La sesión impartida por Cristina Alonso, responsable de cumplimiento normativo en Bankinter ICA a través del Instituto de Estudios de Compliance de ASCOM- Asociación Española de Compliance abordó una de la funciones clave de los equipos de Compliance: labores de monitorización con el fin de detectar fallos u errores, debilidades o incumplimiento de los controles establecidos para prevenir y mitigar los riesgos, y que en mucho casos derivan en un incumplimiento legal y/o regulatorio – que, de esta forma, es también identificado.
En esta entrevista, esta experta señala que el éxito de una correcta monitorización se basa en una adecuada planificación y ejecución del mismo. También revela el papel clave del compliance officer en estas labores de supervisión y monitorización.
Para Cristina Alonso, en el caso que nuestra organización incurra en un incumplimiento legal -una vez cuantificada y calificada su gravedad- se deberá con la mayor premura posible poner en conocimiento de la alta dirección”
Desde su punto de vista “esta comunicación deberá de ir acompañada de un plan de subsanación y medidas correctoras que permitan corregir los procesos actuales y evitar en un futuro este tipo de situaciones”.
¿Qué conclusiones extrae de este seminario que ha impartido sobre la monitorización de los sistemas de compliance?
En cualquier organización se hace necesaria la existencia de un área de control/ monitorización que permita gestionar el riguroso cumplimiento de las normas de conducta, tanto a nivel interno (políticas, procedimientos, códigos, reglamentos internos, etc..) como externo (normativa de aplicación: Directivas, Leyes, Reales decretos, Reglamentos, etc..)
Para ello las entidades deberán diseñar y elaborar un plan de supervisión robusto, consistente y que cumpla con todos los focos prioritarios tanto a nivel regulatorio como aquellos que la entidad estime convenientes. Además, resulta fundamental disponer de políticas y procedimientos internos que regulen las normas de actuación en este ámbito y estas sean adecuadas al tamaño de la entidad.
¿Dónde está la clave de una buena monitorización de estos sistemas de compliance?
El éxito de una correcta monitorización se basa en una adecuada planificación y ejecución del mismo. El analista deberá entender el riesgo asociado del aspecto que está monitorizando, comprender y desgranar toda la normativa de aplicación, establecer adecuadamente el objetivo y por tanto planificar adecuadamente los puntos de control.
Adicionalmente una buena relación y comunicación con las áreas owners durante el proceso permitirá un trabajo más eficiente y transparente. El cumplimiento resultante de la combinación de los factores descritos anteriormente ayuda a alcanzar el éxito de cualquier monitorización.
¿Qué papel juega el compliance officer en este asunto? ¿Puede delegar esta labor a un tercero bajo su supervisión?
El Compliance officer desarrolla un papel fundamental en el ámbito del control y supervisión, siendo la clave principal “la independencia” que deberán de ostentar tanto en la evaluación del riesgo de cumplimiento, la definición del plan de supervisión como durante la realización y ejecución de cualquier monitorización. Los resultados obtenidos deberán de ser transparentes, íntegros, no condicionados a ninguna decisión y ser así comunicados y escalados a la alta dirección.
La actividad de supervisión, y tal como recoge la normativa de aplicación, sí puede ser delegada en un tercero, siempre bajo la responsabilidad de la misma y por tanto sujeto a una supervisión constante. El hecho de delegar no exime de responsabilidad.
¿Cuáles son los principales problemas a la hora de realizar dicha labor de supervisión?
A la hora de realizar una monitorización deberemos de lidiar con varios factores que pueden influir en su desarrollo, destacaría principalmente 3 de ellos:
El primero es la “obtención de la información”. Normalmente en la mayoría de las organizaciones resulta complicado extraer la información cumpliendo con una serie de requisitos/ factores previamente definidos.
Si bien la tecnología y las fuentes de información avanzan velozmente, hoy en día no deja de ser un reto, siendo este un factor primordial ya que constituye el punto de partida y, por tanto, la base de cualquier monitorización. Una buena planificación y anticipación de la misma permitirá mejorar el proceso de obtención de la información.
El segundo aspecto es la “relación con el área objeto de monitorización”, si bien estas dificultades surgen especialmente en entidades dónde no está asentada y extendida una correcta cultura de cumplimiento normativo, las áreas pueden no ser siempre especialmente colaborativas o predispuestas a la hora de facilitar documentación, viéndonos como un “enemigo” más que un “colaborador”. La base de una correcta relación y trato con el área permitirá realizar esta labor de una manera más fácil y eficiente.
Y como último factor, destacaría el “establecimiento de planes de acción/ medidas mitigadoras”. Este sin duda es uno de los pasos más complicados al finalizar la monitorización, puesto que es la tarea que tendrá que desempeñar el área responsable a futuro.
No se trata de establecer planes inalcanzables, sino que deberán ser medidas concretas, reales, posibles y lo más importante asumidas y acordadas con el área. Una falta de asunción de estas responsabilidades y tareas sin duda supondrá un obstáculo en la labor de supervisión.
¿Cómo debemos actuar si en esa situación se produce un incumplimiento legal por parte de nuestra organización?
En caso de producirse un incumplimiento y una vez cuantificada y calificada su gravedad, se deberá con la mayor premura posible poner en conocimiento de la alta dirección. Esta comunicación deberá de ir acompañada de un plan de subsanación y medidas correctoras que permitan corregir los procesos actuales y evitar en un futuro este tipo de situaciones.
Si bien este aspecto juega un papel “detectivo” importante, resulta más importante aún tener adecuados sistemas y controles “preventivos” que permitan evitar que este tipo de incumplimientos se materialicen.
¿Qué papel juega la tecnología en esta labor de apoyo a este trabajo de supervisión?
La tecnología juega hoy en día un papel relevante en la labor de apoyo a las tareas de supervisión y que en muchos de los casos constituye la base de cualquier revisión. Si bien, como he indicado anteriormente, en algunas organizaciones constituye un reto la obtención y extracción de la información, cada vez son mayores las medidas y sistemas que están adoptando las entidades para la automatización y obtención de la misma.
Por otra parte, y en línea a mejores prácticas que recomiendan los reguladores, resultan cada vez más necesarias herramientas informáticas en las áreas de Monitorización que permitan llevar a cabo y simplificar tareas tales como la evaluación del riesgo de cumplimiento, seguimiento de acciones, basado en criterios matemáticos, precisos y cuantitativos además de permitir mantener la trazabilidad durante todo el proceso.
¿Con qué periodicidad debemos hacer esa labor de monitorización en nuestra organización para estar tranquilos de que todo va razonablemente bien?
La normativa en este sentido no establece la periodicidad con la que deberán ser desempeñadas las tareas de monitorización, más allá de hacerse de forma periódica y continuada. Al menos anualmente y en función del tamaño de la organización y los recursos que se dispongan deberá ser llevada a cabo esta labor, lo importante es tener descrito correctamente el alcance, su frecuencia y desempeño en las políticas y procedimientos internos del área.
Entidades de tamaño medio y/o grande, suelen diseñar amplios planes anuales de Supervisión, organizados y planificados para ser ejecutados con carácter mensual/ trimestral. Lo importante y al igual que se aplica a otros factores, es importante que sean planes alcanzables y planificados adecuadamente conforme al tamaño y recursos disponibles.
¿Cómo ha impactado el COVID19 en estas labores de monitorización de sistemas de compliance? ¿Hay nuevos riesgos que se deben asumir?
El estado de alarma vigente en el país entre el 14 de marzo y el 21 de junio provocado por la crisis sanitaria de la COVID-19, y toda la normativa publicada al efecto para hacer frente al impacto económico y social resultante de la situación sanitaria y económica, ha supuesto un impacto importante en las áreas de monitorización.
Consecuencia de ello se tuvo que adaptar toda la publicación de nuevas normativas derivada de la misma e incorporar en la evaluación del riesgo, especialmente en aquellos ámbitos de aplicación (procesos) en los que el impacto era pleno como por ejemplo ocurre en materia de Transparencia Bancaria. Derivado de eso, la mayoría de las entidades realizaron un ejercicio de reevaluación del riesgo a mediados de año con el objetivo de incluir todos los riesgos afectos y expuestos derivados de la normativa resultante de aplicación, así como los controles que se implantaron para su mitigación.
Fruto de ello, fue incorporar nuevas monitorizaciones en esta materia en el Plan de monitorización de cada entidad, aun no estando contempladas bajo el modelo inicial aprobado para ese ejercicio.
En este sentido, las entidades financieras han realizado sus esfuerzos máximos para adaptarse a esta situación y poner todas las medidas para garantizar el cumplimiento de las normas de conducta en dicha materia.