Iniciamos el blog de Compliance, un sitio en la web donde
abordaremos la gestión de riesgos desde el punto de vista
jurídico y los distintos sistemas de compliance.
¿Qué es la gestión de riesgos jurídicos?
La gestión de riesgos
jurídicos de una organización es el
conjunto de métodos que permite identificar, analizar y evaluar los riesgos
jurídicos a los que está sometida la misma, cuantificando las pérdidas
derivadas de su acaecimiento, determinando las pérdidas para su eliminación y/o
reducción, optimizándolas en términos económicos, a fin de preservar y/o
mantener sus activos materiales, personales e inmateriales de la organización
en la posición óptima para el desempeño de sus objetivos.
¿Qué es compliance?
Compliance tiene como objetivo principal implementar los procedimientos que
aseguren el cumplimiento normativo interno y externo en sentido amplio.
El Comité de Basilea definió de esta manera a la función de
compliance: “Una función independiente que identifica, asesora, alerta,
monitorea y reporta los riesgos de cumplimiento en las organizaciones, es
decir, el riesgo de recibir sanciones por incumplimientos legales o
regulatorios, sufrir pérdidas financieras, o pérdidas de reputación por fallas
de cumplimiento con las leyes aplicables, las regulaciones, los códigos de
conducta y los estándares de buenas prácticas (juntos “leyes, reglas y
estándares”)”.
Las organizaciones con su comportamiento o infracción de determinadas
actuaciones o actividades pueden ocasionar pérdidas por incumplimiento de
obligaciones. Por tanto, se hace necesario delimitar las responsabilidades,
procesos de actuación y sistemas de control y detección de errores en la
organización.
El objetivo que se pretende es enmarcar el concepto de la
gestión del riesgo jurídico, sus características diferenciadoras de
cara a gestionarlo para, al final, ligar qué aspectos del riesgo jurídico
están, en principio, directamente ligados a la función de compliance.
El aumento de la complejidad de las organizaciones y el también más
numerosa y complejo entorno regulatorio, hace especialmente importante que las
organizaciones gestionen y controlen el cumplimiento de normas internas y
externas para evitar la imposición de sanciones económicas y, lo que es más
relevante, preservar la reputación de las compañías por malas conductas
empresariales o por los propios incumplimientos de la normativa.
Las organizaciones precisan desarrollar una robusta función de control de
cumplimiento normativo que, junto a unas buenas prácticas de gobierno,
controlen la actividad. Los conflictos de intereses, la utilización de
información privilegiada, el riesgo de colaborar en el blanqueo de capitales,
los nuevos tipos penales contemplados en las legislaciones sobre responsabilidad
penal de las personas jurídicas, son aspectos concretos de esta función que,
dada su evolución, precisa sistemas de control jurídico.
En suma, nos encontramos ante una función que
* Identifica riesgos de incumplimiento: siguiendo los componentes del modelo
C.O.S.O. u otros modelos análogos, esto incluye también evaluar el
posible impacto de estos riesgos y a la vez en un enfoque de riesgos
clasificarlos según su severidad y probabilidad de ocurrencia.
* Asesora como resultado de la evaluación del riesgo.
* Alerta con criterio de riesgo sobre posibles incumplimientos.
* Revisa y verifica conformidades.
* Reporta casos de no conformidad a la Dirección.
La divulgación de la LOPD, Buen Gobierno Corporativo, MiFID, Basilea, ISO
27001, ISO 31000 y otras normativas de obligado cumplimiento han convulsionado
los departamentos de asesoría jurídica y auditoría interna de las grandes y
medianas empresas.
Estas organizaciones tienen por delante un gran reto: implantar en su
estructura estas complejas normas que afectan a todos sus departamentos
internos y que les obligan a revisar, planificar, auditar y controlar
periódicamente sus procesos de negocio.
La AEPD, la CNMV, la CMT, la DGS o
el Banco de España son algunos de los
organismos que velan por el cumplimiento de estas normas, teniendo la capacidad
inspectora y sancionadora que la Ley les otorga.
De ahí que las organizaciones tengan que estudiar, planificar e implantar
estas normas para evitar la imposición de sanciones económicas, pago de
indemnizaciones a terceros o cualquier pérdida motivada por compromisos con
accionistas, proveedores y clientes, así como gestionar y proteger algo
más importante, su riesgo reputacional.
Compliance permite verificar si una organización cumple con sus
obligaciones. Las políticas y procedimientos de estos programas deben
integrarse en todos los aspectos de de funcionamiento de la organización. La
función de la verificación del cumplimiento no tiene sentido como una actividad
aislada, sino que debe estar alineado con los objetivos estratégicos generales
de la organización apoyando estos objetivos. El programa de cumplimiento debe,
al mismo tiempo que mantiene su independencia, se integrará con la organización
financiera, riesgo operativos, calidad, medio ambiente, compromisos de
responsabilidad social corporativa, buen gobierno corporativo, salud
tanto pública como en el trabajo, y los sistemas de gestión de la seguridad y
sus requisitos y procedimientos operacionales.
Un programa efectivo de
cumplimiento dará lugar a una organización que sea capaz de demostrar su
compromiso con el cumplimiento de las normas legales que afecten a la actividad
de la organización, incluidos los requisitos administrativos necesarios para su
funcionamiento, los aspectos obligacionales que nazcan de los contratos, las
responsabilidades extracontractuales, los códigos de buen gobierno, las normas
internas de la organización, las normas sobre los productos o servicios de la
organización, así como las normas de buen gobierno corporativo, ética
empresarial y los compromisos con los distintos grupos de interés afectados por
la actividad de la organización.
Gonzalo Iturmendi
Morales.
