En diciembre de 2014 fue publicado el estándar 19600 titulado ‘Lineamientos - sistema de administración de cumplimiento’, el cual presenta un sistema para que las empresas cumplan en sentido general con sus obligaciones en materia de compliance. Dado que dichas obligaciones pueden abarcar muchas áreas, el presente artículo se centrará en la administración del riesgo LA/FT.
¿Qué es cumplimiento?
Es importante definir la función de cumplimiento del Comité de Basilea: esta es una función independiente que identifique, evalué, asesore, supervise e informe sobre el riesgo de cumplimiento de la organización, es decir, el riesgo que puede sufrir la entidad en sanciones legales o normativas, pérdida financiera o pérdida de la reputación como consecuencia de su incumplimiento con todas las leyes, reglamentos, códigos de conducta y normas de buenas prácticas.
Las organizaciones que adopten la ISO 19600 estarán en capacidad de cumplir efectivamente sus requerimientos de compliance en cualquier área, ya sean legales, financieros, ambientales, de salud ocupacional o la administración del riesgo LA/FT, entre otros.
Con respecto a los requerimientos, estos no solo se limitan a los normativos sino también a los compromisos que la organización escogió o decidió adoptar sin estar obligada por la ley, es decir, más allá del denominado mínimo legal.
La ISO 19600 indica que puede ser implementada dentro de cualquier tipo de organización independientemente de su tamaño, sector o estructura societaria.
Lo nuevo del estándar
Lo más novedoso del estándar es que busca integrar, mejorar e incluso ampliar los distintos sistemas de administración de cumplimiento que se pueden aplicar a las normatividades o lineamientos que la entidad está obligada a cumplir. A nivel internacional existen regulaciones como la ley Dodd–Frank, Fcpa, UK Bribery Act, BSA, entre otras, las cuales pueden ser implementadas a través de los lineamientos dispuestos en la ISO 19600.
En el caso colombiano y dependiendo de la normatividad LA/FT que le es aplicable a cada entidad, la ISO 19600 estipula responsabilidades específicas a las gerencias y a los empleados de la entidad con respecto al cumplimiento, lo cual es relativamente novedoso frente a tradicionales funciones asignadas a la junta directiva, representante legal y oficial de cumplimiento en la normatividad LA/FT.
Adicionalmente, el estándar suministra a las entidades un soporte para mejorar el sistema de administración de cumplimento, pues trae inmerso el ciclo de planear, hacer, verificar y actuar.
El sistema de administración de cumplimiento o SAC
El estándar viene acompañado por un flujograma, el cual ilustra de manera general el funcionamiento de la ISO 19600. Dicho gráfico será explicado y comparado con la gestión del riesgo LA/FT asumiendo que el estándar está siendo implementado por una entidad regulada por una norma contra el LA/FT.
Primer paso: establecer el sistema
El flujograma expuesto anteriormente muestra que el primer conjunto de acciones consiste en establecer el sistema de administración de cumplimiento, el cual consta de varias etapas que se explican a continuación.
Identificación de cuestiones externas e internas (4.1)
En este punto la organización debe identificar los riesgos de su sistema de cumplimiento, para lo cual debe considerar aspectos externos e internos de la organización.
Para el caso LA/FT la entidad debe revisar, a nivel externo, si existe algún riesgo de incumplimiento normativo o si hay alguna buena práctica que se comprometió a adoptar y que en realidad no está cumpliendo. Con respecto al nivel interno, la entidad debe evaluar si está preparada para el cumplimiento de sus compromisos en materia LA/FT.
Identificación de los requerimientos de las partes interesadas (4.2)
El documento indica que la entidad debe identificar las partes que son relevantes para el SAC de cumplimiento y sus requerimientos.
Para el caso LA/FT las partes relevantes pueden ser las autoridades en la materia, los supervisores encargados de hacer cumplir la normatividad, los empleados de la entidad y en cierta medida los ciudadanos, dado que ellos sufren las consecuencias negativas del lavado de activos.
Determinar el enfoque y el establecimiento del SAC (4.3/4.4)
Para determinar el enfoque del SAC se deben considerar las cuestiones internas y externas de la organización y las obligaciones, tanto normativas como voluntarias y de cumplimiento de la organización. En materia de lavado de activos el enfoque del SAC es bastante claro y el alcance del mismo va muy de la mano con las obligaciones normativas y de buenas prácticas que le aplican a la entidad.
Establecer la política de cumplimiento (5.2)
El estándar indica que el órgano de gobierno y la alta gerencia deben establecer la política de cumplimiento, la cual debe estar alineada con los valores, objetivos y estrategia de la organización.
En materia LA/FT las normas como el Sarlaft y la Circular Básica Jurídica de la Supersociedades, entre otras, contemplan dichos lineamientos en las funciones de la junta directiva y del representante legal, demostrando así la importancia que tiene el SAC dentro de la organización.
Segundo paso: mejorar el sistema
Una vez la entidad establece su sistema de administración de cumplimiento, debe estar atenta a mejorarlo a través del ciclo de mejora continua (tal y como se aprecia en el flujograma), el cual también consta de varias etapas que se explican en los párrafos que siguen.
Buenos principios de gobierno (4.4)
Según el estándar, al momento de implementar un SAC y en aras de respaldar su efectividad, este debe considerar los siguientes principios de gobierno:
- Acceso directo de la función de cumplimiento al órgano de gobierno.
- Independencia de la función de cumplimiento.
- Autoridad apropiada y recursos adecuados asigna- dos a la función de cumplimiento.
Dichos principios se encuentran estipulados en la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica expedida por la Superfinanciera, en adelante Sarlaft, en sus numerales 4.2.4.1., 4.2.4.2 y 4.2.4.3., relacionados con la estructura organizacional. Así mismo, se encuentran mencionados en el Capítulo X de la Circular Básica Jurídica de la Supersociedades, en adelante norma sector real, en sus numerales 2.H y 2.G, aunque no hace mención explícita de la independencia de la función de cumplimiento.
La Circular Externa 6 de 2014 expedida por la Supersolidaria hace mención de dichos principios en el numeral 3.1.
Identificación de obligaciones y evaluación de los riesgos de cumplimiento (4.5/4.6)
Como se mencionó anteriormente, la ISO 19600 no se limita únicamente al cumplimiento regulatorio o a los ‘requerimientos de cumplimiento’, sino también a los ‘compromisos de cumplimiento’ que corresponden a los aspectos voluntarios que las organizaciones deciden adoptar y cumplir.
Colombia ha expedido varias normatividades LA/FT que regulan diversos sectores de la economía y que según la terminología del estándar corresponderían a los ‘requerimientos de cumplimiento’, los cuales sin ninguna duda se deben cumplir.
Por otra parte, a nivel país e internacionalmente se han publicado documentos de los que se pueden adoptar mejores prácticas (por ejemplo, el modelo de Negocios Responsables y Seguros, varios documentos del Gafi o los modelos de administración del riesgo LA/FT de la Dian), los cuales hacen referencia a los ‘compromisos de cumplimiento’.
Con respecto a la identificación y evaluación de los riesgos de cumplimiento, el estándar indica que la organización debe identificar y analizar dichos riesgos comprendiendo sus causas y fuentes, la severidad de sus consecuencias y la posibilidad de un incumplimiento. En este punto es importante hacer distinción de los eventos de riesgo LA/FT y de los eventos de incumplimiento con relación a las obligaciones de cumplimiento LA/FT.
Compromiso por el liderazgo, función de cumplimiento independiente (5.1)
En este punto la ISO 19600 indica que el órgano de gobierno y la alta gerencia deben demostrar liderazgo y compromiso frente al SAC a través de actividades que respalden las labores de cumplimiento, dentro de las cuales se encuentra “asegurar un alineamiento entre los objetivos operaciones y las obligaciones de cumplimiento”, lo cual es equivalente a lo estipulado por varias normas para prevenir el LA/FT en las que se antepone el cumplimiento de la norma a las metas comerciales.
Responsabilidad a todos los niveles (5.3)
En este apartado el documento indica que el órgano de gobierno y la alta gerencia deben asignar y comunicar los papeles, o funciones, responsabilidades y autoridades relativas al cumplimiento en cada uno de los niveles de la organización. Adicionalmente, estipula las funciones del órgano de gobierno, la alta gerencia, la función de cumplimiento, la gerencia y los empleados.
En el Sarlaft, en el numeral 4.2.4. Estructura organizacional, se estipulan las funciones de la junta directiva o de quien haga sus veces, las del representante legal y las del oficial o empleado de cumplimiento. En la norma del sector real aparecen estipuladas las funciones en los numerales 2.F, 2.G y 2.H. Finalmente, en los numerales 3.1 y 3.3.1 de la Circular Externa 6 de 2014 se hace mención de las funciones.
Al realizar una comparación general entre las funciones de dichos elementos en la normatividad y las estipuladas por la ISO 19600, se encuentra un alineamiento y coherencia entre ambas; sin embargo, el estándar es más específico.
Planeación para abordar riesgos de incumplimiento y logro de objetivos (6)
La ISO 19600 también estipula que, una vez identificados los riesgos de incumplimiento, estos deben contar con un plan para abordarlos y documentarlos, así como las acciones para su tratamiento. Algo similar se establece para los objetivos del SAC.
Por su parte, en las normas LA/FT, el Sarlaft en el capítulo 4 menciona el objetivo de dichos sistemas; para el caso de la norma del sector real, el numeral 1.C describe el objetivo pero en términos generales y finalmente en la Circular Externa 006 los objetivos se pueden derivar del capítulo 3 de dicha norma.
En términos generales, el objetivo principal de las anteriores normatividades es evitar que la entidad sea utilizada para el lavado de activos y la financiación del terrorismo.
Apoyo (7)
Con respecto al apoyo del SAC la ISO 19600 indica que este debe contar con: recursos, competencia y entrenamiento, sensibilización, comunicación y documentación.
Al comparar el Sarlaft con los ejemplos que el estándar describe dentro de la fase de apoyo se encuentra que estos son equivalentes a los elementos estipulados en el numeral 4.2 de dicha norma. El Sarlaft hace mención de este punto en el numeral 4.2, la norma del sector real lo menciona en los numerales 2.G y 2.K y finalmente la Circular Externa 006 en sus numerales 3.2.1.5 y 3.3.3 hace mención de los aspectos tecnológicos y capacitación.
Planeación operativa y control de los riesgos de cumplimiento (8)
La ISO 19600 indica que la organización debe llevar a cabo procesos para cumplir con el SAC y que dichos procesos deben ser planificados, implementados y controlados. Por su parte, se deben establecer controles frente a las obligaciones adquiridas en el SAC y frente a los riesgos de incumplimiento.
Evaluación de desempeño e informes de cumplimiento (9)
Este apartado consiste en un monitoreo general del SAC, el cual busca medir su efectividad en general. La ISO 19600 comprende un monitoreo general del sistema, un sistema formal de retroalimentación para su mejoramiento, métodos para recolectar y analizar información referente y relevante al SAC, un sistema de indicadores y reportes de cumplimiento, entre otros.
Adicionalmente, dentro de la parte de monitoreo se encuentran la auditoría y las revisiones por parte de la alta gerencia.
En cuanto a la normatividad LA/FT, el Sarlaft –en su numeral 4.1.4- trata acerca del monitoreo del sistema; por su parte, la norma del sector real en el numeral 2.H aborda este tema y en el numeral 3.3 de la Circular Externa 6 de 2014 en la función tercera del empleado de cumplimiento se hace mención de este aspecto.
Administración de incumplimientos y mejoramiento continuo (10)
La ISO 19600 estipula que la entidad debe administrar las no conformidades que surjan del SAC empleando una serie de pasos que garanticen su tratamiento adecuado; además, debe implementar un proceso de escalamiento a instancias superiores que se debe caracterizar por ser claro y oportuno. Adicionalmente, en este punto se estipula que la entidad debe mejorar continuamente la idoneidad, suficiencia y efectividad del SAC.
El Sarlaft estipula en el numeral 4.2.4.3.2.2.5 que el oficial de cumplimiento debe presentar a la junta el informe que contenga los correctivos al SAC ordenados por este órgano
Vale la pena señalar que la ISO 19600 es un estándar que sirve de guía a las entidades que tienen por obligación implementar un SAC, el cual es perfecta- mente compatible con la administración del riesgo LA/FT y sirve de complemento a la normatividad y buenas prácticas en materia de antilavado que la entidad se comprometió a cumplir.
