Consultoría & Consultores

Los modelos de compliance han ido evolucionando en las organizaciones más comprometidas con la ética y el cumplimiento a lo largo de los últimos años. Impulsadas, en muchos casos, por nuevos requerimientos regulatorios y la creciente necesidad de los Consejos de Administración de tener seguridad sobre distintas materias que podrían amenazar tanto la consecución de los objetivos estratégicos como afectar los intereses de los stakeholders, las compañías se han visto inmersas en procesos de reevaluación de sus riesgos de cumplimiento (no siempre con el éxito deseado), aplicando diferentes metodologías, guías y Buenas Prácticas, a medida que los diferentes reguladores u organismos de referencia han ido emitiendo documentos.

Si nos fijamos despacio, en la actualidad nos encontramos con un aluvión de publicaciones casi diarias en las que asesores legales, consultores o expertos independientes pretenden detallar la receta mágica para el diseño e implementación de programas de cumplimiento exitosos. En muchos casos tomando como referencia bases robustas y bien desarrolladas (como las guías de interpretación de FCPA, o las publicadas por el Departamento de Justicia Americano-DOJ, o la antigua ISO 19600) y, en otros, atendiendo a la opinión particular del emisor de la publicación.

En general, la mayor parte de estas Buenas Prácticas o principios de actuación tienen bastantes puntos en común, especialmente en lo referente a: un detallado análisis y valoración de riesgos, la definición de mecanismos de mitigación o control, el seguimiento y la monitorización continua y el reporte. Aunque cada uno de ellos pone el foco en ámbitos concretos atendiendo a las preocupaciones específicas del órgano regulador. No obstante, hay que destacar que todas estas guías o Buenas Prácticas mantienen el objetivo de reducir o evitar la materialización de actuaciones irregulares, capaces de causar daños económicos a las compañías. Daños que podrían generarse bien a corto plazo o bien a largo plazo, a través de impactos reputacionales que pudieran ocasionar efectos directos en la imagen y la confianza en el negocio.

Las organizaciones han utilizado estas herramientas no solo para reducir estos riesgos, sino como elemento clave para demostrar o evidenciar su diligencia en la gestión del cumplimiento ante cualquier tercero (desde clientes y proveedores hasta los propios reguladores).

A todas estas guías se ha venido a unir, a principios de este mes de noviembre, una nueva publicación, emitida por el renombrado Committee of Sponsoring Organizations of the Treadway- COSO-, cuya finalidad es establecer cómo aplicar el Modelo de COSO ERM a los modelos de cumplimiento. El documento “Compliance Risk Management: Applying the COSO ERM Framework”, se estima que se constituirá como nueva guía en el despliegue de los modelos de cumplimiento, conjuntamente con la nueva ISO 37301.

El documento publicado por COSO está alineado, en su gran mayoría, a todos los principios y buenas prácticas precedentes, se pone el foco en la gestión de los riesgos de cumplimiento en toda la organización cubriendo requerimientos legales y regulatorios tanto externos como internos de la organización, poniendo el acento en el cultura.

Adicionalmente, se ponen sobre la mesa cuatro cuestiones que han estado en el debate interno de muchas compañías en los últimos tiempos:

1. Independencia de la función de cumplimiento

En general, las funciones de cumplimiento se han ubicado de forma tradicional, por su cercanía, embebidas en las áreas legales de las compañías o, en algunos casos y con una visión de control, dentro de las áreas de Auditoría Interna.

En este nuevo documento se pone de manifiesto que, en algunos casos, los reguladores están exigiendo en determinadas industrias que esta función sea independiente y con línea directa de reporte al Consejo. Se afirma que sería deseable que así fuera, para reducir conflictos en los roles y responsabilidades asignados a la función que, en ocasiones, podrían colisionar con las actividades desempeñadas, por ejemplo, por el área Legal. Por tanto, en los próximos tiempos y, en base a esta publicación, podría presentarse una tendencia de los Consejos, dentro de su labor de supervisión indelegable, a exigir que el área de cumplimiento se constituya independiente y con reporte directo al órgano de administración, siempre y cuando la estructura y tamaño de la organización así lo permitan.

2. Compliance como soporte en la definición de los objetivos de negocio

Hasta el momento, en los documentos previos, no se había puesto tanto énfasis en: el análisis de los objetivos estratégicos de la organización, la consideración del apetito de riesgos de las compañías y en el apoyo por parte del área de cumplimiento en la definición de los objetivos de negocio. En este caso, se hace patente que, la función de cumplimiento debe erigirse como socio de negocio para la identificación de los riesgos operacionales que afectan al cumplimiento y como soporte en el establecimiento de las medidas mitigadoras.

3. Riesgos de cumplimiento heredados en Fusiones y Adquisiciones

Otro elemento que merece también especial atención, es la mención que se hace en el documento a los riesgos materializados en fusiones y adquisiciones. Se ha de prestar especial cuidado en las evaluaciones de los procesos de integración de las sociedades considerando, no solo la situación financiera de las mismas, sino los modelos de cumplimiento existentes en ambas y la identificación de riesgos. Se habrá de considerar cómo los incumplimientos o actuaciones irregulares acaecidas previamente a la fusión (riesgos heredados) podrían impactar en la nueva sociedad integrada.

4. La relación entre los riesgos

Además de los puntos anteriores, un concepto que se ha ido colando en los departamentos de riesgos en los últimos años, y que parece que se ha demostrado como clave en la gestión de riesgos, a raíz de la pandemia, es el análisis de la relación existente entre los riesgos. Es decir, cómo la materialización de un riesgo en un área de la compañía puede afectar o impactar en otro. En este sentido, el documento nos presenta esta problemática más allá del debate, es decir, lo plantea como elemento a analizar durante los procesos de evaluación de riesgos. Por lo que la gestión tradicional de los riesgos que afectan a los objetivos de la organización, ha de virar hacia opciones más ajustadas a la realidad de las compañías, apalancadas en la tecnología, que contribuirán a definir mecanismos de control y mitigación más eficientes.

A parte de estas cuatro cuestiones, la publicación presenta un detallado desarrollo de cada uno de los componentes de COSO ERM aplicado al cumplimiento, que resultará familiar a las compañías con modelo de gestión de riesgos alineado con esta Buena Práctica. Sin embargo, el incorporar el espíritu del Marco de Control COSO tradicional, conjugado con el COSO de gestión de riesgos, permite que el enfoque planteado por este organismo de referencia contribuya a completar la visión que hasta ahora se tenía del “Compliance” y reforzar su importancia en las organizaciones.

En los próximos meses observaremos cómo las compañías afrontan los nuevos retos en materia de compliance, considerando todas las guías existentes y la creciente tendencia y necesidad de aseguramiento exigida por los Consejos de Administración.

Alicia Burgueño

Alicia es senior manager de Gobierno, Riesgo y Cumplimiento de KPMG en España. Alicia es Certified Internal Auditor por el IIA y Certified Fraud Examiner por ACFE. Durante su carrera profesional ha liderado proyectos de alta especialización relativos a la implantación de modelos de control interno sobre la información financiera (Normativa SOX-EEUU), auditoría interna, y asesoramiento en el diseño e implantación de modelos de compliance tanto a nivel local como internacional.