En una sesión del Foro Económico Mundial, su fundador y entonces presidente, Klaus Schwab, lanzó una pregunta: ¿Cómo nos aseguramos de que esta última revolución no prive a la humanidad de su alma y corazón, sino que la lleve a una nueva consciencia moral basada en una idea de destino compartido? Y es aquí dónde entra en juego el Compliance como factor de excelencia
¿Qué significa Compliance?
El término de COMPLIANCE suena últimamente mucho como aspecto novedoso en la gestión y la ética de la empresa, pero es un término de toda la vida. Simplificando, su significado sería: CUMPLIMIENTO NORMATIVO EN EL MARCO DEL BUEN GOBIERNO EMPRESARIAL
Es un significado que, a priori, parece sencillo pero que abarca mucho más que las normas. Se refiere a trabajar conforme a la ética, evitando cualquier tipo de delito: el de guante blanco, el incumplimiento de los derechos humanos, la falta de transparencia, saltarse los códigos éticos, de conducta y la protección de datos, y cualquier otra norma vigente sea del tipo que sea.
Hace unos años en un post hablaba del papel de la ética en las organizaciones ¨Ética, moda, necesidad o palabrería¨.
¿Cuáles son las consecuencias para las empresas del incumplimiento?
Muchos de estos aspectos están acotados tanto deontológica como jurídicamente y su incumplimiento supone un coste por las sanciones, pero también un ALTO COSTE DE PÉRDIDA REPUTACIONAL, que puede derivarse de saltarse todo tipo de normas y leyes, reglamentos, códigos y políticas corporativas.
Entre las multas económicas, la posibilidad de cárcel de sus directivos y el coste reputacional, podríamos decir que a las empresas les sale a cuenta no jugársela, no asumir riesgos y ser cumplidoras con el fin de evitar todas las consecuencias que de sus malos actos se podrían derivar.
¿Cómo afecta el Compliance a terceros?
El compliance supone un cambio de forma de pensar. No defiende los intereses de la empresa solo pensando en la propia organización, sino en los terceros, las partes interesadas, los cuales saldrán perjudicados por las malas praxis de la compañía.
Las empresas deben hacerse la siguiente pregunta y reflexionar sobre cómo evitarlo: ¿Qué estoy haciendo que pueda perjudicar a terceros?
¿Cómo se aplica la metodología de los círculos de calidad al Compliance?
El círculo de la calidad aborda la gestión empresarial óptima de forma genérica, siendo su circuito el siguiente:
Lograr empresas cumplidoras con la ley, los valores y la ética es fruto de un esfuerzo sistemático y deliberado por parte de sus gestores, que luchan por crear una cultura corporativa de valores; esta será, por tanto, la línea vital que marcará la manera de hacer negocios en todos los niveles de la empresa
Para aplicar el círculo de excelencia al compliance los pasos serían los siguientes:
- Identifica riesgos, a veces quien mejor lo conoce es el directivo ya que tiene una información más completa de los “qué” y “para qué” de las compañías.
- Establecer reglas, regulaciones, requisitos, checklists, políticas y procedimientos que eviten que esto ocurra.
- Pautar sistemas de controles y formas para recibir denuncias por incumplimiento.
- Monitorizar que los controles están funcionando.
Y volviendo a hacer las cosas bien por egoísmo, está demostrado que las empresas más longevas del mundo han centrado su actividad en valores que han transmitido a sus empleados y eso ha sido lo que ha permitido su supervivencia.
¿Qué herramientas existen para detectar las malas prácticas en las empresas?
Os diremos algunos de los caminos posibles para que los responsables de las empresas tengan conocimiento de las actuaciones mal intencionadas de sus colaboradores, si bien, como dicen en mi Castilla, ¨quien hace la ley hace la trampa¨ y se precisa de pericia y control sistemático para estar al tanto de lo que está pasando y desenmascarar a los incumplidores y delincuentes.
El chivatazo
El chivatazo que haga llegar alguien con conciencia, ya sea de la empresa o de fuera, informando de los delitos que se estén cometiendo.
Control
Basado en los medios soportados por sistemas de información, el RegTech (regulation and technology)
- Usos de tecnologías como Inteligencia artificial, el machine learning, el big data, la biometría o la nube
- Robótica
- Disponer de firma electrónica
- Aplicaciones informáticas, por ejemplo, las que evalúan el robo de datos o suplantación de identidades
- Uso de email certificados que evidencien que los correos han sido recibidos y leídos.
- U otras más sencillas, de siempre, como conciliaciones bancarias o de las cajas chicas realizadas de manera automática.
- Habilitar un canal de denuncias
¿Cómo encaja el Compliance en la era digital?
Han cambiado las normas de juego, estamos en un mundo digital. Son diferentes los valores que demanda la sociedad, por ejemplo, la privacidad es vital porque estamos en un mundo más inestable y ahora más que nunca somos más vulnerables.
Una empresa bien gestionada tiene la obligación de protegerse de los riegos que puedan surgir en su negocio, tanto los riesgos de toda la vida, como los nuevos que han aparecido fruto del mundo global y digital.
Riesgos de toda la vida
- Riegos anteriores comerciales; impagos
- Financieros; tener una punta de tesorería
- Legales y penales: incumplimientos
Nuevos riesgos puramente digitales.
- La violación de la seguridad de los datos. Los datos valen mucho dinero. Si te los roban, la multa puede ser enorme, pero aun peor podría ser el desprestigio de que la información confidencial de la empresa se hiciera pública; por ejemplo, un expediente médico.
- Suplantación de personalidad.
- Virus sofisticados que suplantan que los delincuentes son un banco o la policía.
- Secuestros de la información de la empresa, que se está comenzando a dar mucho, pero la gente no lo comenta porque afecta a la imagen de la empresa.
Falta de seguridad de la información.
Muchas empresas no son conscientes del valor de su información y piensan que lo del hackeo de datos solo les pasa a los otros, pero la realidad es que la violación de información está convirtiéndose en un negocio muy rentable para los delincuentes. Los datos valen mucho dinero y pueden poner en juego la reputación e incluso la supervivencia de la empresa, como consecuencia de una pérdida de reputación.
Salimos de nuestras casas y cerramos con llave la puerta; en cambio, dejamos abierta la puerta de acceso al bien preciado que son nuestros datos.
No queda otra que protegerse y aquí tenéis algunas ideas para hacer infranqueable el edificio de la información empresarial.
¿Cómo evitar que el compliance se convierta en algo malo y pesado para las empresas?
Un martillo es una herramienta estupenda, pero hay que usarla bien; igual el compliance. Os damos unos sencillos consejos para su puesta en marcha:
- No burocratizar.
- Apoyarnos en el área tecnológica
- Dar formación y sensibilizar al personal
- Establecer controles automáticos, por ejemplo, al elaborar la orden de compra no darle curso si la persona que solicita no tiene poderes suficientes para llevar a cabo esa compra.
- Crear equipos de analistas de conductas en las organizaciones, en diferentes aspectos de la conducta: lingüística, gráfica, no verbal y verbal.
- Simplificar abordando lo importante.
- Proteger los datos de la empresa como el tesoro que son.
¿Qué normas internacionales existen y qué sistemas nos pueden apoyar para la puesta en marcha de un sistema de Compliance?
El 70 % de los empresarios piensan que las corrupciones forman parte de los negocios.
Creo que sobran las palabras, o lo que podría escribir sería en un tono de tanto enfado que prefiero no hacerlo en un post. Lo que sí hice fue dejar de trabajar en el sector, porque en los tiempos había demasiadas praxis con las que no comulgaba y actualmente estamos viendo las consecuencias en forma de políticos y directivos procesados por su enriquecimiento inmoral, además de ilegal.
Sistema de control COSO
El Sistema de control COSO (Committee of Sponsoring Organizations of the Treadway) que a su vez está participado por
- Asociación Americana de Contabilidad (AAA)
- Instituto Americano de Contadores Públicos (AICPA)
- Instituto de Auditores Internos (IIA)
- Instituto de Administración y Contabilidad (IMA)
Normas internacionales ISO
Las normas internacionales, tipo ISO, no inventan nada, solo toman las mejores prácticas que tienen certeza que sirven en el aspecto que están abordando.
Estas normas internacionales en sistemas de gestión del compliance nos pueden servir y mucho a poner orden en las empresas en los aspectos vinculados al compliance.
Las normas internacionales no son leyes, son modelos testados que estandarizan y ordenan las mejores prácticas para el logro de un objetivo concreto, aportando un modelo a seguir, generando evidencias que un organismo certificador (SGS, AENOR, BUREU VERITAS) valida su cumplimiento.
¿Cuáles son las métricas para el seguimiento del sistema de Compliance?
Decimos los financieros que lo que no son cuentas son cuentos.
Para la puesta en marcha de cualquier sistema de control debemos medir periódicamente si los resultados alcanzados son acordes con los objetivos que nos proponemos en la organización, y su seguimiento debe ser periódico, con datos fiables. Tras la obtención de estos indicadores de referencia, la dirección de la empresa debe tomar medidas que lleven al logro de la meta propuesta.
Existen indicadores activos, que son los que se ponen en marcha antes de que se materialice el riesgo de incumplimiento, e indicadores reactivos, que son los que se derivan de incidentes de no cumplimiento.
Ejemplo de indicadores vinculados al compliance.
- Número de:
- Denuncias recibidas
- Incidentes gestionados
- Reportes periódicos producidos por el corporate compliance
- Inconformidades
- Comités anuales de seguimiento del cumplimiento
- Acciones preventivas puestas en marcha para evitar incumplimientos
- Acciones detectadas que han obligado a la puesta en marcha de acciones de subsanación
- Auditorías internas o externas realizadas al año
- Presupuesto anual asignado al compliance
- Acciones formativas realizadas sobre compliance anualmente
KPMG ha elaborado una serie de tests de compliance
¿Qué es el corporate Compliance?
Está surgiendo en las empresas una nueva figura, el CORPORATE COMPLIANCE.
Dado lo novedoso del puesto, aun no existe una carrera específica que capacite para realizar esta profesión, ni siquiera hay asignaturas en las carreras universitarias. La formación en esta materia será autodidacta, cursos y postgrado concretos, y algunas iniciativas promovida por la asociación española del compliance
El corporate compliance es responsable de riesgos y cumplimientos normativos vigentes, teniendo en cuenta su variabilidad y disparidad según los países en que opere la empresa
Serán profesionales que vienen del ámbito jurídico, auditores, consultores y perfiles con amplia experiencia gerencial, siendo una figura necesaria y totalmente transversal en las organizaciones. En el Código Penal del 2015 se introdujo la figura de Compliance Officer, si bien no es obligatorio para las empresas tenerlo.
Por supuesto, la responsabilidad tiene que recaer en las personas que realizan las funciones, siendo el corporate compliance un coordinador de la supervisión de las responsabilidades y los perfiles.
¿Qué funciones y materias maneja un corporate Compliance?
Las materias que deben manejar y funciones que debe asumir un corporate compliance son, entre otras:
- Dominar la gestión integrada del compliance con gobernanza y risk management de las empresas
- Detectar los riesgos legales de la organización, a modo preventivo y de forma transversal en todas las áreas de la empresa
- Conocimiento para cumplimiento de estándares normativos nacionales e internacionales
- Liderar las investigaciones internas empresariales, así como implementar modelos de detención de delitos
- Implementar modelos de monitorización y control de riesgos.
- Tratamiento de las denuncias recibidas.
- Creación de:
- Manuales de respuesta frente a denuncias y conflictos de intereses en la empresa
- Manuales de prevención de blanqueo
- Protocolo de buenas prácticas empresariales.
- Políticas de IT y seguridad de la información
- Códigos de conducta
- Representación ante el Sepblac
- Protocolos que eviten los ciberataques
- Gestión de los riesgos informáticos
- Apoyar en la generación y supervisión de evidencias en caso de que la empresa esté certificada en alguna norma internacional como ISO 19601 o 37000 y, en todo caso, poder demostrar en caso de incumplimientos que existían controles para que no sucediera.
- Elaborar cuadros de mando de seguimiento de objetivos y establecer cualquier otro sistema de control en la materia.
No hay duda de que, incluso en los tiempos de la economía digital, los trabajadores son el principal activo que tienen las empresas; por tanto, ellos también son protagonistas de que las herramientas de compliance funcionen en la compañía. Hay que crear un capital cultural en las organizaciones donde impere la cultura de la decencia y las buenas prácticas en un entorno de confianza.
Las personas que trabajan en las organizaciones deben poner su energía emocional a favor de los proyectos, sintiéndose apreciada, que se confía en ellos, asumiendo sin coercitividad los valores de la empresa.
Artículos que te pueden interesar
Últimos posts de Ana Cabezas (ver todo)
- Pasar a la acción en la reinvención profesional - 11/08/2020
- Tu plan de negocio personal o canvas personal - 28/07/2020
- Estrategias para reinventarnos profesionalmente - 28/07/2020