La función de compliance se ha convertido en una de las más relevantes dentro de las empresas por su impacto económico, ya sea por cuestiones fiscales, medioambientales, de ciberseguridad…
Un cumplimiento insuficiente o poco eficaz puede influir en el estado de tu empresa debido a:
Fallos de cumplimiento: problemas relevantes que afectan significativamente a la reputación de una organización o a su capacidad para hacer negocios.
Sobrecarga de cumplimiento: procesos manuales e ineficientes que afectan negativamente en la experiencia, a los costes y la cultura de la compañía.
A menudo, estas situaciones se producen cuando la función de cumplimiento se plantea como un área de gasto más inherente a la actividad de la compañía, en lugar de enfocarlo como una oportunidad de crear confianza entre los grupos de interés y de mejorar la toma de decisiones y la gestión de los riesgos.
En PwC hemos identificado 5 atributos clave para mejorar la eficiencia de la función de cumplimiento, gracias a nuestra experiencia con los reguladores y con los grupos de interés externos e internos.
Los directores de riesgos de las grandes compañías analizan su función en el entorno actual.
La función de cumplimiento debe estar alineada con la estrategia, el propósito y los valores, no sólo con la legislación.
Los procesos de cumplimiento que están alineados con los objetivos comerciales de la empresa suelen ser más eficaces.
La confianza es clave para competir eficazmente. Una confianza que se fortalece con un cumplimiento sólido y fiable. Pero ¿cómo se toma la decisión correcta en cuanto a qué cumplir y cómo hacerlo? Entender cómo estas decisiones impactan en los clientes, y en su compromiso con la compañía, te puede ser de gran ayuda.
Más información sobre lo que implica el diseño de una gran experiencia para el cliente
Gracias a la tecnología y al análisis de datos, el cumplimiento ayuda a aumentar el resultado final, al reducir tanto los costes de los procesos como la probabilidad de cometer fallos de cumplimiento. Las empresas están utilizando una amplia gama de tecnologías para desarrollar una función de cumplimiento más eficiente, automatizada y eficaz.
El diseño de la función de cumplimiento, como en muchos otros aspectos de los negocios, puede mejorar sensiblemente si la centramos en las personas. Esto puede aplicarse a los procesos para reducir el riesgo de incumplimiento involuntario, así como para alinear los objetivos de los empleados y de la organización.
Puede que hayas oído el dicho "la confianza tarda años en construirse pero se pierde en un momento". Parece lógico que prevenir fallos de cumplimiento es siempre más eficaz que detectarlos, investigarlos y corregirlos.
Una de las formas más comunes en la que se producen estos fallos es cuando las empresas no son capaces de incorporar a su funcionamiento el extraordinario ritmo de novedades normativas que les afectan. Existen herramientas y bases de datos de terceros que nos pueden ayudar a mantenernos al día y a estar a la vanguardia en este sentido.
El uso de la tecnología y poner los datos a disposición de toda la organización son factores que hacen que la prevención, la detección de riesgos en tiempo real y la corrección de los incumplimientos de la normativa sean cada vez más eficientes.
Además, mediante herramientas de análisis avanzados de procesos, por ejemplo, las organizaciones pueden analizar patrones de comportamiento y conocer posibles riesgos emergentes.
En conjunto, estos procesos -apoyados en la tecnología- simplifican la experiencia de compliance del personal y ayudan a protegerlos de posibles infracciones, lo que conduce a una mayor confianza interna y a una cultura empresarial más sólida.
Conforme al art. 31 bis del Código Penal una persona jurídica podrá incurrir en responsabilidad penal ante ciertos delitos cometidos por sus representantes legales y empleados en nombre y representación de la compañía y en su beneficio directo o indirecto.
Es posible que las empresas puedan exonerarse de esta responsabilidad penal mediante un eximente consistente en la adopción de un modelo de detección y prevención de delitos cuyos elementos esenciales son: (I) la identificación de riesgos penales; (II) establecimiento de protocolos o procedimientos que concreten el proceso de formación de voluntad de la empresa; (III) modelo gestión recursos financieros; (IV) canal de denuncias; (V) sistema disciplinario; y (VI) verificación periódica del modelo. Contamos con la experiencia y capacidades para dotar a las empresas de modelos de prevención y detección de delitos sólidos y eficaces.
El 27 de abril de 2016, el Parlamento Europeo aprobó el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, lo que ha supuesto un nuevo marco jurídico en materia de protección de datos para toda la Unión Europea. El Reglamento es de aplicación desde el 25 de mayo de 2018.
El Reglamento ha establecido unos estándares adaptados a la era digital con el objetivo de garantizar la protección del derecho fundamental a la protección de datos, con un endurecimiento del régimen sancionador, pudiendo alcanzar las sanciones económicas hasta una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero.
Las compañías están obligadas a elaborar un registro de actividades de tratamiento, con el fin de identificar los procesos que inciden en la gestión de datos de carácter personal (captura, recopilación, explotación, y consolidación de la información), así como los distintos canales empleados (online, papel/físico, dispositivos móviles, eventos) y la interacción con terceros (colaboradores, socios, proveedores...), y cuál es el impacto en los derechos fundamentales de la persona que dicho tratamiento puede provocar.
La concurrencia o no de las anteriores características puede resultar de especial relevancia para detectar rápidamente si un tratamiento entraña un nivel alto de riesgo. Tras lo anterior, se definirán e identificarán parámetros adicionales para aquellos tratamientos que, no consistiendo en las anteriores actividades, pueda también detectarse el nivel de riesgo asociado a los mismos, como serían los siguientes:
La adecuada revisión de los riesgos en materia laboral, Seguridad Social y Prevención de Riesgos requiere un análisis de los siguientes textos legales:
Dicho análisis ha de realizarse teniendo en cuenta las áreas grises que presenta nuestra práctica en el ámbito de las relaciones laborales, deteniéndonos especialmente sobre:
Revisión de la Seguridad Física y medioambiental del centro de proceso de datos, con el fin de evaluar los controles implantados así como la revisión de la Seguridad Lógica de las plataformas (aplicaciones, sistemas operativos, bases de datos, servidores de dominio, estaciones de trabajo, inalámbrica,…), con el fin de evaluar los controles de seguridad implantados.
El adecuado diseño e implementación de un marco de control fiscal es el pilar fundamental para el el cumplimiento de las obligaciones establecidas en materia de gobierno fiscal en la Ley de Sociedades de Capital, así como para un eficiente cumplimiento de las obligaciones tributarias, así como para la satisfacción de las expectativas de los distintitos grupos de interés.
En los últimos tiempos se ha incrementado la normativa en materias vinculadas a la RSC (p.ej.: normativa medioambiental, normativa en materia de reporting y transparencia, etc.), a la vez que el regulador propone nuevas recomendaciones en la materia (p.ej.: a través del Código Unificado de Buen Gobierno) y que el mercado (p.ej.: la competencia, inversores, los grupos de interés, etc.) demanda la incorporación voluntaria de criterios ESG (environmental, social and governance) en la gestión de la compañía.
Dependiendo del sector contamos con expertos de Regulación sectorial que aportan su visión y conocimiento de cada industria y ayudan a nuestros clientes bien en interpretar las iniciativitas puestas en marcha por el Regulador o bien en adelantarse a posibles cambios que se avecinan y así poder tomas medidas antes de que ocurren.
Un Sistema Integral de Compliance es el punto de partida ideal para una correcta ejecución de la función de Compliance y es una herramienta efectiva para hacer frente a los retos y exigencias de una realidad en la que se exige mayor responsabilidad a las compañías en distintos ámbitos normativos y de gestión. En este sentido ayudamos en el diseño e implementación del modelo operativo que más se adapte a la operativa real de su organización y que aproveche de posibles compontes de Compliance existentes.
Ayudamos a nuestros clientes en la comprensión de las responsabilidades de cumplimiento a día de hoy. Las preguntas clave en este ámbito son:
Una vez definidos las responsabilidades y requerimientos normativas asesoramos a nuestros clientes en la definición de las responsabilidades para la función en relación con cada ámbito normativo y en el modelo de interacción con otros departamentos. En este sentido apoyamos a nuestros clientes en el establecimiento de políticas y procedimientos específicos para la función en general y para cada ámbito de Compliance en particular.
Desde PwC acompañamos a nuestros clientes durante el ciclo de vida completo de la sistematización de sus modelos de Compliance; desde el acompañamiento en la selección de las soluciones tecnológicas más adecuadas, la creación de una visión tecnológica única, la definición de la estrategia de sistemas, la creación de una hoja de ruta integrada hasta la implementación y capacitación, diseñando e implantando una amplia variedad de soluciones GRC y técnicas analíticas. A lo largo de los años, en PwC hemos construido un equipo multi-disciplinar de alto rendimiento (ingenieros, data analysts, expertos funcionales, desarrolladores, etc.) con un profundo conocimiento, tanto de los elementos clave de las soluciones GRC del mercado y de las técnicas analíticas, como de los modelos funcionales que aglutina el Compliance integrado.
La función de compliance debe mantener actualizado su universo normativo, de riesgos y controles, ayudando a su organización a estar alineada con la normativa aplicable (tanto externa como interna) y a gestionar adecuadamente los impactos que puedan derivarse de posibles incumplimientos. Para ello, las actividades que debe realizar son muy variadas.
Desde PwC te podemos ayudar en todas o en alguna de estas actividades, desde la actualización normativa y la valoración de los riesgos hasta la monitorización de los controles, pasando por actividades igualmente necesarias como la formación, el apoyo en los comités de compliance, la adecuación de políticas y procedimientos y la respuesta ante posibles incumplimientos, entre otros.
Las cada vez mayores exigencias en materia de cumplimiento normativo y transparencia está provocando la aparición de distintos estándares y metodologías que persiguen homogeneizar y aportar buenas prácticas. En este sentido, podemos identificar los estándares de gestión (ISO 19600, 19601, 37001 o 31000 entre otros), las metodologías de control y gestión de riesgos (con COSO como la más comúnmente aceptada) y otras buenas prácticas o guías aplicables.
En PwC entendemos que las organizaciones deben estar con estas buenas prácticas, al tiempo que deben conocer cuál es el retorno de los mismos. De esta forma, proponemos un enfoque modular:
