EVENTOS AMEXICOM
Iniciamos el mes de abril con eventos virtuales 2021. Tendremos el viernes 12 de abril, la Mesa redonda “El reto de las investigaciones internas para las empresas”.
12 de abril (10:00 – 11:15)
Formato: online
Duración: 1 hora 15 minutos
Participan en la mesa redonda:
- Diego Zabala Capriles
- Juan Carlos Pondal Kleber (de Total Compliance) Consulting
- Sandra Campillo Colmenares (de Total Compliance
- Carlos Requena – VP AMEXICOM Compliance Penal y moderador
¿Deben ser independientes los 'compliance officers'?
La figura del compliance officer tiene una importancia crucial para la evolución de un MPDC. Dicha importancia juega, como mínimo, en dos planos. Por un lado, en el plano operativo-interno (ad intra), coadyuvando al órgano de administración en la supervisión del MPDC, a la vez que siendo un resorte del desarrollo de una cultura ética y de cumplimiento. Por otro lado, en el plano jurídico (ad extra), para que la persona jurídica pueda quedar exonerada de responsabilidad penal corporativa, necesita que el compliance officer haya realizado su labor de manera diligente (artículo 31 bis 2, 4ª del Código Penal).
Si tan importante es esta figura, ¿cómo puede influir su grado de independencia en la eficacia global del MPDC? ¿Es lo mismo tener autonomía que independencia? En general, no es lo mismo. Uno puede ser autónomo y no ser independiente. La autonomía obedece a la disposición de recursos para desarrollar la función, en cambio, la independencia se refiere a la libertad de decisión y actuación en el ejercicio de la función, sin presiones. Por poner un ejemplo banal: mis padres me pueden dar un buen dinero para comprarme un piso (autonomía/recursos), pero para que compre el que ellos han decidido que me conviene (independencia/libertad).
La autonomía e independencia del compliance officer son atributos que interactúan entre sí. En efecto, en principio, cuanta más autonomía tiene la función, más aumenta su capacidad de actuación y, en consecuencia, se presupone una mayor independencia. Sin embargo, esto no siempre es así. Por ejemplo, por un lado, podemos dar recursos al compliance officer para realizar una investigación interna y, a su vez, llevar a cabo prácticas que de facto dificulten su ejecución como, por ejemplo, restringir el acceso a determinados documentos o personas cuyo examen es necesario para el buen fin de la investigación.
Son varios los factores que interactúan entre sí a la hora de configurar la independencia del compliance officer. De entre ellos, debemos destacar la autoridad y liderazgo que tenga dentro de la organización, la posición que ocupa en el organigrama, el apoyo y respaldo que reciba del órgano de administración -y también del resto de la capa directiva-, así como las soft skills que ostente el propio compliance officer.
En primer lugar, la autoridad permite elevar el grado de independencia. La autoridad está muy ligada al conocimiento, a la formación y experiencia del individuo, lo que nos confiere un criterio para decidir. Por lo tanto, a menor experiencia y conocimiento, menor autoridad y, con ello, riesgo de menor independencia en el ejercicio de su función.
El segundo aspecto que hay que considerar es la posición del compliance officer dentro del organigrama. El compliance officer debe ser nombrado por el órgano de administración, de forma que su autoridad e independencia también se la otorga el hecho de depender de la máxima autoridad dentro de la organización (otra cosa es si lo consideramos independiente del órgano de administración que lo supervisa). A su vez, idealmente, esta figura debería estar alejada del negocio, situándose en una segunda línea de defensa, evitando con ello situaciones de conflictos de interés. Sin embargo, muchas veces su inclusión en comités de compliance, junto con otros miembros pertenecientes al negocio, o bien el hecho de compaginar el cargo con otras funciones propias del negocio, constituyen elementos que, a priori, pueden limitar su nivel de independencia.
El respaldo y apoyo que reciba el compliance officer del órgano de administración será un elemento clave para sustentar su independencia. Por mucho que formalmente cuelgue del órgano de administración, si materialmente no se le tiene en cuenta, o bien no se le dota de medios para llevar a cabo sus funciones, o se le deja en entredicho cuando realiza sus propuestas, o recibe presiones para que cambie de opinión, entre otros, son ejemplos que limitan materialmente la independencia de su función.
Las denominadas soft skills del compliance officer también pueden ser resortes de independencia. La capacidad comunicativa y resolutiva, el conocimiento del negocio y del sector, sus dotes relacionales, la ética personal, etc. son aspectos que permiten a lo largo del tiempo ganar cuotas de independencia y autoridad en el ejercicio del cargo.
En definitiva, respondiendo a la pregunta inicialmente planteada, cuanta mayor independencia ostente el compliance officer, más se acercará la función a lo que debería ser una verdadera segunda línea de defensa y, en consecuencia, mayor cota de eficacia podrá alcanzar el MPDC. En caso contrario, se corre el riesgo de que no evolucione la cultura ética y de cumplimiento de la organización y, en el peor de los casos, no pueda operar la exención de responsabilidad penal de la persona jurídica.
Fuente: ¿Deben ser independientes los ‘compliance officers’? | Legal | Cinco Días (elpais.com)
Compliance, una herramienta lista para instrumentarse en los gobiernos municipales
El Compliance está listo para su instrumentación inmediata en los gobiernos municipales, aseguró Jorge Martínez Ocampo, especialista en cumplimiento normativo y socio del despacho Martínez Ocampo & Chávez Vaca, firma mexicana especializada en temas de combate a la corrupción.
En entrevista para el sitio Alcalde Limpio, Jorge Martínez Ocampo, señaló que es indispensable que todos los gobiernos municipales, por lo complejo de los mismos, tengan reglas claras en cuanto a transparencia, acceso a la información así como procesos normativos.
Expuso que el compliance funciona como un blindaje institucional a través de un sistema integral minucioso, y este debe contemplar desde el mismo ayuntamiento hasta la cúpula federal, ya que la corrupción ha tenido consecuencias importantes en el desarrollo local. En muchas ocasiones, la corrupción se debe a la ineficacia de los funcionarios municipales, aseguró.
“A lo largo de varias décadas, la corrupción entró a todas las hendiduras de gobierno como moho. Sin importar las siglas del partido en el poder, las tres estructuras de gobierno, federal, estatal y municipal han presentado esa descomposición por el ejercicio natural del poder, y se ha quedado en la línea discursiva de los partidos políticos, de sus candidatas y candidatos”, refirió el especialista.
Detalló que para implementar un sistema integral de Compliance en un municipio se debe realizar un diagnóstico del área en particular o bien del sector de gobierno que se desea reestructurar.
Explicó que mientras se corren los diagnósticos se va trabajando con cada unidad y dependiendo del tamaño del municipio o alcaldía, se logra instrumentar un sistema básico de compliance de 1 a 3 meses, ayudando a combatir una administración propensa a actos de corrupción dando seguridad a las y los ediles de que su ayuntamiento se encuentra administrado con los candados necesarios para cuidar de los intereses públicos.
De manera concreta enumeró las siguientes acciones para combatir la corrupción:
- Diagnóstico
- Creación de unidades de evaluación, así como de auditoría externa
- instrumentar de inmediato la declaración patrimonial obligatoria para las y los funcionarios de cierto nivel
- capacitación y acompañamiento de las y los funcionarios
- certificación del municipio o alcaldía en las normas internacionales de combate a la corrupción.
- Conocer a detalle y publicar las funciones específicas de trabajo de las y los funcionarios públicos en tu gobierno entre otras.
El sitio Alcalde Limpio también enumera los cinco problemas más comunes en un presidente municipal primerizo, los cuales son:
- No tener control sobre la seguridad pública; a través de todo el país, ésta tiende a coludirse con grupos criminales si no es bien atendida.
- Tener una insuficiencia de recursos financieros: es muy importante que hagas un control de ingresos y egresos, y que tu plan de trabajo sea uno realista.
- Que las instancias en tu gobierno sean débiles y, por lo tanto, carezcan de legitimidad. Recuerda que tu gobierno debe ser uno equilibrado y estable para que funcione.
- Que los servicios básicos en tu gobierno sean insuficientes. Como administrador tendrás que crear una estrategia para que sean accesibles para todos.
- Que haya desequilibrio en actividades económicas. Este punto es una gran influencia en todos los demás. Tienes que buscar equilibrio, y el económico es fundamental para un gobierno honesto y transparente.
#TENDENCIAS
Lo que tu empresa debe saber sobre las oportunidades en 'cyber compliance'
La recomendación de controles sobre activos informáticos para el cumplimiento de normativas sobre protección de datos y de contratos sobre la disponibilidad y calidad de servicios abre oportunidades laborales concretas.
El Compliance Officer adquiere un rol privilegiado para ayudar al departamento de sistemas y tecnologías a articular controles en políticas y contratos en soporte. Asimismo, el Compliance Officer contribuye a cuantificar los riesgos de incumplimientos sobre leyes de privacidad y de servicios esenciales, y sobre contratos de servicios de datos, infraestructura cloud, licencias de software, desarrollo de aplicaciones y tecnologías en general.
La extensión de la visibilidad y aportes del Compliance Officer en las funciones de sistemas y de seguridad informática requiere un nuevo conocimiento sobre riesgos, procesos, y controles de cyber seguridad.
A través de regulaciones sobre infraestructuras y servicios críticos, la Comunidad Europea y otros reguladores han multiplicado sus requerimientos en la última década. Inicialmente desde los sectores de energía y trasporte, la estrategia de regulación ha avanzado sobre servicios financieros, infraestructura de comunicaciones e internet, salud, agua y residuos, y servicios gubernamentales.
De esta forma, los proveedores de servicios públicos críticos deben seguir crecientes obligaciones con responsabilidad proactiva para asegurar la continuidad de sus operaciones frente a la sociedad. Es esperable que esta tendencia incrementará la responsabilidad proactiva para prevenir interrupciones de servicios y sobre la seguridad de datos.
También es esperable la extensión de regulaciones a otros sectores como la industria alimenticia, la agricultura, la educación, los servicios de defensa y seguridad informática, y la gestión de edificios de utilidad pública.
Desde Chile hasta China, las regulaciones sobre privacidad de datos personales también han crecido exponencialmente como áreas de interés para los Compliance Officers.
Especialmente a partir de la regulación Europea de protección de datos adoptada en 2016 para convertirse actualmente en el “Golden Standard”, los servicios de asesoramiento y nuevas contrataciones han expandido el horizonte de los especialistas de Compliance con vocación práctica y conocimiento técnico en protección de datos.
Este nuevo perfil requiere la traducción de obligaciones sobre privacidad en procedimientos claramente articulados sobre controles de sistemas y cláusulas contractuales sobre procesadores de datos y proveedores en la tercerización de servicios informáticos.
En respuesta a la pandemia de COVID-19, la función de Compliance ha debido liderar el diseño y la comunicación de procedimientos para proteger dispositivos terminales y móviles como consecuencia del work-from-anywhere. Asimismo, la función de compliance ha debido actualizar nuevos contratos de eCommerce y de adquisición de servicios cloud para el trabajo remoto. En especial al trabajar remotamente, la minimización del riesgo de los sistemas en las sombras (shadow IT) por la instalación indebida de software no licenciado o aplicaciones web en muchos casos gratuitas, ha hecho que los Compliance officers mejoren los protocolos de solicitud de compra de software y el bloqueo de servicios web como Dropbox y Google Documents.
Los riesgos de ir detrás de las constantes vulnerabilidades de los activos informáticos y los cambios en las estrategias de ataques de hackers y otros delincuentes, requieren que el Compliance officer proponga, implemente, comunique y audite el cumplimiento de controles en sistemas basados en políticas de seguridad, contratos y regulaciones. Las crecientes tercerizaciones de servicios y modelos de software y almacenamiento en la nube, aumentan exponencialmente la exposición a estos riesgos. Las habilidades de los Compliance officers para ir más allá del cumplimiento en papel y la mera escritura de políticas generales permiten canalizar decisiones de negocios sobre alternativas efectivas en costes que minimicen incumplimientos y protejan activos como la propiedad intelectual.
El Compliance Officer también ha ayudado a la cuantificación de impactos regulatorios y contractuales ante factores de riesgos vinculados a activos informáticos en diferentes escenarios. Al asesorar al negocio sobre compensaciones y penalidades máximas y mínimas sobre contratos y regulaciones, como los artículos del reglamento Europeo de protección de datos, la función de cumplimiento permite utilizar metodologías cuantitativas de evaluación de riesgos de Compliance. Esto permite dejar atrás metodologías sesgadas que desprecian a los datos, como las evaluaciones en “rojo, amarillo y verde”, matrices 5*5 y sistemas arbitrarios de scoring. Estas metodologías cualitativas han sido refutadas por la ciencia durante más de una década convirtiéndolas actualmente en negligencia y mala práctica inefectivas para la defensa corporativa.
El entendimiento del contexto de cyber-compliance permite a los consultores ofrecer nuevos servicios diferenciados en el mercado y a los compliance officers internos dar un paso para llegar a ser un asesor influyente en los negocios. Aducir la falta de conocimiento técnico en sistemas, controles sobre procesos informáticos o protección de datos hace que la función de compliance no proteja sus organizaciones. Además, deja a los compliance officers a merced del darwinismo del mercado laboral y sin poder ofrecer servicios de consultoría demandados y bien pagos.
