Para analizar los elementos clave de un Sistema de Gestión de Compliance (en adelante, SGC), debemos partir de la definición del propio SGC, esto es, “un conjunto de prácticas que ayudan a prevenir, detectar y gestionar los riesgos asociados con el cumplimiento de las normas que afectan a una organización”.
- En primer lugar, es importante saber que un SGC efectivo debe ser construido sobre una base sólida de ética e integridad totalmente respaldado por la alta dirección, que debe tener y mostrar compromiso con el cumplimiento de la ley y los valores asumidos internamente de manera sostenida en el tiempo.
- Por otro lado, de acuerdo con el estándar UNE ISO 19600 de Sistemas de Gestión de Compliance (que pronto será sustituido por la norma ISO 37301), la organización debería determinar y proporcionar los recursos necesarios (financieros, tecnológicos y humanos) para el establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora continua del SGC de acuerdo con los parámetros determinados durante el ejercicio de comprensión de la organización y su contexto.
Elementos fundamentales de un SGC
Esta designación de recursos es fundamental para que se pueda llevar a cabo, dentro de la organización, una correcta identificación de los riesgos de cumplimiento que deberán ser analizados, valorados y revisados. En resumen, hablamos de una buena detección y gestión de los riesgos de Compliance con el objetivo de establecer las debidas medidas de control que permitan prevenir y disuadir conductas inadecuadas que puedan suponer eventuales riesgos para la organización.
Como consecuencia, el siguiente de los elementos esenciales de un SGC es la implantación de mecanismos de control. Tras la identificación de riesgos de incumplimiento, es necesaria la identificación y establecimiento de controles para tratar de mitigar o, al menos detectar en un plazo razonable, estos riesgos.
En resumen, los controles sirven para gestionar los riesgos y que la función de Compliance pueda detectar si ciertos procesos o empleados están llevando a cabo su actividad de manera paralela a la normativa y los valores asumidos por la empresa.
En otro orden de ideas, la organización debe poner el foco en la formación, sensibilización y comunicación. La organización debe promover la formación entre todos sus empleados en materia de Compliance, de forma adecuada, eficaz y proporcionada a la organización y a los puestos de trabajo. También serán necesarias las campañas de sensibilización, así como el establecimiento de comunicados que contengan las expectativas que la organización tiene respecto de la cultura de cumplimiento. Con el objetivo de que los SGC no pierdan efectividad y no queden obsoletos en el corto plazo, es esencial que la organización monitorice el SGC, esto es, que mida la adecuación y la eficacia del SGC, a través de la supervisión y verificación.
Por último, la organización debe también establecer un sistema disciplinario que imponga castigos a aquellos empleados que incumplen las políticas y procedimientos de la organización, de forma proporcionada al incumplimiento o infracción cometida.