La tecnología necesaria para un Compliance Officer

Muchos de los Compliance Officers que están ocupando puestos de responsabilidad en las compañías provienen de funciones relacionadas con jurídico o auditoría, donde su hábitat tecnológico estaba basado en ofimática corriente, búsquedas por internet, bases de datos de legislación o jurisprudencia, herramientas de intranet y gestores de auditorías, expedientes o casos (además de la gestión de mucho papel).

Los retos de su nueva función de Compliance Officer le imponen la necesidad de profundizar en otras materias, conocer mejor el negocio de la compañía, trabajar con metodologías y estándares, mejorar las dotes de persuasión y comunicación, reportar en términos de riesgos, y además, la de trabajar de forma más cercana con nuevas herramientas y tecnologías.

A esto último dedicaré este artículo. Y es que resulta necesario que este tipo de profesional conviva con la tecnología. Es necesario que la función de Compliance invierta y se aproveche de la tecnología. No es posible que un Compliance Officer (y su departamento) lleve a cabo su función de forma eficaz y completa desarrollando tareas manuales y marcando un aspa en la hoja Excel para indicar “tarea cumplida”.

En este contexto, en los últimos diez años se ha desarrollado una auténtica industria de herramientas, muchas de ellas provenientes del sector de la seguridad de la información y los “business inteligence”, de las que un Compliance Officer se puede valer para implantar de forma realmente eficaz un programa de Compliance, tanto en la parte operativa como en la parte de gestión. Entre todas ellas, conviene mencionar:

• Herramientas de análisis y gestión de riesgos: existen muy diversas metodologías de análisis de riesgos, donde la más sencilla suele corresponder al cálculo de la multiplicación “impacto por probabilidad”. La familia de normas de ISO 31000 ofrece unos criterios que el mundo del Compliance está adoptando poco a poco para realizar sus matrices de riesgo. En nuestro caso, llevamos trabajando años en intentar mejorar estos métodos de tal forma que los resultados de los análisis de riesgos sean más “científicos”, añadiendo información objetiva y estadística, y menos “subjetivos”, en el sentido de estar basados únicamente en la valoración de un riesgo por el interlocutor (normalmente responsable de un área) al que se entrevista.

• Cuadros de mando: como todos los sistemas de gestión, resulta necesario que la organización defina unos objetivos, en este caso, de Compliance. La ISO 19600 de Sistemas de Gestión de Compliance ofrece una serie de pautas y ejemplos para diseñar un plan de Compliance, consolidar la apuesta y el apoyo de la dirección, identificar unas métricas e indicadores que permitan valorar la eficacia de las medidas de control implantadas. Un programa de Compliance maduro que lleve funcionando varios años suele contener mucha información, documentos, valoraciones, etc. por lo que es imprescindible que el Compliance Officer tenga una visión 360º del estado de su programa para definir mejoras, próximos pasos y poder reportar a la dirección en tiempo real su estado de cumplimiento y de riesgo actual. A ello se le suelen sumar otras funcionalidades muy importantes para la operativa como fijar plazos en las acciones a acometer, asignar responsabilidades a usuarios, contener un gestor documental, etc.

• Sistemas de monitorización: hemos visto que en los últimos años incluso las empresas con negocios más tradicionales hablaban de la necesidad de llevar a cabo su “transformación digital” y es que, efectivamente, gran parte de las labores de estrategia, operación y control se llevan a cabo en sistemas de información, lo que implica que la ejecución de incumplimientos y fraudes también se llevan a cabo a través de los sistemas de información. Todo ello es información que se crea, se almacena, se transmite, se borra, etc. y todo ello es rastreable a través de sistemas de monitorización que, bien parametrizados, pueden alertar de pautas y comportamientos sospechosos. Resulta fundamental tener implantada una política sobre el uso de este tipo de sistemas que respete los derechos de intimidad y protección de datos de los usuarios sobre los que dichos sistemas van a correr.

• Generación de evidencias: los dos principales objetivos de un programa de Compliance son, por un lado, prevenir la comisión de delitos, y por otro, en caso de que se cometa poder demostrar la eficacia de los controles implantados. Por todo ello, la piedra angular en la que gira la operación del Compliance es poder “demostrar” en un futuro que algo se ha hecho: el envío de un documento a un proveedor, la aceptación del Código ético por un empleado, la formación apropiada a un director, etc.

• Controles automatizados y alertas en sistemas: parte de los controles que se diseñan por una entidad suelen incorporarse en herramientas existentes y no en herramientas específicas de control, ya que son acciones muy ligadas al negocio o a las operaciones transaccionales, por ejmplo alertas para movimientos bancarios que superen determinadas cantidades, alertas ante accesos en sistemas en días u horas insospechadas, alerta ante un número demasiado elevado de accesos a determinada información en un sistema, etc.

• Herramienta de canal de denuncia: la necesidad de tener canales internos de denuncia implica la necesidad de tener todos los aspectos recogidos en una política adecuada, pero también una herramienta que recoja esas posibilidades: acceso por el denunciante, seguimiento del caso, gestor documental, confidencialidad de la información, veto de acceso a denunciados que pudieran estar en el Comité ético, seguimiento e informes, etc.

• Bases de datos y listas negras: aunque es más habitual en el mundo anglosajón, en España ya se empiezan a utilizar en grandes compañías el servicio de acceso a este tipo de bases de datos que se consultan para conocer mejor una compañía o persona determinada, su histórico, sus antecedentes, e información que de alguna te ofrece un “rating” de su reputación, por ejemplo caso de querer abrir un negocio en Oriente Medio con un socio local.

Estas son sólo algunas, pero existen muchas otras herramientas y mecanismos que pueden resultar muy útiles para un Compliance Officer, una nueva profesión, compleja y apasionante, llena de retos que poco a poco se van superando.

Carlos Alberto Saiz Peña

Socio de Ecix Group, responsable del área de Risk & Compliance

Vicepresidente de ENATIC