El análisis de las metodologías de evaluación en programas de compliance fue el objeto de la participación de Yolanda Pérez, experta en Riesgo y cumplimienot de KMPG Asesores en colaboración con Alain Casanovas, este I Curso d Peritos expertos en compliance.
Para esta experta, “La evaluación del diseño del programa de Compliance consiste en comprobar si éste responde formalmente a lo establecido en la normativa legal asociada/ marcos de referencia generalmente aceptados”.
Desde su punto de vista este curso de peritos expertos en compliance que está concluyendo ya puede aportar “aplicabilidad práctica en relación con la evaluación del diseño, implementación y eficacia de los programas de Compliance”.
En su opinión, “este programa formativo es eminentemente práctico, con muchos ejemplos y situaciones que pueden ayudar a clarificar cómo afrontar estas evaluaciones sobre todo para aquellos que no tengan mucha experiencia en este ámbito”.
¿Qué aspectos debe tener en cuenta un perito para la evaluación de un sistema de compliance?
De acuerdo con los marcos de referencia en control interno, donde COSO es por excelencia el estándar utilizado a nivel internacional, la evaluación de un sistema de Compliance debería considerar tres niveles (de menor a mayor grado de aseguramiento): diseño, implementación y eficacia.
¿Qué diferencias existen entre las tres partes de evaluación del sistema el diseño del programa de compliance , su implementación y se saber que es eficaz?
La evaluación del diseño del programa de Compliance consiste en comprobar si éste responde formalmente a lo establecido en la normativa legal asociada/ marcos de referencia generalmente aceptados.
Se trata de disponer de políticas, procedimientos y otros documentos internos que desarrollen estos programas, incluyendo la identificación de riesgos y controles mitigantes.
Disponer de políticas, procedimientos y manuales es importante para evidenciar el correcto diseño, pero, desde mi punto de vista, no es suficiente. Se debe completar con la identificación de riesgos específicos y controles que puedan mitigarlos (matrices de riesgos y controles).
Normalmente el diseño de esos controles específicos se encuentra descrito en la normativa interna de la compañía, a través de políticas y procedimientos que indican específicamente cómo se deben realizar esos controles para mitigar determinados riesgos. Por ejemplo, en un manual de compras se pueden describir controles tales como la solicitud de tres ofertas como mínimo a distintos proveedores para cada contratación.
La evaluación de la implementación del programa de Compliance consiste en comprobar que se está aplicando en la práctica y no se queda a nivel de formalización en esas políticas y procedimientos internos.
En el ejemplo anterior consistiría en comprobar que al menos en ese ejercicio objeto de revisión, para una muestra reducida de contrataciones efectivamente existe evidencia de haber solicitado al menos tres ofertas a distintos proveedores.
Finalmente, la evaluación de la eficacia del programa de Compliance se debe comprobar que éste se ha llevado a cabo tal como está definido en sus políticas, procedimientos, etc de manera sistemática durante todo el período de análisis.
En el ejemplo concreto anterior, en lugar de una muestra reducida, se extendería el número de contrataciones a revisar en base a tamaños muestrales basados en técnicas de auditoría para comprobar que en todos los casos existe evidencia de haber solicitado como mínimo tres ofertas.
Hacer una buena auditoria ayuda a dicha evaluación ¿Qué aspectos hay que considerar en dicha auditoria para que sea fiable?
Un proceso de auditoría de Compliance debería asegurar la calidad en todo el ciclo desde la planificación hasta la emisión del informe. En la fase de planificación es muy importante delimitar muy bien el alcance, tanto en el tipo de evaluación a efectuar (diseño, implementación o eficacia) como en la cobertura a alcanzar, el tamaño de las muestras a considerar, la población que formará parte de esa evaluación (a veces puede ser un tema complejo cuando se trata de un grupo con distintas sociedades, negocios, etc.) y el período de análisis.
En la fase de ejecución es importante considerar la revisión exhaustiva de las evidencias de ejecución de cada control, considerando la calidad de las mismas y con una buena organización de los papeles de trabajo que luego soportarán las conclusiones del informe.
El orden y la supervisión del trabajo es fundamental en esta fase. Finalmente, en la fase de elaboración del informe es importante que exista trazabilidad entre las conclusiones de la ejecución del trabajo y lo descrito en el informe para asegurar la coherencia e integridad de todo el proceso.
También es importante establecer un protocolo de revisión y reporte del informe (versión borrador, revisión con auditado para aclarar posibles inconsistencias o solicitar información adicional y emitir finalmente la versión final).
¿Qué elementos hay que tener en cuenta en una evaluación de diseño que realmente el programa de compliance se adapte a un marco de referencia generalmente aceptada, como ISO o UNE?
Para comprobar si una evaluación del diseño de un Programa de Compliance está alineada con marcos de referencia generalmente aceptados, desde un punto de vista muy práctico, se debería analizar, entre otros:
- Si la descripción de los elementos de control, y en particular de los controles específicos que mitigan los riesgos de Compliance, es correcta,
- Si las evidencias asociadas al control son adecuadas, es decir, permiten dejar trazabilidad de su ejecución y de la conclusión alcanzada y si, en caso de discrepancias, éstas se analizan y se resuelven
- Si la periodicidad de ejecución del control es la adecuada
- Si se ha identificado específicamente la persona que ejecuta el control
- Si el nivel de conocimiento del responsable del control es adecuado para ejecutar de forma efectiva el control (conciencia del control)
A nivel de implementación de ese sistema de compliance, ¿Qué aspectos debe evaluar el perito para evaluar dicha metodología?
A nivel de implementación lo más relevante es poder comprobar que el sistema se está ejecutando en la práctica tal como se ha diseñado. Es decir, que esas medidas de compliance /control no se quedan solo en el papel.
Por tanto, es importante seleccionar una muestra reducida de transacciones en las que verificar que los controles/directrices descritos en la normativa interna (políticas, manuales, procedimientos) se están llevando a la práctica tal como están descritos.
¿Qué aspectos debe considerar el perito judicial experto en compliance para evaluar la eficacia del programa de compliance si se lo pide un juez? ¿Cómo deben testar un perito los controles de este programa que tiene la empresa para valorar dicha eficacia?
Para que un perito judicial experto en Compliance pueda evaluar la eficacia del Programa de Compliance es importante que considere cuatro aspectos principales.
Primeramente, definir correctamente el alcance/ la muestra de ítems/controles a revisar en base a técnicas de muestreo habitualmente utilizadas en el ámbito de la auditoría.
Segundo, determinar correctamente los atributos o aspectos más relevantes a analizar en cada ítem/control.
Tercero, examinar cuidadosamente las evidencias asociadas a la ejecución de los controles seleccionados. Para ello, deberá obtener información suficiente como para poder realizar el análisis, en función de la naturaleza y diseño específico de cada control. Y finalmente concluir adecuadamente en base al análisis de esa evidencia aportada.