BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE.docx

Transcript

BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE.

Liderazgo y cultura de Compliance

Introducción

La eficacia del programa de Compliance depende de la integración en la operación diaria, y ello depende del compromiso y liderazgo de los dirigentes. La cultura corporativa es esencial para determinar el comportamiento de los individuos, y la integran los valores, creencias y actitudes de los individuos de la organización. Es un sistema informal, que debe ser atendido por los encargados de Compliance y los dirigentes, porque como líderes éstos imponen valores y asunciones, pero también los pueden cambiar si es necesario.

Liderzgo y Compliance

La asignación de recursos al programa de Compliance documenta el esfuerzo de la organización para el Compliance. Los códigos éticos y/o de conducta, políticas y procedimientos, canales de denuncia, mecanismos de identificación, análisis y evaluación de riesgos son “el papel”, el sistema forma, y no son recursos suficientes. Se deben mezclar sistema formal e informal. El ejemplo de los líderes, y la forma como lo comunican, es determinante. Considerar el Compliance un elementos estratégico es un ejemplo adecuado.

Qué es el liderazgo y por qué es importante en el desarrollo de una adecuada función de Compliance.

Concepto de liderzgo (siglo XIX): influencia política/ en otros y control del comportamiento ajeno.
Liderazgo (Jogulu y Wood, 2006): habilidad de influir y motivar a otros en pro de una organización. No es un elemento el control sobre otros.

Qué tipo de liderazgos existen, quién lo ejerce y cómo

Los líderes se hacen. También pueden cambiar de lógica de acción. El Compliance es un cambio, y necesita liderzgo transformacional. El jefe se amolda a la cultura, el líder la cambia.

Oportunista: buscar ganar de cualquier forma. Se concentra en sí mismo y manipula. Es bueno para atender emergencias y oportunidades de venta. Liderzgo poco efectivo.
Diplomático: busca evitar el conflicto abierto, obedece las normas del grupo y quiere pertenecer a él. Es bueno para cohesionar personas. Liderzgo poco efectivo.
Experto: lo rige la lógica y experiencia. Es bueno como colaborador individual.
Triunfador: buscar cumplir objetivos, obligaciones y demandas del mercado. Bueno para roles de gestión y orientado a acciones y objetivos.
Individualista: combina la acción personal y empresarial, es consciente de la tensión entre principios y acciones, o valores e implementación. Ignora normas irrelevantes. Es bueno para papeles de consultoría y negocios.
Estratega: transforma personas y organizaciones. Ve la cambio como proceso circular que requiere consciencia y liderazgo. Es buen lider transformacional. Liderazgo muy efectivo.
Alquimista: Genera transformaciones sociales, materiales y espirituales. Es buen lider transformacional de toda la sociedad. Liderazgo muy efectivo. Es el ideal.

Como los líderes están sometidos a presiones, se requiere liderazgo ético.

Liderazgo ético

El lider ético aterriza al día a día la ética. Lleva a otros a crecer personal y profesionalmente. Transmite valores e incurre en esfuerzos. Da ejemplo con actitudes y conductas.
Definición de liderazgo ético: “la demostración de conductas normativamente apropiadas -moralmente aceptables- a través de acciones personales y de relaciones interpersonales, y la promoción de dichas conductas hacia los seguidores a través de una comunicación de doble vía, refuerzo y toma de decisiones”.
Comportamientos de un lider ético: (i) es ético en su vida personal, (ii) define el éxito tanto por los fines como por los medios, (iii) escucha a los empleados, (iv) disciplina a quienes violan estándares éticos, (v) sus decisiones son justas y equilibradas, (vi) genera confianza, (vii) habla de ética en negocios y valores con empleados, (viii) da ejemplo ético, (ix) busca el mejor interés de los empleados, (x) se pregunta por la acción correcta.
Valor agregado de un lider étco para un programa de ética y Compliance: (i) reducción significativa de riesgos, porque se redice la presión para incumplir leyes y estándares éticos, y se promueve la tendencia a reportar malas conductas, (ii) mayor retención de personal.
E.g. Carlson, empresa de turismo, tiene un código conta la explotación sexual de menores en el turismo. Con su programa: (i) tiene una política clara, (ii) forma empleados, (iii) incluye en sus contratos de proveedores una cláusula al respecto, (iv) facilita la información a clientes y personal en todos los destinos, (v) reporta progresos. El programa está a cargo del departamento de “negocio responsable”.

Cultura corporativa y Compliance

De la cultura corporativa depende de la efectividad del programa de Compliance. Un objetivo del progama debe ser promover la cultura corporativa ética, en especial en la toma de decisiones. Por eso, la Financial Conduct Authority de UK incluyó en su plan de 2019-2020 como prioridad la cultura corporativa ética.

Qué es la cultura organizacional o la cultura corporativa

Definición de cultura corporativa: “orden social tácito en una organización: moldea las actitudes y los comportamiento de manera amplia y duradera”. “conjunto de valores, creencias, suposiciones y prácticas compartidas por quienes integran una organización y que marcan las normas implícitas (no escritas) de cómo se hacen las cosas y cómo se relacionan los individuos”.
Definición de cultura ética: “conjunto de experiencias, suposiciones y expectativas de directivos y empleados sobre cómo la organización evita que se comporten de forma no ética y alienta a que se comporten éticamente”. Es la personalidad ética de la organización. Se establece identificando comportamientos moralmente aceptables, e implementando mecanismos para asegurar que la conducta se alinee con valores, principios y normas de conducta.

Cultura corporativa y “cultura de Compliance”

La cultura corporativa es un riesgo que debe gestionar la función de Compliance. Así lo establece el US Federal Sentencing Guidelines desde 2004.
Definición de cultua de Compliance: “creencias compartidas dentro de una organización sobre la importancia o legitimidad del cumplimiento legal, frente a otras presiones u objetivos.”. Debe quedar subsumida en el concepto de cultura ética porque Compliance no se limita al cumplimiento legal.

Qué elementos o factores impactan en la cultura de una organización

Ethical Systems (2018) identificó 5 elementos clave de una cultura ética, y 10 factores que la impactan.
Los elementos, que se deben identificar antes de impactar la cultura, son los siguientes:

Contrato social: “percepciones compartidas acerca de cómo la organización se relaciona con las personas y cómo las personas se relacionan entre sí”.

Lo impacta positivamente: confianza organizacional
Lo impacta negativamente:injusticia organizacional

Comportamiento de los líderes

Lo impacta positivamente: liderzgo ético
Lo impacta negativamente: comportamiento abusivo de directivos

La ética organizacional: “creencias arraigaas que los miembros de la organización tienen sobre sí mismos”.

Lo impacta positivamente: orientación benevolente
Lo impacta negativamente: orientación egoísta

Sensibilización moral: Percepción que tienen los individuos sobre la existencia o no de dilemas éticos.

Lo impacta positivamente: empatía
Lo impacta negativamente: falta de sensibilización moral

Respueta a una mala conducta: represalias y comunicación.

Lo impacta positivamente: eficacia y comunicación abierta
Lo impacta negativamente:miedo a represalias

Qué mueve el comprotamiento de los individuos que integran una organización

No sólo los documentos impactan. También los valores y las creencias. La FCA (2016) identificó factores que afectan las acciones de cumplir o no normas:

Análisis coste/ beneficio: parte de la presunción de racionalidad. Insuficiente por sí mismo.
Los sesgos de comportamiento: afectan como valoramos costos y beneficios. Incluyen preferencias y procesos de adopción de decisiones.
La presión de grupo: modifica las creencias, preferencias y comportamientos.
Las consideraciones morales: las motivaciones y recompensas internas determinan satisfacciones internas.

El comportamiento humano en el Compliance

Hay personas que son propensas a quebrar normas, otras mas o menos y otras que no. El programa de cumplimiento debe intentar ampliar el último grupo.

Psicología social en el entorno de la empresa

Otros 7 factores que determinan el comportamiento de las personas son:

Claridad: sobre expectativas de líderes. La comunicación y la educación es importante. A mayor especificidad de la norma menor riesgo de quedar en conceptos éticos abstractos.
Ejemplo: de los líderes (órgano de gobierno, alta dirección). A mayor rango, mayor ejemplo.
Alcanzabilidad: de los objetivos, tareas y resopnsablidades. Se relaciona con la libertad, el pider y las oportunidades. Los objetivos deben alinearse con la organización -gestión-, y deben ser los correctos -liderazgo-. Escoger objetivos correctos permite medir la eficacia y eficiencia de las tareas y responsabilidades para lograrlos. Medir la eficacia y eficiencia, cuando se obtiene el resultado, genera autoestima y satisfacción. Es la “capacidad” de alcanzar la meta.
Compromiso: de quienes conforman la empresa. Es la motivación para esforzarse en interés de la empresa. Se promueve con el respeto a los empleados, su participación en la toma de decisiones, y su identificación con la empresa.
Transparencia: de los efectos del comportamiento de cada uno y de los demás en la empresa. Permite corregir, aumentar la consciencia y darle sentido a cada responsabilidad. Las empresas publican logros, y la composición y origen de productos y salarios.
Discusiones abiertas: apertura en discutir opiniones, sentimientos, dilemas y transgresiones en el trabajo, sin tabúes. Especialmente importante para la toma de decisiones.
Ejecución de normas: recompensa y valoración del comportamiento deseado, y castigo del comportamiento indeseado. La valoración permite una mejora en la autoestima, fortalece el vínculo organizacional, y aumenta la motivación para esforzarse y crear valor.

Síndromes específicos relacionados con Compliance

Compliance fatigue: percepción de exceso de tareas y reportes, que impide cumplir tareas principales. A veces lo causa la asignación de tareas adicionales sin consideración en el tiempo de dedicación. Se atiende unificando procesos y controles, evitando que el plazo para presentar varios reportes coincidan, y simplificando el contenido del reporte.
Box ticking: ejecutar procesos con el único fin de cumplir el requisito formal. Se atiende simplificando el proceso, y educando sobre su finalidad.
Lip-service compliance: ser consciente de la importancia del procesos, sin esforzarse para cumplirlo, o mentir sobre la consciencia y no cumplir el proceso. Es especialmente negativo si ocurre con los líderes.
Hypegiaphobia: miedo irracional a la responsabilidad. Suele provenir de una experiencia traumática. Afecta la iniciativa empresarial. Se atiende explicando el sentido de las normas en vez de limitar la “amenaza” en caso de incumplimiento.
Teoría reaccionaria: Si una norma es sofocante y amenaza la libertad, causa resistencia a cumplirla.
Falta de sueño e hipoglucemia: La implementación de propósitos depende del autocontrol y la disciplina. Hay menos autoconrol cuando hay cansancio, por lo que el descanso -sueño- es importante. Con descanso se puede tomar decisiones morales y gestionar el riesgo de ellas. Lo mismo ocurre con la falta de alimentación, y dentro de ella la falta de azucar o glucosa.

El perfil profesional del Compliance Officer

Formación:

Sobre el marco legal
Sobre los mecanismos de control interno

Experiencia:

Para entender consecuencias de una inadecuada función de Compliance, e.g. daños económicos, reputacionales.

Posición jerárquica:

De ella depende la independencia -falta de subordinación ante controlados- y la imparcialidad -ausencia de conflictos de interés-.

Historia profesional.
Competencia.

Proactividad en la detección de riesgos para anticipar riesgos
Visión estratégica del negocio
Comunicación
Coordinación
Liderazgo
Organización

Contratación consistente

Consistente con la responsabilidad. El régimen económico de la función debe ser el apropiado.

Las tres líneas en la gestión del riesgo

Introducción

El modelo de 3 líneas de defensa (Institute of Internal Auditors, 2013), distribuye la función de Compliance, dentro de una empresa, en 3 lugares, y le añade un cuarto a agentes externos, así:

1a línea de defensa: Negocio. Se refiere a cada área del negocio o unidad operativa, que son las “dueñas” del riesgo. Gestionan riesgos diariamente.
2a línea de defensa: Compliance. Se refiere a las áreas de control, que supervisan los riesgos. Monitorean controles de 1ª linea, y la componen normalmente la función de riesgos y la de Compliance. Debe tener cierto grado de independencia de la 1ª línea.
3a línea de defensa: Auditoría interna. Se refiere a quien supervisa toda la organización con independencia y reporta al órgano de administración.
Agentes externos: Tribunales, reguladores, auditores externos. Deben contar con el máximo grado de independencia.

Es importante evitar la duplicidad de responsabilidades, y por tanto, lograr la coordinación entre las líneas de defensa.
Aunque se actualizó el modelo de 3 líneas en el año 2020, el nuevo modelo puede tener dificultades con los principios de independencia, autonomía y autoridad o posición jerárquica, porque pone al mismo nivel la 1ª y la 2ª línea de defensa, por debajo del órgano de gobierno.

Órgano de administración y alta dirección

Aunque no hacen parte de ninguna línea de defensa, son los responsables de fijar objetivos, estrategias para consguirlos, estructuras de gobernanza y procesos de gestión de riesgos.
Son buenas prácticas:

Establecer las 3 líneas de defensa, coordinadas.
Tener documentación sobre la estructura de control, con roles y encargados.
Tener contratos laborales con inclusión de responsabilidades de control.
Definir roles con funciones de control.
Definir en políticas y procedimientos quiénes toman decisiones por la organización y sus límites.
Definir la composición, frecuencia de reuniones, funciones, proceso de toma de decisiones, capacidad ejecutiva o consultiva, de órganos y comités.

Coordinación de las tres líneas de defensa

Es más fácil coordinar cuando las 3 líneas de defensa están separadas. Pero cuando una misma persona o grupo de personas ejercen funciones de 2 líneas, es importante aspirar a dividirlas; mientras tanto, es importante aclarar la relación entre las varias funciones y cómo se ejecutará cada una.

Auditores externos, reguladores y superviores

Están por fuera de la organización, pero son líneas de defensas adicionales.

Plan anual de Compliance

Los objetivos anuales van en el Plan Anual de Compliance. Los objetivos siempre son:

Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Respuesta de riesgos
Monitorización (Monitoreo) de riesgos
Formación interna de riesgos
Reportes

Los objetivos específicos deben variar según la madurez del programa. Se debe incluir el seguimiento de los hitos del programa.
El Plan Anual de Compliance lo debe aprobar la dirección.
El cumplimiento del Plan Anual de Compliance dependerá de que el Compliance Officer cuente con los recursos suficientes. También, de que la función de Compliance sea independiente pero no aislada a la operación diaria del negocio. De esa integración dependerá una adecuada monitorización.
Valor de una correcta planificación: (i) permitir a la alta dirección responsabilizarse, conocer y aprobar de las prioridades que establece el Compliance Officer, (ii) asignar eficaz y enfocadamente recursos según el mayor riesgo, (iii) asignar tareas de ejecución a personas concretas, (iv) hacer seguimiento a ejecución correcta de tareas planificadas.
La planificación debe tener un enfoque de riesgo (RBA) para (i) analizar riesgos sistemática y ordenadamente, (ii) identificar prioridades, (iii) asignar eficazmente recursos, (iv) identificar y asignar responsabilidades entre áreas, (v) fomentar la participación y aceptación de riesgos, (vi) foemtnar la coordinación entre los encargados de gestionar un mismo riesgo.

Proceso de elaboración del Plan Anual de Compliance

Planificación: establecer objetivos y metas. Los planes se clasifican según su duración, función o uso, amplitud y alcance. Incluyen objetivos, políticas, procedimientos, reglas y presupuestos. Contenido:

Objetivo
Premisas y restricciones
Análisis de infromación
Desarrollo de planes alternativos
Elección del mejor plan
Desarrollo de planes derivados
Atención en la ejecución.

Otra estructura es: (i) objetivos generales, (ii) forma de alcanzarlos (estrategia), (iii) recursos, herramientas de ayuda, apoyo externo. (iv) forma de medición de factibilidad de objetivos.

Organización: división del trabajo e identificación de responsables. Se requiere para detallar la planificación. No es toda la administración, sino una parte. Enlaza lo teórico con lo práctico.
Dirección: toma de decisiones. Incluye la designación del responsable de los objetivos y cómo se evaluará -con coordinación y empatía-.
Control: proceso de proucción de información para tomar decisiones sobre la realización de objetivos.

Establecer estándares: parámetros de medición o evaluación (e.g. cantidad, calidad, costos)
Evaluar el desempeño: medición de procesos organizacionales.
Comparar el desempeño: entre lo esperado y lo logrado.
Acciones correctivas: en un informe, se establece cómo mejorar o perfeccionar, en qué parte de la organización están los problemas y posibles soluciones.

Control previo o pre-control:
Control directivo o de dirección: supervisión del proceso antes de que acaben.
Control a corriente: se hace a la part del proceso empresarial.
Control posterior: Se lleva al final de la acción productiva. Es una evaluación final.

Contenido del Plan Anual de Compliance

Evaluación de riesgos para fijar prioridades
Participación de Compliance en comités y órganos de control
Plan de formación del personal
Plan de monitorización
Aprlobación de nuevas políticas y procedimientos
Revisiones de las políticas y procedimientos existentes.
Análisis de recursos disponibles para la ejecución de tareas, y anotación en caso de ser insuficientes.

Otra estructura de contenido puede ser la siguiente: (i) análisis y planificación del equipo de Compliance, (ii) sistemas de análisis, prevención, detección, monitorización y reacción, (iii) estructura normativa interna, (iv) análisis regulatorios, (v) risk management, (vi) marco de monitorizaciones (que incluya todas las áreas de la organización), (vii) revisiones temáticas específicas (corresponerán a las áreas que mayor riesgo tengan asociado), (viii) formación, (ix) due dilligence y seguimiento de socios en el negocio.

Revisión del Plan Anual de Compliance

El destinatario del Plan Anual de Compliance es la dirección. Se aprueba en un comité de compliance anual. Quien lo elabora es el Compliance Officer. Debe ser suficientemente claro para la dirección.

Información y reporte

Información de Compliance a la alta dirección

El Compliance Officer debe supervisar y controlar el cumplimiento de la política de Compliance, y comunicar el resultado al órgano de dirección con la periodicidad que diga la política. Si es una multinacional, hay informes locales a la Dirección y también informes como grupo. El grupo empresarial debe tener buenas prácticas y cumplimiento interno.
Def. Reporte: “conjunto estructurado de información que tiene como objetivo servir de análisis ante un tema determinado”.
Es eficiente que cada área de negocio haga reportes sobre políticas y procedimientos que controlan, como 1ª línea de defensa.
Es un riesgo el que no haya un correcto procedimiento de análisis de reportes, o de presentación de reportes.
Contenido de reportes (directrices ESMA):

Información general
Tipo de monitorización o revisión realizda
Riesgos o deficiencias detectadas.
Medidas tomadas
Otros

Los reportes informan a los administradores sobre cuestiones de Compliance. Las obligaciones de los administradores son:

Deber de diligencia: cuplir deberes legales y organizacionales con la diligencia de un “ordenado empresario”, que incluye deber tener la capacidad de cumplir las funciones del cargo, organizar la actividad del órgano de gobierno, establecer un sistema de control, nombrar directivos adecuados, pedir el asesoramiento necesario.
Deber de información: debe hacer lo posible para obtener la información relevante antes de emitir un juicio. Las decisiones deben tener justificación.
Deber de supervisión: deber de supervisar y controlar razonablemente políticas y actividades de la sociedad, y de supervisar los delegados. Lo contradice el exceso de confianza en delegados, y la falta de supervisión.
Deber de investigación: debe investigar activamente para gestionar el negocio. Incluye asesorarse.

Informes específicos: evalúan controles en un momento o plazo concreto.

Informes específicos planificados: en el Plan Anual de Compliance se obliga a áreas de alto riesgo informar sobre controles y operación. Sirven como insumo para una auditoría, para luego analizar lo evaluado y determinar qué hacer con incidencias detectadas. Se hace al final un informe con recomendaciones. Los plazos deben ser realistas.
Informes específicos urgente: surgen como reacción a eventos, incluso si son eventos aún emergentes. Se determina el alcance e impacto del evento, y se eleva a la Dirección con el resultado. Permite la toma de decisiones informadas.

Informes periódicos: Se programan con antelación y se acuerdan según los riesgos principales, con la periodicidad proporcional al tamaño y forma de la empresa. Puede haber un formato estándar de la organización. Ejemplo de contenido:

Nuevas normativas

Ya aprobadas
Próximas

Políticas y procedimientos internos

Nuevas
Actualizaciones
Incidencias con políticas internas

Formación

Realizados
Asistentes
Acciones de concienciación y sensibilización
incidencias

Supervisores

Contactos hechos
Compromisos
Estado de implementación de compromisos

Monitorización

Revisiones hechas
Deficienias
Medidas de remediación

Medidas correctoras

Estado de implementación de medidas de remediación anteriores
Informe de evolución de medidas de remediación
Incidencias durante la implementación de medidas de remediación
Compromisos no cupmlidos

KRIs y KPIs
Reclamaciones

Número
Tipo
Objeto
Causas

Canal de denuncias

Denuncias recibidas
Investigaciones realizadas
Conclusiones
Resoluciones adoptadas

Participación de Compliance en comités y órganos de control

Es otra forma de comunicación entre Compliance y la alta dirección. Se recomienda incluir en los órdenes del día un informe de Compliance.

La información documentada

(Australian Standard 3806-2006) la documentación es la prueba del programa de Compliance, junto con la puesta en práctica. (ISO, IEC1) La documentación debe estar disponible para terceros evaluadores. (NIA 200) El auditor debe cuestionar la evidencia salvo que sea completamente persuasiva: “control no documentado equivale a control inexistente”.
Qué se debe documentar:

Diseño esencial del Modelo: un documento que explique el diseño general.
Desarrollo del Modelo:

Estructuras organizativas
Políticas documentadas

Documentación de la ejecución

Risk asessment
Reportes de Compliance
Monitorización

Documentación colateral: no emana de la función de Compliance

Comunicados de la alta dirección sobre objetivos Compliance
Documentos organizativos de legitimación y respaldo a Compliance
Actas de órganos sociales y comités donde consta intervención de Compliance
Documentos de evaluación de desempeño del personal en relación con Compliance
Se recomienda actas de Compliance o memos

Contenido de las actas de Compliance

Lugar y fecha de sesión
Asistentes e intervenciones de terceros, junto con sus informes o documentos.
Asuntos tratados: con acciones a impulsar, y órganos a informar, plan de acción.
Fecha y firma de elaboración
Fecha y firma de recepción de destinatario.

Niveles de evaluación al sistema de Compliance (IDW AssS 980):

Evaluación del diseño
Evaluación del diseño y de la implementación
Evaluación del diseño, de la implementación y de la efectividad.

Contenido del plan de acción:

Tipo de incidencia o deficiencia
Descripción de incidente o deficiencia (causas y consecuencias, y canal de detección).
Entidad, línea de negocio o jurisdicción afectada
Consecuencias reales o potenciales del incidente o deficiencia (económicas y reputacionales)
Personas causas o invlucradas en el incidente o deficiencia (permite sanciones o premios, y controles futuros).
Acción de corrección propuesta (con hitos, tiempos y responsables).
Órgano que aprueba la acción de corrección
Resultado del plan

International Electrotechnical Comission.↩