Sistemas de Gestión Documental y Compliance

Entrevista a Jesica Hita, experta en auditoria

“La implantación y desarrollo de un adecuado sistema de información documentada es  esencial en  cualquier programa de compliance”

Jesica Hita, experta en auditoria explicó recientemente en un webinar de IECOM el impacto y las diferentes consecuencias que implican la no disposición de un adecuado Sistema de Información Documentada que permita a la organización trazar o dejar huella de la implementación y desarrollo del programa de cumplimiento de forma eficaz y diligente.

Para esta experta “las empresas deben comprender e interiorizar cuál es el sentido y la finalidad de implantar un sistema de información documentada: el control, organización y mantenimiento de la información que la organización debe gestionar de cara a soportar y evidenciar no solo la existencia sino la propia eficacia de su sistema o modelo de Compliance”.

Desde su punto de vista “la configuración del sistema de información documentada supone un esfuerzo de transformación y evolución, donde la dificultad se presenta en los inicios, pero cuya finalidad y vocación tiende a la interiorización, automatismo y facilidad de mantenimiento”.

Además, considera que es “esencial que dicho sistema refleje la imagen fiel de la organización, de modo que el compliance sea real, sin olvidar que la implicación directa será, a su vez, la obligación de cumplimiento”.

¿Qué feedback ha tenido con el auditórium de su seminario sobre la implementación de los sistemas de información documentada en las organizaciones?

La mejor evidencia empírica para poder analizar el calado de la sesión entre los diversos asistentes al webinar es el propio interés y participación activa demostrado durante la realización de la ponencia a través del planteamiento de inquietudes, exposición de supuestos prácticos que incitaban a la reflexión e incluso, la propia recepción de interrogantes o dudas concretas, así como el intercambio de opiniones profesionales una vez finalizada la jornada.

Cuestiones como el tratamiento que debe recibir la documentación externa o elaborada por consultores y asesores, los requisitos mínimos exigidos por los Sistemas de Gestión de Compliance, así como las formalidades y el impacto que puede tener la inobservancia de ciertos requisitos en documentos claves del sistema a niveles de diligencia y responsabilidad sobre la función de cumplimiento, alta dirección u órgano de gobierno, fueron algunas de las preocupaciones e interrogantes a resolver.

¿Por qué son estas prácticas y que aporta a las empresas un uso correcto de las mismas?

La implantación y desarrollo de un adecuado sistema de información documentada tiene un doble impacto a nivel general para las organizaciones, ya que se trata de un elemento esencial en la cadena de valor.

Por un lado, contribuye a la mejora en el proceso de creación de evidencias o pruebas documentadas de forma que se pueda garantizar el cumplimiento eficaz del sistema o modelo de Compliance frente a terceros. Por otra parte, favorece la generación de una conciencia global sobre la importancia y las ventajas que tiene instaurar un entorno de control adecuado, viable y sostenible, las cuales se expusieron en la sesión y algunas de ellas, se aluden en la presente entrevista.

¿Realmente las empresas cuidan esta actividad de información documentada o es algo que deben tener más consideración?

Quizá no se constituya como un aspecto totalmente desconocido para las organizaciones, pero lo cierto es que su aplicación práctica se presenta de manera difusa y heterogénea, lo que contradice precisamente los parámetros de sistematización propios de los estándares o normas de gestión o el propio control documental. En otras ocasiones, se tiene por “auto-cumplido” sin haberle prestado la merecida atención, profundidad o relevancia.

Por tanto, las empresas deben comprender e interiorizar cuál es el sentido y la finalidad de implantar un sistema de información documentada: el control, organización y mantenimiento de la información que la organización debe gestionar de cara a soportar y evidenciar no solo la existencia sino la propia eficacia de su sistema o modelo de Compliance.

Al parece lo importante se trata de generar evidencias o pruebas que permitan acreditar la validez de ese programa de compliance:¿Es eso complicado de lograr?

La complejidad del asunto no radica tanto en la generación del apoyo o soporte documental, cuestión que resulta intrínseca a la propia confección del modelo o sistema de Compliance, sino que el quid de la cuestión está en cómo se realiza y controla para que se transforme en un elemento probatorio sólido y no se quede en meros “papeles sin utilidad práctica”.

En ocasiones, la generación de un alto volumen de documentación es tan solo un síntoma de que nos encontramos ante un supuesto de “fake compliance” donde se camufla o enmascara la realidad a través del soterramiento documental.

Sin duda, la configuración del sistema de información documentada supone un esfuerzo de transformación y evolución, donde la dificultad se presenta en los inicios, pero cuya finalidad y vocación tiende a la interiorización, automatismo y facilidad de mantenimiento.

Además, resulta esencial que dicho sistema refleje la imagen fiel de la organización, de modo que el compliance sea real, sin olvidar que la implicación directa será, a su vez, la obligación de cumplimiento.

El correcto tratamiento de la información permitirá por tanto a las empresas, generar evidencias sobre los propios cimientos que se sustenta el Compliance, “su ADN, su huella”.

¿Cuál es el impacto de este tipo de sistemas pueden provocar en la empresa, en su programa de compliance y cómo podemos supervisar que está funcionando de manera correcta?

El riesgo más básico que corren las organizaciones al no implementar un sistema de información documentada, especialmente las que apuestan por implementar un sistema de gestión de Compliance y posterior certificación, es el incumplimiento del requisito de norma específico, así como todos aquellos (que son la gran mayoría) que precisen de dicha evidencia.

Por otra parte, supone desnudar a la organización y dejarla desprovista de su escudo de defensa sobre el que se cimienta el Compliance y, por tanto, carecerán de evidencias probatorias.

Una mala gestión o tratamiento de los documentos soporte, puede dar lugar a la perpetración de irregularidades como la reconstrucción o la generación de pruebas a posteriori o incluso ilícitos derivados de una posible falsedad documental.

Finalmente, como ya se ha indicado, forma parte de las funciones de diligencia debida y son de gran utilidad en el seguimiento, control y supervisión del propio Compliance.

Respecto a la supervisión de su correcto funcionamiento, será preciso contar con procesos de autoevaluación, así como recurrir a las auditorías internas y externas de control o incluso de certificación. Igualmente, en caso de dudas, la organización puede contar con el asesoramiento de un profesional especializado en la materia.

¿Qué papel juega dicho sistema de información documentada, cuando la organización va a enfrentarse a una auditoría, requerimiento, inspección o incluso, una posible investigación judicial?

En primer lugar, debemos partir de la premisa de que lo que no se puede evidenciar es como si no existiera. Por tanto, el documento será el elemento clave cuya transformación soportará la futura prueba que corrobore y garantice la implantación, desarrollo y eficacia del sistema o modelo de Compliance.

El objetivo es erradicar el “factor fantasma” o la inconsistencia e incertidumbre que plantea frente a terceros la ausencia de evidencias tangibles y confeccionadas bajo una serie de parámetros garantistas que, de otro modo, pudiesen impactar de forma negativa sobre la calificación y solidez del Compliance.

Además, contar con un adecuado sistema de información documentada ofrece una mayor tranquilidad y contribuye a que la organización esté preparada y siempre alerta frente a cualquier requerimiento e intervención. Aporta trazabilidad, confianza y agilidad en las respuestas, lo que se convierte en un indicio de transparencia, calidad y control.

A nivel judicial, ¿puede darnos algunas pautas para utilizarlo de forma correcta en el procedimiento en el que estuviera inmersa nuestra empresa?

El objetivo es la anticipación y, por tanto, lo esencial es que el sistema de información documentada aplique de manera ex – ante, es decir, desde el mismo momento de la generación de los documentos que se transformarán en futuras evidencias y pruebas. Para ello, la organización deberá de aplicar todas las cautelas y criterios previstos en cuanto a la creación, actualización y control, revistiendo especial relevancia no solo el contenido, sino la formalidad que revisten en aspectos clave como la datación, autenticidad, trazabilidad, inalterabilidad y conservación, entre otros.

De esta manera, cuando llegue el momento de su aportación en un juicio, la organización estará preparada, garantizando la admisión, validez y eficacia ante posibles impugnaciones u oposiciones. Se trata de solidificar el escudo de defensa.

¿Qué papel juega el compliance officer en este escenario?  ¿Esta es una obligación suya o la puede delegar en alguna persona de su equipo?

Los propios Sistemas de Gestión de Compliance establecen como una de las labores o responsabilidades de la función de Compliance el establecimiento de un sistema de información documentada. Parece obvio, por tanto, que sea dicha función la que se ocupe de manera proactiva de su control y gestión.

En esta línea, además de la ejecución directa como ya se ha enunciado, podrían darse los supuestos de delegación o cooperación-coordinación entre otras áreas de la organización tanto a nivel interno como externo.

En este sentido, debemos pensar no sólo en los elementos de control, sino en cualquiera de los parámetros desde la creación hasta el almacenamiento donde pueden confluir diferentes departamentos y órganos. Por mencionar algunos ejemplos: calidad, auditoría, seguridad de la información, protección de datos, marketing y comunicación, el órgano de administración, comisiones específicas, asesores y consultores, etc.

La casuística es relativa y acorde con la propia capacidad organizativa de la entidad, por lo que lo esencial en estos supuestos donde existe una conjunción de opciones es establecer y definir los roles y las responsabilidades de cada una de las áreas o figuras intervinientes, así como la necesidad de un control mínimo y supervisión efectiva por parte del Compliance.

¿Qué herramientas tecnológicas pueden utilizarse para la gestión de dicho sistema de información documentada más apropiadas para su puesta en marcha e implementación?

Actualmente existen multitud de programas y herramientas informáticas de diversos proveedores que pueden resultar de utilidad y servir a los fines de trazabilidad y almacenamiento principalmente, vinculadas algunas de ellas, a los módulos relativos a la gestión de riesgos y especialmente, al testeo de controles.

No obstante, como indicamos en la ponencia, las dos claves esenciales son la creación de una guía de estilo, procedimiento o documento base donde se recojan las reglas de creación, actualización y control de la información documentada, así como la generación del correspondiente repositorio documental, ya sea de forma artesanal o a través de una herramienta o programa informático, en cuyo caso, optar por una decisión u otra será de suma relevancia ya que afectará directamente al correcto manejo y sostenibilidad del mismo.

Algunos parámetros de análisis a tener en cuenta son: la exposición al incremento documental derivado del propio desarrollo, evolución y mejora del modelo o sistema; la digitalización frente a la existencia de documentos físicos o de papel; la necesaria intervención manual frente a la automatización; el aumento de costes y recursos; o el desconocimiento de las herramientas que deriven en un mal uso o incluso el desuso.

 

 

 

Si te ha gustado este artículo compártelo en tus redes

Carrito de compra

Identifícate para
acceder a estos contenidos

Regístrate en ASCOM para acceder a todos los documentos

Tus datos personales se utilizarán para procesar tu pedido, mejorar tu experiencia en esta web, gestionar el acceso a tu cuenta y otros propósitos descritos en nuestra política de privacidad.

¿Ya tienes una cuenta? Identifícate

Identifícate para
acceder a estos contenidos

Para acceder a la área de socios debes tener perfil socio

Buscar en ASCOM