Compliance officer: 8 métodos y herramientas que debe dominar

Escrito por: media el 5/12/17 9:00

Compliance_Officer.png

A día de hoy la figura del Compliance Officer, también llamado director de cumplimiento normativo es cada vez más habitual en las empresas. Y es que en plena era digital estas se enfrentan a riesgos legales y ciberataques que pueden paralizar su crecimiento.

En este post vamos a explicar con precisión qué es un compliance officer, o responsable de cumplimiento normativo, y qué métodos y herramientas debe conocer.

Este post también está disponible en inglés.

 

¿Qué es el Compliance Officer?

El compliance officer es el profesional encargado de tomar las mejores decisiones para operar cumpliendo siempre con la normativa impuesta. Es el responsable de saber qué normativa) y leyes le son aplicables a la empresa y cuál es la mejor manera de cumplirlas.

Dada la complejidad del ámbito regulatorio actual, un buen Compliance Officer debe tener un conocimiento profundo en materia de leyes y normas, por lo que es recomendable que cuente con amplia experiencia en asesorías jurídicas y fiscales.

Por otro lado, debe de ser también experto en la definición e implementación de planes de Compliance y en el uso de metodologías y herramientas que facilitan y agilizan su trabajo.

A raíz de los escándalos financieros corporativos de principios de los 2000 algunos países han ido incorporado en su legislación a este responsable del cumplimiento normativo. Tal es el caso de países como Inglaterra, Italia o Alemania.


Las entidades de seguros y financieras son las que

más buscan a estos nuevos profesionales


En España la última reforma del Código Penal de 2015 introdujo esta figura del compliance officer pero no de forma obligatoria. Aunque si una compañía incumple alguna norma y no cuenta con este experto de supervisión puede tener que asumir una responsabilidad penal. Algo de lo que se puede eximir, si cuenta con este profesional y demuestra que se tomaron las medidas de prevención necesarias.

 

Métodos y herramientas básicas para un Compliance Officer  

Un compliance officer debe controlar que la empresa cumple con la legislación en vigor y evitar que ésta cometa cualquier infracción, salvaguardando así su continuidad en el mercado, además de su reputación. ¿Cómo hacerlo lo mejor posible?

 

1. Definir objetivos de compliance

Al elaborar un plan de compliance lo primero que hay que hacer es establecer unos objetivos. La Norma UNE-ISO 19600:2015 es una referencia internacional aplicable a cualquier empresa que ofrece unas directrices para implementar, evaluar, mantener y mejorar un sistema de gestión de compliance.

Además, esta norma indica cómo la empresa puede asegurarse de que está cumpliendo con sus objetivos y explica cómo asegurarse de que los acuerdos con terceras partes también están al corriente en materia de compliance.  


Definir_objetivos_compliance.jpg

 

2. Elaborar cuadros de mando

Para saber si se están cumpliendo o no los objetivos de compliance hay que elaborar un cuadro de mando que incluya una serie de indicadores. La finalidad es poder valorar si las medidas de control definidas son eficaces o no.

Por ejemplo, algunos indicadores pueden ser nivel de automatismo de controles, el número de controles satisfactoriamente ejecutados sobre el total de controles de un proceso, el número de controles clave satisfactorios sobre el total, etc.

Estos indicadores permiten tener una visión muy rápida del entorno de control por cada proceso, lo que a su vez facilita conocer el estado del plan de compliance en tiempo real. Esto permitirá al Compliance Officer saber cuál es el estado de riesgo actual, comunicarlo a la directiva y diseñar un plan de mejoras, en caso de que sea necesario.

Los controles automáticos son los que se implementan directamente en los sistemas informáticos. Cuanto más digitalizada esté una empresa, más controles automáticos se pueden implementar, y si éstos funcionan correctamente, se reduce significativamente el riesgo con respecto a un control manual, porque se mitiga el riesgo de error humano.

EJEMPLOS DE CONTROLES AUTOMÁTICOS:

  • La herramienta de compras no permita emitir un pedido de compra a un proveedor si no existe presupuesto aprobado para esa compra.
  • Al generar el pedido, el sistema solicita un número de documento presupuestario:
    • Si introduces el número, el propio sistema identifica si el pedido que estas haciendo concuerda con la compra para la que se han solicitado fondos. Si es así, permite emitir el pedido y mandarlo al proveedor.
    • Si no introduces ese número, el sistema se bloquea y no permite continuar con el pedido.

Los controles automáticos son los que se implementan directamente en los sistemas informáticos. Cuanto más digitalizada esté una empresa, más controles automáticos se pueden implementar. Si estos funcionan correctamente, se reduce significativamente el riesgo con respecto a un control manual al mitigar el riesgo de error humano. 

Ejemplos de controles automáticos:

  • La herramienta de compras no permita emitir un pedido de compra a un proveedor si no existe presupuesto aprobado para esa compra.
  • Al generar el pedido, el sistema solicita un número de documento presupuestario:
    • Si introduces el número, el propio sistema identifica si el pedido que estas haciendo concuerda con la compra para la que se han solicitado fondos. Si es así, permite emitir el pedido y mandarlo al proveedor.
    • Si no introduces ese número, el sistema se bloquea y no permite continuar con el pedido.

 


>> Post relacionado: La transformación digital en los despachos de abogados


3. Utilizar métodos de análisis y gestión de riesgos

Para analizar y valorar los riesgos según su impacto y probabilidad existen diversas metodologías, cualitativas y cuantitativas.

A día de hoy, muchas empresas siguen utilizando principalmente técnicas cualitativas, en las que evalúan los riesgos a través de cuestionarios realizados a los responsables de los procesos. El problema de estas técnicas es que el resultado de la valoración es subjetivo, ya que cada responsable indica, según su propio criterio, el impacto y la probabilidad de ocurrencia de cada riesgo identificado. Lo más complejo a la hora de analizar riesgos es priorizar y decidir cuáles deben considerarse en primer lugar.

 

EVALUACIÓN CUANTITATIVA EVALUACIÓN CUALITATIVA

> Asigna valor monetario a un riesgo específico.

> Se utilizan modelos matemáticos de evaluación.

> Los resultados son más precisos y más ajustados a la realidad.

> Asigna valor subjetivo a los riesgos: alto, medio o bajo.

> Se utilizan métodos como la matriz de riesgo relativo, que prioriza los riesgos teniendo en cuenta 2 variables: el impacto y la probabilidad de ocurrencia.

> El resultado depende de una percepción personal del riesgo.

 

La norma ISO 31000:2009 recoge una serie de principios y directrices para gestionar cualquier tipo de riesgo e implementar el proceso de gestión tanto a nivel estratégico como operativo. La norma puede ser utilizada por cualquier tipo de empresa y no es específica de ninguna industria o sector.


4. Sistemas de monitorización

Aquellas empresas que están llevando a cabo con éxito su transformación digital es probable que tengan ya toda su información integrada en un ERP. Por ello cualquier tarea es totalmente trazable al quedar registrada pudiendo saber además qué usuario realizó qué acción.

Toda la información generada puede rastrearse, con lo cual si se define bien un sistema de monitorización y se combina con un sistema de alertas, se pueden detectar acciones sospechosas de fraude con mayor facilidad.


>> Post relacionado: RegTech: tecnología al servicio del cumplimiento legal y normativo


5. Generar evidencias

En el caso de que se cometa alguna infracción, un buen programa de compliance debe estar diseñado de manera que se pueda demostrar que existían controles para evitarlo. Al fin y al cabo, compliance se trata de evidenciar que algo se ha hecho: se dio formación adecuada a los empleados, se envió el contrato a un proveedor, se envió un email informativo a los directivos, etc.

El email certificado es la herramienta perfecta para generar este tipo de evidencias, ya que permite justificar que una determinada documentación fue entregada y leída por su destinatario.

 

6. Segregar funciones

Para evitar que una persona o un departamento lleve a cabo tareas que puedan dar lugar a fraude, es recomendable segregar funciones.

Una forma de hacerlo de forma fácil y rápida es mediante una matriz de perfiles y tareas en las que se marcan las incompatibilidades. Por ejemplo, la persona encargada de preparar los pagos no puede tener permisos para cambiar una cuenta bancaria.

Lo que hay que evitar es que las funciones que pertenecen a un mismo flujo de procesos se solapen, ya que en caso de hacerlo es más fácil que se produzca un fraude a nivel interno.

 

funciones_Compliance_Officer .jpeg

 

7. Elaborar un Código Ético

Un Código Ético es una declaración pública del compromiso de una empresa con las normas de conducta y los principios de integridad empresarial que han de seguir a todos los profesionales de la organización.

Es muy recomendable crear un Código Ético y distribuirlo en todos los departamentos, procurando que lo firme el mayor número de empleados posible.

Disponer de una herramienta de firma electrónica contribuye enormemente a maximizar el número de firmas, ya que los empleados pueden firmar fácilmente en cualquier momento desde su ordenador, tablet o desde su teléfono móvil. Además, quien realiza el envío del documento a firmar puede conocer en todo momento el estado en el que se encuentra dicho documento. De esta forma, el tiempo dedicado a tareas de seguimiento se reduce al mínimo nivel.


8. Habilitar un canal de denuncias

Para investigar casos de fraude, es importante habilitar un canal de de denuncias tanto interno como externo. Así tanto empleados como clientes, proveedores u otros grupos de interés puedan denunciar conductas contrarias al Código Ético.

Una forma de comunicar las denuncias puede ser a través de la página web de la empresa o enviando un correo electrónico directamente a la persona responsable de la investigación.

 

Conclusión

Éstas son algunos de los principales métodos y herramientas de un Compliance Officer, aunque existen muchos más. La responsabilidad que conlleva su trabajo hace imprescindible que este profesional las conozca y sepa implementarlas teniendo en cuenta las características concretas de cada organización.

En Signaturit ofrecemos dos herramientas que pueden contribuir a agilizar el trabajo a cualquier controller jurídico, independientemente del tipo de empresa o sector: la firma electrónica y el email certificado. Si quieres conocer cómo funcionan o si tienes cualquier pregunta o consulta, no dudes en ponerte en contacto con nosotros enviando un email a soporte@signaturit.com o llamándonos al 93 551 14 80.

Este post también está disponible en inglés.


New Call-to-action

Etiquetas: Legalidad

Subscríbete al blog

Últimos posts