemas financieros, entiendo que los siguientes comentarios son totalmente aplicables a toda clase de industria. 2.- ¿Mi empresa u organización está en Compliance? A esta pregunta, muchos empresarios o profesionales responden de forma positiva porque normalmente tienen algún sistema de control de riesgos, más o menos rudimentario, es decir en muchas organizaciones hay un proceso, con mayor o menor organización y recursos aplicados –que llamaremos proceso tradicional- que consiste en: a) La existencia de una actividad, en algunos casos centralizada por Organización y Métodos, que tiene por objetivo mantenerse actualizado respecto a las novedades normativas y reglamentarias y por el área de asesoramiento jurídico sobre la legislación de fondo. En otros casos, en empresas de menor tamaño, no existe una rutina específica de actualización normativa sino que es responsabilidad de los distintos gerentes mantenerse actualizado sobre las novedades de las áreas a su cargo. b) La existencia de un procedimiento para la publicación y el mantenimiento del cuerpo normativo interno; c) La verificación periódica del cumplimiento normativo por parte de la Auditoría Interna; y finalmente, d) El proceso se retroalimenta con la actualización permanente y se mejora con la implementación de las recomendaciones que realiza la Auditoría. Una vez más, como en otros supuestos de calidad, la empresa u organización tiene sensibilidad de una necesidad vital, pero no aprueba un método al uso, para dar seguimiento. Más aún si consideramos que hay muchas empresas que por distintos motivos (falta de marco regulatorio apropiado o simple desorganización interna) no han alcanzado ese nivel organizativo. Ahora bien, analicemos críticamente y en la práctica, desde una hipotética posición de Auditores internos, si la situación descripta en los puntos a) a d) responde a nuestra pregunta simple: ¿ “La organización está –razonablemente- en Compliance”? En mi opinión hay bastante confusión con respecto al alcance de la función de compliance y consecuentemente sobre el cumplimiento del tercer objetivo C.O.S.O. ya mencionado. Si hacemos una autocrítica veremos que también los auditores participan en alguna medida de esa confusión. Veamos por qué. Es común encontrar en los Informes de Auditoría que como objetivos del trabajo se mencione evaluar –entre otros- el cumplimiento de las leyes y reglamentaciones aplicables. Casi como una fórmula incorporada y que vamos transmitiendo a los supervisados, en la mayoría de los casos para demostrar nuestra adherencia al modelo C.O.S.O. Sin embargo, sabemos que cada vez que el auditor termina un trabajo surgen numerosas observaciones sobre las normativas aplicables y sobre su cumplimiento. Más de una vez mencionamos que son puntos recurrentes a los cuales hay que cambiarles algunos datos (normas, fechas, títulos, etc.) pero tanto la observación, la consecuencia y la recomendación se repiten de Informe a Informe.
Resulta claro que las sucesivas observaciones sobre una misma falla revelan que algo no funciona como pretendemos. Ahora bien, aún cuando las recomendaciones se implementen en tiempo y forma (que no es lo habitual) cuánto tiempo pasará hasta la próxima auditoría para volver a corregir. Y entre las distintas auditorías quién mantiene el compliance? La empresa, en materia de Compliance, se vuelve reactiva. Reacciona ante el estímulo en este caso representado por la observación del auditor. Volviendo a nuestra pregunta, ¿en estas condiciones podríamos opinar que la organización está – razonablemente – en compliance? En una metodología de trabajo con enfoque de riesgos creo que con el proceso antes descripto no podríamos afirmarlo ya que no existe un proceso que garantice el compliance por sí mismo en forma continua y permanente. Realizo esta afirmación comparando el proceso descripto en este punto con la definición y principios de la función de compliance según las mejores prácticas internacionales que podrá observar a continuación.
3.- Definición de la función de Compliance: El Comité de Basilea definió de esta manera a la función de compliance: Una función independiente que identifica, asesora, alerta, monitorea y reporta los riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras, o pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las regulaciones, los códigos de conducta y los estándares de buenas prácticas (juntos “leyes, reglas y estándares”). Aclarando que: la función de compliance se refiere a todas las personas que tienen alguna actividad o responsabilidad relacionada con compliance y no a un sector de la organización en particular. Esto es lógico desde que toda actividad relacionada al control interno debe ser responsabilidad de toda la organización. Ahora bien, analizando los pasos de la definición tenemos que se trata de una función que:
Comparemos en el siguiente cuadro el proceso descripto en 2 (pasos a) a d) – que llamamos proceso tradicional- con un equipo de compliance trabajando conforme a la definición de la función de Compliance:
En la práctica podríamos hablar de una gestión de compliance desorganizada y no especializada –la del proceso tradicional- y de otra, mucho más organizada y efectiva. 4.- Cómo se estructura una función de Compliance organizada? El Compliance Officer es, sin dudas, el responsable táctico y operativo de implementar las políticas definidas por la Alta Administración de la organización. Normalmente existe un Comité encargado de supervisar la función, este comité puede ser el Comité de control externo o uno específico dependiendo en ese caso de cada organización.
Hay distintos modelos de estructura interna del equipo de compliance: Compliance centralizado: se trata de una oficina que define, diseña, implementa y monitoriza las actividades de toda la organización
Compliance descentralizado: en este modelo las unidades de negocios cuentan con representantes de compliance que responden técnicamente al compliance central y administrativamente al superior jerárquico de la línea.
5.- ¿Qué se espera de la Función de Compliance? Mencionemos que para cumplir con sus objetivos, la función de compliance debería incluir las siguientes responsabilidades:
Obviamente, cada uno de estos ítems requiere profundizar a un nivel mayor de detalle sobre el rol del Oficial de Compliance que no es el motivo del presente artículo. Por otra parte, es necesario aclarar que para poder realizar todas esas actividades con éxito es necesario implantar en forma adecuada la función de compliance.
Lógicamente como ocurre en muchos otros supuestos de outsourcing, y en relación a la dimensión organizativa, es posible, externalizar el Compliance management en una firma externa a la propia organización.
6.- Costos – Beneficios de organizar una Función de Compliance: No caben dudas que en una primera etapa organizar adecuadamente una función de Compliance requiere una pequeña inversión: contratar un profesional especializado, conformar el equipo, horas de capacitación para todos los colaboradores. Sin embargo, sabemos que el concepto de costo se entiende mucho mejor desde otro que es el de la productividad. Es decir, ¿qué beneficios podemos esperar de la función de Compliance? Normalmente se asocia a Compliance con un proceso que permite evitar multas por incumplimientos normativos pero es importante destacar que una función bien organizada y que alcance a toda la organización brinda también estos otros beneficios: ü protección de la imagen de la empresa (cumplimiento legal, empresa ética) ü protección de marcas; ü mejoras en el ambiente de control (ética corporativa, normas, funciones, etc.) ü mejoras en la relación con los clientes, empleados, proveedores, entes reguladores, poder público, etc.; ü mejor alineamiento de las personas y los procesos con los objetivos estratégicos; ü posibilidad de hacer negocios más seguros y más y mejores negocios porque los procesos de soporte a esos negocios son también más sólidos y confiables. 7.- Conclusiones: Esperando haber aclarado algunas cuestiones sobre la “Función de Compliance”, me parece adecuado resaltar en primer lugar que es más conveniente contar con una función de compliance organizada. Es verdad que para muchas empresas puede representar un costo adicional pero esas organizaciones deberían considerar los beneficios que conlleva implantar esta función. Desde el punto de vista del Auditor creo que debemos reflexionar mucho antes de repetir la fórmula mencionada: colocar el compliance como objetivo y luego hacer una simple y rutinaria observación por la inexistencia o no adecuada redacción o cumplimiento de una norma. En mi opinión los Auditores Internos deberían promover en nuestros ámbitos de trabajo la existencia de una Función de Compliance organizada en alguna de las modalidades presentadas en este artículo. Si no lo hacemos estaremos auditando en base a C.O.S.O. a una organización que no lo ha adoptado, al menos para este objetivo de control. En resumen, se puede contratar una figura externa y suficientemente especializada para implementar un sistema activo de seguimiento de cumplimientos legales, en todas aquellas organizaciones, que por su dimensión no puedan destinar medios materiales y humanos para crear la función de compliance, todo ello redundará en un beneficio directo y limitará las sanciones, mejorará la solvencia, reputación y responsabilidad corporativa de la entidad u organización.
|
[1] C.O.S.O. es un comité (Comité de Organizaciones Patrocinadoras de la Comisión Treadway) que redactó un informe que orienta a las organizaciones y gobiernos sobre control interno, gestión del riesgo, fraudes, ética empresarial, entre otras. Dicho documento es conocido como “Informe C.O.S.O.” y ha establecido un modelo común de control interno con el cual las organizaciones pueden evaluar sus sistemas de control.
