¿Cómo puede comprobar una empresa que cumple de manera adecuada con las leyes y normas que la afectan y que debe aplicar y observar? La respuesta está en la auditoría de compliance. En este artículo vamos a ver en qué consiste y cómo se realizan.

¿Qué es una auditoría de compliance?

La auditoría de compliance o auditoría de cumplimiento es la revisión que se lleva a cabo sobre los procedimientos y operaciones de una empresa u organización, con el fin de determinar el nivel de cumplimiento de las leyes, normas, reglamentos y normativa interna que son aplicables a la empresa u organización en función de su forma jurídica, su tamaño, su volumen de facturación, su sector de actividad, su localización geográfica, etc., en definitiva, de todas las leyes que puedan afectarla.

La auditoría de compliance también puede evaluar el plan de compliance de una organización, su grado de efectividad y si es aplicado y seguido por todos los miembros de la organización.

¿Cómo se hace una auditoría compliance? Fases de una auditoría de cumplimiento

Tanto si la lleva a cabo un auditor de compliance interno como uno externo (contratado, por ejemplo, a través de una consultoría especializada en compliance), la auditoría de compliance se lleva a cabo en diferentes fases:

Fases auditoria compliance

Las fases auditoría de Compliance

Planificación

En la fase de planificación se debe definir el tipo de auditoría que se llevará a cabo, es decir, si la va a realizar un auditor interno, un servicio externo de auditoría de compliance o un organismo regulador (en el caso de que la organización quiera certificar su sistema de gestión de compliance).

Como dijimos más arriba, si la auditoría se lleva a cabo a nivel interno, el auditor u organismo auditor no deberá tener una conexión o dependencia directa con el departamento a auditar, para poder cumplir con los niveles de objetividad e independencia adecuados.

Es importante que el auditor escogido tenga los conocimientos necesarios para poder realizar una auditoría de compliance adecuada y de acuerdo a los estándares internacionales de gestión de compliance.

Así mismo, se debe definir el alcance de la auditoría, especialmente en organizaciones dedicadas a sectores más regulados; las organizaciones están siempre afectadas por diferentes leyes y normas, desde locales a estatales, pasando por las sectoriales e incluso normas internacionales, así como su propio reglamento interno. Por lo tanto, se debe determinar qué normativas afectan a la organización, para poder comprobar el nivel de cumplimiento en todas ellas.

También se asegurarán los recursos necesarios para llevar a cabo la auditoría.

Ejecución

La siguiente fase es la de ejecución de la auditoría, en la que se suministrarán o facilitarán al auditor las evidencias, información, datos y documentación que requiera o sean necesarias para comprobar la efectividad de las medidas de compliance adoptadas, el nivel de cumplimiento de las diferentes leyes, normas o reglamentos que afectan a la organización y si sus miembros observan dichas medidas y cumplen con las normas o política interna de la propia organización.

El empleo de la denominada audit compliance checklist, o lista de verificación de auditoría de compliance, es una de las herramientas utilizadas por los auditores para comprobar el nivel de cumplimiento normativa de las organizaciones.

En esta fase el auditor de compliance podrá detectar los riesgos de cumplimiento, las carencias o problemas relacionados con el cumplimiento de las normativas que afectan a la organización y a su sector de actividad.

Informe

En la última fase, el auditor elaborará un informe de la auditoría de compliance con los resultados alcanzados, es decir, se recogerán todos los problemas y riesgos de cumplimiento detectados y las recomendaciones para mejorar o solucionar los mismos. Así mismo, también informará de los aspectos positivos del plan de compliance.

Este informe se comunicará a la alta dirección y al compliance officer. Este último será quien deba diseñar e implementar las medidas correctivas necesarias para solucionar los problemas detectados.

Características de una auditoría de cumplimiento

La auditoría de compliance tiene, o debe reunir, una serie de características para poder considerarla útil para la organización:

  • Debe ser imparcial
  • Debe ser objetiva
  • Debe ser especializada
  • Debe ser independiente
  • Debe ser periódica
  • Debe estar planificada
  • Debe contar con los recursos humanos y materiales necesarios

Aunque lo veremos más adelante, cabe señalar que independiente no significa que la auditoría de compliance siempre deba realizarla un servicio externo, ya que se puede realizar una auditoría interna de compliance por parte un empleado o departamento de la organización creado para tal fin, es decir, para auditar el cumplimiento normativo de la organización en diferentes áreas. Esta figura, que no debemos confundir con el compliance officer, es habitual en grandes empresas, como parte de las acciones de buen gobierno corporativo.

tarifas compliance

¿Cuál es el objetivo de la auditoría de compliance?

Aparte de la ya mencionada revisión y evaluación del nivel de cumplimiento normativo, la auditoría de compliance tiene como objetivos:

  • Revisar la efectividad de los controles internos de la organización, es decir, si las medidas implementadas por la organización son eficientes en la detección y prevención de irregularidades, infracciones o comisión de delitos.
  • Detectar riesgos de incumplimiento y reportarlos, además de recomendar medidas o mecanismos a implementar para subsanarlos.
  • El informe de auditoría de compliance puede servir como prueba para evitar la imposición de sanciones o multas por infracciones administrativas o la comisión de delitos penales.
  • Este informe también servirá como prueba para minimizar la responsabilidad penal de la organización en el caso de que alguno de sus miembros haya cometido un delito. En algunos casos puede llegar a exonerar a la empresa.
  • Certificar los estándares internacionales de compliance (como, por ejemplo, la ISO 37301).

¿Es obligatoria la auditoría de compliance?

Como tales, las auditorías de compliance no son obligatorias, salvo la auditoría de blanqueo de capitales, que es un tipo de auditoría de cumplimiento específica, que deben realizar obligatoriamente los sujetos incluidos en el artículo 2 de la Ley 10/2010.

Ahora bien, realizar la auditoría de compliance y la auditoría interna en una organización, es muy recomendable, puesto que, como dijimos más arriba, sirve para evaluar el nivel de cumplimiento de la organización y la efectividad de las medidas adoptadas, así como comprobar que se siguen las políticas y normas internas de la entidad, de manera que, en el caso de un procedimiento judicial, puedan servir como prueba para reducir o exonerar a la organización de su responsabilidad penal.

Por ejemplo, demostrar esa existencia y efectividad del plan de compliance penal es un requisito establecido en el Código Penal para, precisamente, exonerar a una empresa de la comisión de un delito por parte de uno de sus miembros.

¿Quién realiza las auditorías de compliance?

Como ya hemos señalado, las auditorías de compliance pueden realizarlas tanto auditores internos de la organización (si dispone de este tipo de empleados), como auditores externos, contratados a través de un servicio de consultoría especializada en compliance.

Aunque realizar auditorías internas es una práctica que toda organización debería realizar, como parte, como decíamos, de su buen gobierno corporativo, así como de su responsabilidad social corporativa (el compliance actualmente va mucho más allá del cumplimiento de las leyes, también abarca conceptos como los criterios ESG), llevar a cabo auditorías externas de compliance periódicas es muy recomendable.

Un auditor externo es garantía de mayor independencia y objetividad a la hora de realizar la auditoría y evaluar el plan de compliance implementado en la organización. Además, a mayor regulación, más compleja puede volverse la auditoría y requerir conocimientos especializados en determinadas áreas y leyes. Un servicio de consultoría externa puede estar especializado en diferentes áreas, al estar formado por varios profesionales.

En definitiva, cualquier empresa que quiera acreditar su programa de compliance y el nivel cumplimiento normativo alcanzado, debe recurrir a la auditoría de compliance para ello.