A principios de este año, mi estado mental postvacacional, un poco delirante, me inspiró este artículo sobre diversas consideraciones para su programa de gestión de obligaciones de cumplimiento.
Ahora que el azúcar y la frivolidad de las fiestas navideñas han pasado, hablemos más sobre los diferentes tipos de actividades de gestión del cumplimiento que garantizarán el cumplimiento de sus obligaciones, y algunas de las necesidades específicas que las rodean.
1. Políticas
El primero de los siete elementos de un programa de cumplimiento eficaz es la implementación de políticas y procedimientos escritos, pero para algunas industrias existen ejemplos más estrictos.
Los bancos con sede en EE. UU. deben cumplir con las regulaciones V y Z, que les exigen establecer y aplicar políticas y procedimientos razonables por escrito en relación con la exactitud e integridad de la información sobre los consumidores facilitada a las agencias de crédito, así como políticas y procedimientos sobre otros temas, como las prácticas de remuneración de los originadores de préstamos, la orientación, el registro de los originadores de préstamos y los requisitos de identificación.
Disponer de un sistema de gestión de políticas que ayude a administrar estas políticas y procedimientos (revisión y aprobación, publicación y certificación) y poder vincular esas políticas y procedimientos a un registro de sus obligaciones de cumplimiento ayuda a garantizar que existan las políticas adecuadas y que se revisen, gestionen y distribuyan correctamente.
2. Formación
Otro elemento de un programa de cumplimiento eficaz es la formación y la educación. Las empresas que se rigen por la OSHA, la FAA o el DOT deben proporcionar a sus empleados formación específica en materia de seguridad.
La Ley de Secreto Bancario exige a determinadas organizaciones que impartan formación periódica sobre la lucha contra el blanqueo de capitales (AML). Esta formación puede impartirse de diversas formas, desde sesiones presenciales con una hoja de inscripción para controlar la asistencia hasta un sistema de gestión del aprendizaje (LMS) más sofisticado, pero disponer de una solución de cumplimiento que permita introducir o importar manualmente los registros de formación facilita la auditoría de dichos registros.
3. Informe anual
Registros OSHA 300, presentaciones ante la SEC, informes de control interno, declaraciones anuales, certificaciones FINRA Rule 3130... Estos son solo algunos ejemplos de los molestos requisitos de presentación de informes anuales a los que se enfrentan las empresas. Enumerar estas obligaciones de cumplimiento en un registro centralizado garantiza que usted tenga la visibilidad adecuada para hacer lo que hay que hacer.
El hecho de poder confirmar el cumplimiento de estas obligaciones adjuntando copias de los informes o declaraciones necesarios ayuda a ilustrar claramente a sus profesionales de cumplimiento y a cualquier auditor externo que las obligaciones se han cumplido correctamente. ¡Obtendrá puntos extra si elige una solución que le recuerde automáticamente cuándo es el momento de cumplir con estas obligaciones o, mejor aún, que recopile información para ayudar a automatizar la generación de algunos de estos informes!
4. Seguimiento y notificación de excepciones
Cualquier normativa de cumplimiento que se precie ( ¡¿otra metáfora culinaria, en serio?!) proporcionará algún tipo de orientación sobre qué hacer cuando se produzcan excepciones.
¿Ha sufrido una lesión grave en el lugar de trabajo? Es mejor que lo comunique a la OSHA en un plazo de 24 horas para evitar sanciones económicas. ¿Se ha producido una violación de la seguridad que ha expuesto datos personales? Según el RGPD, si no se notifica a la Agencia de Protección de Datos (DPA) en un plazo de 72 horas , se pueden imponer sanciones de menor cuantía de hasta 10 millones de euros, o el 2 % de los ingresos anuales mundiales del ejercicio financiero anterior, lo que sea mayor.
Cuando se produce una avería, lo que se necesita es una solución que permita a los empleados (o incluso a los clientes) informar del incidente, alertar a los recursos adecuados para que lo investiguen y confirmen, notificarlo a las autoridades competentes de manera oportuna y permitir identificar rápidamente cualquier tendencia en estos incidentes para reducir aún más la probabilidad de que se repitan... y todo ello sin dejar de poder confirmar rápidamente estas medidas.
5. Procesos/Flujos de trabajo
Algunas obligaciones normativas exigen la creación de procesos para gestionar determinadas situaciones. Para cumplir con el artículo 17 del RGPD, el «derecho al olvido» exige que se proporcione a los clientes un proceso para solicitar la supresión «sin demora injustificada».
La implementación de un flujo de trabajo automatizado capaz de dirigir esa solicitud a las partes adecuadas y a través de los pasos adecuados puede ayudar a garantizar una respuesta coherente y oportuna a estas solicitudes. La ley Sarbanes-Oxley exige un código ético que, entre otras cosas, establezca un método para «divulgar a la persona o personas adecuadas... cualquier transacción o relación importante que razonablemente pueda dar lugar a» un conflicto de intereses.
Ser capaz de demostrar que los conflictos de intereses se comunican y, cuando es necesario, se actúa de forma adecuada (y ser capaz de realizar un seguimiento e informar sobre ese proceso) es prueba de un esfuerzo eficaz en materia de cumplimiento.
6. Auditorías
Otro elemento clave de su programa de cumplimiento eficaz es la supervisión y auditoría continuas de sus diversos elementos. Independientemente del tipo de actividad de cumplimiento que se lleve a cabo para cumplir con sus obligaciones, no puede simplemente «configurarlo y olvidarse» como si fuera un electrodoméstico de cocina.
Si su política anticorrupción no se ha revisado en cinco años, si no ha actualizado su formación en materia de seguridad desde la década de 2000, si no ha observado una reducción en las presuntas infracciones éticas denunciadas internamente (o, lo que es peor, no está seguro de cuántas infracciones se denunciaron ni cómo se gestionaron), todo ello son indicios de que no está manteniendo adecuadamente sus actividades de cumplimiento para cumplir con sus obligaciones.
¿Disponer de un único sistema que enumere todas sus obligaciones y las actividades de cumplimiento relacionadas con ellas, y que le permita aportar pruebas de la auditoría periódica de dichas actividades de cumplimiento vinculando las auditorías a las obligaciones asociadas para validar aún más el cumplimiento? Esto facilita enormemente la auditoría de su programa de cumplimiento y aporta más solidez a la forma en que realmente está cumpliendo con sus obligaciones de cumplimiento.
7. Medidas correctivas
Por último, algunas actividades de cumplimiento pueden ser tan sencillas como una acción recurrente, como un recordatorio mensual para revisar los registros de excepciones generados por su solución de supervisión. Junto con estas actividades recurrentes, es probable que su programa de auditoría dé lugar a conclusiones que requieran medidas correctivas (casualmente, el séptimo elemento de su programa de cumplimiento eficaz) para su resolución.
¿Qué mejor manera de demostrar que estás respondiendo rápidamente a las infracciones detectadas, implementando nuevos controles cuando surgen problemas y completando cualquier acción de cumplimiento que tenerlos todos juntos en un solo sistema, con recordatorios por correo electrónico y escalamientos para mantener las cosas en marcha?
Como usted sabe, el cumplimiento de sus obligaciones, independientemente de su origen, implica una serie de actividades de cumplimiento y revisiones/verificaciones periódicas para garantizar que las actividades se realizan correctamente y están logrando los resultados esperados.
Si desea obtener más información sobre cómo una solución integral, flexible e integrada que ayuda a ejecutar y supervisar estas actividades facilita la respuesta a la pregunta «¿cómo puedo saber si cumplimos con la normativa?», ¡póngase en contacto con nosotros!
