Auditoría Interna y Compliance ¿son compatibles?

Antes de meditar acerca de la compatibilidad entre la Auditoría Interna y la función de Compliance, muchos Directorios y sus Comités de Gobierno Corporativo se preguntan y debaten sobre cuál será la mejor área para ubicar el cumplimiento normativo en la empresa: ¿Se debe tomar un enfoque más bien legalista, que ayude principalmente a cubrir los riesgos jurídicos emanados de las nuevas leyes?  ¿Podría aprovecharse la oportunidad para generar un cambio de cultura, y que el área de Sostenibilidad -o RSE- lidere el Compliance como parte de una estrategia corporativa más amplia? ¿Conviene utilizar los recursos ya existentes en materia de control interno (como el área de riesgos o SOX) y dotarlos solo con recursos complementarios que permitan llevar adelante esta nueva tarea? ¿Y por qué no se podría especular con el grado de aplicación de la nueva normativa, permitiendo incluso que el área de Calidad Corporativa implemente un estándar al menos documental en un comienzo?

Aproximarse a dicha problemática con tales enfoques -legítimos pero sesgados- requiere entender primero una cuestión fundamental: ¿Qué se espera de la función de Compliance? Actualmente, la alta Dirección le pide al oficial de cumplimiento que cubra un triple rol:

• Que sea un experto, un asesor de confianza que ayude a los Gerentes y empleados de la compañía a tomar buenas decisiones y los entrene en cuanto a las normas, procesos e identificación de riesgos de integridad.
• Que sea un guardián, estando alerta a la detección de situaciones que puedan implicar una posible falta de conducta, asistiendo también a la alta gerencia en su tarea clave de generar sólidas medidas de respuesta.
• Y que sea un facilitador, un habilitador de negocios transparentes mediante el diálogo con otros actores clave del mercado -pares de la industria, Organizaciones No Gubernamentales, Gobierno y la sociedad civil-, que permita difundir la cultura y el compromiso de la empresa hacia los temas de transparencia, y trabaje hacia compromisos sectoriales que permitan la “nivelación del campo de juego” gracias a la integridad de sus participantes.

Cada uno de estos roles no cuenta con una ponderación específica, se activan dependiendo de las situaciones que vaya enfrentando la empresa en sus actividades.

La función de Auditoría Interna presenta un desafío clave en materia de independencia, ya que habría naturalmente una incompatibilidad entre su posición de tercera línea de defensa versus la ubicación de Compliance en la segunda línea. También tendríamos cuestionamientos a la independencia de ésta última, si ubicamos al oficial de cumplimiento en las demás áreas que planteábamos anteriormente.

Precisamos, entonces, trabajar sobre los ajustes necesarios en materia organizacional. Una línea de reporte matricial, que conecte el rol con los cuerpos de mayor autoridad en la compañía (brindando espacios reales de comunicación, evaluación de desempeño y compensaciones), podría complementarse con la aplicación de evaluaciones al programa de integridad, conducidas por un tercero independiente a la corporación.

Es a partir de allí cuando pueden verse las sinergias con el departamento de Auditoría Interna: fortaleza en la administración integral de riesgos -estratégicos, financieros, operacionales y de cumplimiento-, el expertise más profundo en materia de control interno y la oportunidad de integrar y optimizar las inversiones en tecnologías necesarias, tales como el monitoreo continuo de controles, la minería y procesamiento incremental de datos, la inteligencia corporativa, el proceso de debida diligencia de terceros, las herramientas de visualización, la simulación de escenarios de riesgos y el establecimiento de alertas predefinidos.

Por otro lado, las expectativas arriba indicadas requieren también esfuerzos para que la función de Auditoría Interna adquiera las habilidades necesarias para una razonable administración de los numerosos riesgos de Compliance:  capacitación en tópicos clave de cumplimiento normativo (anticorrupción, antimonopolio, datos personales, lavado de activos y financiamiento del terrorismo, control de exportaciones, derechos humanos, etc.). Además, se precisa de una fluida integración con el área legal (especialmente en cuanto a investigaciones de fraude y conductas irregulares), como también con el área de relaciones laborales (producto de su interrelación con las actividades de reclutamiento de empleados y la participación en procesos disciplinarios). Se requiere un desarrollo considerable de habilidades de comunicación (aplicables para la difusión de cultura, tanto dentro como fuera de la empresa) y de tecnología forense en caso de que dichas tareas no se encuentren tercerizadas con una Firma consultora (recolección electrónica de datos, cadena de custodia, procesamiento y producción de evidencia legal).

Finalmente, sopesando todos los elementos ya abordados, se pueden evidenciar las ventajas de ubicar la función de Compliance dentro del equipo de Auditoría Interna, obteniendo una mayor adaptabilidad a los procesos investigativos, un foco integral en la administración de los riegos corporativos -lo cual la posiciona mejor en temáticas de vocería, transformación cultural y Responsabilidad Social Empresaria-, y un acercamiento óptimo para la inversión de recursos tecnológicos. La combinación de todos estos factores -reactivos y proactivos- le permitirá a la organización contar con un cuerpo asesor confiable y capaz de identificar riesgos nuevos, como parte de una visión integral que genere más y mejores oportunidades de negocio en la empresa.