Escrito por: José Manuel Garcelán Publicado: 04/05/2021
El análisis de los primeros cien días del Compliance Officer fue el objeto de la disertación de un experto como José Manuel Garcelán en el seminario virtual de IECOM.
“Por mi experiencia, es fundamental para el Compliance Officer conocer bien el negocio y haber desempeñado otras funciones dentro de la organización”, comentó.
También comentó que “mi objetivo siempre ha sido integrar las obligaciones de Compliance dentro de los procesos de negocio de la organización, de manera que el cumplimiento sea una parte inherente de los mismos, evitando que constituyan formalidades o requisitos paralelos o adicionales”.
¿Qué es lo más importante para un profesional que asume el cargo de Compliance Officer, cómo se gana la confianza, qué debe hacer en estos primeros días y qué no debe hacer?
Durante el pasado webinar tuvimos la oportunidad de debatir aquellos aspectos más importantes a considerar en la puesta en marcha de la función como son: la propiedad y modelos de riesgos, las urgencias, la coordinación, los entrenamientos, el programa de Compliance, la efectividad…etc. También a través de los resultados de las encuestas detectamos algunas áreas susceptibles de mejora.
Algo no debemos estar haciendo bien los Compliance Officers en el aspecto comunicativo cuando casi el 80% de los asistentes a la sesión piensa que su función no es conocida en su propia organización. En mi caso, desde el punto de vista formal, a través del sistema certificado de gestión de Compliance, tenemos una política bien detallada sobre roles y responsabilidades en toda la organización. Pero creo que no es suficiente y se deben utilizar todos los canales de comunicación existentes en la compañía: sesiones informativas presenciales, e-learnings , Newsletters, videos, cartelería… para dar difusión y, sobre todo, para explicar de una forma correcta nuestro rol y relevancia en la organización.
Según los resultados del cuestionario que hemos ido formulando a los asistentes, en general tenemos claro cuál es el núcleo duro de Compliance en nuestras organizaciones (un 80% ha respondido que sí) pero solo un 40% “ha bajado a la arena” reconociendo haber estado al pie de negocio con los comerciales, visitando clientes o haciendo una labor comercial.
Por mi experiencia, creo fundamental para el Compliance Officer conocer bien el negocio y haber desempeñado otras funciones dentro de la organización. En mi caso, dentro de Grupo Antolin, intento visitar los centros técnicos y productivos que tenemos en los diferentes países. Hay que conocerlos de primera mano para no tomar decisiones equivocadas.
Otro aspecto fundamental que detectamos es que solo el 20% tiene en sus empresas un sistema unificado de riesgos, que evalúe de igual forma, por ejemplo, riesgos corporativos, reputacionales, operativos, financieros, etc.
Uno de los pilares fundamentales del programa de Compliance es la gestión de los riesgos, pero estos varían en función de la actividad, tamaño, área geográfica en la que se opera y de otros factores.
Para poder realizar este ejercicio con ciertas garantías, en Grupo Antolin hemos realizado una fuerte apuesta por una gestión integrada de riesgos a nivel internacional en SAP_GRC, que incorpora todas las normativas y ámbitos, lo que supone gestionar un volumen de riesgos y controles muy importante. Con esto logramos tener el control de nuestros riesgos de cumplimiento y consolidar la confianza en la compañía.
Según la votación, la mitad de los compañeros que asistieron al webinar entienden que en sus organizaciones no existen suficientes signos externos de apoyo a Compliance.
Yo lo veo como una labor conjunta. Normalmente, en las organizaciones existen tres líneas de defensa: la primera línea la componen todos los empleados que deben cumplir con las normas, Compliance somos la segunda línea y supervisamos que esto sea así, y finalmente Auditoría interna es la tercera línea y se ocupa de asegurar que todo el sistema funciona.
Por tanto, solo lo conseguiremos con la ayuda de toda la organización, integrando todo lo existente, evitando solapamientos y creando un CMS (Compliance Management System), que nos lleve a implementar y desarrollar una cultura de integridad y cumplimiento en la organización.
Mi objetivo ha sido siempre integrar las obligaciones de Compliance dentro de los procesos de negocio de la organización, de manera que el cumplimiento sea una parte inherente de los mismos, evitando que constituyan formalidades o requisitos paralelos o adicionales.
En resumen solo funcionará bajo el prisma de “Compliance somos todos”.
En mi día a día, más de la mitad del tiempo es realizar esta misión. Es uno de los pilares fundamentales de cualquier programa de cumplimiento: la parte de conselling, concienciación y educacional.
Este grafico representa de forma fiel la consolidación y desglose de dedicación a las tareas de Compliance.
La gran ventaja es que existe una relación directamente proporcional entre la inversión en estas tareas y el nivel de madurez de cultura de Compliance en la organización.
Dentro del sistema de gestión de Compliance utilizamos muchísimos indicadores para hacer seguimiento y poder comparar la evolución, así como para medir la cultura de Compliance en nuestras organizaciones.
Como pudimos comprobar en el webinar, algunos de estos parámetros no son buenos o malos en sí mismos. Lo importante es que la organización tenga los suficientes mecanismos de control para detectar las no conformidades e incumplimientos y tenga un plan de acción y una respuesta inmediata ante ellos.
Desde mi punto de vista, podríamos enumerar muchísimos parámetros que permiten determinar si nuestro labor es efectiva:
Hasta la exención o atenuación de la responsabilidad penal de la Empresa.
En definitiva, estamos hablando de reputación, integridad y sostenibilidad para la compañía.
En nuestro caso, además de la ISO37001 y la UNE19601, ya contamos con otros estándares implementados con sus respectivos responsables (informe anual 2020- Certificaciones existentes). La idea es poder integrar fácilmente nuestros sistemas de gestión dentro de una superestructura de Compliance siguiendo la reciente ISO 37301.
Creo que lo más duro es integrar la función de Compliance a lo largo y ancho de toda la organización, hacer que funcione y que sea efectiva sin crear asperezas y consiguiendo “proteger a la compañía y a todas las personas que forman parte de ella”.
Como pudimos comprobar en la sesión, esta tarea no es sencilla y en la mayoría de los casos surgen presiones, deficiencia de recursos, duplicidades y conflictos.
Los negocios en el Siglo XXI son radicalmente distintos que hace décadas. Hoy tienen una enorme complejidad y una enorme cantidad de normas impuestas por las administraciones públicas y las distintas jurisdicciones, más unos estándares éticos que la sociedad y los grupos de interés esperan que se apliquen.
Por tanto, lo más reconfortante es formar parte de esta contribución a través de consolidar una cultura sostenible en la compañía que responda a los retos y oportunidades ambientales, sociales y de buen gobierno que son relevantes para nuestra actividad y para el entorno donde operamos.
2024 © José Manuel Garcelán - Aviso Legal - Política de Cookies - Política de Privacidad