Verificación del modelo de compliance

Verificación del modelo de compliance

La última fase del proceso, una vez se haya implantado el programa de compliance en la empresa en conjunción con el plan de monitorización y todos los controles necesarios, el propio modelo adoptado debe someterse a una verificación o auditoría que pueda certificar adecuadamente la correcta implantación del mismo. De este modo, se puede comprobar que existe una cierta reiteración en lo que se refiere a la comprobación de que el compliance funciona adecuadamente en la entidad.

La razón por la que es tan necesaria la verificación del modelo tiene que ver con la debida conducta proactiva que debe demostrar la empresa en todo momento, ya que de nada sirve demostrar en un momento puntual que ciertos controles son efectivos o que el propio programa está proporcionando el impacto deseado en la empresa si dentro de un tiempo cualquier circunstancia puede cambiar, o puede surgir un nuevo escenario no previsto. A partir de ese momento el programa no estaría funcionando a pleno rendimiento y si no hay una suerte de auditoría global que anote este tipo de coyunturas, no será posible adelantarse al daño o corregir el impacto con la antelación suficiente.

Periodicidad, alcance y objetivos

La verificación del modelo debe realizarse en sentido global, atendiendo a todo el programa de compliance en sí mismo, a la hora de comprobar que todas las áreas de la estructura empresarial funcionan dentro del marco del cumplimiento normativo. Así, lo primero que se debe realizar es determinar cada cuánto se realizará esta verificación del modelo, que es una labor que dependerá de diferentes factores:

• Niveles de riesgo.
• Cambios en escenarios de riesgo.
• Periodicidad de controles.
• Existencia de denuncias. 
• Obligaciones legales de auditoría.

En este ámbito podemos referirnos a dos tipos de verificaciones:

• Verificación ordinaria, que es aquella que el compliance officer fija para realizar con una cierta periodicidad. Así la recomendación sobre la periodicidad de la verificación es aconsejable situarla en el año, al igual que el plan de monitorización.
• Verificación extraordinaria, que viene determinada por algún elemento interno o externo que afecte al nivel de riesgo de la empresa. Un ejemplo sería si la decide instalar un sistema de compra online, debe revisarse el programa de compliance con relación a los nuevos riesgos.

Una vez que se ha determinado la periodicidad de las auditorías el paso siguiente será determinar el alcance y objetivos de la misma. Con relación al alcance será el mismo que el del programa de compliance, de modo que se comprobarán todos los apartados que sean susceptibles de desplegar efectos inhibidores y de prevención en la empresa. Asimismo, el objetivo será determinar en todas estas áreas si existen o no debilidades o excesos de control que se puedan redistribuir para dotar de mayor eficiencia al programa.

Metodología

La metodología a seguir para llevar a cabo esta auditoría es análoga a la ya trabajada sobre los controles de riesgos y la monitorización de aquellas circunstancias que resulten más delicadas. Al igual que en aquellas, el trabajo de campo para realizar las comprobaciones puede llevarse a cabo de múltiples modos, no solo comprobando sobre el papel lo que se encuentra estipulado en el programa de compliance, sino entrevistándose con encargados de aplicación de dichos controles, miembros del personal laboral de la empresa e incluso revisando expedientes de clientes con inclusión de conversaciones telefónicas o correo electrónico. Incluso sería conveniente que en este procedimiento de auditoría no trascendiese su realización a toda la empresa, de modo que sea el compliance officer el que se encargue de realizarlo con toda naturalidad.

Si bien el empresario debe conocer la periodicidad con la que está prevista realizar la verificación, pero no tiene por qué saber el día concreto. Con ello se pretende que la inspección se realice en un día o temporada aleatoria que permita comprobar el grado de cumplimiento del programa del modo más fiable posible. En consecuencia, tan solo debe conocer, con antelación suficiente, que se procederá a realizar una auditoría con el alcance concreto y los objetivos que persigue, con extensión de esta información a los responsables de cada departamento.

Conclusiones

Una vez se haya realizado la verificación práctica de los puntos contenidos en la auditoría, deben emitirse cuantas conclusiones sean necesarias. Estas conclusiones servirán al compliance officer y a la propia empresa como guía o indicador del camino que están siguiendo en el marco del cumplimiento normativo, sabiendo si deben transcurrir por la misma vía o si deben realizar ciertas matizaciones y correcciones a los controles programados.

En esta fase es donde se relacionan los objetivos previstos inicialmente y los resultados efectivamente conseguidos, arrojando luz sobre aquellas incongruencias o situaciones excepcionales que no estaban previstas. Esto es, los errores que pueden existir entre el análisis de riesgos previstos y los resultados de su evaluación, o ciertas incongruencias entre los controles realizados y la evaluación de la efectividad de los mismos, de modo que se compruebe que la evaluación no ha sido exhaustiva ni todo lo rigurosa que la situación exigía.

Por tanto, la idea es que en el apartado de conclusiones de la auditoría se presente un listado con todos los aspectos verificados con un detalle o leyenda con relación a cada uno, que de un simple vistazo permita saber si ese aspecto se encuentra en orden o se deben efectuar correcciones, en este caso, deberán incorporarse recomendaciones para el ajuste que deba realizarse.

Este sistema de asignación de una leyenda a la verificación de los elementos que se encuentran dentro del alcance de la auditoría son la proyección del sistema de indicadores o rating del procedimiento de verificación. Está pensado para sintetizar los problemas encontrados en la auditoría los problemas encontrados en la auditoría y asignar soluciones que se deban implantar, de que una lectura de este apartado ofrece toda la información necesaria que debe conocer la dirección de la empresa.

Todo procedimiento de verificación del programa de cumplimiento deberá terminar con un informe final en el que se trasladen las conclusiones junto con los datos básicos de la auditoría realizada. Esto facilitará el seguimiento posterior hasta la implementación de todas aquellas medidas que sean necesarias.

A estos efectos todo informe final debería gozar de una estructura sencilla ordenada y accesible para cualquier profesional, ya sea el compliance officer interno de la entidad —para el caso de que la auditoría haya sido encargada a profesionales externos de la entidad— ya sea de la dirección y personal responsable de la misma.

Una vez que se haya emitido el informe y elevado a la dirección de la empresa, así como al resto de responsables de departamentos que se considere oportuno, el objetivo debe ser implementar cuantas medidas hayan sido recomendadas y una vez incorporadas verificar a corto plazo el funcionamiento y efectividad de las mismas.

Es de vital importancia invertir tiempo en el proceso de verificación, ya que, cualquier cambio de circunstancias en la empresa, por muy residual que pueda parecer, puede llegar a producir cambios transcendentes en el programa de compliance, los cuales deben ser revisados y evaluados.

En el momento en que todas estas labores puedan realizarse sin dificultad, significará que la empresa ha alcanzado tal nivel de madurez que la cultura de cumplimiento normativo se proyecta en cada evidencia que puedan presentar, alcanzando con ello el objetivo de incorporar el compliance en la empresa, de tal forma que la entidad quede blindada ante cualquier delito e incumplimiento normativo.