EL COMPLIANCE OFFICER.docx

Full Transcript

EL COMPLIANCE OFFICER

Introducción

La ubicación organizacional y las funciones específicas del Compliance Officer dependen de cada empresa y sector. Sin embargo, hay funciones usualmente a cargo de él o ella. En todo caso, la función de Compliance no es exclusiva del Compliance Officer, sino que es compartida por todos los miembros de la empresa.

Posiciones relacionadas con la función de Compliance

Hay dos opciones: (i) el Compliance Officer como una división o departamento, o (ii) el Compliance Officer como conjunto de funciones descentralizadas cuyos encargados reportan al principal responsable del programa de Compliance.
El Compliance Officer puede apoyarse en asesores externos, pero sólo ocasionalmente, so pena de ser pertinente que aquel obtenga una mejor formación o apoyo de expertos. Los roles evolucionan, y la tecnología requere en ocasiones expertos en temas concretos, como el IT Compliance.
Algunas “posiciones” -cargos- relacionados con la función del Compliance son:

Función de Compliance: los encargados del Compliance. La European Securities and Markets Authority -ESMA- lo definen como el responsable de identificar, evaluar, aconsejar, monitorizar y reportar los riesgos de Compliance.
Compliance Offier (CO): persona u órgano responsable de la función de Compliance y de los reportes requeridos por los reguladores. En empresas grandes puede estar a cargo de vigilar un tema o segmento específico, como una sucursal, y que haya un supervisor -e.g. Chief Compliance Officer-. E.g. Volkswagen nombró un CCO para afrontar el escándalo de “dieselgate”, y monitoreó durante 3 años.
Chief Ethics and Compliance Officer (CECO): Es un CO con énfasis en el rol ético.
Chief Integrity Officer (CIO): Es un CO que abarca la cultura coprorativa. Tiene como beneficios (i) mejorar el rendimiento de la empresa al mejorar su reputación; (ii) obtener una imagen favorable; (iii) incrementar la satisfacción de empleados, orgullosos de su oganización, y así retener talento.
Comité de Compliance: órgano colegiado, decisorio sobre cuestiones de Compliance. En organizaciones pequeñas suele coincidir con el consejo de administración, y en grandes suele tener una composición distinta.
Compliance Liason Officer (CLO)/ Business Liason Compliance Officer (BLCO): Encargados de las labores de Compliance de primera línea de defensa. Se adoptan para dividir la primera de la segunda línea en la implementación de controles diarios, y son el puente -coordinadores- entre la primera y la segunda línea de defensa.

Roles y responsabilidades del Compliance Officer

El CO es un asesor. Su materia es la gestión de riesgo de Compliance. Ésta puede incluir decisiones estratégicas y de modelo de negocios. Como asesor, sus recomendaciones no son obligatorias. Si sus recomendaciones no son seguidas, el CO debe documentar su asesoría y la decisión adoptada. Otro rol es liderar la cultura ética organizacional, sin perjuicio del liderazgo a cargo de los consejeros. Es también la segunda línea de defensa; por esto, implementa controles según el risk-based approach -RBA-, y supervisa la implementación de los programas de Compliance. Las tareas concretas se dividen entre “preventivas” y “detectivas”.
Funciones usuales:

Apoyar órganos decisorios en promover valores éticos y lograr su adherencia.
Apoyar órganos decisorios en establecer regulaciones internas de Compliance.
Desarrollar el Plan de Compliance según el RBA (actividades del año sobe políticas, formaciones, revisiones, proyectos e iniciativas).
Identificar riesgos de Compliance y asesorar órganos decisorios sobre opciones para gestionarlos. Son riesgos de Compliance:

Riesgo de incumplimiento de ética y normativa interna, por empleados, la entidad o el grupo, debido a los productos, los negocios o la geografía.
Riesgo de incumplimiento regulatorio, contractual o de lex artis -prácticas profesionales-.
Riesgo reputacional.
Riesgos operacionales que causan los anteriores.

Coordinar departamentos en la evaluación de riesgos de Compliance -Compliance Risk Assessment-. Puede incluir la elaboración de la ficha de autoevaluación sobre blanqueo de capitales -lavado de activos- y financiación de terrorismo.
Supervisa la implementación de normativas internas de Compliance, en cumplimiento del plan de monitorización -monitoreo- y testeos según el RBA.
Evaluar la eficacia y eficiencia de controles de Compliance de la primera línea de defensa.
Asesorar a departamentos sobre Compliance, el impacto de nuevas regulaciones e incidentes.
Supervisar periódicamente los planes de acción -medidas correctoras a controles-.
Comunicar, formar y sensibilizar la plantilla -nómina- sobre Compliance.
Tener contacto con supervisores y reguladores de Compliance.
Escalar incumplimientos.
Gestionar los canales de denuncia.

Existe una tendencia a ampliar las tareas del CO y su equipo. A veces, no es solo un asesor, sino también un decisor.
Se piensa que responsabilizar personalmente al CO promueve la profesión de Compliance y disuadre comportamientos indeseados de CO. E.g. En Estados Unidos, una multa por 250.000 USD e inhabilitación de 3 años contra el CO de MoneyGram por falta de diligencia en los controles que prevenían el blanqueo de capitales.
Otro rol del CO es cuestionar decisiones contrarias a la cultura y ética empresarial -conduct risk-.
El CO confronta la resistencia al cambio, acudiendo a los beneficios a corto, mediano y largo plazo -e.g. evitar sanciones y gestionar riesgos reputacionales- del cambio.

Competencias y habilidades del Compliance Officer

Las competencias y habilidades las debe tener el CO, o algún/algunos miembros del órgano encargado de la función Compliance.

Competencias técnicas:

Conocimientos legales:

Regulación aplicable al sector
Expectativas de las autoridades supervisoras
Conocimiento de la regulación de las juridicciones mas importantes para el grupo empresarial

Conocimientos en gestión de riesgos: Experiencia en gestionar principales riesgos de la entidad -e.g. posibilidad de valorar importancia de la regulación y analizar controles de cara al apetito de riesgo-.
Capacidad como project manager -gestión de proyectos-.
Acreditaciones: depende de la jurisdicción, e.g. en Reino Unido debe estar acredito por la Senior Management Regime. En algunos países la acreditación debe ser la ofrecida por el regulador, e.g. Japón, en otras la acreditación la ofrece particulares, e.g. Estados Unidos según el sector.
Registros: depende de la jurisdicción, y la industria, e.g. la bolsa de valores de Nueva York -NYSE- existe registros del supervisor de Compliance con cargo ejecutivo o de alta dirección, y de los profesionales de Compliance a cargo de un equipo de 10 o más personas.
Experiencia: depende si el perfil del cargo es senior o junior, y la complejidad de la empresa y su actividad.

Competencias personales

Capacidad de generar confianza: por su trayectoria profesional -de compromiso con la ética y respeto normativo- y reconocimiento.
Liderazgo ético: percepción de persona honesta o conocedora de la ética. Coherencia personal con la ética y normas.
Empatía: comprensión de la situación de la organización y de las personas, para que se interactúe eficazmente. La empatía no puede arriesgar la cultura ética empresarial y el respeto normativo. Se requiere asertividad en la comunicación.
Dotes organizativas: para utilizar recursos materiales e inmateriales.
Neutralidad y capacidad analítica: falta de conflicto de intereses, objetividad e imparcialidad.
Habilidades de comunicación: verbal y escrita, proactiva, ordenada y clara.

Características y requisitos de la función de Compliance

Dos documentos permiten establecer funciones incluidas y excluidas de la de Compliance: los términos de referencia, las descripciones de los puestos de trabajo y las matrices RACI.
Los “términos de referencia” de la función de Compliance suelen contener: (i) líneas de reporte (ii) características de la función de Compliance -e.g. independencia, autonomía-, (iii) tareas; (iv) tareas delegadas o compartidas con otras funciones, (v) temáticas excluidas de la función. A veces se incluyen los términos de referencia en la política de Compliance.
Las “descripciones de los puestos de trabajo”, que maneja Recursos Humanos, contienen: (i) experiencia requerida (ii) educación, (iii) soft skills (iv) principales tareas y (v) líneas de reporte.
Las “matrices RACI” distribuyen responsabilidades. Tienen 4 columnas: (i) responsable: el que cumple la tarea, (ii) aprobador: el que realmente responde por la tarea y la aprueba, (iii) consultado: el que ha conocido y participado con su opinión, e (iv) informado: el que recibe el resultado.
Características de la función de Compliance:

Autoridad:

Para defender opiniones y reocmendaciones en altos niveles de la organización. La da el órgano decisorio con sus mensajes “tone at the top” y el respeto y reconocimiento de esa labor. Se evidencia autoridad cuando quien nombra al CO es la dirección general, un consjero delegado o el consejo de administración, o cuando el CO reporta a personas principales. Si hay presencia multinacional, que el CO reporte al Chief Compliance Officer o al regional, y no a la dirección local. Algunas jurisdicciones imponen líneas de reporte, e.g. Holanda. También se evidencia en el tipo de reportes producidos y su periodicidad -los reportes deben contener información general, tipo de monitorización o revisión hecha, riesgos o deficiencias detectadas, acciones tomadas y otros-. Igualmente la autoridad se evidencia en la comunicación del máximo órgano decisorio, e.g. mensaje anual de apoyo a Compliance, código de conducta; en el peso de los indicadores de desempeño sobre Compliance en la primera línea de defensa e impacto en salarios, promociones y bonus; y en la presencia del CO en comités estratégicos y de decisiones.
La guía de “Evaluation of Corporate Compliance Programs” del US Department of Justice (2019) tiene en cuenta, para determinar la autoridad: comparación de carácter, nivel de compensación, rango, línea de reporte, recursos y acceso a personas clave de la organización del CO frente a otras funciones, ratio de rotación del personal de Compliance, rol de Compliance en decisiones estratégicas y operacionales, reacción de la empresa ante objeciones de Compliance, y suspensión de transacciones o negocios producto de objeciones.

Independencia

Se refiere a la imparcialidad del CO, y a los incentivos para serlo. Las guías de ESMA exigen que nadie emita instrucciones o influencia al equipo de Compliance. El Basel Committee on Banking Supervision (2005) estableció como factores de la independencia: (i) independencia jerárquica -relacionado con la autoridad-, (ii) asignación de una persona que coordine y gestione el riesgo de Compliance, (iii) evitar causas de conflicto de interés por tener funciones de Compliance y otras, e.g. comerciales, según el principio de proporcionalidad, (iv) acceso a la información y personal para cumplir tareas, que incluye poder hacer investigaciones sobre incumplimientos de Compliance, pedir apoyo de especialistas, y “saltarse” al reportado si éste es de rango superior al CO pero hay un superior a aquel.
Indicadores de la independencia: (i) autonomía presupuestal de Compliance, (ii) objetivos del CO y del personal de Compliance no ligados a resultados del negocio, (iii) retribución e incrementos no ligados al resultado del negocio sino a objetivos de control, (iv) reporte directo al máximo órgano decisorio y al comité de Compliance sin intermediación (v) reporte contra el consejo de administración o el comité de Compliance, a miembros externos o independientes.
Algunos reguladores, e.g. Alemania -MaComp de BaFin-, establecen estabilidad laboral especial -e.g. contrato a 24 meses mínimo- para el CO.

Autonomía

La actuación del CO no está sometida a la burocracia. Así, debe tener presupuesto propio.
La guía de “Evaluation of Corporate Compliance Programs” del US Department of Justice (2019) tiene en cuenta, para determinar la independencia: (i) líneas directas de reporte del CO, (ii) frecuencia del comité al que el CO reporta, (iii) miembros de la alta dirección que componen el comité al que el CO reporta, (iv) miembros de la alta dirección que asisten el comité al que el CO reporta.

Recursos

Los recursos de Compliance deben ser adecuados para cumplir eficazmente los objetivos de Compliance, según el RBA. Los recursos incluyen: (i) recursos humanos -calidad y cantidad, conforme a la empresa e industria- e.g. Siemens, luego de ser acusado por el DoJ de EEUU por sobornar oficiales Argentinos , invritió en el cofundador de Transparencia Internacional como asesor, en 500 CO, en 900 acciones disciplinarias con algunos despidos, en un encargaado de monitoreo e investigaciones de Compliance que había trabajado en la Interpol, en un ombudsman y en un canal de denuncias; (ii) asesorías externas de requerirse -e.g. algunos reguladores exigen su aprobación previa del outsourcing-, sin que implique la exoneración de responsabilidad -e.g. MiFID II-. Por ello, la asesoría debe documentarse y no impedir la permanencia del cumplimiento de la función de Compliance. Algunos reguladores aprueban todo el outsourcing del Compliance, e.g. ESMA, para servicios de inversión incapaces de contratar la función directamente por su naturaleza, tamaño y tipo de negocio-. Se suele acudir a asesores por la necesidad de una mayor evaluación de procesos de Compliance, la falta de conocimientos o habilidades del equipo in house, y el ahorro de costes. Los reguladores pueden llegar a preguntar por qué se invirtió en asesores ecternos y no en mejorar equipos internos. (iii) recursos económicos: presupuesto para contratar el personal, mantener sus conocimientos, asistir a conferencias, pertenecer a asociaciones y publicaciones. La “General Guideline 5” que guía la implementación de MiFID II del ESMA, indica que el presupuesto debe ser consistente con el nivel de riesgo de Compliance de la entidad que presta servicios de inversión, y el CO debe haber opinado sobre el presupuesto antes de su adopción o su reducción. (iv) recursos tecnológicos: herramientas de monitorización, autonomía en la extracción de datos de sistemas de otros departamentos, controles automáticos de conflictos de interés, reconciliaciones automáticas, sistemas de reporte y registro de los procesos de trabajo y documentación.

Tiempo

El CO debe tener suficiente tiempo para ejercer sus funciones de Compliance. El riesgo de no tenerlo existe especialmente cuando el CO tiene otras funciones adicionales a las de Compliance.

Proporción

La autoridad, independencia, recursos y tiempo se concretan según la entidad, industria y productos o servicios.

Capacidad de interacción (partnership)

El CO debe tener una relación activa con los reguladores, y ser un facilitador de buenas prácticas que controlen los riesgos de Compliance, en vez de un “policía”. La colaboración debe ser con los stakeholders internos, es dcir, funciones de primera línea, funciones de segunda línea, dirección, accionistas, head office mundial, head quarter regional, auditoría, y con los stakeholders externos, es decir, clientes, partners, agentes, supervisores, reguladores y proveedores.
La retroalimentación ayuda a alinear las expectativas y la percepción del rol con la realidad del rol.

Relación de Compliance con otros departamentos de la organización

Esta relación debe ser fluida y efectiva. Respecto de las otras funciones de control, es importante evitar la duplicidad de responsables y los picos de solicitudes de información.

El Compliance Officer combinado con otras funciones

Cuando se fusiona la función de auditoría con la de Compliance, se unen la segunda línea y tercera línea de defensa. Es necesario justificar esa fusión, y evitar conflicto de intereses.
La guía de “Evaluation of Corporate Compliance Programs” del US Department of Justice (2019), establece como preguntar para determinar si hay conflictos de intereses por combinación de roles: (i) uno o varios roles de la misma persona dentro de la empresa, (ii) de los anteriores, uno o varios roles de la persona con Compliance, (iii) motivo por el que se escogió esa estructura.

Relación de Compliance con Auditoría Interna

La auditoría interna es la tercera línea de defensa, y el CO es la segunda. El auditor evalúa el personal de Compliance, la eficacia y eficiencia del programa de monitorización y testeo, las políticas, la formación y el seguimiento e implementación de proyectos regulatorios. El Basel Committee on Banking Supervision (2015) recomienda que sean funciones separadas.

Relación de Compliance con Riesgos

Compliance y Riesgos son ambas funciones de segunda línea de defensa. Según la proporcionalidad, se pueden unir. Si no se unen, deben colaborar, porque los riesgos de Compliance son parte de los riesgos a reportar por Riesgos, y los riesgos de ésta pueden generar impacto en Compliance.

Relación de Compliance con Asesoría Jurídica

Cuando el CO y Legal se unen es común tener conflictos de intereses. Legal se engoca en lo que se puede o no hacer, y el CO actúa frente a lo legal, pero también ante lo ético y lo reputacional.

La función de Compliance en grupos multinacionales

Compliance local debe tener línea de dependencia con Compliance regional o mundial. Compliance mundial estandariza y da soporte a Compliance local. El Chief Compliance Officer -CCO- puede evaluar a los CO, y determinar sus sueldos. También el CCO tiene un riesgo de desconexión con lo local.