7 actividades esenciales de gestión del cumplimiento

Jim Montgomery |

A principios de este joven año, mi estado mental post-vacacional y semi-delirante inspiró este artículo sobre varias consideraciones para su programa de gestión de obligaciones de cumplimiento.

Ahora que el azúcar y la frivolidad de las fiestas han pasado, hablemos más de los distintos tipos de actividades de gestión del cumplimiento que garantizarán el cumplimiento de sus obligaciones, y de algunas de las necesidades específicas en torno a ellas.

1. Políticas

El primero de los siete elementos de un programa de cumplimiento eficaz es la aplicación de políticas y procedimientos por escrito, pero para algunos sectores hay ejemplos más estrictos.

Los bancos con sede en EE.UU. deben cumplir el Reglamento V y Zque les obligan a establecer y aplicar políticas y procedimientos razonables por escrito en relación con la exactitud e integridad de la información sobre los consumidores facilitada a las agencias de crédito, así como políticas y procedimientos en torno a otros temas como las prácticas de remuneración de los originadores de préstamos, la dirección, el registro de los originadores de préstamos y los requisitos de identificación.

Infografía: Directrices para la incorporación eficaz de proveedores

Mitigar los riesgos al tiempo que se establecen sólidas relaciones con los proveedores.

Descargar ahora

Disponer de un sistema de gestión de políticas para ayudar a administrar estas políticas y procedimientos (revisión y aprobación, publicación y atestación) y poder vincular esas políticas y procedimientos a un registro de sus obligaciones de cumplimiento ayuda a garantizar que existen las políticas adecuadas y que se revisan, gestionan y distribuyen correctamente.

2. Formación

Otro elemento de un programa de cumplimiento eficaz es la formación y la educación. Las empresas que se rigen por la OSHA, la FAA o el DOT deben proporcionar a sus empleados formación específica basada en la seguridad.

La Ley de Secreto Bancario exige que determinadas organizaciones impartan formación periódica contra el blanqueo de capitales. La forma de impartir esta formación puede variar desde una sesión presencial con una hoja de inscripción para el seguimiento de la asistencia hasta un sistema de gestión del aprendizaje (LMS) más sofisticado, pero disponer de una solución de cumplimiento que le permita introducir o importar manualmente los registros de formación facilita la auditoría de dichos registros.

3. Informes anuales

Registros OSHA 300, archivos SEC, informes de control interno, declaraciones anuales, certificaciones FINRA Rule 3130... son sólo algunos ejemplos de los molestos requisitos de información anual a los que se enfrentan las empresas. La inclusión de estas obligaciones de cumplimiento en un registro centralizado garantiza la visibilidad adecuada para hacer lo que hay que hacer.

Poder confirmar que se cumplen estas obligaciones adjuntando copias de los informes o declaraciones necesarios ayuda a ilustrar claramente a sus profesionales de cumplimiento y a cualquier auditor externo que las obligaciones se han cumplido correctamente. Puntos extra si eliges una solución que te recuerde automáticamente cuándo es el momento de cumplir con estas obligaciones o, mejor aún, que recopile información para ayudar a automatizar la generación de algunos de estos informes.

4. Seguimiento e informes de excepciones

Cualquier normativa de cumplimiento que se precie (en serio, ¿otra metáfora alimentaria?) va a proporcionar algún tipo de orientación sobre qué hacer cuando se produzcan excepciones.

¿Una lesión grave en el lugar de trabajo? Es mejor informar de ello a la OSHA en 24 horas para evitar sanciones económicas. ¿Una brecha de seguridad ha expuesto datos personales? Con arreglo al RGPD, no notificarlo a la Agencia de Protección de Datos (APD) en un plazo de 72 horas puede dar lugar a sanciones de menor cuantía, de hasta 10 millones de euros o el 2 % de los ingresos anuales mundiales del ejercicio financiero anterior, si esta cifra es superior.

Por lo tanto, cuando se produce una avería, usted desea una solución que permita a los empleados (o incluso a los clientes) notificar el incidente, alerte a los recursos adecuados para que investiguen y confirmen el incidente, impulse la notificación a las autoridades competentes en el momento oportuno y le permita identificar rápidamente cualquier tendencia en estos incidentes para reducir aún más su probabilidad de repetición... todo ello pudiendo confirmar rápidamente estos esfuerzos.

5. Procesos/flujos de trabajo

Algunas obligaciones normativas le exigen crear procesos para gestionar situaciones. Para cumplir con el artículo 17 del GDPR, el "derecho a ser olvidado" espera que usted proporcione a sus clientes un proceso para solicitar el borrado "sin demoras indebidas."

El despliegue de un flujo de trabajo automatizado que sea capaz de dirigir esa solicitud a las partes adecuadas y a través de los pasos adecuados puede ayudar a garantizar la respuesta coherente y oportuna a estas solicitudes. La ley Sarbanes-Oxley exige un Código Ético que, entre otras cosas, establece un método para "revelar a la persona o personas adecuadas cualquier transacción o relación importante que razonablemente pudiera dar lugar a un conflicto de intereses".

Ser capaz de demostrar que los conflictos de intereses se notifican y, en caso necesario, se actúa en consecuencia (y ser capaz de realizar un seguimiento e informar sobre ese proceso) es prueba de un esfuerzo de cumplimiento eficaz.

6. Auditorías

Otro elemento clave de un programa de cumplimiento eficaz es la supervisión y auditoría continuas de sus diversos elementos. Independientemente del tipo de actividad de cumplimiento que se lleve a cabo para cumplir con sus obligaciones, no puede simplemente "configurarlo y olvidarse de él" como si fuera un electrodoméstico de cocina de encimera.

Si su política antisoborno no se ha revisado en cinco años, si no ha actualizado su formación en seguridad desde los "años veinte", si no ha observado una reducción de las supuestas infracciones éticas denunciadas internamente (o peor aún, si no está seguro de cuántas infracciones se denunciaron o cómo se gestionaron), todos estos son signos de que no está manteniendo adecuadamente sus actividades de cumplimiento para satisfacer sus obligaciones.

Disponer de un único sistema que enumere todas sus obligaciones y las actividades de cumplimiento relacionadas con ellas y que le permita aportar pruebas de las auditorías periódicas de estas actividades de cumplimiento vinculando las auditorías a sus obligaciones asociadas para validar aún más el cumplimiento? Esto hace que sea mucho más fácil auditar su programa de cumplimiento, y aporta más defensibilidad a lo bien que está cumpliendo realmente sus obligaciones de cumplimiento.

[bctt tweet="Independientemente del tipo de actividad de cumplimiento establecida para cumplir con sus obligaciones, no puede simplemente 'configurarlo y olvidarlo' como un electrodoméstico de cocina de encimera." username="MitratechLegal"]

7. 7. Acciones correctoras

Por último, algunas actividades de cumplimiento pueden ser tan simples como una acción recurrente, como un recordatorio mensual para revisar los registros de excepciones generados por su solución de supervisión. Junto con estas actividades recurrentes, es probable que su programa de auditoría dé lugar a hallazgos que requieran acciones correctivas (casualmente, el séptimo elemento de su programa de cumplimiento eficaz) para su resolución.

¿Qué mejor manera de demostrar que se está respondiendo con prontitud a las infracciones detectadas, implantando nuevos controles cuando surgen problemas y completando cualquier acción de cumplimiento que tenerlo todo junto en un único sistema, con recordatorios por correo electrónico y escaladas para mantener las cosas en su sitio?

Como usted sabe, el cumplimiento de sus obligaciones, independientemente de su origen, implica una serie de actividades de cumplimiento y la revisión/verificación periódica para garantizar que las actividades se realizan correctamente y están logrando los resultados esperados.

Si desea obtener más información sobre cómo una solución completa, flexible e integrada que ayuda a ejecutar y supervisar estas actividades facilita la respuesta a la pregunta "¿cómo sé que cumplimos la normativa? póngase en contacto con nosotros.