La calidad de los programas de ética y Compliance es aún muy variable entre las empresas, los sectores e industrias y los países. La necesidad de contar con un modelo de Compliance es vital para mejorar y madurar la función. La mayoría de las normas legales hablan de implementar un programa efectivo de cumplimiento, sin tener estándares de referencia que permitan articular los esfuerzos y dar un marco de evaluación judicial.
Las organizaciones con programas de alta calidad articulan sus esfuerzos para lograr cumplir con las expectativas legales y regulatorias más importantes, y suman también el factor ético como parte de los valores organizacionales.
Para poder demostrar la alta calidad del ▷sistema de gestión de Compliance,◁ se deben documentar acciones relevantes, además de aquellas que usualmente están ya sustentadas por políticas y reportes.
De esta forma, se debe generar y resguardar la evidencia de acciones sobre:
- El entrenamiento brindado según el plan de Compliance, que incluye respaldar la lista de asistentes, exámenes, material de estudio, presentaciones y demás evidencia de que efectivamente se trasmitió el conocimiento.
- La comunicación con directores, gerentes y empleados, cumpliendo con la función de guía y la asignación de responsabilidades claras.
- La propia evaluación de la eficacia del sistema, por ejemplo, el soporte de las métricas, comparaciones con otras empresas y cuadros de comando.
- El contexto de las investigaciones y de la protección de denunciantes de buena fe.
Principios de los sistemas de compliance de alta calidad:
Principio 1. La ética y el cumplimiento es parte de la estrategia de negocio. Si bien hay un departamento de Compliance en el organigrama, la función de cumplimiento está distribuida de todas las operaciones. Es decir, los directores asignan objetivos y responsabilidades de cumplimiento claramente dentro de sus áreas. De esta forma, todos los empleados asumen la responsabilidad de cumplir con las regulaciones y entienden su rol integral en la prevención del fraude y la corrupción. De esta forma, la ética será una parte explícita de la misión y visión de la organización.
Principio 2. Los riesgos de incumplimientos efectivamente se identifican y gestionan por un dueño. El análisis de riesgos es la brújula que dirige todas las acciones del sistema de gestión de cumplimiento. Este análisis cuenta la historia, nivel de madurez y objetivos de la organización. En los programas de cumplimiento de alta calidad, el análisis de los riesgos, efectivamente, permite evitar consecuencias severas, como sanciones mayores, inhabilitaciones y penales, así como proteger la reputación. Esto se logra cuando los planes de acción para mitigar riesgos se completan a través de un dueño del riesgo claramente identificado y que ha contado con la colaboración desde Compliance para adquirir los recursos necesarios para prevenir incumplimientos.
Principio 3. Los líderes de la organización en todos los niveles construyen una cultura ética. La identificación de riesgos de incumplimiento no construye por si sola una cultura ética ni de cumplimiento. La minimización de riesgos de Compliance no genera organizaciones íntegras. La cultura necesita líderes que puedan influenciar en las decisiones de negocios para lograr un crecimiento sustentable y proteger la reputación. Las organizaciones con sistemas de cumplimiento de calidad reconocen el papel de los líderes en la gestión del cambio cultural para garantizar decisiones sostenibles a largo plazo.
Principio 4. La organización promueve y valora el reporte de sospechas de malas conductas. Uno de los mayores riesgos de la función de cumplimiento es fracasar en construir la cultura de transparencia, comunicación de puertas abiertas y del reporte de situaciones ilícitas conocidas o sospechadas. El miedo y el desinterés erosionan la cultura de cumplimiento y aumentan el costo de los fallos de Compliance porque las alarmas se encienden ya cuando hay riesgos materializados y ante situaciones difíciles de reencauzar.
Principio 5. La organización toma acciones efectivas sobre las malas conductas (y aprende a evitarlas). Integrado en todo el sistema de cumplimiento con alta calidad, el principio de responsabilidad y de rendición de cuentas es la base del tratamiento de riesgos y la ejecución de controles. Aún en empresas maduras en temas de Compliance, las malas conductas existen y no es razonable pensar que la cultura y los controles son infalibles. Sin embargo, las empresas con estándares de Compliance de calidad logran reducir la frecuencia de las malas conductas más allá que erradicarlas y aprenden de sus fallos para evitarlos en el futuro.
La evolución en los sistemas de Compliance
El sistema de gestión de cumplimiento evoluciona a medida que la cultura ética se fortalece. Esta cultura se construye a través del tiempo y se refuerza con decisiones diarias que cambian las conductas y sostienen los valores en las prácticas de negocios. La definición del así es cómo hacemos las cosas aquí debe acompañar la misión de Compliance en todos los niveles, desde la alta dirección hasta los empleados.
Aún a nivel más básico, el diseño y la implementación de un sistema de gestión de cumplimiento no son fáciles. Se requieren tiempo, recursos y soporte de la alta dirección en cada etapa para consolidar la función de Compliance en ser efectiva y transformadora.
Se diferencian cuatro estados:
Estado 1. No definida/Baja calidad:
- No se definieron los elementos del programa de cumplimiento.
- El “tono de los superiores” no está comunicado.
- Los órganos de decisión no tienen información sobre Compliance.
Estado 2. Inconsistente:
- No se definieron los elementos más importantes del programa de cumplimiento.
- El monitoreo y testeo de Compliance es infrecuente.
- Información descentralizada.
- Los órganos de decisión tienen información escasa y esporádica sobre Compliance.
Estado 3. Estandarizada:
- Los elementos del programa de cumplimiento son deficientes en las unidades de negocios.
- Existen planes de remediación para controles de cumplimiento.
- La dirección apoya a la función de cumplimiento.
- Los órganos de decisión tienen información relevante y frecuente sobre Compliance
Estado 4. Optimizada/Alta calidad:
- Todos los elementos del GRC están incorporados en las unidades de negocio coordinados por la función corporativa.
- Compliance, riesgos y auditoría interna comparten información y sinergias.
- Se aplica la mejora continua en los controles de cumplimiento.
- Apoyo de todos los niveles de la organización.
- Plataforma de GRC integrada.
- Función centralizada.
Estándares Complaints Management System
Un sistema de gestión de reclamaciones es clave para la mejora continua de servicios. Resolver las reclamaciones de los clientes también puede permitir evitar multas y sanciones, y prevenir el daño reputacional, lo cual es de interés compartido con la función de Compliance. Algunos contratos de concesiones y regulaciones sectoriales pueden pedir la existencia de estos sistemas. Eventualmente, también las reclamaciones de clientes pueden hacer necesaria la participación de Compliance para modificar una política.
No confundir el sistema de gestión de reclamaciones (CMS) con la línea ética (whistleblowing o Compliance helpline). En la práctica, este sistema descansa en una base de datos segura con un nivel de protección alto para garantizar que todas las denuncias y reclamaciones que recibe una organización son registradas y se toman acciones sobre ellas.
Usualmente, esta base de datos de denuncias tiene los siguientes campos:
- Detalles de la denuncia, reclamación, queja, comentarios (o incluso agradecimientos).
- Solicitud de respuesta > qué solicita el cliente.
- Naturaleza > parámetro para agrupar quejas de igual origen.
- Estado > abierto, en curso, desestimado, cerrado a favor cliente.
- Modo de ingreso > verbal, e-mail, online, carta.
- Responsable > oficina, departamento y/o área.
- Acciones tomadas > quién y cuándo.
- Recomendaciones de mejora.
Esta base de datos permite efectuar búsquedas de información por múltiples criterios para hacer seguimiento de casos, importar y exportar datos, acceder a documentos en formato digital, incluyendo los reportes internos o aquellos provistos por expertos independientes (por ejemplo, un consultor o un perito en fraude).
La base CMS tiene un administrador a cargo de su seguridad y restricción de accesos. Especialmente, el administrador debe asegurarse de que no se permitan alterar registros y que los cambios de estados de las reclamaciones son razonables dentro de los procesos. Debe revisar cambios de estados cuando se reabren reclamaciones. Una vez salvado un cambio, los registros se deben bloquear, y ni siquiera el usuario que ingresó un dato puede volver a editar. La depuración de la base debe seguir un periodo de retención conservador, especialmente cuando tenemos investigaciones que afectan a varios años.
Características de un buen software CRM:
- Tiene parametrizados flujos automáticos para derivar reclamaciones.
- Sistema de priorización de denuncias.
- Contiene un algoritmo para asegurar que no hay reclamaciones duplicadas.
- Mantiene actualizado al reportante de los cambios de estado de su reclamación.
- Permite adjuntar documentos en diferentes formatos.
- Tiene incorporada una checklist de controles para asegurar el correcto tratamiento de denuncias.
- Integrado al software de GRC.
- Asegura un correcto acceso de usuarios.
- Registra acciones y eventos en un log.
- Genera reportes con datos de gestión, por ejemplo, identificando áreas con alto número de denuncias, problemas originados en un mismo factor, demoras en cerrar una investigación, por categoría de denuncias, tendencias de reclamaciones.
- Permite la certificación de la ISO 10.002 sobre gestión de denuncias.
La función de Compliance puede revisar el funcionamiento de la CMS para:
- Garantizar la formalización del proceso en políticas con un claro alcance y responsabilidades asignadas.
- Asegurar el correcto trato, seguimiento y actualización de las reclamaciones.
- Revisar que el proceso de escalar reclamaciones originadas por incumplimientos ha involucrado al personal gerencial para tomar medidas apropiadas de resolución del caso y para evitar que se vuelvan a generar.
- Seguir, en general, las acciones de remediación tomadas a partir de las reclamaciones.
¿Quieres saber más sobre el Compliance Management System? Revisa nuestro Máster en Dirección y Administración Empresarial y Directiva