La mejora continua en una función de “Compliance”, que implica un ciclo constante de evaluación, retroalimentación y optimización.
Este enfoque sistemático asegura que la función de “Compliance” no solo sea reactiva, sino también proactiva en la prevención de riesgos.
Consecuentemente con ello, a los efectos de la implementación y la evolución de la función de “Compliance” dentro de una organización, se hace preciso la realización de un conjunto de estrategias, que se encuentran principalmente orientadas a la mejora continua de un Modelo de Cumplimiento Normativo, de donde se deriven unos importantes beneficios en el funcionamiento de la persona jurídicas, y que todo ello se produzca una manera tanto eficaz, como eficiente.
En este sentido, dichas estrategias, entre otras, son las que se indican a continuación:
a). La proliferación de evaluaciones regulares y auditorías
La exigencia vinculada a la mejora continua de la función de “Compliance” dentro de una organización lleva consigo la implementación de controles y actividades orientados en esta dirección, como pueden ser las auditorías tanto de carácter internas, como de índole externas.
La realización de dichas evaluaciones y auditorias exige una planificación adecuada de las mismas, con la finalidad primordial de establecer un calendario regular, para que dichas auditorías, en cualquiera de sus modalidades, se lleven a cabo asegurando con ello, que todas las áreas críticas sean revisadas de manera concreta y pormenorizada.
En paralelo a ello, es necesario también llevar a cabo las consiguientes evaluaciones de riesgos, las cuales tienen como finalidad principal el poder identificar de manera adecuada, aquellas áreas con mayores probabilidades de que se produzcan vulneraciones normativas o incumplimientos, y, así de esta manera, poder dirigir la realización de las mismas específicamente hacia esas áreas, posibilitando de este modo así un mayor control sobre las mismas.
Ello lleva consigo la posibilidad de poder identificar de una manera más adecuada los problemas que las áreas investigadas suscitan, de modo y manera que los mismos sean tratados de manera eficaz en aras de posibilitar su mitigación, antes de que se conviertan en incidentes o conflictos de una mayor gravedad, los cuales tengan un impacto mayor sobre la organización.
Asimismo, es necesario tener en consideración la necesidad de la existencia de una conformidad de carácter continuo, ya que a través de la misma se asegura que la organización mantiene en todo momento, su asentimiento con relación a las normativas y políticas internas que le son de aplicación.
b). El análisis de los datos y la retroalimentación a través de la evaluación de los mismos
A través, precisamente de la revisión de las métricas obtenidas, es posible llevar a cabo análisis de las tendencias existentes dentro de la organización, de tal modo, que ello permita analizar dichas evaluaciones sobre el modelo de “Compliance” para poder así identificar las tendencias existentes, y, establecer los consiguientes patrones, que puedan indicar o reflejar la existencia de problemas sistémicos existentes en el funcionamiento de la persona jurídica, en todas sus instancias y dimensiones.
Ello lleva consigo también, la realización de informes con una cierta periodicidad y regularidad, a los efectos de que a través de los mismos se mantenga permanentemente informada a la alta dirección y al Comité de Cumplimiento Normativo de la organización, sobre el desempeño efectivo que se está llevando a cabo con relación al propio programa de “Compliance”.
La realización de estas tareas, tiene como consecuencia inmediata una serie de beneficios directos para la organización, que se materializan en primer término, en las toma de decisiones informadas, lo que a la postre proporciona un conjunto de datos, para adoptar medidas mucho más fundamentadas, especialmente, en aquellas áreas donde haya que centrar y enfocar los mayores esfuerzos de mejora, que la organización haya de llevar a cabo a estos efectos.
A ello, se le debe unir el factor de la transparencia en la actuación de la propia persona jurídica.
Con ello, se aumentan los niveles de información que justifican la actuación de la organización en todo lo referente al Modelo de Cumplimiento Normativo y el estado de actualización de dicho Modelo, su vigencia y la eficacia que el mismo presenta en un determinado momento.
c). La estrategia de la mejora continua pasa también por la capacitación y la formación continua
De las personas vinculadas al Modelo de Cumplimiento Normativo dentro de una determinada organización.
Para ello, los programas de formación tienen que encontrarse permanentemente actualizados en lo que hace referencia al desarrollo de sus contenidos.
En este sentido, se hace preciso actualizar continuamente el contenido de dichos programas de capacitación, con la finalidad principal de reflejar de manera adecuada aquellos cambios que se hayan producido en las normativas que sean de aplicación, y la asunción por parte de la organización de las mejores prácticas.
De manera complementaria a ello, es necesario llevar a cabo una evaluación de la eficacia de los programas de formación, mediante la realización de encuestas y de otras pruebas post-formación, a los efectos de poder concretar su eficacia y aprovechamiento por parte de sus directivos y empleados, que hayan participado activamente en la realización de las mismas.
El hecho de actualizar de manera constante los programas de formación y capacitación, asegura que los empleados estén siempre informados sobre las últimas normativas y políticas que sean de aplicación, y al mismo tiempo, es importante resaltar el efecto que ello produce sobre las mejoras de las competencias de los empleados en el manejo de situaciones vinculadas con el Modelo de Cumplimiento Normativo.
d). La actualización de las políticas y los procedimientos
Dentro de las estrategias de la mejora continua, merece un tratamiento especial, el capítulo dedicado a la revisión de las políticas internas de la organización.
Estas actuaciones de verificación de dichas políticas tienen que tener un carácter periódico, lo cual lleva consigo el establecimiento de un calendario de revisiones permanentes para todas las políticas y procedimientos de “Compliance” establecidos por una persona jurídica concreta y determinada.
Al mismo tiempo, constituye una cuestión a considerar, la posibilidad de su adecuación y adaptación a las nuevas regulaciones, con la finalidad de asegurar que las políticas se adapten rápidamente a cualquier cambio o modificación producida en las regulaciones externas.
Ello, sin lugar a duda, es muy relevante, ya que asegura que las políticas y procedimientos sean siempre relevantes y de efectiva aplicación, y al mismo tiempo, garantiza su flexibilidad y adaptabilidad a las situaciones o vicisitudes concretas que tenga que afrontar una organización, especialmente, en lo que se refiere a los cambios que se produzcan en el entorno regulatorio.
e). El uso de la tecnología y de aquellas herramientas de “Compliance”
En primer término, debe hacerse una especial referencia al uso del software de gestión de “Compliance”.
Ello representa la posibilidad de llevar a cabo una selección de herramientas, lo que permite elegir aquellas de naturaleza tecnológica, que se adapten de una manera mejor y más específica a las necesidades específicas de la organización.
Del mismo modo, debe valorarse la posibilidad de llevar a cabo la automatización de los procesos de “Compliance”, especialmente, aquellos que tengan un carácter repetitivo, con la finalidad de aumentar la eficiencia, y de manera simultánea, el poder reducir errores de carácter humano.
La aplicación de la tecnología al Modelo de Cumplimiento Normativo representa y lleva consigo una importante eficacia operativa, donde se trata de mejorar de una manera holística, la eficiencia operativa del programa de “Compliance” en su conjunto.
Asimismo, debe hacerse una especial mención a la precisión y a la consistencia que produce el uso de dichas herramientas tecnológicas, en lo que se refiere a la gestión de “Compliance”.
f). El establecimiento de aquellos indicadores clave de rendimiento, también denominados como “KPI”
Estos indicadores KPI’s, en primer término, han de ser claros y concretos, debiendo, al mismo tiempo, reunir las características de ser específicos, medibles, alcanzables, relevantes, y, con un tiempo bien definido.
Estos indicadores tienen que ser susceptibles de estar sometidos a un monitoreo continuo, lo que permite realizar un seguimiento y control permanente sobre los mismos, y, además, con ello se favorece la posibilidad de poder ajustar las estrategias de “Compliance” según sea en cada caso necesario.
Al hilo de ellos, debe destacarse la importancia de la medición del desempeño, lo que proporciona una medición clara del mismo, en lo que atañe al programa de “Compliance”.
El establecimiento de estos indicadores tiene que estar necesariamente vinculado a los resultados, de este modo, se asegura, que todos los esfuerzos llevados a cabo en el ámbito del “Compliance” estén enfocados en obtener resultados que sean materiales, y además, tangibles, que puedan ser debidamente contrastados y medidos, proporcionando con ello una idea clara de la evolución producida dentro del seno de la organización.
g). El fomento de una cultura de “Compliance”
La cultura corporativa en el ámbito del “Compliance”, también constituye un elemento singular en la medición de los resultados producidos en los Modelos de Cumplimiento Normativo, y en su evolución.
La cultura de “Compliance” tiene que estar presidida por el compromiso y la voluntad real de su desarrollo por parte de la alta dirección de la persona jurídica.
Ello representa la existencia de una situación de liderazgo, que tiene que ser visible a los efectos de poder asegurar, que la alta dirección demuestre en todo momento, un compromiso efectivo y constatable con el programa de “Compliance”.
Adicionalmente a ello, es relevante que los líderes de la organización procuren modelar la conducta ética y de cumplimiento que se espera de ellos, como un claro ejemplo para todos los empleados, y demás personas físicas o jurídicas vinculadas con el Modelo de Cumplimiento Normativo.
La importancia de este hecho es muy relevante de cara a la mejora continua y el avance efectivo de un Modelo de Cumplimiento Normativo, ya que representa el ejemplo que efectivamente debe seguirse por parte de la organización en su conjunto.
Así, es importante subrayar y reiterar el hecho de que los empleados tienden a seguir el ejemplo de sus líderes, por lo que el compromiso de la alta dirección es determinante, tanto para el cumplimiento de los objetivos establecidos en un programa de Cumplimiento Normativo, como para la mejora y la profundización en el mismo.
En todo caso, no debe olvidarse que todo ello fomenta la existencia de una cultura organizacional, donde tiene un papel muy relevante la ética y el cumplimiento.
Adicionalmente a las consideraciones llevadas a cabo hasta este momento, y como refuerzo a dichos argumentos, debe traerse a colación lo previsto en el Capítulo X de la ISO 37301, relativa al sistema de gestión de “Compliance”, en el que se establecen los requisitos de mejora de un programa de “Compliance”, de la forma y manera previstos en dicho conjunto normativo, basados, principalmente, en la existencia de un conjunto de buenas prácticas, que deben seguirse a los efectos de mejorar el funcionamiento de cualquier persona jurídica, a través de una adecuada gestión del programa de “Compliance”.
SISTEMA DE GESTIÓN DE CUMPLIMIENTO
En tal sentido, la indicada ISO 37301 pretende mejorar de forma continua y constante el Sistema de Gestión de Cumplimiento, mediante la aplicación del sistema PDCA, que versa sobre las tareas de planificación, realización, verificación y actuación, siempre que dicho modelo vaya unido en su aplicación efectiva, y a la adopción de las mejores prácticas, tal como ha quedado indicado, siendo procedente, consecuentemente con ello, la realización de las tareas o funciones que se especifican a continuación[i]:
1.- La realización de los análisis de riesgos de forma periódica
El entorno regulatorio es cambiante y dinámico en Europa, América, Asía o cualquier lugar del mundo.
La volatilidad del marco legal y reglamentario en todos los países del mundo, es uno de los factores de riesgo más relevantes a considerar por los oficiales de cumplimiento y los profesionales en el área en general.
Las evaluaciones de riesgo, que habitualmente deben ser realizadas cada año, en el área de cumplimiento tendrían que ser semestrales o trimestrales.
Consecuentemente con ello, mientras mayor sea el conocimiento que tengamos sobre las obligaciones de cumplimiento que nos aplican, mayor será nuestra capacidad para identificar, prevenir y tratar amenazas.
2.- La actualización de la política de cumplimiento
De la mano con las evaluaciones de riesgos está la actualización de las políticas de cumplimiento.
En este sentido, por supuesto, que no se espera que por parte de la alta dirección de una organización se tome el trabajo de redactar este documento cada tres meses.
Pero sí, al menos una vez al año.
Esta es, además, una forma de mantener el interés en la gestión de cumplimiento, y, de manera simultánea, demostrar a los empleados y a las partes interesadas, el compromiso y el liderazgo de la alta dirección.
3.- La revisión de periódica y continuada del estado del sistema
Esta revisión y la actualización del sistema implica, además de verificar los indicadores de gestión, evaluar el rendimiento de los empleados, del software utilizado, de las acciones emprendidas, y del desempeño en general del sistema con base en auditorías, y las revisiones efectuadas por la alta dirección, así como la realización de inspecciones rutinarias.
4.- El establecimiento de protocolos de respuesta ante infracciones o amenazas
Saber qué hacer en el momento oportuno es tan importante como prevenir los riesgos.
La gestión de riesgos es importante, pero no infalible.
Por ello, se debe tener en consideración que es inevitable que se produzcan incidentes, que se reporten situaciones de no conformidad, que se notifiquen la producción de hallazgos, pero lo importante es primordialmente, es tener un protocolo listo e inmediatamente usable con la finalidad de poder responder adecuadamente, y así atender la emergencia producida.
Esto significa definir pasos de respuesta ante la ocurrencia de incidentes o infracciones, y asegurarse de que estas acciones se alinean con la política de cumplimiento y con los requisitos que se establecen en la citada ISO 37301.
5.- La consideración de estrategias adecuadas de tratamiento.
Del mismo modo, y en este mismo sentido, se hace preciso revisar los controles internos existentes, y ajustarlos, para asegurar que cumplan con el propósito para el que fueron diseñados, que es sin duda alguna, una forma de prevenir riesgos o de mitigar el impacto negativo en caso de ocurrencia.
6.- El hecho de proceder a la documentación de todas aquellas las acciones que se toman en consideración
Para mejorar el funcionamiento del sistema de “Compliance”.
Anteriormente ya se indicó, que en los requisitos de mejora en ISO 37301 está el de documentar y conservar la documentación sobre todas las acciones que se toman para mejorar el sistema.
Es, además, una forma de mantener una memoria histórica que resultará de gran utilidad para los auditores del sistema y para el oficial de cumplimiento.
7.- La necesaria automatización de la gestión vinculada a un programa de cumplimiento
El hecho de documentar de forma oportuna, mantener registros actualizados, realizar procesos eficientes y ágiles de debida diligencia, entre otras funcionalidades, permitirán alcanzar un sistema de gestión de “Compliance” efectivo, eficiente y, sobre todo, con la capacidad para mejorar siempre.
Una forma de hacerlo es proceder a la automatización de la gestión.
En este sentido, debe tenerse presente que existen diferentes soluciones específicas para automatizar la gestión de cumplimiento.
Consecuentemente con ello, la implementación efectiva de métricas y el hecho de tener un enfoque orientado a la mejora continua en el funcionamiento de un Modelo de Cumplimiento Normativo, constituyen factores esenciales para la existencia de una función de “Compliance”, que pueda y tenga que ser considerada como robusta.
Por todo ello, medir y analizar continuamente el desempeño del programa de “Compliance” permite a las organizaciones identificar áreas de mejora, ajustar estrategias, y asegurar que se cumplan tanto las normativas legales como los estándares éticos internos.
Al hacerlo, no solo se protege a la empresa o a la organización de la existencia de riesgos legales y/o financieros, sino que también se fortalece su reputación y su cultura organizacional.
Este enfoque proactivo y sistemático garantiza en todo momento, que la función de “Compliance” evolucione y se adapte a los cambios producidos en el entorno regulatorio y empresarial.
Por todo ello, la mejora continua en la función de “Compliance” o de Cumplimiento Normativo representa y lleva consigo, la consideración de ser un proceso fundamental para garantizar que una organización opere de manera ética y legal.