FASES PARA LA IMPLANTACIÓN DE UN SISTEMA DE CUMPLIMIENTO NORMATIVO

Comprender el entorno

Será necesario tener un conocimiento preciso del entorno en el que se va a aplicar recabando información que afecta a diversos aspectos de la organización y del negocio.

Evaluar el riesgo

Hay que identificar los escenarios que podrían dar lugar a pérdidas económicas, financieras o reputacionales como consecuencia de un incumplimiento normativo.

Gestionar el riesgo

Una vez identificados los riesgos de incumplimiento que concurren, habrá que diseñar y ejecutar mecanismos de control de conformidad con el apetito de riesgo de la organización.

Formar y sensibilizar

Acciones formativas sobre la normativa aplicable, riesgos de incumplimiento y controles diseñados, así como campañas de sensibilización sobre los aspectos con un mayor riesgo de incumplimiento.

Reportar

El órgano de cumplimiento deberá informar de sus avances y hacer entrega de la documentación que requiere la implantación de un Sistema de Cumplimiento Normativo.

Verificar

Con la periodicidad establecida en el calendario de chequeo de controles se comprobará la vigencia, cumplimiento y eficacia de los mismos a la hora de impedir conductas de incumplimiento

Asesorar

El órgano de cumplimiento normativo debe realizar una labor de asesoramiento continuo y participar en la elaboración de las políticas y en el diseño de los controles, para evitar riesgos futuros

Canal ético

Vía de comunicación de carácter confidencial por el que se pueden denunciar comportamientos, acciones o hechos que puedan constituir incumplimientos normativos.

Entorno

Descripción de  la empresa, del negocio y del marco normativo

Para poder desarrollar competentemente un Sistema de Cumplimiento Normativo será necesario tener un conocimiento preciso del entorno en el que se va a aplicar.

Para ello habrá que recopilar información sobre la estructura de societaria y sobre la estructura organizativa, la actividad que realiza, partes interesadas, proveedores, accionistas, procesos operativos y factores de riesgo concurrentes (impacto medioambiental, pagos y/o cobros en metálico de forma habitual, manejo de datos personales…)

Finalmente, habrá que hacer un estudio del marco normativo aplicable (europeo, nacional, normas sectoriales aplicables); así como un análisis sobre si las políticas, normas de conducta y procedimientos internos están alineados con el Código Ético de la entidad.

Descripción de la empresa

Descripción del marco empresarial: tanto la estructura societaria (forma jurídica, sistema de gobierno…), como la estructura organizativa (organigrama, relación de puestos de trabajo…)

Descripción del negocio

Comprensión del negocio: descripción de la actividad del negocio (objeto social, productos y servicios, canales de distribución…); partes interesadas en el negocio (accionistas, empleados, proveedores…); Administraciones Públicas (licencias o autorizaciones administrativas previas que se necesiten para poder ejercer su actividad, organismos supervisores…); procesos operativos y flujos económicos; y factores de riesgo concurrentes en la actividad (pagos en metálico, actividades de impacto ambiental…).

Descripción del marco normativo

Descripción del marco normativo: tanto normas “hard” o marco normativo legal, como normas “soft” o políticas internas de la empresa relacionadas con la responsabilidad social corporativa.

Evaluar el riesgo

Identificando los escenarios en los que puede concurrir un riesgo de incumplimiento.

Hay que desplegar una actividad de identificación de los posibles acontecimientos que, de concurrir, podrían dar lugar a pérdidas económicas, financieras o reputacionales como consecuencia del incumplimiento normativo, tanto de las normas «hard» como de las normas «soft», entendiendo que las primeras se refieren al marco normativo que surge de la aplicación de la normativa vigente en el Ordenamiento jurídico; y que las segundas, responden al marco normativo interno, autoimpuesto por la organización (Códigos de conducta, procedimientos internos…).

Esta es una actuación dinámica, por lo que hay que actualizar la información cada vez que se identifique un nuevo riesgo  (por ejemplo, por inicio de una nueva actividad o la publicación de nuevas normas), y someterla a verificación periódica (al menos una vez al año) para comprobar o descartar que existan nuevos riesgos que no estén adecuadamente identificados.

Riesgo inherente

Hay que detectar los comportamientos de incumplimiento en los que se puede incurrir en los procesos de trabajo existentes en la organización.

Encuesta

Se enviará una encuesta a los trabajadores dirigida a identificar las circunstancias que concurren en la actividad ordinaria de la organización y que pueden hacer nacer una situación de riesgo de incumplimiento.

La encuesta versará sobre cada posible conducta de incumplimiento  y se pedirá a cada trabajador que se pronuncie sobre el nivel de probabilidades de que esa conducta se produzca en la organización y el grado de impacto reputacional que tendría en el caso de que efectivamente ocurriera.

Mapa de riesgo inherente

Evaluar los posibles riesgos de incumplimiento concurrentes permite elaborar el mapa de riesgos inherentes para identificar los escenarios que podrían dar lugar a pérdidas económicas, financieras o reputacionales como consecuencia de un incumplimiento normativo.

Gestionar el riesgo

Diseñar y ejecutar mecanismos de control dirigidos a modificar la intensidad de los riesgos de incumplimiento.

Una vez identificados los riesgos de incumplimiento que concurren en la organización (riesgo inherente), habrá que diseñar y ejecutar mecanismos de control de conformidad con el apetito de riesgo de la organización. Esta es la cantidad de riesgo que la organización están dispuestos a aceptar (el riesgo cero absoluto no existe).

La asunción del riesgo no se hace de forma inconsciente o desordenada, sino que debe hacerse de forma consciente y bien documentada, en esto consiste la gestión del riesgo. Ante un escenario de riesgo de incumplimiento, la organización debe decidir si:

  • Evita el riesgo (impidiendo la realización de determinadas actividades)
  • Lo reduce (eliminando la fuente del riesgo o reduciendo su probabilidad o su impacto)
  • Lo comparte o transfiere (modificando contratos con terceras partes o suscribiendo pólizas de seguros)
  • Lo acepta (monitorizando su evolución).

Diseño de controles

Que pueden ser de prevención (su objetivo es que el riesgo no llegue a materializarse) o de reacción (su objetivo es sancionar incumplimientos o fomentar conductas positivas)

Implantación de controles

Una vez diseñados los controles, el órgano de cumplimiento tendrá que implementarlos dentro de la organización. Esto supondrá el ejercicio del poder de dirección empresarial mediante la impartición de las instrucciones necesarias, así como la publicación de la existencia del control y la notificación individual al personal directamente afectado, conservando prueba documental de dicha notificación.

Calendario de chequeo

Una vez que los controles están implantados, habrá que establecer una agenda que contendrá la periodicidad en el que se realizará el chequeo del funcionamiento de cada control diseñado.

Formar y sensibilizar

Las acciones de formación y sensibilización son una señal inequívoca de que existe un compromiso corporativo de prevenir conductas de incumplimiento.

La formación es un elemento clave para la implantación del Sistema de Cumplimiento Normativo de forma efectiva. Deben realizarse acciones formativas genéricas sobre qué es un Sistema de Cumplimiento Normativo, así como acciones de formación específicas sobre la normativa aplicable en cada departamento, los riesgos de incumplimiento concurrentes, sus consecuencias y los mecanismos de control diseñados para evitarlos.

Con la labor de sensibilización no se trata de transmitir conocimientos, sino de realizar acciones puntuales, concisas y muy concretas que pretenden recordar y poner el foco de atención de los empleados en determinados aspectos que conllevan un mayor riesgo de incumplimiento.

Píldora formativa inicial

Con carácter previo al envío a los trabajadores de la encuesta de riesgo inherente se debe impartir un píldora formativa sobre los riesgos de incumplimiento inicialmente detectados en la organización.

Formación contínua

Todos los empleados y directivos deberían recibir una formación de refresco con la periodicidad y frecuencia que se decida en cada caso.

Nuevas incorporaciones

A todos los nuevos empleados o directivos se les debería impartir un curso de formación en materias de cumplimiento normativo adaptado al rol que vayan a desempeñar en la organización.

Cambios de puesto

En caso de que algún empleado o directivo cambie su función y comience a realizar actividades en otro departamento, se deberá valorar la necesidad de que reciba una formación específica sobre las materias de cumplimiento normativo que tengan impacto en su nueva función

Cambio de contexto

Cuando cambien las circunstancias de la organización o su contexto (legislación, organización interna, ámbito geográfico, productos o servicios que se ofrecen, etc.) se deberá valorar la necesidad de impartir una formación específica a los empleados afectados por los cambios.

Reportar

El órgano de cumplimiento deberá informar de sus avances y hacer entrega de la documentación que requiere la implantación del Sistema de Cumplimiento Normativo.

Es necesario tener informada a toda la organización de los avances que se hagan en la implantación del Sistema de Cumplimiento Normativo.

El diseño y implementación de controles, las actuaciones de chequeo de su funcionamiento, las acciones formativas programadas, las campañas de sensibilización que se ejecuten, requerirán la conformidad previa a su ejecución, así como el ejercicio del poder de dirección empresarial, por lo que la actividad de reporte es necesaria y se realizará de manera recurrente.

Plan de trabajo

El Plan de Trabajo es un documento estructurado que debe ser aprobado por la Alta Dirección e incluirá un análisis de los recursos disponibles para realizar las tareas descritas, el detalle de las actividades planificadas en el ejercicio y el presupuesto

Plan de monitorización

El Plan de Monitorización es un documento en el que se definen y se documentan las actuaciones de gestión del riesgo que se van a realizar: controles diseñados, forma de implantación, calendario de chequeo, objetivos perseguidos con los controles… . De esta manera, se pone en conocimiento de la Alta Dirección, lo que va a implicar a nivel de organización del trabajo la implementación del Sistema de Cumplimiento Normativo para que pueda aceptar, matizar o, incluso, denegar las actuaciones propuestas.

Manual de cumplimiento normativo

El Manual de Cumplimiento Normativo es el documento en donde se contienen todas las conclusiones del trabajo realizado con identificación de los riesgos de incumplimiento detectados, los controles establecidos y los efectos que se pretenden que ejerzan sobre esos riesgos.

Informes especiales

Siempre que se detecte alguna deficiencia relevante o que suceda un hecho extraordinario, el órgano de cumplimiento debe informar a la Alta Dirección sobre ese asunto.

Verificar

Una vez implantado, este Sistema es dinámico y supeditado a cambios.

El sistema de cumplimiento normativo debe estar supeditado a una verificación periódica. La finalidad de esta verificación será la modificación del sistema si se detectan infracciones de sus disposiciones, o cuando se producen cambios en la organización, en la estructura de control o en la actividad desarrollada por la entidad.

Con la periodicidad establecida en el calendario de chequeo de controles se comprobará la vigencia, cumplimiento y eficacia de los mismos a la hora de impedir conductas de incumplimiento.

 

Verificación ordinaria

Busca la comprobación del correcto funcionamiento de los controles diseñados

Publicación de nuevas normas

En el caso de publicación de nuevas normas que sean de aplicación a la organización, debe analizar el impacto que tiene la norma para la organización, identificando cuáles son las medidas necesarias para su correcta aplicación, rediseñar el sistema de cumplimiento para la correcta implementación de la norma en el plazo legalmente exigible, identificando quiénes son las personas responsables de llevar a cabo cada una de las acciones necesarias.

Nuevos productos o servicios

En el caso de que la organización ofrezca nuevos productos o servicios, el órgano de cumplimiento participará en el proceso de aprobación de los mismos, identificando los riesgos de cumplimiento que puede suponer un lanzamiento.

Asesorar

El órgano de cumplimiento normativo debe realizar una labor de asesoramiento continuo y participar en la elaboración de las políticas y en el diseño de los controles.

El órgano de cumplimiento normativo debe asesorar al negocio para evitar riesgos futuros. En este sentido, el responsable de cumplimiento debe informar a la Alta Dirección de las incidencias o problemas que puedan surgir en el marco de la operativa ordinaria de la organización, realizando las recomendaciones que se consideren oportunas y que permitan tomar las decisiones necesarias para su corrección.

Es, por tanto, muy recomendable que el órgano de cumplimiento participe activamente en los comités y órganos relevantes de la organización.

Asesoramiento de la Alta Dirección

Es común que el Responsable de Cumplimiento intervenga en las reuniones del Órgano de Gobierno de la entidad, advirtiendo los riesgos de incumplimiento que pudieran concurrir en la toma de decisiones por parte de los Administradores o a los miembros del Consejo de Administración.

Asesoramiento externo

En algunas ocasiones, la función de Responsable de Cumplimiento se desempeña por un miembro de la organización que contrata un asesoramiento externo por parte de una entidad especializada en Cumplimiento Normativo.

Participación en comités y organismo

Dado que el riesgo de incumplimiento concurre en toda la organización, es aconsejable la participación del Responsable de Cumplimiento en los comités y organismos que se constituyan internamente y que puedan tomar decisiones susceptibles de incidir en algún riesgo de incumplimiento.

Canal ético

Vía de comunicación de carácter confidencial por el que se pueden denunciar comportamientos, acciones o hechos que puedan constituir incumplimientos normativos.

El canal ético deberá reunir las siguientes características:

  • Ser fácilmente accesible:
  • Es un sistema público al que se le ha de dar divulgación (tanto de cara a los empleados, como de aquellos que tengan algún tipo de vinculación con la organización)
  • Es un sistema documentado: los usuarios podrán conocer cómo se va a proceder con la denuncia, órganos encargados de la instrucción, plazos de resolución…
  • Es un sistema que garantiza que no habrá represalias para el denunciante
  • Es un sistema confidencial: la identidad del denunciante y los hechos denunciados sólo serán conocidos por el órgano de cumplimiento
  • Es un sistema que genera una serie de evidencias y de documentos (denuncia, investigación…) que habrá que conservar.

Instrucción de denuncias

A las comunicaciones recibidas a través del canal ético hay que darle el correspondiente tratamiento. Se abrirá una fase de instrucción en la que se podrá recabar la información complementaria que se precise, incluso con entrevista con las personas afectadas o el propio denunciante, con respecto en todo caso del carácter confidencial de la denuncia.

Las conclusiones de la instrucción se elevarán al órgano de cumplimiento designado para la resolver la reclamación, que emitirá la resolución que considere conveniente.

Canal unificado

La organización del canal ético del Sistema de Cumplimiento Normativo requiere los mismos recursos técnicos que se precisan para el canal de información de la directiva UE Whistleblowing, el canal de denuncias del Protocolo de Acoso Sexual o el canal de denuncias derivado del Plan de Igualdad o del establecimiento de un Portal de Transparencia, por lo que se pueden unificar todos esos canales en uno sólo que garantice la confidencialidad del informante.

Canal accesible

El canal de denuncias debe permitir, no sólo que cualquier trabajador pueda comunicar un posible riesgo de incumplimiento, sino que también los clientes, proveedores, accionistas o la ciudadanía en general, debería de poder tener acceso al mismo.

Confidencialidad

En todo caso, la comunicación debe ser confidencial. El estatuto del informante, sus Derechos y garantías se contemplan en la Directiva UE Wistleblowing de protección de los denunciantes

RIESGO DE INCUMPLIMIENTO

Se puede definir el riesgo de Compliance como el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.


(Basel Committee on Banking Supervisión. Abril de 2005)

¿Aún no gestionas tus riesgos de incumplimiento?

Nos adaptamos a cada organización