La World Compliance Association define el compliance como “el conjunto de procedimientos y buenas prácticas que las organizaciones adoptan con el fin de identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos”. A continuación exponemos las principales medidas que debe implementar tu empresa en esta materia:
1. Tone from the top como seña de identidad de la cultura de cumplimiento
Es fundamental que la máxima dirección de la organización muestre su firme compromiso con el cumplimiento normativo. Sin este nivel de compromiso, cualquier iniciativa para la vigilancia del cumplimiento normativo corre el riesgo de naufragar ante las primeras dificultades.
2. Objetivos de cumplimiento y acciones organizativas
Es necesario que exista consistencia entre los objetivos de cumplimiento y las estructuras organizativas necesarias para alcanzarlos, por lo que deben tenerse en cuenta los recursos disponibles a la hora de fijar los objetivos. Una vez fijados los objetivos, se establecerán los órganos encargados del cumplimiento normativo y se definirán las políticas que permitan alcanzarlos (a las que tendrán acceso todos los miembros de la organización)
3. Risk assessment
Esta acción se desarrolla en dos etapas: primero, inventariar los bloques normativos de aplicación a la organización (alineados con los objetivos de cumplimiento) y segundo, identificar las conductas de riesgo asociadas a cada uno de ellos para poderlas evaluar con carácter anual.
4. Controles de cumplimiento
Resulta clave que los controles den cobertura a los bloques normativos y conductas de riesgo identificados en el risk assessment. Además las políticas y los controles de cumplimiento deben estar alineados pues el desequilibrio entre unas y otros pone en peligro la razonabilidad del Sistema de cumplimiento.
Cabe distinguir entre dos tipos de controles:
Los controles de alto nivel, que suelen ir asociados a políticas de alto nivel y vigilan un amplio espectro de comportamientos. Un ejemplo sería un canal interno de denuncias vinculado al Código Ético (política de alto nivel).
Los controles de nivel específico, que se vinculan a políticas concretas y vigilan conductas en particular. Un ejemplo sería una revisión anual respecto de los procesos de selección y adjudicación de contrataciones por parte de una auditoría interna o de un tercero, destinado a vigilar la aplicación razonable de la política de compras.
5. Reporte de cumplimiento
La acreditación del cumplimiento afecta tanto a la organización (para vigilar la consecución de los objetivos fijados) como a los grupos de interés o stakeholders (ya que éstos adoptan decisiones partiendo de los datos de los reportes puestos a su disposición). Este reporte debe hacerse de manera periódica al órgano de administración como mecanismo de escalación recurrente de los riesgos de Compliance, dentro del ámbito de los riesgos no financieros.