La auditoría de compliance es el análisis al que deben recurrir las empresas para evaluar su grado de cumplimiento en las diferentes leyes y normas que le son de aplicación.

En este artículo explicamos qué es y cómo realizar una auditoría de compliance en la empresa.

¿Qué es una auditoría de compliance?

La auditoría de compliance es la revisión que se realiza en la empresa para comprobar que sus procesos y procedimientos cumplen con las leyes y normas, externas e internas, de los ámbitos laboral, contable, legal y fiscal, en aquellos países en los que opera.

La auditoría de compliance, o auditoría de cumplimiento, también puede evaluar el plan de compliance de una organización, su grado de efectividad y si es aplicado y seguido por todos los miembros de la organización.

Una auditoría de compliance es una evaluación interna de la compañía que busca pruebas o evidencias de que una empresa u organización cumple con sus obligaciones internas, externas, normativas o voluntarias.

¿Cómo se hace una auditoría compliance? Fases de una auditoría de cumplimiento

La auditoría de compliance se lleva a cabo en tres fases diferentes:

Fases auditoria compliance

Las fases auditoría de Compliance

Planificación

En la fase de planificación se debe definir el tipo de auditoría que se llevará a cabo, es decir, si la va a realizar un auditor interno, un servicio externo de auditoría de compliance o un organismo regulador (en el caso de que la organización quiera certificar su sistema de gestión de compliance).

En caso de que la auditoría se realice a nivel interno, el auditor u organismo auditor no deberá tener una conexión o dependencia directa con el departamento a auditar, para poder cumplir con los niveles de objetividad e independencia adecuados.

Es importante que el auditor escogido tenga los conocimientos necesarios para poder realizar una auditoría de compliance adecuada y de acuerdo a los estándares internacionales de gestión de compliance.

Así mismo, se debe definir el alcance de la auditoría, especialmente en organizaciones dedicadas a sectores más regulados; las organizaciones están siempre afectadas por diferentes leyes y normas, desde locales a estatales, pasando por las sectoriales e incluso normas internacionales, así como su propio reglamento interno. Por lo tanto, se debe determinar qué normativas afectan a la organización, para poder comprobar el nivel de cumplimiento en todas ellas.

También se asegurarán los recursos necesarios para llevar a cabo la auditoría.

Ejecución

La siguiente fase es la de ejecución de la auditoría, en la que se suministrarán o facilitarán al auditor las evidencias, información, datos y documentación que requiera o sean necesarias para comprobar la efectividad de las medidas de compliance adoptadas, el nivel de cumplimiento de las diferentes leyes, normas o reglamentos que afectan a la organización y si sus miembros observan dichas medidas y cumplen con las normas o política interna de la propia organización.

El empleo de la denominada audit compliance checklist, o lista de verificación de auditoría de compliance, es una de las herramientas utilizadas por los auditores de compliance para comprobar el nivel de cumplimiento normativa de las organizaciones.

En esta fase, el auditor de compliance podrá detectar los riesgos de cumplimiento, las carencias o problemas relacionados con el cumplimiento de las normativas que afectan a la organización y a su sector de actividad.

Informe

En la última fase, el auditor de compliance elaborará un informe con los resultados alcanzados, es decir, se recogerán todos los problemas y riesgos de cumplimiento detectados y las recomendaciones para mejorar o solucionar los mismos. Así mismo, también informará de los aspectos positivos del plan de compliance.

Este informe se comunicará a la alta dirección y al compliance officer. Este último será quien deba diseñar e implementar las medidas correctivas necesarias para solucionar los problemas detectados.

¿Quién hace la auditoría de compliance en la empresa?

La auditoría de compliance debe realizarla un auditor compliance, es decir, una persona que posea los conocimientos y capacidades necesarias para desarrollar la auditoría de cumplimiento.

Así mismo, cómo ya hemos señalado, esta auditoría podrá realizar tanto por un auditor u organismo auditor interno de la organización (si dispone de este tipo de empleados) como un auditor de compliance externo, contratado a través de un servicio de consultoría especializada en cumplimiento normativo.

¿Auditor de compliance interno o externo?

Lo cierto es que una empresa que se tome realmente en serio el cumplimiento normativo, requiere de ambos tipos de auditores de compliance.

El auditor de compliance interno, sea este una persona o un organismo, debe realizar auditorías periódicas como parte de la estrategia de buen gobierno de la empresa y como muestra del compromiso de esta con la responsabilidad social corporativa, ya que el compliance actualmente va mucho más allá del cumplimiento de las leyes, también abarca conceptos como los criterios ESG. De esta forma se mantendrá el nivel de cumplimiento en diferentes áreas de la empresa y se podrán solucionar posibles problemas antes de que se vuelvan más graves.

Por su parte, el auditor de compliance externo es garantía de mayor independencia y objetividad a la hora de realizar la auditoría y evaluar el plan de compliance implementado en la organización. Además, a mayor regulación, más compleja puede volverse la auditoría y requerir conocimientos especializados en determinadas áreas y leyes. Un servicio de consultoría externa puede estar especializado en diferentes áreas, al estar formado por varios profesionales. Con la auditoría externa de compliance, la empresa se asegura de que un tercero acredita su nivel de cumplimiento en toda la organización de manera completamente objetiva.

Características de una auditoría de cumplimiento

La auditoría de compliance tiene, o debe reunir, una serie de características para poder considerarla útil para la organización:

  • Debe ser imparcial
  • Debe ser objetiva
  • Debe ser especializada
  • Debe ser independiente
  • Debe ser periódica
  • Debe estar planificada
  • Debe contar con los recursos humanos y materiales necesarios

Aunque lo veremos más adelante, cabe señalar que independiente no significa que la auditoría de compliance siempre deba realizarla un servicio externo, ya que se puede realizar una auditoría interna de compliance por parte un empleado o departamento de la organización creado para tal fin, es decir, para auditar el cumplimiento normativo de la organización en diferentes áreas. Esta figura, que no debemos confundir con el compliance officer, es habitual en grandes empresas, como parte de las acciones de buen gobierno corporativo.

tarifas compliance

¿Cuál es el objetivo de la auditoría de compliance?

Aparte de la ya mencionada revisión y evaluación del nivel de cumplimiento normativo, la auditoría de compliance tiene como objetivos:

  • Revisar la efectividad de los controles internos de la organización, es decir, si las medidas implementadas por la organización son eficientes en la detección y prevención de irregularidades, infracciones o comisión de delitos.
  • Detectar riesgos de incumplimiento y reportarlos, además de recomendar medidas o mecanismos a implementar para subsanarlos.
  • El informe de auditoría de compliance puede servir como prueba para evitar la imposición de sanciones o multas por infracciones administrativas o la comisión de delitos penales.
  • Este informe también servirá como prueba para minimizar la responsabilidad penal de la organización en el caso de que alguno de sus miembros haya cometido un delito. En algunos casos puede llegar a exonerar a la empresa.
  • Certificar los estándares internacionales de compliance (como, por ejemplo, la ISO 37301).

¿Es obligatoria la auditoría de compliance?

Como tales, las auditorías de compliance no son obligatorias, salvo la auditoría de blanqueo de capitales, que es un tipo de auditoría de cumplimiento específica, que deben realizar obligatoriamente los sujetos incluidos en el artículo 2 de la Ley 10/2010.

Ahora bien, realizar la auditoría de compliance y la auditoría interna en una organización, es muy recomendable, puesto que, como dijimos más arriba, sirve para evaluar el nivel de cumplimiento de la organización y la efectividad de las medidas adoptadas, así como comprobar que se siguen las políticas y normas internas de la entidad, de manera que, en el caso de un procedimiento judicial, puedan servir como prueba para reducir o exonerar a la organización de su responsabilidad penal.

Por ejemplo, demostrar esa existencia y efectividad del plan de compliance penal es un requisito establecido en el Código Penal para, precisamente, exonerar a una empresa de la comisión de un delito por parte de uno de sus miembros.

Diferencia entre compliance y auditoría interna

La auditoría interna es un proceso independiente y puntual que se realiza con cierta periodicidad, cuyo objetivo es evaluar todos los procesos, procedimientos y sistemas de gestión internos de la empresa.

Sin embargo, el compliance se aplica de manera continua y está encaminado exclusivamente al cumplimiento de leyes y normativas.

Mientras el compliance officer se ocupa de implementar y evaluar el funcionamiento del plan de compliance en la empresa y sus diferentes departamentos, el auditor de compliance, sea interno o externo, únicamente analiza aquellos aspectos relacionados con el cumplimiento de las normas internas y externas en la organización y, en su caso, del estándar adoptado.

En muchos casos, compliance y auditoría interna van de la mano y se trata de procedimientos complementarios, cuyo objetivo es garantizar el buen funcionamiento de la empresa, evitar riesgos y proponer soluciones para asegurar la viabilidad de la empresa.

En definitiva, cualquier empresa que quiera acreditar su programa de compliance y el nivel cumplimiento normativo alcanzado, debe recurrir a la auditoría de compliance para ello.