«

»

Roles y responsabilidades en compliance

Del curso online de compliance officer

 

Roles, responsabilidades y autoridades en la organización

 

Generalidades

La alta dirección debería asegurarse de que las responsabilidades y autoridades para los roles pertinentes se asignen y comuniquen dentro de la organización.

 

La alta dirección debería asignar la responsabilidad y autoridad para:

 

  1. asegurarse de que el sistema de gestión de compliance es conforme con los requisitos de esta norma internacional; e

 

  1. informar a la alta dirección sobre el desempeño del sistema de gestión de compliance.

 

NOTA Las tareas específicas de la función de compliance no exoneran a otros empleados de las responsabilidades que puedan existir de informar sobre cuestiones de compliance.

 

Asignación de responsabilidades de compliance en la organización

La involucración activa y la supervisión por parte del órgano de gobierno y de la alta dirección es una parte integral de un sistema de gestión de compliance eficaz. Lo anterior contribuye a asegurar que los empleados comprendan plenamente la política y los procedimientos operacionales de la organización y cómo se aplican en sus trabajos, así como a que las obligaciones de compliance se lleven a cabo con eficacia.

Para que un sistema de gestión de compliance sea eficaz, se necesita que el órgano de gobierno y la alta dirección prediquen con el ejemplo, adhiriéndose y apoyando activamente a compliance y al sistema de gestión de compliance.

 

Muchas organizaciones tienen una persona dedicada (por ejemplo, un responsable de compliance o compliance officer) responsable de la gestión de compliance en el día a día, y otras, tienen un comité de compliance multifuncional para coordinar compliance en toda la organización.

 

Algunas organizaciones- dependiendo de su tamaño- también tienen a una persona que tiene una responsabilidad general de la gestión de compliance, aunque también puede ser algo adicional a otros roles o funciones, incluyendo comités existentes, unidad(es) organizativas, o externalizar algunos elementos a expertos en compliance.

 

Esto no debería verse como una exoneración a otros niveles de la dirección de sus responsabilidades de compliance, ya que todos los directivos tienen un papel que jugar con relación al sistema de gestión de compliance. Es, por tanto, importante que se establezcan claramente sus respectivas responsabilidades y que se incluyan en sus descripciones de puesto de trabajo.

 

Las responsabilidades de compliance de los directivos variarán, necesariamente, en función de los niveles de autoridad, influencia y otros factores, tales como la naturaleza y tamaño de la organización. Sin embargo, es probable que algunas responsabilidades sean comunes a través de una variedad de organizaciones.

 

NOTA Esta norma internacional no distingue entre el concepto de responsabilidad y el de rendición de cuentas. Rendición de cuentas está implícito en el término “responsabilidad”.

 

Rol y responsabilidad del órgano de gobierno y de la alta dirección

El órgano de gobierno y la alta dirección deberían:

 

  1. establecer una política de compliance;

 

  1. asegurar que se mantiene el compromiso hacia compliance y que se gestionan adecuadamente los incumplimientos de compliance y los comportamientos contrarios a compliance;

 

  1. incluir las responsabilidades de compliance en las declaraciones de posiciones de los altos directivos;

 

  1. designar o nominar una función de compliance con:

 

  • autoridad y responsabilidad para el diseño, consistencia e integridad del sistema de gestión de compliance,

 

  • apoyo claro y sin ambigüedad del órgano de gobierno y la alta dirección y acceso directo a los mismos,

 

  • acceso a:

 

  • tomadores de decisiones de alto nivel y oportunidad de contribuir en etapas tempranas de los procesos de toma de decisiones,

 

  • todos los niveles de la organización,

 

  • toda la información documentada y los datos necesarios para desarrollar las tareas de compliance,

 

  • asesoramiento experto en legislación, códigos y normas organizativas relevantes,

 

  • la autoridad y capacidad de ejercer como contrapoder al mostrar cualquier consecuencia para compliance en los procesos de toma de decisión relevantes,

 

  1. asegurar que la función de compliance tiene autoridad para actuar de forma independiente y que no se ve comprometida por otras prioridades que entren en conflicto, especialmente cuando compliance está integrado en el negocio.

La alta dirección debería:

 

  • asignar recursos adecuados y apropiados para establecer, desarrollar, implementar, evaluar, mantener y mejorar el sistema de gestión de compliance y los resultados del desempeño;

 

  • asegurar que se asignan las responsabilidades y autoridades para los roles relevantes y que son comunicadas a toda la organización;

 

  • asegurar que hay sistemas de información y comunicación eficaces y puntuales;

 

  • medirse contra baremos o resultados de desempeño clave de compliance;

 

  • asignar la responsabilidad de informar sobre el desempeño del sistema de gestión de compliance al órgano de gobierno y a la alta dirección.

 

Función de compliance

No todas las organizaciones crearán una función de compliance separada, algunas pueden asignar esta función a una posición existente.

 

La función de compliance, trabajando conjuntamente con la dirección, debería ser responsable de:

 

  1. identificar las obligaciones de compliance, con el apoyo de los recursos necesarios, y traducir esas obligaciones en políticas, procedimientos y procesos viables;

 

  1. integrar las obligaciones de compliance en las políticas, procedimientos y procesos existentes;

 

  1. proporcionar u organizar apoyo formativo continuo a la plantilla para garantizar que todos los empleados relevantes son formados con regularidad;

 

  1. promover la inclusión de las responsabilidades de compliance en las descripciones de puestos de trabajo y en los procesos de gestión del desempeño de los empleados;

 

  1. poner en marcha un sistema de información y documentación de compliance;

 

  1. desarrollar e implementar procesos para gestionar la información, tales como las reclamaciones y/o comentarios recibidos de líneas directas, un canal de denuncias anónimas u otros mecanismos;

 

  1. establecer indicadores de desempeño de compliance y supervisar y medir el desempeño de compliance;

 

  1. analizar el desempeño para identificar la necesidad de acciones correctivas;

 

  1. identificar los riesgos de compliance y gestionar aquellos riesgos que relacionados con terceras partes, tales como proveedores, agentes, distribuidores, consultores y contratistas;

 

  1. asegurar que el sistema de gestión de compliance se revisa a intervalos planificados;

 

  1. asegurar que hay acceso a un asesoramiento profesional adecuado para el establecimiento, implementación y mantenimiento del sistema de gestión de compliance;

 

  1. proporcionar a los empleados acceso a los recursos de los procedimientos y referencias de compliance;

 

  1. proporcionar asesoramiento objetivo a la organización en materias relacionadas con compliance.

 

NOTA La Norma ISO 10002 proporciona directrices para el tratamiento de las quejas.

 

Cuando se asigne la responsabilidad de la gestión de compliance, se debería considerar la forma de asegurar que la función de compliance no tiene conflictos de intereses y que ha demostrado:

 

  • integridad y compromiso con compliance;

 

  • habilidades de comunicación eficaz y de capacidad de influencia;

 

  • capacidad y prestigio para que sus consejos y directrices tengan aceptación;

 

  • competencia necesaria.

 

Responsabilidades de la dirección

La dirección debería ser responsable de compliance dentro de su área de responsabilidad. Esto incluye:

 

  1. cooperar con y apoyar a la función de compliance y animar a los empleados a hacerlo de la misma forma;

 

  1. cumplir personalmente, y que se le vea que cumple, con las políticas, procedimientos y procesos y atender y apoyar las actividades formativas de compliance;

 

  1. identificar y comunicar los riesgos de compliance en sus operaciones;

 

  1. llevar a cabo de forma activa y fomentar las actividades de orientación, entrenamiento y supervisión de empleados para promover un comportamiento de cumplimiento;

 

  1. animar a los empleados a que planteen sus preocupaciones de compliance;

 

  1. participar activamente en la gestión y resolución de incidentes y cuestiones relacionadas con compliance;

 

  1. desarrollar la concienciación de los empleados sobre las obligaciones de compliance y dirigirlos a que completen los requisitos de formación y competencia;

 

  1. asegurar que compliance se introduce en las descripciones de puestos de trabajo;

 

  1. integrar el desempeño de compliance en las evaluaciones del desempeño de los empleados (por ejemplo, indicadores clave de desempeño, objetivos y criterios de promoción);

 

  1. integrar las obligaciones de compliance en las prácticas y procedimientos de negocio existentes en sus áreas de responsabilidad;

 

  1. junto con la función de compliance, asegurar que, una vez que se identifica la necesidad de una acción correctiva, ésta se implementa;

 

  1. supervisar los acuerdos de externalización para asegurar que tienen en cuenta las obligaciones de compliance.

 

Responsabilidad de los empleados

Todos los empleados, incluso los directivos, deberían:

 

  1. observar las obligaciones de compliance de la organización que son relevantes a su posición y obligaciones;

 

  1. participar en la formación de acuerdo con el sistema de gestión de compliance;

 

  1. usar los recursos de compliance disponibles como parte del sistema de gestión de compliance;

 

  1. informar sobre preocupaciones, cuestiones o fallos de compliance.

Planificación

Acciones para tratar riesgos y oportunidades

Al planificar el sistema de gestión de compliance, la organización debería considerar los principios de buen gobierno, las obligaciones de compliance y los resultados de la apreciación de riesgos de compliance para determinar los riesgos y oportunidades que es necesario tratar con el fin de:

 

  • asegurar que el sistema de gestión de compliance pueda lograr sus resultados previstos;

 

  • prevenir o reducir efectos indeseados;

 

  • lograr la mejora continua.

 

La organización debería planificar:

 

  1. las acciones para tratar estos riesgos y oportunidades; y

 

  1. la manera de:

 

  • integrar e implementar las acciones en sus procesos del sistema de gestión de compliance,

 

  • evaluar la eficacia de estas acciones.

 

La organización debería conservar información documentada sobre los riesgos de compliance y sobre las acciones planificadas para gestionarlos.

 

Objetivos de compliance y planificación para lograrlos

La organización debería establecer los objetivos de compliance en las funciones y niveles pertinentes.

 

Los objetivos de compliance deberían:

 

  1. ser coherentes con la política de compliance;

 

  1. ser medibles (si es posible);

 

  1. tener en cuenta los requisitos aplicables;

 

  1. ser objeto de seguimiento;

 

  1. comunicarse; y

 

  1. actualizarse, según corresponda.

 

La organización debería conservar información documentada sobre los objetivos de compliance.

 

Cuando se hace la planificación para lograr sus objetivos de compliance, la organización debería determinar:

 

  • qué se va a hacer;

 

  • qué recursos se requerirán;

 

  • quién será responsable;
  • cuándo se finalizará;

 

  • cómo se evaluarán los resultados, por ejemplo, de conformidad con las medidas y resultados clave de rendimiento de compliance

 

La organización debería conservar información documentada sobre los objetivos de compliance y sobre las acciones planificadas para alcanzarlos.

 

 Apoyo

Recursos

La organización debería determinar y proporcionar los recursos necesarios para el establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora continua del sistema de gestión de compliance de acuerdo con su tamaño, complejidad, estructura y operaciones.

 

La alta dirección y todos los demás niveles de dirección deberían asegurar que se despliegan los recursos necesarios de forma eficaz para asegurar que el sistema de gestión de compliance logra sus objetivos y que se consigue compliance.

 

Los recursos incluyen recursos financieros y humanos, así como el acceso a asesoramiento externo y a habilidades especializadas, infraestructura organizativa, material de referencia actual sobre gestión de compliance y obligaciones legales, desarrollo profesional y tecnología.

Competencia y formación

 

Competencia

La organización debería:

 

  1. determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño de compliance; y

 

  1. asegurarse de que estas personas sean competentes, basándose en la educación, formación o experiencia adecuadas;

 

  1. cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones tomadas; y

 

  1. conservar la información documentada apropiada, como evidencia de la competencia.

 

NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la reasignación de las personas empleadas actualmente; o la contratación de personas competentes.

 

Formación

El órgano de gobierno, la dirección y todos los empleados tienen obligaciones de compliance y deberían ser capaces de cumplirlas de forma eficaz. La obtención de esa capacidad se puede lograr de muchas maneras, incluso las habilidades y conocimiento que se requieran, a través de educación, formación o experiencia profesional.

 

El objetivo de un programa de formación es asegurar que todos los empleados son competentes para cumplir con su rol profesional de forma consistente con la cultura de compliance de la organización y con el compromiso que tiene con compliance.

 

Una formación diseñada y ejecutada adecuadamente puede proporcionar una manera eficaz para que los empleados comuniquen riesgos de compliance que previamente no hubieran sido identificados.

La educación y formación de los empleados deberían:

 

  1. estar hechas a medida de las obligaciones y los riesgos de compliance relacionados con los roles y responsabilidades del empleado;

 

  1. cuando sea necesario, estar basadas en una evaluación de las carencias de conocimientos y competencias del empleado;

 

  1. llevarse a cabo al comienzo de la relación del empleado con la organización y posteriormente de forma continua;

 

  1. estar alineadas con el programa de formación corporativo e incorporadas en los planes anuales de formación;

 

  1. ser prácticas y fácilmente comprensibles para los empleados;

 

  1. ser relevantes para el trabajo diario de los empleados e ilustrativas de la industria, organización o sector de que se trate;

 

  1. ser lo suficientemente flexibles como para que puedan ser impartidas por varias técnicas para acomodarse a las diferentes necesidades de las organizaciones y los empleados;

 

NOTA La formación interactiva podría ser la mejor forma de impartir formación si los incumplimientos de compliance pudieran tener consecuencias serias.

 

  1. ser evaluadas por su eficacia;

 

  1. ser actualizadas siempre que sea necesario;

 

  1. ser registradas y conservadas.

 

Se debería considerar la necesidad de impartir formación adicional siempre que haya:

 

  • cambios en la posición o en las responsabilidades;

 

  • cambios en las políticas, procedimientos y procesos internos;

 

  • cambios en la estructura organizativa;

 

  • cambios en las obligaciones de compliance, en especial las relativas a requisitos legales o de las partes interesadas;

 

  • cambios en las actividades, productos y servicios;

 

  • cuestiones identificadas en el seguimiento, auditorías, revisiones, reclamaciones e incumplimientos, incluyendo las opiniones de los accionistas.

Toma de conciencia

 

Generalidades

Las personas que realizan el trabajo bajo el control de la organización deberían tomar conciencia de:

 

  1. la política de compliance;

 

  1. su contribución a la eficacia del sistema de gestión de compliance, incluyendo los beneficios de una mejora del desempeño de compliance;

 

  1. las implicaciones de no cumplir los requisitos del sistema de gestión de compliance.

 

 

 

 

Comportamientos

 

Generalidades

Se deberían fomentar los comportamientos que generan y apoyan a compliance y no se deberían tolerar comportamientos que comprometen a compliance.

 

Rol de la alta dirección en el apoyo a compliance

La alta dirección tiene una responsabilidad crucial para:

 

  1. alinear los compromisos de compliance de una organización con sus valores, objetivos y estrategia para posicionar a compliance de forma adecuada;

 

  1. comunicar su compromiso con compliance para sensibilizar y motivar a los empleados para que adopten el sistema de gestión de compliance;

 

  1. animar a todos los empleados para que acepten la importancia de alcanzar los objetivos de compliance de los que son responsables;

 

  1. crear un entorno en el que se fomenta que se informe sobre los incumplimientos y en el que se protege de represalias al empleado que informe;

 

  1. animar a los empleados a que hagan sugerencias que faciliten la mejora continua del desempeño de compliance;

 

  1. asegurar que compliance se incorpora en la cultura amplia de la organización y en las iniciativas de cambio cultural;

 

  1. identificar los incumplimientos de compliance y actuar de forma inmediata para corregirlos o gestionarlos;

 

  1. asegurar que las políticas, procedimientos y procesos de la organización apoyan y alientan a compliance;

 

  1. asegurar que los objetivos y metas operacionales no comprometen un comportamiento adecuado.

 

Cultura de compliance

El desarrollo de una cultura de compliance exige que el órgano de gobierno, la alta dirección y la dirección tengan un compromiso visible, consistente y sostenido con un estándar común y publicado de comportamiento que se requiere en todas y cada una de las áreas de la organización.

 

EJEMPLO       Algunos ejemplos de factores que apoyarán el desarrollo de una cultura de compliance son:

 

  • un conjunto claro de valores publicados,

 

  • que se vea a la dirección implementando activamente y respetando los valores,

 

  • consistencia en el tratamiento de acciones similares, con independencia de la posición,

 

  • guiar, entrenar y predicar con el ejemplo,

 

  • realizar evaluaciones adecuadas a los potenciales empleados antes de su contratación,

 

  • un programa de iniciación u orientación adecuado que enfatice compliance y los valores de la organización,

 

  • formación continua de compliance, incluyendo actualizaciones de la formación,

 

  • comunicación continua de las cuestiones de compliance,

 

  • sistemas de evaluación del desempeño que consideren la evaluación del comportamiento de compliance y que incluyan retribuciones del desempeño en base al logro de objetivos y parámetros clave de compliance,
  • reconocimiento visible de los logros en la gestión de compliance y en sus resultados,

 

  • medidas disciplinarias rápidas y proporcionadas en caso de infracciones de las obligaciones de compliance intencionadas o negligentes,

 

  • una relación clara entre la estrategia de la organización y los roles individuales, que reflejen compliance como esencial para alcanzar los resultados de la organización,

 

  • una comunicación abierta y adecuada sobre compliance.

 

La existencia de una cultura de compliance se mide por el grado en que:

 

  • se implementan los puntos señalados arriba;
  • las partes interesadas (especialmente los empleados) creen que se han implementado los puntos señalados arriba;
  • los empleados entienden la relevancia de las obligaciones de compliance relativas a sus propias actividades y a las de sus unidades de negocio;
  • la remediación de los incumplimientos se asumen y se gestionan en todos los niveles de la organización cuando sea necesario;
  • se valora el papel de la función de compliance y sus objetivos;
  • se permite y se anima a los empleados a que comuniquen sus preocupaciones de compliance al nivel adecuado de la dirección.

Comunicación

 

Generalidades

La organización debería determinar la necesidad de comunicaciones internas y externas pertinentes al sistema de gestión de compliance, que incluyan:

 

  1. el contenido de la comunicación;

 

  1. cuándo comunicar;

 

  1. a quién comunicar;

 

  1. cómo comunicar.

 

 

Comunicación interna

La organización debería adoptar métodos adecuados de comunicación para asegurar que el mensaje de compliance es escuchado y comprendido por todos los empleados de forma continua. La comunicación debería indicar claramente cuáles son las expectativas de la organización sobre los empleados y cuáles son los incumplimientos que se espera que sean escalados, en qué circunstancias y a quién.

 

Comunicación externa

Se debería adoptar un enfoque práctico de comunicación externa, dirigido a todas las partes interesadas, de acuerdo con la política de la organización.

 

Las partes interesadas pueden incluir, pero no están limitadas a, organismos reguladores, clientes, contratistas, proveedores, inversores, servicios de emergencia, organizaciones no gubernamentales y vecinos.

Los métodos de comunicación pueden incluir páginas web y correos electrónicos, comunicados de prensa, anuncios y boletines periódicos, informes anuales (o con otra periodicidad), discusiones informales, jornadas de puertas abiertas, grupos de trabajo, diálogo con la comunidad, involucración en eventos de la comunidad y líneas telefónicas directas. Estos enfoques pueden apoyar el entendimiento y la aceptación del compromiso con compliance de una organización.

Información documentada

 

Generalidades

El sistema de gestión de compliance de la organización debería incluir:

 

  1. la información documentada requerida por esta norma internacional;

 

  1. la información documentada que la organización ha determinado como necesaria para la eficacia del sistema de gestión de compliance.

 

EJEMPLO        Ejemplos de información documentada incluyen:

 

  • la política de compliance de la organización,

 

  • los objetivos, fines, estructura y contenido del sistema de gestión de compliance,

 

  • la asignación de roles y responsabilidades de compliance,

 

  • el registro de las obligaciones de compliance relevantes,

 

  • los registros de los riesgos de compliance y la priorización del tratamiento basada en el proceso de apreciación de riesgos de compliance,

 

  • el registro de los incumplimientos y de los conatos de incumplimientos,

 

  • los planes anuales de compliance,

 

  • los registros personales, incluyendo, pero no limitado a, los registros de formación.

 

NOTA 1 La información documentada puede incluir materias relacionadas con requisitos de información regulatorios.

 

NOTA 2 El extensión de la información documentada para un sistema de gestión de compliance puede ser diferente de una organización a otra, debido a:

 

  • el tamaño de la organización y a su tipo de actividades, procesos, productos y servicios,

 

  • la complejidad de los procesos y sus interacciones, y

 

  • la competencia de las personas.

 

  • la madurez del sistema de gestión de compliance.

 

Creación y actualización

Al crear y actualizar información documentada, la organización debería asegurarse de que lo siguiente sea apropiado:

 

  • la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);

 

  • el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por ejemplo, papel, electrónico);

 

  • la revisión y aprobación con respecto a la idoneidad y adecuación.

 

 

Control de la información documentada

La información documentada requerida por el sistema de gestión de compliance y por esta norma internacional se debería controlar para asegurarse de que:

 

  1. esté disponible y adecuada para su uso, dónde y cuándo se necesite;

 

  1. esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad).

 

Para el control de la información documentada, la organización debería tratar las siguientes actividades, según corresponda:

 

  • distribución, acceso, recuperación y uso;
  • almacenamiento y preservación, incluida la preservación de la legibilidad;
  • control de cambios (por ejemplo, control de versión);
  • retención y disposición final;
  • el papel de terceras partes en la creación y el control de la información documentada.

 

La información documentada de origen externo, que la organización determina como necesaria para la planificación y operación del sistema de gestión de compliance se debería identificar, según sea adecuado, y controlar.

 

La información documentada se puede preparar con el propósito de obtener asesoramiento legal y, por tanto, puede estar sometida a privilegio legal.

 

NOTA El acceso implica una decisión concerniente al permiso solamente para consultar la información documentada, o el permiso y la autoridad para consultar y modificar la información documentada, etc.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *