El incumplimiento normativo como riesgo

Hoy en día, como ya hemos comentado recientemente en un anterior blog, si nos interesamos en conocer cuáles son los aspectos que mayor interés despiertan en las organizaciones, creo que uno de ellos sería el correspondiente a la denominada, en términos anglosajones, actividad de compliance, o cumplimiento normativo en términos hispanos. Preocupación que inicialmente surgió como consecuencia de la sofisticación cada vez mayor de los participantes en los mercados financieros, lo que llevó a los reguladores a la necesidad de fortalecer los marcos normativos, en aras a reforzar la integridad de dichos mercados.

Y ello, porque el cumplimiento normativo es la función específica que permite a las empresas, a través de procedimientos adecuados,  como el establecimiento de políticas de actuación en determinadas materias, detectar y gestionar los riesgos de incumplimiento de las obligaciones regulatorias internas y externas, mitigando los riesgos de sanciones y las pérdidas que deriven de tales incumplimientos.

Por tanto, el «riesgo de incumplimiento» puede definirse como el riesgo de sanciones legales, normativas, pérdida financiera material o de reputación que una entidad puede sufrir como resultado de incumplir las leyes, regulaciones, normas, estándares de autorregulación y códigos de conducta aplicables a sus actividades.

Asumiendo por tanto que la actividad de cumplimiento normativo es un tema de máxima actualidad en la forma de articular y desarrollar el control interno en las organizaciones, debemos señalar que su desarrollo no es nuevo, ya que de forma explícita está recogido desde 1992, es decir hace ya cerca de 25 años, cuando se publicó el informe “Internal Control - Integrated Framework” denominado COSO I. El cual, como es de general conocimiento incluía como objetivos del control Interno, los tres siguientes:

• Eficacia y eficiencia de las operaciones.
• Confiabilidad de la información financiera.
• Cumplimiento de las leyes, reglamentos y normas que sean aplicables.

Pero es en el sector financiero dónde, como consecuencia de las normativas regulatorias cada vez más complejas y  exigentes, donde se estimo especialmente importante que las organizaciones debían  gestionar y controlar  el cumplimiento de las normas externas (legislación general y regulación sectorial) e internas (políticas corporativas, reglamentaciones relacionadas con la ética y la conducta), a fin de  evitar la imposición de sanciones económicas y, lo que es más importante, salvaguardar  la reputación de las compañías ante las malas conductas empresariales o por los propios incumplimientos de las normas. Circunstancias por las que, en abril de 2005, el Comité de Supervisión Bancaria de Basilea dio a conocer un documento de recomendaciones sobre «Cumplimiento y la función de cumplimiento en los bancos», en el que, partiendo  de principios de muy alto nivel,  se establecían las pautas para la gestión del riesgo de cumplimiento normativo y las correspondientes a la implantación de una función de cumplimiento en el sector bancario.

Posteriormente la oportunidad de disponer de una función de cumplimiento normativo no se ha limitado al sector financiero, sino que se ha ido extendiendo a los diferentes entornos empresariales, al concluir  en la conveniencia y procedencia  de disponer de la misma, al ser considerada  una forma  eficaz de incidir positivamente en el control  interno de las empresas.

Extensión en su implementación  que podríamos señalar ha tenido su reconocimiento con la reciente publicación de la Norma ISO 19600-2014, siendo su objetivo, el de: Proporcionar orientación para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genere respuesta por parte de la organización.

Aclarándonos que las directrices sobre el sistema de gestión de compliance son aplicables a todo tipo de organizaciones, y que el alcance de la aplicación de estas directrices depende del tamaño, estructura y complejidad de la organización. 

Dentro de su contenido se encuentran diversos  aspectos que consideramos muy interesantes para resolver uno de los problemas de su implantación, como es si la función de compliance debe ser autónoma del resto de la organización, o puede convivir con otras actividades organizativas, como es el caso de auditoría interna. Aspectos que son tratados  en diversos apartados de la Norma. Los cuales nos señalan que:

No en todas las organizaciones la función de compliance será independiente, en algunas se podrá asignar a una posición existente. Siendo en cualquier caso responsable de, entre otras, de las siguientes acciones:

1. Identificar las obligaciones de la organización respecto de cumplimiento normativo, traduciendo las mismas en políticas, procedimientos y procesos. Integrando dichaas obligaciones en las políticas, procedimientos y procesos ya existentes. 
2. Desarrollar  e implementar procesos para gestionar la información que puedan relacionarse con los riesgos de incumplimiento, tales como reclamaciones y/o comentarios recibidos. 
3. Establecer indicadores de desempeño del cumplimiento normativo y supervisar y medir los mismos. 
4. Analizar el desempeño para identificar la oportunidad de acciones correctoras 
5. Identificar los riesgos de incumplimiento y gestionar aquellos relacionados con terceras partes (proveedores, agentes, distribuidores, consultoría, contratistas,…) 
6. Asegurar que el sistema de gestión del compliance se revisa a intervalos planificados a través de auditorías internas que incidan en aspectos tales como:

• Si el sistema de gestión de cumplimiento responde con los requisitos de la organización definidos para el mismo, así como con los de la Norma 19.600.
• Que se implementa y se mantiene eficazmente.

Haciendo énfasis en la salvaguarda de la objetividad y la imparcialidad del proceso auditor aplicado.

Ante este entorno normativo, creemos que la duda que se nos planteaba sobre si el Área de Cumplimiento Normativo puede integrar a la Unidad de Auditoría Interna, seguimos manteniendo que no es lo apropiado, ya que de ser así, estaríamos auditando a nuestro jefe jerárquico, lo cual no estaría alineado con la requerida la salvaguarda de la objetividad y la imparcialidad del proceso auditor citado.

Pero la alternativa contraria, la que sea el Área de Auditoría Interna quien coordine la de Cumplimiento Normativo, creemos que dadas las responsabilidades que la Norma ISO 19.600 requiere a la  función de compliance, entendemos que tampoco sería apropiado, dadas las actuaciones gerenciales que conlleva su actuación, como hemos visto, por ejemplo, en los puntos 2 y 5 citados anteriormente; quedando ya solo la alternativa de incluirla en el organigrama de forma independiente, o adscribirla a otros responsables de la segunda línea de defensa, como podría ser el de Control de Riesgos.

Por ello, siendo totalmente partidario de la implantación de una función de cumplimiento normativo en todas las organizaciones, un aspecto que debe analizarse con detenimiento es la de su ubicación, ya que de la misma podríamos estar afectando a su eficacia. Pudiendo señalar que, si finalmente se decidiese asignar esta responsabilidad a la Unidad de Auditoría Interna, se hace imprescindible el que se deberían excluir de su responsabilidad todas aquellas que tuvieran relación con decisiones gerenciales que hemos citado, así como habilitar la forma de realizar las pertinentes auditorías del sistema garantizando su objetividad, ya que nos encontraríamos en la tesitura  ser juez y parte, lo que es inapropiado, por lo que entendemos que lo más apropiado es que la supervisión del sistema de gestión de compliance deberíamos encargarla a un especialista ajeno a nuestra Unidad de Auditoría interna. 

Esperando que estos comentarios puedan ser de utilidad, aprovecho, dadas las fechas en las que nos encontramos, para desear unas felices fiestas, y un próspero 2016.