¿Cómo puede comprobar una empresa que cumple de manera adecuada con las leyes y normas que la afectan y que debe aplicar y observar? La respuesta está en la auditoría de compliance. En este artículo vamos a ver en qué consiste y cómo se realizan.
En este artículo hablamos de:
- ¿Qué es una auditoría de compliance?
- ¿Cómo se hace una auditoría compliance? Fases de una auditoría de cumplimiento
- Características de una auditoría de cumplimiento
- ¿Cuál es el objetivo de la auditoría de compliance?
- ¿Es obligatoria la auditoría de compliance?
- ¿Quién realiza las auditorías de compliance?
- Diferencia entre compliance y auditoría interna
¿Qué es una auditoría de compliance?
La auditoría de compliance o auditoría de cumplimiento es la revisión que se lleva a cabo sobre los procedimientos y operaciones de una empresa u organización, con el fin de determinar el nivel de cumplimiento de las leyes, normas, reglamentos y normativa interna que son aplicables a la empresa u organización en función de su forma jurídica, su tamaño, su volumen de facturación, su sector de actividad, su localización geográfica, etc., en definitiva, de todas las leyes que puedan afectarla.
La auditoría de compliance también puede evaluar el plan de compliance de una organización, su grado de efectividad y si es aplicado y seguido por todos los miembros de la organización.
Una auditoría de compliance o cumplimiento normativo es una evaluación interna de la compañía que busca pruebas o evidencias de que una empresa u organización cumple con sus obligaciones internas, externas, normativas o voluntarias.
¿Cómo se hace una auditoría compliance? Fases de una auditoría de cumplimiento
Tanto si la lleva a cabo un auditor de compliance interno como uno externo (contratado, por ejemplo, a través de una consultoría especializada en compliance), la auditoría de compliance se lleva a cabo en diferentes fases:
Las fases auditoría de Compliance
Planificación
En la fase de planificación se debe definir el tipo de auditoría que se llevará a cabo, es decir, si la va a realizar un auditor interno, un servicio externo de auditoría de compliance o un organismo regulador (en el caso de que la organización quiera certificar su sistema de gestión de compliance).
Como dijimos más arriba, si la auditoría se lleva a cabo a nivel interno, el auditor u organismo auditor no deberá tener una conexión o dependencia directa con el departamento a auditar, para poder cumplir con los niveles de objetividad e independencia adecuados.
Es importante que el auditor escogido tenga los conocimientos necesarios para poder realizar una auditoría de compliance adecuada y de acuerdo a los estándares internacionales de gestión de compliance.
Así mismo, se debe definir el alcance de la auditoría, especialmente en organizaciones dedicadas a sectores más regulados; las organizaciones están siempre afectadas por diferentes leyes y normas, desde locales a estatales, pasando por las sectoriales e incluso normas internacionales, así como su propio reglamento interno. Por lo tanto, se debe determinar qué normativas afectan a la organización, para poder comprobar el nivel de cumplimiento en todas ellas.
También se asegurarán los recursos necesarios para llevar a cabo la auditoría.
Ejecución
La siguiente fase es la de ejecución de la auditoría, en la que se suministrarán o facilitarán al auditor las evidencias, información, datos y documentación que requiera o sean necesarias para comprobar la efectividad de las medidas de compliance adoptadas, el nivel de cumplimiento de las diferentes leyes, normas o reglamentos que afectan a la organización y si sus miembros observan dichas medidas y cumplen con las normas o política interna de la propia organización.
El empleo de la denominada audit compliance checklist, o lista de verificación de auditoría de compliance, es una de las herramientas utilizadas por los auditores para comprobar el nivel de cumplimiento normativa de las organizaciones.
En esta fase el auditor de compliance podrá detectar los riesgos de cumplimiento, las carencias o problemas relacionados con el cumplimiento de las normativas que afectan a la organización y a su sector de actividad.
Informe
En la última fase, el auditor elaborará un informe de la auditoría de compliance con los resultados alcanzados, es decir, se recogerán todos los problemas y riesgos de cumplimiento detectados y las recomendaciones para mejorar o solucionar los mismos. Así mismo, también informará de los aspectos positivos del plan de compliance.
Este informe se comunicará a la alta dirección y al compliance officer. Este último será quien deba diseñar e implementar las medidas correctivas necesarias para solucionar los problemas detectados.
Características de una auditoría de cumplimiento
La auditoría de compliance tiene, o debe reunir, una serie de características para poder considerarla útil para la organización:
- Debe ser imparcial
- Debe ser objetiva
- Debe ser especializada
- Debe ser independiente
- Debe ser periódica
- Debe estar planificada
- Debe contar con los recursos humanos y materiales necesarios
Aunque lo veremos más adelante, cabe señalar que independiente no significa que la auditoría de compliance siempre deba realizarla un servicio externo, ya que se puede realizar una auditoría interna de compliance por parte un empleado o departamento de la organización creado para tal fin, es decir, para auditar el cumplimiento normativo de la organización en diferentes áreas. Esta figura, que no debemos confundir con el compliance officer, es habitual en grandes empresas, como parte de las acciones de buen gobierno corporativo.
¿Cuál es el objetivo de la auditoría de compliance?
Aparte de la ya mencionada revisión y evaluación del nivel de cumplimiento normativo, la auditoría de compliance tiene como objetivos:
- Revisar la efectividad de los controles internos de la organización, es decir, si las medidas implementadas por la organización son eficientes en la detección y prevención de irregularidades, infracciones o comisión de delitos.
- Detectar riesgos de incumplimiento y reportarlos, además de recomendar medidas o mecanismos a implementar para subsanarlos.
- El informe de auditoría de compliance puede servir como prueba para evitar la imposición de sanciones o multas por infracciones administrativas o la comisión de delitos penales.
- Este informe también servirá como prueba para minimizar la responsabilidad penal de la organización en el caso de que alguno de sus miembros haya cometido un delito. En algunos casos puede llegar a exonerar a la empresa.
- Certificar los estándares internacionales de compliance (como, por ejemplo, la ISO 37301).
¿Es obligatoria la auditoría de compliance?
Como tales, las auditorías de compliance no son obligatorias, salvo la auditoría de blanqueo de capitales, que es un tipo de auditoría de cumplimiento específica, que deben realizar obligatoriamente los sujetos incluidos en el artículo 2 de la Ley 10/2010.
Ahora bien, realizar la auditoría de compliance y la auditoría interna en una organización, es muy recomendable, puesto que, como dijimos más arriba, sirve para evaluar el nivel de cumplimiento de la organización y la efectividad de las medidas adoptadas, así como comprobar que se siguen las políticas y normas internas de la entidad, de manera que, en el caso de un procedimiento judicial, puedan servir como prueba para reducir o exonerar a la organización de su responsabilidad penal.
Por ejemplo, demostrar esa existencia y efectividad del plan de compliance penal es un requisito establecido en el Código Penal para, precisamente, exonerar a una empresa de la comisión de un delito por parte de uno de sus miembros.
¿Quién realiza las auditorías de compliance?
Como ya hemos señalado, las auditorías de compliance pueden realizarlas tanto auditores internos de la organización (si dispone de este tipo de empleados), como auditores externos, contratados a través de un servicio de consultoría especializada en compliance.
Aunque realizar auditorías internas es una práctica que toda organización debería realizar, como parte, como decíamos, de su buen gobierno corporativo, así como de su responsabilidad social corporativa (el compliance actualmente va mucho más allá del cumplimiento de las leyes, también abarca conceptos como los criterios ESG), llevar a cabo auditorías externas de compliance periódicas es muy recomendable.
Un auditor externo es garantía de mayor independencia y objetividad a la hora de realizar la auditoría y evaluar el plan de compliance implementado en la organización. Además, a mayor regulación, más compleja puede volverse la auditoría y requerir conocimientos especializados en determinadas áreas y leyes. Un servicio de consultoría externa puede estar especializado en diferentes áreas, al estar formado por varios profesionales.
En definitiva, cualquier empresa que quiera acreditar su programa de compliance y el nivel cumplimiento normativo alcanzado, debe recurrir a la auditoría de compliance para ello.
Diferencia entre compliance y auditoría interna
La auditoría interna es un proceso independiente y puntual que se realiza con cierta periodicidad, cuyo objetivo es evaluar todos los procesos, procedimientos y sistemas de gestión internos de la empresa.
Sin embargo, el compliance se aplica de manera continua y está encaminado exclusivamente al cumplimiento de leyes y normativas.
Mientras el auditor interno evalúa el funcionamiento interno de la empresa y sus diferentes áreas, el auditor de compliance únicamente analiza aquellos aspectos relacionados con el cumplimiento de normas internas y externas en la organización.
En muchos casos, compliance y auditoría interna van de la mano y se trata de procedimientos complementarios, cuyo objetivo es garantizar el buen funcionamiento de la empresa, evitar riesgos y proponer soluciones para asegurar la viabilidad de la empresa.