Monitoreo, testeo y auditoría del Programa de Compliance

Monitoreo, testeo y auditoría son tres términos utilizados sin mucha claridad. A veces se usan como actividades intercambiables, y a veces da la sensación que son tres actividades diferentes e independientes entre si que se deben realizar para asegurar la efectividad del Programa de Compliance. Para evitar confusiones es aconsejable volver al objetivo a alcanzar con estas actividades:

La Guía actualizada en Junio 2020 del Departamento de Justicia de los EEUU lo expresa en su capítulo III A muy claramente (aquí):

“Un sello distintivo de un programa de cumplimiento efectivo es su capacidad de mejorar y evolucionar…El negocio de una empresa cambia con el tiempo, al igual que los entornos en los que opera, la naturaleza de sus clientes, las leyes que rigen sus acciones, y los estándares de la industria. En consecuencia, los fiscales deben considerar si la empresa ha realizado esfuerzos significativos para revisar su programa de cumplimiento y asegurarse de que no quedó desactualizado. Algunas empresas encuestan a los empleados para medir la cultura de cumplimiento y evaluar la fuerza de los controles y/o realizan auditorías periódicas para asegurar que los controles funcionan bien, aunque la naturaleza y la frecuencia de las evaluaciones pueden depender del tamaño y la complejidad de la empresa”.

En otras palabras: El entorno evoluciona y la empresa, y sus modelos de negocio también. El Programa de Compliance debe evolucionar con estos cambios para asegurar su efectividad y no quedarse en el tiempo. Cómo se logra esto, depende de la empresa, su tamaño y la velocidad de los cambios que enfrenta.

Sin monitoreo y testeo es imposible saber lo que funciona y lo que no, lo que (todavía) sirve y lo que no en el Programa de Compliance.

Se puede dividir el tema conceptualmente en dos actividades: Monitoreo y testeo por un lado y auditorías por el otro. Entender qué significa qué ayuda en el momento de la implementación para mejorar la efectividad del Programa de Compliance, que es el objetivo general tanto del Regulador como de la empresa.

El monitoreo y testeo aseguran que las operaciones funcionen adecuadamente y se descubren incumplimientos y fallas en forma temprana. Al documentar el proceso de monitoreo, la empresa además demuestra que tiene procesos debidamente implementados que normalmente funcionan adecuadamente ayudando así a mitigar consecuencias negativas ante cualquier incumplimiento accidental.

Un buen programa de monitoreo y testeo es una demostración hacia adentro y afuera de la organización del compromiso con el programa de compliance y de un adecuado tone at the top.

Monitoreo es la parte permanente, en gran medida automatizable. Tiende a asegurar que los procesos y sistemas funcionan (ver acá).

Testeos son actividades puntuales para asegurar que los procesos y sistemas cubren los riesgos adecuadamente. La creciente disponibilidad e importancia de datos son cruciales para un buen monitoreo y testeo. Así p.ej. la posibilidad de saber qué políticas en el intranet de la compañía son las más vistas permite sacar conclusiones sobre riesgos que requieren de especial atención. La mayor digitalización de procesos de negocios permite su observación y detectar p.ej. acumulaciones de ciertas operaciones y la determinación de alertas rojas.

Los Monitoreos y testeos deben concentrarse en los temas que resultaron del mapeo de riesgos de ética & compliance como de mayor prioridad. De esta forma se aplican los recursos a los riesgos más importantes.

A cargo está usualmente el Área de Compliance. Muchas veces al menos partes se realizan en forma de auto-evaluaciones de las áreas respectivas.

Compliance debe tener un plan de monitoreo y testeo, donde se establecen su periodicidad, sus responsables, los recursos y la forma de reportes finales.

Los monitoreos y testeos incluyen:

- entrevistas y encuestas con los ejecutivos y empleados pertinentes;

- observación de la aplicación y el funcionamiento de los procesos y procedimientos de control;

- revisión de la documentación pertinente;

- monitoreo de datos electrónicos

Los reportes finales se presentan al Directorio.

Auditorías son diferentes. No son procesos permanentes. Son procesos periódicos, estructurados con el fin de evaluar el trabajo del Área de Compliance. A cargo debe estar un tercero independiente, objetivo y conocedor de la materia. La Auditoría Interna no siempre tiene los conocimientos y la independencia necesaria.

Para llegar al objetivo final de un Programa de Compliance efectivo, hace falta concentrarse especialmente en tres factores:

El mapeo de riesgos de ética & compliance con su importancia de la cultura y del Tone at the Top
Un Compliance Officer con autoridad, independencia y recursos
Monitoreos, testeos y auditorías del programa de compliance hechos con ánimo de mejora y con periodicidad

Main Menu

Lo que más les preocupa a los ...

Un nuevo contrato de Integridad y Compliance ...

Artículos Relacionados

Compliance necesita controles. O?

La Comunicación y los Programas de Compliance

Incentivos y Sanciones en Programas de Compliance

Hacia un gobierno corporativo sostenible: el lugar de la “G” en ESG

5 Preguntas al Compliance Officer: Patricia I Cicero

Los Programas de Integridad/Compliance deben ser evaluados. ¿Cómo hacerlo?