I.

Auditoría de Cumplimiento

Generalidades

La Auditoría de Cumplimiento es la confirmación o escrutinio de las operaciones

financieras, administrativas, económicas y de otra índole de una empresa, para
establecer que se han realizado conforme a las normas legales, reglamentarias,
estatutarias y de procedimientos aplicables. Es aquella modalidad auditora en la
cual se comprueba de forma exhaustiva que una empresa o institución cumple
con la normativa y legislación correspondiente a su sector, entorno o territorio.

La Auditoría de Cumplimiento se ejecuta por medio de la revisión de los

documentos que soportan legal, técnica, financiera y contablemente las
operaciones, con la finalidad de determinar si los procedimientos utilizados y las
medidas de control interno están de acuerdo con las normas que le son
aplicables, y si los procedimientos están operando de manera efectiva y son
adecuados para el logro de los objetivos de la organización.

Por medio de la realización de una auditoría de cumplimiento multitud de

compañías de todo tipo tienen una herramienta de control y seguridad de
buenas prácticas.

Este tipo se centra en que toda legislación vigente sea respetada en el día a día
económico desde el punto de vista operativo y administrativo. Alternativamente,
una correcta ejecución de este tipo de mecanismos asegura para las compañías
que su control interno funciona de forma correcta, evitando incumplimientos
normativos y fallas del sistema.

Dentro de este tipo de evaluaciones también pasan detalles importantes como

la correcta preparación o formación de la plantilla acorde a la actividad
realizada, la atención a las medidas de seguridad establecidas por ley o el
funcionamiento de los engranajes propios de la estructura de la empresa
atendiendo al sector económico en que desarrolla su trabajo.

Características de la auditoría de cumplimiento

Esta modalidad auditoría tiene una serie de rasgos característicos que la

distinguen de otras tipos de auditoría:

1
➢ Analiza exhaustivamente el total de operaciones financieras acometidas por
una empresa o institución, así como toda acción de carácter administrativo

➢ Este estudio para necesariamente por el profundo estudio de toda

documentación existente, en forma de informes o presentaciones externas
de información y con temática financiera, legal o administrativa

➢ Pone en valor la actividad cotidiana empresarial con el marco legal del

territorio en que se sitúa la compañía, buscando posibles incoherencias o
anomalías

➢ También se tiene en cuenta la normativa interna de una empresa, expresada

en sus estatutos y códigos, más allá de la normativa territorial antes citada

➢ Un auditor de cumplimiento debe estar permanentemente actualizado,

siendo conocedor de los cambios constantes que tienen lugar en las distintas
legislaciones sectoriales, territoriales o a nivel nacional/plurinacional

➢ Siguiendo a la detección de fallos en el control interno de una empresa, una

auditoría de cumplimiento debe sentar las bases para la mejora o corrección
del mismo

➢ Pese a estos matices distintivos, la auditoría de cumplimiento busca lo mismo

que el resto de las expresiones existentes en el campo de la auditoría: la
mejora del funcionamiento de las sociedades mercantiles y la consecución
de mejores niveles de eficiencia interna de acuerdo a unos parámetros o
estándares.

Un ejemplo sencillo de este tipo de evaluación sería el estudio sobre una empresa
de productos químicos.

La auditoría de cumplimiento observará si opera, atendiendo a la legalidad

respecto a la preparación profesional de sus empleados y técnicos. Al tiempo se
analiza si el trato de residuos se realiza de manera legal, por citar otro punto clave
de observación.

Responsabilidad del cumplimiento

La responsabilidad del cumplimiento recae sobre la Administración, quien debe

asegurar que las operaciones de la empresa son direccionadas en concordancia
con las leyes y reglamentos.

2
Alcance de la responsabilidad del administrador

En consideración de que la Auditoría de Cumplimiento debe focalizarse sobre la

efectiva ejecución de sus obligaciones, frente a la garantía de que la empresa
cumple con los marcos legales que la regulan.

A continuación se nombran algunas funciones del administrador sobre las que se

debe enfocar esta auditoría.

✓ Vigilar las regulaciones legales y asegurar que los procedimientos de

operación estén diseñados para cumplir las regulaciones.
✓ Establecer y aplicar sistemas apropiados de control interno.
✓ Desarrollar, publicitar, y cumplir con el código de conducta empresarial.
✓ Garantizar que los empleados están debidamente capacitados y
comprenden el código de conducta empresarial.
✓ Velar por el cumplimiento del código de conducta.

✓ Contratar asesores legales parar cooperación en la vigilancia de los requisitos

legales.
✓ Mantener un compendio de las leyes importantes que la entidad tiene que
cumplir dentro de su industria particular.

Función principal del auditor

El auditor debe diseñar la Auditoría de Cumplimiento para proporcionar

seguridad razonable de que la entidad cumple con las leyes, regulaciones y otros
requerimientos importantes para el logro de los objetivos.

3
II. Auditoría de compliance o auditoría de cumplimiento

Síntesis

La auditoría de compliance (cumplimiento) implica una serie de

revisiones aplicando el proceso de auditoría sobre el marco normativo externo e
interno de la empresa, considerando la gestión de riesgos, la ética y las
mejores prácticas administrativas.

De conformidad con los acuerdos de Basilea, el compliance es “una

función independiente que identifica, asesora, alerta, monitorea y reporta los
riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir
sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras o
pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las
regulaciones, los códigos de conducta y los estándares de buenas prácticas
(juntos ‘leyes, reglas y estándares’)”.

De este modo, la auditoría de compliance (cumplimiento) implica una serie de

revisiones aplicando el proceso de auditoría sobre el marco normativo externo e
interno de la empresa y considerando la gestión de riesgos, la ética y las mejores
prácticas administrativas. Ahora bien, dos preguntas:

1. ¿El Contador del futuro debe considerar en su carpeta de servicios

este tipo de auditoría?

2. ¿Puede el Contador Público contar con los conocimientos para dirigir

esta clase de encomiendas?

Una de las notas principales a tomar en consideración es que, en la actualidad,

es imprescindible trabajar con equipos interdisciplinarios (nótese que no hemos
empleado el término multidisciplinario, sino su forma de evolución actual), que
aseguren que la forma de trabajar es con las mejores cualidades del individuo y
su profesión, pero comunicando sus conclusiones básicas, discutiendo sobre
diversos esquemas y metodologías para ubicar la herramienta más adecuada,
conformando un grupo de trabajo donde las actuaciones, las revelaciones, los
hallazgos, las recomendaciones y todo lo que le confiere al resultado de la
encomienda, lo cual ha sido revisado desde perspectivas diferentes, de acuerdo
con puntos de vista especializados, pero trabajando en conjunto, en víspera de
la mejor solución, la detección oportuna y la mejor recomendación.

De esta manera, el Contador Público, en razón de ser un especialista en auditoría

de cualquier tipo, resulta ser el profesional más adecuado para coordinar este
tipo de actividades; sin embargo, debe trabajar fortaleciendo diversas
habilidades básicas que, si bien cimentadas en el estudio de nuestra carrera y
utilizadas en la práctica cotidiana (por ejemplo, la comprensión de marcos

4
normativos, utilización de software, manejo de herramientas administrativas
como manuales de organización, procedimientos, sistemas, etc.), deben ser
perfeccionadas a fin de comprender en este equipo interdisciplinario a
abogados, expertos en tecnologías de la información, licenciados en
administración, ingenieros civiles, arquitectos, ingenieros en sistemas y, en fin,
todo tipo de profesionistas que podrían ayudarnos en la realización de una tarea
específica.

Los abogados merecen énfasis particular en este tipo de trabajos, debido a que
la auditoría de cumplimiento, siempre tiene relación con un marco normativo
que puede estar delimitado, ya sea por las leyes de un país o internacionales,
una normatividad aplicable al caso, una reglamentación impositiva o
autoimpuesta, pues perciben las actividades que se deben realizar con respecto
al marco de referencia, las interpretaciones armónicas del propio marco, los
procesos jurídicos y las sanciones, en caso de incumplimiento.

Pero volviendo al caso, los Contadores son expertos en la realización de

auditorías de cumplimiento, al auditar y verificar el pago correcto de impuestos,
y otros trabajos que tienen que ver con el cumplimiento de leyes, reglamentos y
normas, no obstante, aquí lo importante es ampliar la visión y caer en la cuenta
de que existen muchísimos más conceptos y cuestiones que revisar en este tipo
de auditorías.

Por ejemplo, podría ser que a usted lo contrataran para dar una opinión sobre los
trabajos realizados por el departamento jurídico de una empresa, lo cual se
consideraría una auditoría de cumplimiento en virtud de que los expedientes de
esa naturaleza deben ser administrados y realizados de conformidad con las
leyes de carácter mercantil, laboral, penal, civil y fiscal, respectivamente.

No estamos hablando de que tome el papel de otras profesiones, sino de que

sea un coordinador de los equipos y preocupado por contar con los suficientes
conocimientos para la comprensión de los temas, el planteamiento adecuado
de la auditoría, la planeación correcta de esta, la supervisión de los trabajos
realizados (para lo cual puede apoyarse de especialistas), el monitoreo de la
ejecución, etc.

Para lo anterior, utilizando la capacidad analítica del auditor y redactando su

informe, de manera adecuada.
Otro ejemplo muy práctico para demostrar que los Contadores Públicos están
capacitados para realizar auditorías de cumplimiento es la ejecución de
auditorías de programas estatales, ya que los mismos contienen reglas de
operación (marco específico de cumplimiento).

Describamos algunas de las acciones a considerar en la planeación y ejecución

de las auditorías de cumplimiento:

5
Funcionamiento del gobierno corporativo, al resultar indispensable el hecho de
que sean los niveles más altos de la organización quienes impulsen la figura del
compliance, debido a sus genuinos intereses en que las normas se cumplan y, en
consecuencia, que las figuras preventivas se desarrollen; asimismo, que se
efectúen los objetivos que se plantean por el tone at the top de la organización.
Impulso a la ética empresarial, debido a que es imprescindible para el
compliance que las cosas sucedan de la mejor forma en torno a todos los grupos
de interés de la organización, pero con una conducta ética proclive al mejor
funcionamiento.

Responsabilidad de las personas jurídicas, al trabajar sobre las principales

estructuras de gobierno de la empresa o institución, clarificando sus
responsabilidades de supervisión, monitoreo e impulso de cumplimiento de las
responsabilidades organizacionales.

Manejo del riesgo de incumplimiento, en virtud de que se utilizan diversas

herramientas administrativas de evaluación de riesgo, estableciendo planes de
trabajo activos y de mejora continua para asegurar que la organización cumplirá
con sus compromisos normativos.

Establecimiento de programas de cumplimiento, que son herramientas de

medición de avances y desempeño en las políticas y objetivos del compliance
organizacional.

Establecimiento de líneas de denuncias, las cuales previenen y ayudan a la

detección de conductas de abuso y omisión de la normatividad.

Elaboración de políticas claras por parte de los niveles de dirección y supervisión,

las cuales permiten que los objetivos se cumplan y las desviaciones aminoren.

Cumplimiento relacionado con los departamentos de TI, pues en nuestros días es

indispensable que apoyen, fortalezcan, desarrollen y activen la información, así
como la comunicación oportuna sobre el cumplimiento, además de apoyar a la
segregación adecuada de funciones y a administrar las responsabilidades,
correctamente.
Supervisión adecuada del cumplimiento de regulaciones específicas, por
ejemplo, el cumplimiento de leyes fiscales y otras de naturaleza análoga
(Contabilidad Gubernamental, Leyes de Prevención de Operaciones con
Recursos de Procedencia Ilícita, Procesos jurídicos laborales, mercantiles, civiles y
penales y Normas ISO, entre otras)
Por lo anterior, el auditor de cumplimiento puede ser de gran apoyo para la
organización al ser un revisor de que la normatividad o las leyes se cumplan de
la mejor manera (razón por la cual también se le llama auditoría legal).

6
III. La auditoría de cumplimiento y las tecnologías de la información

En una situación de contingencia y aislamiento como la que se está viviendo

actualmente, hay grandes desafíos para las empresas en diferentes áreas. El caso
de la auditoría de cumplimiento es una de ellas.

Las compañías han debido hacer ajustes en las actividades de supervisión, en las
cuales la tecnología es una gran ayuda. Esta es una interesante oportunidad
para hacer una transformación en la manera como se han venido realizando las
tareas y es posible que conduzcan a una integración más inteligente de la
tecnología de la información y las obligaciones derivadas de las normas de
cumplimiento en las empresas.

Muchos de los protocolos, políticas y prácticas existentes relativas al tema del

cumplimiento normativo supone un alto nivel de interacción personal. Ahora las
empresas deben pensar en cómo adaptar esa infraestructura a un entorno de
distanciamiento social, trabajo remoto y con alta dependencia de las
conexiones tecnológicas.

Una preocupación latente es como mantener y fortalecer la cultura de

cumplimiento y los esquemas de supervisión para que las normas se sigan
correctamente. Si bien la manera de ejecutar el trabajo varía, ciertas leyes y
normas permanecen constantes.

El aprendizaje al interior de las compañías, en las actuales circunstancias, se ha

llevado a cabo mediante observación, interpretación de organismos gremiales y
profesionales e incluso de las sanciones originadas en el incumplimiento. Las
prácticas y reglas antiguas pueden requerir nuevos entendimientos en su
aplicación, actividades como las capacitaciones y evaluaciones han tenido que
replantearse en su ejecución. Todos los empleados deben seguir las leyes, las
normas regulatorias y las políticas internas a pesar de los inconvenientes y
dificultades para hacerlo.

La respuesta de diferentes gobiernos bien sea locales, regionales o nacionales,

ante situaciones de crisis e incertidumbre es en muchos casos crear regulaciones
y disposiciones que procuran que las empresas se ajusten de la mejor manera a
las nuevas circunstancias.

En un caso como el de la actual pandemia, en diferentes jurisdicciones se han

emitido normas para otorgar ayudas que pretenden mitigar las consecuencias
económicas, así como normas que procuran la preservación de la salud de los
empleados de las compañías, por citar un par de ejemplos.

7
Muchas empresas, que en desarrollo de sus negocios operan internacionalmente
se encuentran con un nuevo desafío. A nivel internacional, los países de
diferentes partes del mundo han tomado medidas significativas para hacer
frente a los desafíos –económicos y de otro tipo– de la pandemia.

Como resultado de estas acciones, muchas empresas se enfrentan a una

necesidad sin precedentes y urgente de entender, capitalizar y cumplir con una
gran cantidad de regulaciones y leyes. Esta tarea es difícil sin los recursos
apropiados. Al llegar una nueva normalidad, es probable que las investigaciones
posteriores y las acciones de cumplimiento de la ley revelen muchas conductas
y deficiencias corporativas en relación con estas nuevas reglas y programas
surgidas en el difícil entorno actual.

Una de las herramientas con que cuentan las compañías para enfrentar este
desafío regulatorio es la tecnología. En las actuales circunstancias, mediante los
aplicativos y programas apropiados, empresas de diferentes industrias han
logrado operar, aunque algunas de sus instalaciones se encuentren cerradas. Esa
misma tecnología, con las implementaciones y ajustes necesarios, pueden
facilitar el cumplimiento de las cambiantes normas y contribuir a su
entendimiento.

En el mercado existen herramientas para el tema de gobierno, riesgo y

cumplimiento (GRC) que permiten automatizar y analizar grandes volúmenes de
información relacionada con la gestión de riesgos y la presentación de informes
regulatorios de manera oportuna y eficiente; esto se constituye en una gran
ayuda para empresas que operan en diferentes jurisdicciones.

Las labores de monitoreo y evaluación, propias de la auditoría de cumplimiento

también pueden apoyarse en las tecnologías de información en un entorno
incierto y dinámico, ya que se requiere un gran trabajo de análisis y
procesamiento de datos.

Ahora bien, hay que tener presente que el empleo de la tecnología entraña
riesgos. Los sistemas y aplicativos eventualmente presentan fallas y deficiencias
en su funcionamiento y en tanto haya mayor dependencia de ellos, habrá
mayores posibilidades de fallas, con consecuencias más nocivas.

Temas como los de ciberseguridad, fraudes electrónicos y delitos cibernéticos

adquieren una especial relevancia. Las debilidades de seguridad en los sistemas
pueden detectarse de manera intencional o accidental y en la medida en que
haya más trabajadores que operen de forma remota desde sus casas, con
equipos y aplicativos que no sean muy robustos ni seguros, hay mayores riesgos
de ciberseguridad.

8
Toda vez que el lugar de trabajo para muchas personas será remoto, la
supervisión deberá adaptarse y en esa medida, la auditoría de cumplimiento
debe integrar de manera inteligente la tecnología. El empleo de recursos en la
nube facilita el trabajo, superando las barreras geográficas, dando una nueva
dinámica a la interacción entre personas y áreas.

Esta transición e integración no será fácil ni conveniente, pero será necesario que
muchas empresas sean funcionales y eficaces. Esto requerirá de los auditores,
abordar un nuevo desafío en la ejecución del trabajo, para el cual hay que
prepararse decididamente.

IV. 10 componentes para el éxito de una auditoría de cumplimiento

Antes de llevar a cabo una auditoría de cumplimiento, el objetivo debe ser

identificar y resolver los riesgos de cumplimiento antes de que se conviertan en
problemas importantes.

Las medidas preventivas ahorran recursos al eliminar el costo del incumplimiento

y el daño a la reputación, ayudando a crear nuevos negocios y mantener una
ventaja competitiva.

Los líderes astutos de cuentas por cobrar saben cómo identificar problemas y
actuar sobre ellos antes de que se conviertan en problemas significativos,
especialmente cuando se trata de cumplimiento. El costo del incumplimiento y
el daño a la reputación pueden ser debilitantes, pero las medidas preventivas
ahorran recursos al eliminar el costo del incumplimiento y el daño a la reputación,
ayudando a crear nuevos negocios y a mantener la ventaja sobre la
competencia.

Por esta razón, las agencias de ARM deben trabajar diligentemente para
prepararse para posibles auditorías de cumplimiento de CFPB u otras autoridades
reguladoras que supervisan sus operaciones. Si no lo hacen, el riesgo de multas,
sanciones y acciones legales puede aumentar de manera insostenible si no se
evitan a través de acciones de mitigación.

A pesar de las advertencias, muchos eligen opciones menos favorables, ya sea

ignorando la necesidad de controlar sus tácticas de cumplimiento, contratando
contratistas externos que no conocen su negocio o simplemente absorbiendo el
costo inevitable del incumplimiento. Los líderes que se acogen al proverbio
“tomar el toro por los cuernos”, actúan inmediatamente para evitar gastos y
ponen sus operaciones en una posición más fuerte.

9
Sumergirse en su propio negocio y buscar intrépidamente los problemas que
necesitan corrección puede llevar su operación a niveles que no creería posible.

A continuación, se presentan 10 componentes clave que necesita para evitar

llevar a cabo inadecuadamente su auditoría de cumplimiento:

1 – Conocimiento

Eche un buen vistazo a su agencia y aprenda en qué situación se encuentra con

respecto al cumplimiento. Conozca las regulaciones que se aplican a usted, en
detalle, y obtenga una comprensión completa de las consecuencias de no
seguirlas. Identifique dónde se encuentran los vacíos y las vulnerabilidades. Sea
honesto con usted mismo y su equipo.

2 – Administración

Cuando llega el momento de llevar a cabo su auditoría, no la deje correr sola,

organícela y contrólela. Sea proactivo, elabore un plan y supere posibles
problemas antes de que se conviertan en amenazas. Prepare a los participantes
que se reunirán con los auditores y conocerán su evidencia: documentos y
registros.

3 – Cultura

Establecer una cultura de cumplimiento comienza con la comunicación, pero se

basa en la expectativa de integridad y responsabilidad. Su organización necesita
valores y un código de ética publicados. Anótelos, distribúyalos, y predíquelos en
las reuniones de la compañía y premie a los que los cumplen.

4 – Capacitación

Haga que todas las partes interesadas sean conscientes de las expectativas de
cumplimiento. Comuníquelas a su Junta Directiva y al liderazgo ejecutivo.
Eduque a todos en su organización sobre las políticas, los procedimientos, las
leyes y las reglamentaciones a medida que trabaja para garantizar la
comprensión y la aceptación.

5 – Un sistema

Establezca un sistema formal de gestión del cumplimiento para identificar,

prevenir y corregir problemas de cumplimiento. Capacite a los líderes dentro de
su organización para funciones y responsabilidades clave, y documente sus
políticas y procedimientos. Estas prácticas deberían fortalecer su capacidad

10
para identificar y administrar las infracciones de cumplimiento e identificar,
analizar y mitigar los riesgos.

6 – Preparación

Los métodos de auditoría pueden incluir entrevistas, inspecciones, observación,

pruebas y muestreo. Por lo tanto, tómese un tiempo para determinar el alcance
y los criterios de la auditoría, seleccionar los participantes, establecer
expectativas y proporcionar criterios de referencia para requisitos específicos.

7 – Controles

Obtenga una idea de cómo irá su auditoría y tenga un plan establecido para los
resultados que espera. Eso significa crear controles y balances para las
vulnerabilidades y medir los objetivos clave y las iniciativas estratégicas para
monitorear el cumplimiento de metas y el progreso. Examine periódicamente sus
registros de capacitación y realice su propia auditoría interna en su sistema de
administración de cumplimiento.

8 – Programación

Programe sus auditorías para cumplir con las necesidades del negocio con
respecto a la relevancia, el grado de riesgo, la estabilidad del proceso, los
problemas anteriores, los requisitos reglamentarios, el realineamiento
organizacional y la inclusión de nuevos talentos. Es posible que se requiera una
auditoría, pero debe aprovechar la flexibilidad que le ofrecen.

9 – Conversación

Cree un entorno no amenazante para auditores y asociados por igual, y hable

con los que manejan su negocio con anticipación. Realice simulacros de
entrevistas y anote sus observaciones y hallazgos mientras gestiona con respecto
al tiempo y el contenido. Debe hacer preguntas abiertas que ayuden a describir
cómo se capacita a los empleados en las leyes de protección financiera del
consumidor, cómo se supervisa la capacitación para garantizar que se cumplan
las expectativas y cómo se identifican las posibles infracciones.

10 –Auditorías internas

Proporcione a su personal y a la gerencia un curso acelerado de cumplimiento,

y patrocine y capacite a los empleados objetivo para que prueben su operación
con anticipación. Seleccione sus propios auditores de acuerdo a la competencia
e integridad y asegure la objetividad tanto de la organización como de la
relación.

11
Haga que los auditores lleven a cabo revisiones para asegurarse de que se
resuelvan los problemas de incumplimiento que descubran y examine todos los
requerimientos de su negocio, las reglamentaciones, políticas, procesos, leyes,
normas y controles; todos en un juego justo. Luego, identifique la falta de
conformidad y las oportunidades de mejora y capture una descripción de cómo
se ha conformado con cada una.

Una auditoría de cumplimiento es un asunto serio con un impacto serio en su

negocio. Tómese el tiempo para asegurarse de estar preparado, esto pagará
dividendos importantes más adelante.

V. ¿Cómo crear una cultura de cumplimiento en las

organizaciones? ¿Cómo construir un entorno de trabajo que la
soporte?
Que la controversia surgida en torno a cómo se filtraron los archivos de la Red de
Control de Delitos Financieros del Departamento del Tesoro de los Estados Unidos
de América (FinCEN por sus siglas en inglés) no nos distraiga, este escandaloso
hecho constituye un llamado de atención en el sentido que el sector bancario
necesita trabajar mucho más para combatir los delitos financieros.

De los 2.657 archivos filtrados, 2.121 correspondieron a operaciones sospechosas

(SARs por sus siglas en inglés, ROS en nuestro medio) reportadas por los bancos,
que representaban más de 2 billones de dólares, suma que resulta pequeña
frente al total de ROS reportados en el mismo período (2000 – 2017).

Una de las lecciones más visibles que nos deja este affaire de los archivos filtrados,
es la falta de voluntad o desconexión entre la identificación de la actividad
sospechosa y la última acción tomada para manejarla.

Los bancos están haciendo su tarea de reportar las actividades sospechosas pero
muchos no han mostrado interés o capacidad para ir más allá, particularmente
con los clientes que les representan una considerable fuente de ingresos
permanente, así que es necesario darle prioridad al Cumplimiento (Compliance
por sus siglas en inglés) y ejercer una presión inmediata alrededor de los ROS a
través de acciones determinantes para asegurarnos que los casos se llevaron
confiablemente, no basta con denunciar y olvidarse del asunto.

Así las cosas, uno de los más grandes obstáculos esgrimidos para lograr el
cumplimiento es su costo, cuando en efecto, la solución más simple y tal vez la
más efectiva es gratis: establecer una Cultura del Cumplimiento.

12
Tener una cultura de Cumplimiento implica que todos en la organización, óigase
bien todos, no solamente el personal asignado al área de Prevención y Lavado
Dinero (AML, por sus siglas en inglés) debería estar vigilante y conocer las
consecuencias de una falta de Cumplimiento.

A diferencia de las inversiones en tecnología para AML o contratar más oficiales

de cumplimiento, esta singular solución requiere solamente un ajuste en la
mentalidad, y un compromiso de parte de los empleados de la organización, que
se vea reflejado en la forma de pensar en nuestro quehacer diario. En el
desempeño de cada uno de sus roles, todos los empleados en alguna medida
son oficiales de cumplimiento porque adquieren conciencia de ello,
consideración válida no sólo para los bancos sino para cualquier organización
que quiera ser transparente.

Suena como una simple solución pero en realidad no es tan fácil, muchas
instituciones financieras han tratado de inculcar una Cultura de Cumplimiento y
han fallado por que se enfrentan a otras prioridades, crecimiento del negocio,
cumplimiento de otras obligaciones legales, sin embargo construir las bases para
una sólida Cultura de Cumplimiento se ha convertido en un asunto crítico para el
éxito del sistema bancario en su lucha contra los delitos financieros. Existen unas
piedras angulares que ayudan a establecer y mantener una Cultura de
Cumplimiento, entre los cuales están las 3 R:

Revisar

Los pilares de una cultura deben venir de arriba hacia abajo y en primer lugar ser
creados por la Junta Directiva y la alta dirección, pero es preciso revisar las
políticas actuales y el comportamiento para ajustarlos y ponerlos a tono con las
circunstancias actuales, ya que con toda seguridad el mundo de hoy es diferente
al mundo que vivíamos cuando esas políticas fueron creadas, asimismo, los
delincuentes se han transformado, han mejorado sus métodos y cuentan con
más recursos a su disposición, los riesgos aumentan y las compañías como las
personas se tornan más vulnerables.

Por lo tanto, es imperativo que los líderes de la organización revisen y

reconsideren el marco para alcanzar el Cumplimento.

Esto incluye todo, desde las políticas oficiales hasta lo concerniente con la
correspondencia interna y externa, comportamientos informales y lo más crítico,
evaluar los riesgos relacionados con el lavado de activos (AML) dado el medio
acelerado en que se vive hoy en día con la adopción de nuevas tecnologías y
de cara a la crisis económica global catalizada por la pandemia del COVID-19.

13
Sólo una conversación constante a nivel de los miembros de la C-suite puede
ayudar a fijar el tono, el talante que debe impregnarse en el resto de la
organización en los términos de la expectativa y urgencia que demanda el
cumplimiento.

Reforzar

Tone from the top es una expresión usada en auditoría para referirse al liderazgo
y compromiso de su Junta Directiva y de la alta gerencia de ser honestos y éticos,
el reforzamiento es fundamental para que ese tono realmente esté presente en
la cotidianidad de todos los miembros que hacen parte de la organización. Una
cosa es ver, leer, oír algo y otra cosa es hacerlo.

Nadie quiere sentir que es el único individuo que está haciendo algo, la
motivación viene más fácilmente si hacemos parte de un movimiento que
estando solos. Esta parte de la construcción de la cultura reposa fuertemente en
los hombros de los administradores y de los que toman decisiones a todo nivel y
esto incluye las estructuras de gobernabilidad, enganche de empleados, las
comunicaciones abiertas y el monitoreo continuo.

La mejor forma de demostrar cómo funciona todo esto es a través de los ojos de
los nuevos empleados: ellos deben ver no solo la priorización del cumplimiento
desde las altas esferas, sino sentir y respirar inmediatamente la Cultura del
Cumplimiento a través del entrenamiento apropiado y la interacción con sus
colegas, de esta forma el mensaje que les quedaría es un entendimiento implícito
de su importancia y una aceptación explícita de las acciones que se deben
seguir en caso de algún problema, sin cuestionar los pasos que le han indicado
para enfrentarlo.

Recompensa

Finalmente una Cultura de Cumplimiento debería estar recompensando a sus

miembros. Hay un debate continuo alrededor de sí la política de premio/castigo
como incentivo es correcta cuando se trata de promover el Cumplimiento, pero
debe ser entendida y promulgada en el sentido de que si hay castigos debe
haber recompensas para equilibrar la ecuación.

Recompensar un empleado es a menudo menos complicado que castigarlo y

solo incrementa en forma positiva la reputación de la organización. Si podemos
asegurarnos que los premios sean visibles, valiosos y relevantes para los
empleados, aumentamos las oportunidades de que una Cultura de
Cumplimiento sea bienvenida y apoyada por todos en la organización.

14
Parte de esto también es asegurarse que ser premiado por cumplimento no
presente conflicto con otros incentivos tales como metas de ventas, de
producción entre otros.

Asegurándose que todos los empleados en la organización sean premiados por

su trabajo positivo hacia la Cultura de Cumplimiento y cultivando y promoviendo
esta cultura, será mucho más fácil con el tiempo conseguir el arraigo en el propio
tejido de la organización.

Alguien describió la Cultura de Cumplimiento como equivalente a la medicina

preventiva, porque una vez usted se enferma le toma mucho tiempo
recuperarse, de igual manera, en ausencia de una correcta Cultura de
Cumplimiento, a una institución financiera o cualquier otra, le tomará un largo
tiempo para recuperarse de los riesgos reputacionales, legales y financieros.

VI. Recomendaciones de COSO a la función de cumplimiento

Normalmente, la función de la auditoría de cumplimiento en muchas empresas

ha sido la de simplemente monitorear los riesgos asociados con posibles
violaciones de reglas y leyes. En algunos casos, se ha superado esta visión y ha
pasado a participar activamente en la dirección estratégica de una empresa.

La cantidad de riesgo que una empresa está dispuesta a asumir para alcanzar
sus objetivos de rentabilidad, sostenibilidad y otros, considera cada vez más el
riesgo de cumplimiento de normas en sus cálculos.

Recientemente, el comité de organizaciones patrocinadoras de la omisión

Treadway (COSO), emitió un nuevo conjunto de recomendaciones sobre cómo
los ejecutivos y los gerentes pueden identificar, monitorear y mitigar mejor los
riesgos de cumplimiento.

El informe, denominado "Gestión de riesgos de cumplimiento: aplicación del

marco COSO ERM", describe cómo las empresas deben realinear sus funciones
de cumplimiento para que puedan influir en todos los aspectos del cumplimiento
dentro de una organización.

De acuerdo con el citado informe, los riesgos de cumplimiento son riesgos

comunes y frecuentemente importantes para alcanzar los objetivos de una
organización.

El Marco de Gestión de Riesgos Empresariales (ERM) de COSO, es utilizado por

profesionales de riesgos y otros profesionales para identificar y mitigar una
variedad de riesgos organizativos, incluidos los riesgos de cumplimiento.

15
El objetivo del informe es proporcionar orientación sobre la aplicación del marco
COSO ERM a la identificación, evaluación y gestión de los riesgos de
cumplimiento alineándolo con el marco del programa de cumplimiento y ética
C&E, creando una poderosa herramienta que integra los conceptos subyacentes
a cada uno de estos marcos valiosos.

Este informe describe las características de los programas efectivos de

cumplimiento y ética asociados con cada uno de los cinco componentes y 20
principios subyacentes del Marco COSO ERM. Un aspecto significativo de ERM es
su enfoque en crear, preservar y realizar valor. Los programas de C&E efectivos
contribuyen a cada uno de estos objetivos.

Hay que recordar que el riesgo es definido por COSO como la posibilidad de que
se produzcan eventos y afecten el logro de objetivos estratégicos y de negocio.
Los riesgos considerados en esta definición incluyen los relacionados con todos
los objetivos comerciales, incluido el cumplimiento. Los riesgos de cumplimiento
son aquellos riesgos relacionados con posibles violaciones de las leyes,
reglamentos, términos contractuales, normas o políticas internas aplicables
cuando dicha violación podría resultar en responsabilidad financiera directa o
indirecta, sanciones civiles o penales, sanciones regulatorias u otros efectos
negativos para la organización o su personal.

Aunque los actos subyacentes (o incumplimientos de acción) son llevados a

cabo por individuos, las violaciones de cumplimiento son generalmente
atribuibles a la organización cuando son llevadas a cabo por empleados o
agentes de la organización en el curso ordinario de sus funciones. El alcance
exacto de los actos atribuibles a una organización puede variar dependiendo de
las circunstancias.

En algunos casos, el empleado también puede asumir la responsabilidad como

individuo. La mayoría de las infracciones de cumplimiento causan daño o tienen
el potencial de causar daño directo a individuos, comunidades u organizaciones.

Ejemplos de partes que pueden ser perjudicadas a través de violaciones de

cumplimiento incluyen clientes (por ejemplo, violaciones de las leyes de
privacidad o seguridad de datos que conducen a una violación y robo de
información personal, violaciones de la seguridad de los productos que resultan
en lesiones, violaciones antimonopolio que resultan en precios inflados),
empleados (por ejemplo, violaciones de la regulación de la seguridad en el lugar
de trabajo que resultan en lesiones a un trabajador, antidiscriminación o violación
de la ley de protección de denunciantes), o el público en general, violaciones
ambientales que resulten en enfermedad o muerte).

16
Aunque la mayoría de los riesgos de cumplimiento se relacionan con leyes o
regulaciones específicas, otras no.

Estos otros riesgos, denominados riesgos relacionados con el cumplimiento,

pueden incluir riesgos asociados con el incumplimiento de las normas
profesionales, las políticas internas de una organización (incluidos los códigos de
conducta y la ética empresarial) y las obligaciones contractuales.

Por ejemplo, los conflictos de intereses representan violaciones de leyes o

reglamentos solo en casos limitados (frecuentemente involucrando a
funcionarios o programas gubernamentales).

Los conflictos de intereses están frecuentemente prohibidos por las normas

profesionales, los términos de los contratos y acuerdos de subvención, o las
políticas internas, y se consideran perjudiciales para una organización si no se
divulgan y administran. Como resultado, los conflictos de intereses se incluyen
comúnmente dentro de la población de riesgos de cumplimiento.

En muchas empresas las áreas de cumplimiento no son independientes, sino que

informan a otros departamentos, como la auditoría legal, interna o la gestión de
riesgos. De acuerdo con COSO, se recomienda separar la función de
cumplimiento, dirigida por un director de cumplimiento con un puesto de nivel
ejecutivo. Si bien esta independencia generalmente no es necesaria, está
surgiendo rápidamente como una práctica preferida debido a las diferentes y a
veces conflictivas responsabilidades de las diferentes funciones.

Los directores de las áreas de cumplimiento deben tener una comunicación

regular y significativa con los demás ejecutivos de la compañía. Para que los
consejos de administración supervisen adecuadamente el cumplimiento, deben
considerar la posibilidad de formar comités de cumplimiento, de manera similar
a los comités de auditoría.

En muchas empresas, la función de cumplimiento a menudo se distribuye entre

varios departamentos. Algunas responsabilidades de cumplimiento, tales como
adherirse a las normas de contabilidad o seguir ciertas normas tributarias o
laborales, podrían estar comprendidas en las labores de otros departamentos,
como la contabilidad o los recursos humanos.

De acuerdo con COSO, no existe una definición universalmente aceptada para

el alcance del programa de cumplimiento y ética C&E de una organización.
Puede variar de una organización a otra y como resultado, el cumplimiento de
algunas leyes y reglamentos puede estar sujeto principalmente a la supervisión
de diferentes áreas, aunque la función de cumplimiento siempre debe estar
preparada para desempeñar una función general o para intervenir para ayudar

17
o abordar problemas si los demás no pueden o no están dispuestos a administrar
adecuadamente el riesgo.

Elevar el cumplimiento de esta manera mejorará la forma en que una empresa

puede evaluar los riesgos asociados con las nuevas empresas, así como mejorar
el monitoreo del cumplimiento dentro de la organización en su conjunto.

De otra parte, el informe también señala que el cumplimiento es tan eficaz como
el equipo de administración de una empresa quiere que sea. Es importante
entender que, aunque prácticamente todos los empleados desempeñan algún
papel en la gestión del riesgo, la gestión y mitigación del riesgo de cumplimiento
en particular es una responsabilidad a todos los niveles.

El tono en la parte superior acerca de la importancia del comportamiento ético

entre todos los empleados es fundamental para que un programa de
cumplimiento y ética C&E tenga éxito. En el lado reglamentario, un programa de
C&E fuerte es a menudo un factor atenuante en una acción de cumplimiento.

De acuerdo con COSO, los programas de cumplimiento efectivos tampoco son

estáticos. Periódicamente deben ser revisados y alterados, así como el apetito
de una empresa por los cambios de riesgo.

Para que los programas de C&E sean efectivos, los reguladores y otras
organizaciones esperan que las organizaciones evalúen periódicamente las
amenazas potenciales de incumplimiento legal, regulatorio y de políticas, así
como la mala conducta ética, para que la organización pueda tomar medidas
para manejar estos riesgos a niveles aceptables.

Los auditores deben estar atentos a este enfoque al evaluar las áreas de
cumplimiento e integrar su trabajo en el marco del modelo COSO, de manera
que la empresa fortalezca su sistema de control interno en el logro de los objetivos
previstos.

18