Por: CP Iván Rodríguez. Colaborador de Auditool 

Normalmente, la función de la auditoría de cumplimiento en muchas empresas ha sido la de simplemente monitorear los riesgos asociados con posibles violaciones de reglas y leyes. En algunos casos, se ha superado esta visión y ha pasado a participar activamente en la dirección estratégica de una empresa. La cantidad de riesgo que una empresa está dispuesta a asumir para alcanzar sus objetivos de rentabilidad, sostenibilidad y otros, considera cada vez más el riesgo de cumplimiento de normas en sus cálculos.

Recientemente, el comité de organizaciones patrocinadoras de la omisión Treadway (COSO), emitió un nuevo conjunto de recomendaciones sobre cómo los ejecutivos y los gerentes pueden identificar, monitorear y mitigar mejor los riesgos de cumplimiento. El informe, denominado «Gestión de riesgos de cumplimiento: aplicación del marco COSO ERM[1]«, describe cómo las empresas deben realinear sus funciones de cumplimiento para que puedan influir en todos los aspectos del cumplimiento dentro de una organización.

De acuerdo con el citado informe, los riesgos de cumplimiento son riesgos comunes y frecuentemente importantes para alcanzar los objetivos de una organización. El Marco de Gestión de Riesgos Empresariales (ERM) de COSO, es utilizado por profesionales de riesgos y otros profesionales para identificar y mitigar una variedad de riesgos organizativos, incluidos los riesgos de cumplimiento. El objetivo del informe es proporcionar orientación sobre la aplicación del marco COSO ERM a la identificación, evaluación y gestión de los riesgos de cumplimiento alineándolo con el marco del programa de cumplimiento y ética C&E, creando una poderosa herramienta que integra los conceptos subyacentes a cada uno de estos marcos valiosos. Este informe describe las características de los programas efectivos de cumplimiento y ética asociados con cada uno de los cinco componentes y 20 principios subyacentes del Marco COSO ERM. Un aspecto significativo de ERM es su enfoque en crear, preservar y realizar valor. Los programas de C&E efectivos contribuyen a cada uno de estos objetivos.

Hay que recordar que el riesgo es definido por COSO como la posibilidad de que se produzcan eventos y afecten el logro de objetivos estratégicos y de negocio. Los riesgos considerados en esta definición incluyen los relacionados con todos los objetivos comerciales, incluido el cumplimiento. Los riesgos de cumplimiento son aquellos riesgos relacionados con posibles violaciones de las leyes, reglamentos, términos contractuales, normas o políticas internas aplicables cuando dicha violación podría resultar en responsabilidad financiera directa o indirecta, sanciones civiles o penales, sanciones regulatorias u otros efectos negativos para la organización o su personal.

Aunque los actos subyacentes (o incumplimientos de acción) son llevados a cabo por individuos, las violaciones de cumplimiento son generalmente atribuibles a la organización cuando son llevadas a cabo por empleados o agentes de la organización en el curso ordinario de sus funciones. El alcance exacto de los actos atribuibles a una organización puede variar dependiendo de las circunstancias. En algunos casos, el empleado también puede asumir la responsabilidad como individuo. La mayoría de las infracciones de cumplimiento causan daño o tienen el potencial de causar daño directo a individuos, comunidades u organizaciones. Ejemplos de partes que pueden ser perjudicadas a través de violaciones de cumplimiento incluyen clientes (por ejemplo, violaciones de las leyes de privacidad o seguridad de datos que conducen a una violación y robo de información personal, violaciones de la seguridad de los productos que resultan en lesiones, violaciones antimonopolio que resultan en precios inflados), empleados (por ejemplo, violaciones de la regulación de la seguridad en el lugar de trabajo que resultan en lesiones a un trabajador, antidiscriminación o violación de la ley de protección de denunciantes), o el público en general, violaciones ambientales que resulten en enfermedad o muerte).

Aunque la mayoría de los riesgos de cumplimiento se relacionan con leyes o regulaciones específicas, otras no. Estos otros riesgos, denominados riesgos relacionados con el cumplimiento, pueden incluir riesgos asociados con el incumplimiento de las normas profesionales, las políticas internas de una organización (incluidos los códigos de conducta y la ética empresarial) y las obligaciones contractuales. Por ejemplo, los conflictos de intereses representan violaciones de leyes o reglamentos solo en casos limitados (frecuentemente involucrando a funcionarios o programas gubernamentales). Los conflictos de intereses están frecuentemente prohibidos por las normas profesionales, los términos de los contratos y acuerdos de subvención, o las políticas internas, y se consideran perjudiciales para una organización si no se divulgan y administran. Como resultado, los conflictos de intereses se incluyen comúnmente dentro de la población de riesgos de cumplimiento.

En muchas empresas las áreas de cumplimiento no son independientes, sino que informan a otros departamentos, como la auditoría legal, interna o la gestión de riesgos. De acuerdo con COSO, se recomienda separar la función de cumplimiento, dirigida por un director de cumplimiento con un puesto de nivel ejecutivo. Si bien esta independencia generalmente no es necesaria, está surgiendo rápidamente como una práctica preferida debido a las diferentes y a veces conflictivas responsabilidades de las diferentes funciones.

Los directores de las áreas de cumplimiento deben tener una comunicación regular y significativa con los demás ejecutivos de la compañía. Para que los consejos de administración supervisen adecuadamente el cumplimiento, deben considerar la posibilidad de formar comités de cumplimiento, de manera similar a los comités de auditoría.

En muchas empresas, la función de cumplimiento a menudo se distribuye entre varios departamentos. Algunas responsabilidades de cumplimiento, tales como adherirse a las normas de contabilidad o seguir ciertas normas tributarias o laborales, podrían estar comprendidas en las labores de otros departamentos, como la contabilidad o los recursos humanos.

De acuerdo con COSO, no existe una definición universalmente aceptada para el alcance del programa de cumplimiento y ética C&E de una organización. Puede variar de una organización a otra y como resultado, el cumplimiento de algunas leyes y reglamentos puede estar sujeto principalmente a la supervisión de diferentes áreas, aunque la función de cumplimiento siempre debe estar preparada para desempeñar una función general o para intervenir para ayudar o abordar problemas si los demás no pueden o no están dispuestos a administrar adecuadamente el riesgo. Elevar el cumplimiento de esta manera mejorará la forma en que una empresa puede evaluar los riesgos asociados con las nuevas empresas, así como mejorar el monitoreo del cumplimiento dentro de la organización en su conjunto.

De otra parte, el informe también señala que el cumplimiento es tan eficaz como el equipo de administración de una empresa quiere que sea. Es importante entender que, aunque prácticamente todos los empleados desempeñan algún papel en la gestión del riesgo, la gestión y mitigación del riesgo de cumplimiento en particular es una responsabilidad a todos los niveles. El tono en la parte superior acerca de la importancia del comportamiento ético entre todos los empleados es fundamental para que un programa de cumplimiento y ética C&E tenga éxito. En el lado reglamentario, un programa de C&E fuerte es a menudo un factor atenuante en una acción de cumplimiento.

De acuerdo con COSO, los programas de cumplimiento efectivos tampoco son estáticos. Periódicamente deben ser revisados y alterados, así como el apetito de una empresa por los cambios de riesgo. Para que los programas de C&E sean efectivos, los reguladores y otras organizaciones esperan que las organizaciones evalúen periódicamente las amenazas potenciales de incumplimiento legal, regulatorio y de políticas, así como la mala conducta ética, para que la organización pueda tomar medidas para manejar estos riesgos a niveles aceptables.

Los auditores deben estar atentos a este enfoque al evaluar las áreas de cumplimiento e integrar su trabajo en el marco del modelo COSO, de manera que la empresa fortalezca su sistema de control interno en el logro de los objetivos previstos.

 

[1] Disponible en: https://www.coso.org/news/Pages/compliance-risk-management-applying-the-coso-erm-framework.aspx

 

CP Iván Rodríguez –

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia