¿Cómo afecta la aparición del Compliance Officer al modelo de 3 líneas de defensa?

Autor: Albert Salvador Lafuente, Secretario General Internacional de la World Compliance Association

Uno de los temas de debate cuando hablamos de la figura del Compliance Officer, es donde situar esta figura dentro del organigrama de la organización. Juntamente con este debate y de manera paralela, tenemos también el debate, (o más bien las dudas), sobre cuáles son las funciones, competencias y autonomía de esta “nueva” figura, incluso a quien deben reportar y que debe hacer en caso de detectar una irregularidad grave.

Aprovechando la actual revisión sobre el modelo de 3LD que se está realizando desde el IIA “The Institute of Internal Auditors”, y la aparición del Compliance Officer como una figura ya consolidada dentro de las estructuras empresariales, considero que es momento idóneo para incorporarlo “oficialmente” dentro de este modelo de control. Sin duda, este echo reforzará y clarificará cuál es el sitio que debe ocupar el Compliance Officer dentro de las estructuras empresariales.

Bajo mi punto de vista, el modelo de 3LD debe pasar a un modelo de 4LD, reforzando y dando mayor consistencia al control interno, con la incorporación del Compliance Officer, como un control de 3er nivel, desplazando a Auditoria Interna como un elemento de 4º nivel de control: 

Juntamente con la aparición de esta nueva línea de defensa, y de una manera natural, también aparece un nuevo comité, el comité de cumplimiento o Compliance, que juntamente con el Comité de Auditoría son los encargados de reportar al máximo órgano de Gobierno de las Organizaciones.

También me gustaría destacar el grado de comunicación que debe existir entre la 3ª y 4ª línea de defensa, ya que ambas funciones, Compliance Officer y Auditoría Interna deben retroalimentarse en todo lo posible, y siempre garantizando la independencia su independencia.

Con el fin de definir las funciones de esta nueva “figura” dentro del marco del control interno, os dejo algunos apuntes sobre cuáles deben ser estas funciones, según la World Compliance Association, y que considero de gran interés:

• Debe identificar las obligaciones a que están sujetas las empresas, tanto desde el punto de vista legal como también aquellas directrices que deriven de Códigos Sectoriales o de sus propias políticas o de Códigos Éticos. La doctrina refiere estos dos tipos de obligaciones como Hard Law y Soft Law, siendo las primeras aquellas que derivan de un mandato jurídico cuyo incumplimiento representa una infracción, mientras que las últimas son aquellas que voluntariamente decide cumplir la empresa como buenas prácticas sectoriales o de desarrollo de buen gobierno.
• Debe comprender los procesos y procedimientos de la empresa, de manera que pueda integrar el desarrollo de los mismos con las obligaciones en materia de cumplimiento normativo.
• Frente a los empleados, el Compliance Officer será el responsable de proveer o coordinar los entrenamientos continuos en materia de cumplimiento normativo, así como la figura que dará soporte en el caso de dudas sobre cómo proceder o si cierta conducta constituye o no una infracción al Compliance de la empresa.
• De igual modo, es quien responderá por la adecuada comunicación del programa de Compliance a los empleados, debiendo divulgar cualquier información relevante en materia de cumplimiento a las empresas y hacer entrega del Código de Conducta y las políticas a que estará sujeto el personal.
• El Compliance Officer deberá también contribuir en la descripción de las obligaciones de Compliance que sean inherentes a cada área o cargo dentro de la empresa, como parámetro objetivo en la evaluación de desempeño del personal.
• Teniendo en cuenta que una de las principales responsabilidades del Compliance Officer es informar sobre cualquier incumplimiento, debe implementar las medidas y controles que le permitan conocer oportunamente los riesgos e incidencias, bien sea a través del personal o inferidas de la propia documentación que recaba a través de procesos internos. Ejemplo de ello son:

1. Sistema de denuncias, quejas y soporte telefónico o mediante correos electrónicos.
2. Reuniones periódicas con los responsables de procesos.
3. Informes periódicos de reporte de incidencias.
4. Mecanismos de soporte directo a los empleados que tengan dudas sobre si una conducta o no representa un riesgo, antes de ejecutarla.
5. Checkpoints y controles de procesos en los casos en que se exceda de los parámetros normales de operación en los cuales se requiera la aprobación del Compliance Officer (Por ejemplo: Firma de contratos que excedan determinado monto, autorización de obsequios corporativos).
6. Indicadores de desempeño y de cumplimiento de las medidas establecidas para garantizar el cumplimiento normativo y que reflejen la evolución del sistema de prevención de riesgos.

• Dado que uno de los sectores que puede generar riesgos para las empresas son sus relaciones con terceras partes, es también responsabilidad del Compliance Officer identificar y atender los riesgos derivados de sus relaciones con clientes, proveedores, distribuidores y comerciales externos, así como con cualquier colaborador que pudiese ser considerado representante de la empresa.
• Monitorear el funcionamiento del sistema de prevención de riesgos de compliance y tomar las medidas preventivas y correctivas que garanticen su eficacia y asegurar la revisión en los intervalos planificados.
• Proveer asesoría a la organización en materia de Compliance, bien sea directamente o a través de expertos externos.

Esta propuesta de modelo de control interno, responde a la necesitadad de clarificar entre todos los actores el posicionamiento estrategico de la fifura del Compliance Officer, que bajo mi punto de visto es algo más que un una segunda linea de defensa.