Por: Jorge Andrés Amézquita T.
Una medida imprescindible asociada a cualquier sistema de gestión de compliance o programa de cumplimiento normativo, es la evaluación de su efectividad. En Colombia, por poner algún ejemplo, modelos como el SARLAFT de la Superintendencia Financiera, el SAGRILAFT y PTEE de la Superintendencia de Sociedades o el SICOF de la Superintendencia de Salud, establecen esta previsión de efectividad dentro de las respectivas disposiciones regulatorias aplicables a sus sujetos obligados. Así, por ejemplo, las disposiciones de la Superintendencia de Sociedades prevén con relación al SAGRILAFT, entre otras, la obligación que tiene el oficial de cumplimiento de presentar ante la junta directiva o el máximo órgano social, al menos una vez al año, un informe en el que se determine la “eficiencia y efectividad” del respectivo sistema.
Una de las grandes cuestiones que puede plantearse frente a esta exigencia que recae sobre los responsables de cumplimiento de las organizaciones obligadas a adoptar tales modelos, es la metodología que puede utilizarse para evaluar su desempeño. En este propósito de evaluación podrían tenerse en cuenta estándares comunes para la Auditoría de Sistemas de Gestión (incluidos los de Compliance), como el desarrollado en la ISO 19011, o para los encargos de aseguramiento, como el previsto por la ISAE 3000 (Norma Internacional de Encargos de Aseguramiento, aplicable al “Cumplimiento de disposiciones legales o reglamentarias”). Aclárese que si bien la orientación de estos estándares es precisamente la “auditoría” o el “aseguramiento” de dichos sistemas, nada obsta que sus parámetros metodológicos y técnicas de evaluación se usen para las evaluaciones a cargo del área de cumplimiento.
Quizá resulte menos común en nuestro entorno el estándar de aseguramiento alemán (Assurance Standard) IDW AsS 980, sobre Sistemas de Gestión de Compliance (Principles for the Proper Performance of Reasonable Assurance Engagements Relating to Compliance Management Systems)[1], aunque no por ello menos importante. Entre otros aspectos de alta pertinencia que prevé dicho estándar para la evaluación de programas de cumplimiento, destacan los componentes estructurales que toma en cuenta como objeto de evaluación, los criterios de medición progresiva que establece para dicho propósito y los parámetros específicos que sugiere para la construcción del informe respectivo.
Con relación a los “componentes” susceptibles de evaluación, el citado estándar parte de siete dimensiones básicas de Compliance que posibilitarían la inclusión de los requisitos establecidos por la disposición normativa objeto de análisis (Basic components of a CMS): i) Compliance culture; ii) Compliance objectives; iii) Compliance risks; iv) Compliance program; v) Compliance organization; vi) Compliance communication; vii) Compliance monitoring and improvement.
Por la naturaleza de este escrito, no es este el lugar para profundizar en el contenido que el estándar señala sobre cada componente. Sin embargo, su sola enunciación es indicativa de lo que se espera de un “buen” sistema de Compliance. Anótese que, esta proyección general de los componentes básicos del modelo de cumplimiento indicado por el estándar, es lo que permite que bajo cada elemento se integren los requisitos específicos que establecen los marcos normativos que el mismo estándar señala como susceptibles de ser evaluados bajo su cobertura (“Legal areas: Competition and antitrust law; Anti-bribery law (e.g. § 299 StGB [“Strafgesetzbuch”: German Penal Code] or the Foreign Corrupt Practices Act – FCPA); Stock exchange law (e.g. provisions on insider trading or ad hoc reporting obligations); Corporate governance requirements (e.g. in accordance with the German Corporate Governance Code); Anti-money laundering law; Environmental law; Foreign trade law and export control; Legislation on external tax relations; Data protection and data security law; Labor law and personal rights (e.g., general anti-discrimination laws); Industrial safety law; Customs law; Patent law; Product liability law”).
Frente a los criterios de evaluación, llama la atención la coincidencia con los tres módulos establecidos en la reconocida Guía de Evaluación de Programas de Cumplimiento del Departamento de Justicia de Estados Unidos: i) diseño; ii) evaluación; iii) efectividad. Sin embargo, la IDW AsS 980 no sólo prevé una metodología de medición progresiva de tales elementos como lo sugiere la mencionada Guía [ i) diseño; ii) diseño e implementación; iii) diseño, implementación y efectividad], sino que va mucho más allá, estableciendo con suma precisión la forma de desarrollar cada uno de estos segmentos de evaluación.
Finalmente, el estándar señala una serie de directrices de suma utilidad para la presentación de los resultados de la evaluación de desempeño de cada uno de los componentes examinados bajo los tres escalones de análisis indicados. De manera general, sugiere incluir en el informe aspectos como los siguientes: i) Alcance del Encargo de Aseguramiento (diseño, implementación y efectividad operativa); ii) Sujeto, naturaleza y alcance del Encargo de Aseguramiento (áreas evaluadas, documentación requerida, procedimientos empleados, pruebas aplicadas, evidencia recabada, etc.); iii) Hallazgos sobre el CMS (Cultura, Objetivos, Riesgos, Programa, Organización, Comunicación, Monitoreo y mejora); iv) Resultados (hallazgos, recomendaciones, etc.); v) Conclusiones; etc.
Como se indicó, en lo anterior no se agota el contenido de la norma. Realmente, lo que se ha señalado en este escrito son apenas tres aspectos relevantes a tener en cuenta en la orientación de dichas evaluaciones de desempeño del CMS, presentados de manera general. La bondad del estándar es justamente encontrar ese detalle y exhaustividad en la procedimentalización de la actividad de evaluación aplicada sobre el respectivo programa o sistema de cumplimiento.
[1] IDW AsS 980:2011: “IDW Assurance Standard: Principles for the Proper Performance of Reasonable Assurance Engagements Relating to Compliance Management Systems”.
