Tabla de contenidos
A día de hoy la figura del Compliance Officer, también conocido como Director de Cumplimiento Normativo, es cada vez más habitual en las empresas. Y es que en plena era digital, estas se enfrentan a riesgos legales y ciberataques que pueden paralizar su crecimiento.
En este post vamos a explicar con precisión qué es un Compliance Officer, o responsable de cumplimiento normativo, y qué métodos y herramientas debe conocer.
¿Qué encontrarás en este post?
¿Qué es el Compliance Officer?
El Compliance Officer es el profesional encargado de tomar las mejores decisiones para operar cumpliendo siempre con la normativa impuesta. Es el responsable dentro de la empresa de saber qué normativa y leyes le son aplicables a la empresa y cuál es la mejor manera de cumplirlas.
Dada la complejidad del ámbito regulatorio actual, un buen Compliance Officer debe tener un conocimiento profundo en materia de leyes y normas, por lo que es recomendable que cuente con amplia experiencia en asesorías jurídicas y fiscales. Es una figura estratégica para evitar sanciones legales en la organización.
Por otro lado, debe de ser también experto en la definición e implementación de planes de Compliance y en el uso de metodologías y herramientas que facilitan y agilizan su trabajo.
A raíz de sonados escándalos financieros corporativos de principios de los 2000, algunos países han ido incorporado a su plantilla a este responsable del cumplimiento normativo hasta ser hoy en día alguien fundamental dentro de la empresa.
Aunque en España la figura del compliance officer no es obligatoria en las empresas, si una compañía incumple alguna norma y no cuenta con este experto de supervisión puede tener que asumir una responsabilidad penal elevada. Esta situación es evitable si se cuenta con este profesional y demuestra que se tomaron las medidas de prevención necesarias.
Métodos y herramientas básicas para un Compliance Officer
Un compliance officer debe controlar que la empresa cumple con la legislación en vigor y evitar que esta cometa cualquier infracción, salvaguardando así su continuidad en el mercado, además de su reputación. ¿Cómo hacerlo lo mejor posible?
1. Definir objetivos de compliance
Al elaborar un plan de compliance lo primero que hay que hacer es establecer unos objetivos. La Norma UNE-ISO 19600:2015 es una referencia internacional aplicable a cualquier empresa que ofrece unas directrices para implementar, evaluar, mantener y mejorar un sistema de gestión de compliance.
Además, esta norma indica cómo la empresa puede asegurarse de que está cumpliendo con sus objetivos y explica cómo asegurarse de que los acuerdos con terceras partes también están al corriente en materia de compliance.
2. Elaborar cuadros de mando
Para saber si se están cumpliendo o no los objetivos de compliance, hay que elaborar un cuadro de mando que incluya una serie de indicadores. La finalidad es poder valorar si las medidas de control definidas son eficaces o no.
Por ejemplo, algunos indicadores pueden ser el nivel de automatismo de controles, el número de controles satisfactoriamente ejecutados sobre el total de controles de un proceso, el número de controles clave satisfactorios sobre el total, etc.
Estos indicadores permiten tener una visión muy rápida del entorno de control por cada proceso, lo que a su vez facilita conocer el estado del plan de compliance en tiempo real. Esto permitirá al Compliance Officer saber cuál es el estado de riesgo actual, comunicarlo a la directiva y diseñar un plan de mejoras, en caso de que sea necesario.
Los controles automáticos son los que se implementan directamente en los sistemas informáticos. Cuanto más digitalizada esté una empresa, más controles automáticos se pueden implementar, y si éstos funcionan correctamente, se reduce significativamente el riesgo con respecto a un control manual, porque se mitiga el riesgo de error humano.
Ejemplos de controles automáticos
- La herramienta de compras no permita emitir un pedido de compra a un proveedor si no existe presupuesto aprobado para esa compra.
- Al generar el pedido, el sistema solicita un número de documento presupuestario:
- Si introduces el número, el propio sistema identifica si el pedido que estas haciendo concuerda con la compra para la que se han solicitado fondos. Si es así, permite emitir el pedido y mandarlo al proveedor.
- Si no introduces ese número, el sistema se bloquea y no permite continuar con el pedido.
3. Utilizar métodos de análisis y gestión de riesgos
Para analizar y valorar los riesgos según su impacto y probabilidad existen diversas metodologías, cualitativas y cuantitativas.
A día de hoy, muchas empresas siguen utilizando principalmente técnicas cualitativas, en las que evalúan los riesgos a través de cuestionarios realizados a los responsables de los procesos.
El problema de estas técnicas es que el resultado de la valoración es subjetivo, ya que cada responsable indica, según su propio criterio, el impacto y la probabilidad de ocurrencia de cada riesgo identificado. Lo más complejo a la hora de analizar riesgos es priorizar y decidir cuáles deben considerarse en primer lugar.
| Evaluación cuantitativa | Evaluación cualitativa |
|---|---|
| Asigna valor monetario a un riesgo específico. | Asigna valor subjetivo a los riesgos: alto, medio o bajo. |
| Se utilizan modelos matemáticos de evaluación. | Se utilizan métodos como la matriz de riesgo relativo, que prioriza los riesgos teniendo en cuenta 2 variables: el impacto y la probabilidad de ocurrencia. |
| Los resultados son más precisos y ajustados a la realidad | El resultado depende de una percepción personal del riesgo. |
La norma ISO 31000:2018 es una norma fundamental en Risk Management que recoge una serie de principios y directrices para gestionar cualquier tipo de riesgo e implementar el proceso de gestión tanto a nivel estratégico como operativo.
La norma puede ser utilizada por cualquier tipo de empresa, sea cual sea su sector y tamaño, para que pueda considerar el riesgo como elemento generador de valor, ya que ayuda a alcanzar los objetivos mediante un pensamiento basado en el riesgo para la toma de decisiones.
4. Sistemas de monitorización
Aquellas empresas que están llevando a cabo con éxito su transformación digital es probable que tengan ya toda su información integrada en un ERP. Por ello cualquier tarea es totalmente trazable al quedar registrada pudiendo saber además qué usuario realizó qué acción.
Toda la información generada puede rastrearse, con lo cual si se define bien un sistema de monitorización y se combina con un sistema de alertas, se pueden detectar acciones sospechosas de fraude con mayor facilidad.
5. Generar evidencias
En el caso de que se cometa alguna infracción, un buen programa de compliance debe estar diseñado de manera que se pueda demostrar que existían controles para evitarlo. Al fin y al cabo, compliance se trata de evidenciar que algo se ha hecho: se dio formación adecuada a los empleados, se envió el contrato a un proveedor, se envió un email informativo a los directivos, etc.
El email certificado es la herramienta perfecta para generar este tipo de evidencias, ya que permite justificar que una determinada documentación fue entregada y leída por su destinatario.
6. Segregar funciones
Para evitar que una persona o un departamento lleve a cabo tareas que puedan dar lugar a fraude, es recomendable segregar funciones.
Una forma de hacerlo de forma fácil y rápida es mediante una matriz de perfiles y tareas en las que se marcan las incompatibilidades. Por ejemplo, la persona encargada de preparar los pagos no puede tener permisos para cambiar una cuenta bancaria.
Lo que hay que evitar es que las funciones que pertenecen a un mismo flujo de procesos se solapen, ya que en caso de hacerlo es más fácil que se produzca un fraude a nivel interno.
7. Elaborar un Código Ético
Un Código Ético es una declaración pública del compromiso de una empresa con las normas de conducta y los principios de integridad empresarial que han de seguir a todos los profesionales de la organización.
Es muy recomendable crear un Código Ético y distribuirlo en todos los departamentos, procurando que lo firme el mayor número de empleados posible.
Disponer de una herramienta de firma electrónica contribuye enormemente a maximizar el número de firmas, ya que los empleados pueden firmar fácilmente en cualquier momento desde su ordenador, tablet o desde su teléfono móvil.
Además, quien realiza el envío del documento a firmar puede conocer en todo momento el estado en el que se encuentra dicho documento. De esta forma, el tiempo dedicado a tareas de seguimiento se reduce al mínimo nivel.
8. Habilitar un canal de denuncias
Para investigar casos de fraude, es importante habilitar un canal de de denuncias tanto interno como externo. Así tanto empleados como clientes, proveedores u otros grupos de interés puedan denunciar conductas contrarias al Código Ético.
Una forma de comunicar las denuncias puede ser a través de la página web de la empresa o enviando un correo electrónico directamente a la persona responsable de la investigación.
Conclusión
Estas son algunos de los principales métodos y herramientas de un Compliance Officer, aunque existen muchos más. La responsabilidad que conlleva su trabajo hace imprescindible que este profesional las conozca y sepa implementarlas teniendo en cuenta las características concretas de cada organización.
En Signaturit ofrecemos dos herramientas que pueden contribuir a agilizar el trabajo a cualquier controller jurídico, independientemente del tipo de empresa o sector: la firma electrónica y el email certificado. Si quieres conocer cómo funcionan o si tienes cualquier pregunta o consulta, no dudes en ponerte en contacto con nosotros y resolveremos todas tus dudas.
Este post fue publicado originalmente el 05/12/2017.
