¡Atención! Este sitio usa cookies y tecnologías similares.

Si no cambia la configuración de su navegador, usted acepta su uso. Saber más

RegTech

Site name

WHISTLEBLOWING

WHISTLEBLOWING: Propuesta de directiva para protección de los denunciantes

Los canales de denuncia se han convertido en valiosos aliados de los supervisores a la hora de sacar a a la luz las conductas impropias en materia de corrupción, blanqueo o fraude interno.

No obstante, según el Eurobarómetro 2017, un  81 % de los europeos no informaron sobre casos de corrupción que sufrieron o presenciaron y el 85 % cree que los trabajadores muy raramente o raramente denuncias potenciales de infracciones. Adicionalmente se estima que  la pérdida de beneficios potenciales debido a la falta de protección de los denunciantes, sólo en el ámbito de la contratación pública, supera los 5.800 millones de euros anuales en toda la Unión Europea.

Por esta razón la Comisión Europea ha publicado una propuesta de Directiva* con la finalidad de evitar el temor a las represalias directas e indirectas y para proteger a los denunciantes.

Esta nueva Directiva afectará a comunicaciones de infracciones relacionadas con contratación pública y privada de un amplísimo ámbito de aplicación.

En nuestra opinión, uno de los puntos que mayores repercusiones va a generar esta nueva Directiva será el hecho de  que incluye la obligación de fijar canales de denuncia internos para todas las  entidades jurídicas del sector privado con 50 o más empleados, un volumen de negocios superior a los 10 millones de euros  y en cualquier caso, todas aquellas dedicadas a servicios financieros o con vulnerabilidad a las conductas relacionadas con el blanqueo de capitales y la financiación del terrorismo.

Estos canales de denuncia internos deberán ser confidenciales (si bien tras la entrada en vigor del último Reglamento de Protección de datos ya no será obligatorio el anonimato) y deberán fijarse a través de procedimientos en los cuales  se contenga la designación de la persona o del servicio competente para tramitar las denuncias con la prohibición expresa de cualquier represalia directa o indirecta. La gestión de los canales de denuncia podrá darse por personal interno de la empresa o de manera externalizada, como ya se empieza a realizar en aquellas empresas comprometidas con la transparencia y la aplicación de las mejores prácticas en materia de gobierno corporativo.

* Directiva Comisión Europea Documento PDF

Requerimientos de información financiera para las Sociedades Cotizadas

Requerimientos de información financiera para las Sociedades Cotizadas

El Sistema interno de control y gestión de riesgos en relación con el proceso de la información financiera, también conocido como SCIIF, forma parte del Informe Anual de Gobierno Corporativo que deben presentar las sociedades cotizadas tras la trasposición de la Directiva 2006/46 y por mandato el artículo 61 bis de la actual Ley del Mercado de Valores.

El objetivo del establecimiento del SCIIF anual, dentro del marco de control interno de las compañías, es el de proporcionar seguridad razonable en la consecución de la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera, cumplimiento de normas aplicables y salvaguarda de los activos. Por ello, cada vez es mayor el número de empresas cotizadas o no, que se apoyan en herramientas informáticas GRC  para el cumplimiento de los objetivos señalados, en base a los elementos fundamentales del marco COSO (Committee of Sponsoring Organizations of the Treadway):

 

1-El entorno de control

El SCIIF, deberá recoger una declaración actualizada de las políticas y Código de Conducta de la compañía que integren sus valores éticos, así como un entorno de control que monitorice la supervisión del cumplimiento de dichos valores de manera contínua. Dicho proceso deberá extenderse a toda la organización, a través de la correspondiente creación de flujos de tareas y responsabilidades, comenzando desde las altas esferas de la misma y su Consejo de Administración y llegando a cada uno de los departamentos de la organización.

 

2- Evaluación de riesgos de la información financiera

 Se deberán especifica los objetivos de control, identificando y evaluando cada uno de los potenciales riesgos que dependerán fundamentalmente del modelo de negocio.

 

3- Actividades de control

El sistema deberá contener una relación de los diferentes controles y mecanismos de supervisión que garanticen el correcto desarrollo de los objetivos de la organización, con el objetivo de prevenir, detectar, mitigar, compensar o corregir el eventual impacto de riesgos financieros potenciales.

 

4- Información y control

La totalidad de las políticas, procesos y controles relacionados con la información financiera deberán ser comunicados a la totalidad de la plantilla de manera que se involucre a toda ella a través de documentos como manuales contables, procedimientos de actuación, etc.

 

5- Supervisión del funcionamiento del sistema

La CNMV en su Informe recomienda que a la hora de elaborar el correspondiente SCIIF, se ponga de manifiesto la manera en la cual se facilita la labor de la tercera línea de defensa o Auditoría interna, informando de sus funciones de supervisión, el proceso de comunicación de incidencias y debilidades del sistema a la Alta Dirección o al Comité de Auditoría.

 

* https://www.cnmv.es/DocPortal/Publicaciones/Grupo/Control_interno_sciifc.pdf

 

Regtech Congreso Nacional Compilance IOC

Regtech en el Primer Congreso Nacional de Compliance del IOC

El pasado día 13 de junio RegTech Solutions, a través de su CEO Mª Dolores Pescador, tuvo la ocasión de participar en el Congreso  organizado por la World Compliance Association junto con el Instituto de Oficiales de Cumplimiento (IOC) para hablar de uno de los temas que más preocupan a reguladores y supervisores, por su carácter sistémico, como es el riesgo de conducta.

La intervención tuvo lugar dentro del bloque relativo a “Conducta con Consumidores y Usuarios”, en el cual se abordaron temas tales como la transparencia en el mercado, publicidad responsable, nuevas formas de contratación online y telefónica y sus riesgos, deberes de diligencia debida con terceras partes como proveedores o el análisis de diversos documentos sectoriales de buenas prácticas relacionados con la materia.

Nuestra participación  se centró en analizar el riesgo de conducta desde un punto de vista práctico, abordando la implantación de la metodología ConduRisk. Esta metodología resulta acorde con los recientes principios fijados por la European Insurance and Occupational Pensions Authority (EIOPA) recientemente en febrero de 2019*, la cual establece un marco adecuado de control a lo largo de todo el ciclo de vida del producto desde su creación, pasando por la gestión de prestaciones y reclamaciones asi como la distribución.

El riesgo de conducta es definido por la IAIS (International Association of Insurance Supervisors) como “El riesgo para consumidores, aseguradores, el sector de seguros o el mercado de seguros, que surge por la forma en la que las aseguradoras y/los distribuidores gestionan el negocio de tal manera que no quede asegurado un tratamiento justo de los consumidores”. En otras palabras, podemos decir que “Conducta es lo que hacemos cuando nadie nos ve”.

Por ello, un aspecto clave a la hora de abordar el análisis del riesgo de conducta, son los llamados “drivers” o potenciadores de  comportamientos inadecuados. A modo de ejemplo podríamos hablar de:  falta de cultura de cumplimiento, existencia de conflictos de interés, falta de adaptación del producto a las necesidades y perfiles de los cliente, falta de controles y monitorización y por último,  ausencia de trazabilidad de la información.

De este modo, dentro de la metodología ConduRisk, el primer paso consiste en la identificación y evaluación del riesgo, fijando  indicadores o  KRIs (Key Risk Indicators) así como un determinado nivel de apetito de riesgo, que variará en función de la organización. Posteriormente se definirán los estándares mínimos deseados así como los planes de mitigación y la formación específica en riesgo de conducta,  todo ello unido a una monitorización y seguimiento continuos.

Por último, se destacó el valor añadido que generan las herramientas informáticas GRC (Governance, Risk and Compliance)  diseñadas para monitorizar los procesos de supervisión de las áreas de cumplimiento normativo, dejando total trazabilidad de las actuaciones realizadas, algo de vital importancia ante un supervisor cada vez más riguroso.

 

 Indicadores en los Programas de Compliance

La Importancia de los Indicadores en los Programas de Compliance

Uno de los requisitos establecidos por nuestro Código Penal en su artículo 31 bis. 5. 6º para que cualquier programa de prevención penal pueda actuar como eximente de responsabilidad penal en la persona jurídica, es el hecho de que éste se encuentre debidamente actualizado y adaptado a los cambios en la organización.

Este precepto dispone que los modelos de organización y gestión relacionados con los programas de prevención penal “realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.”

Esta actualización y verificación continua no sólo es importante en el ámbito penal. Para la realización de cualquier actividad es de vital importancia valorar y hacer un seguimiento de la implantación de Programa de Compliance en la organización de que se trate. Para ello, se utilizan diferentes indicadores, con la finalidad de valorar si el programa implantado va acorde con la consecución de los objetivos perseguidos.

Siguiendo la clasificación establecida en la ISO 19600 sobre Sistemas de Gestión de Compliance podemos hablar de los siguientes tipos de indicadores:

- Indicadores de actividad

Son aquellos que arrojan datos sobre el ejercicio de una determinada actividad, pero no permiten valorar si el proceso empleado es el adecuado ni en cómo contribuyen tales actividades a lograr un determinado objetivo de cumplimiento.

Algunos ejemplos aportados por la mencionada ISO son la medición del porcentaje de empleados a los que se haya impartido formación o la frecuencia de los contactos con los reguladores.

Adicionalmente hay quien habla de los llamados indicadores de efectividad en una clasificación adicional. Estos indicadores miden el nivel de ejecución de un determinado proceso y se concentran en evaluar el rendimiento de los recursos utilizados. Es muy adecuada su interacción con los indicadores de actividad, ya que nos darán una idea sobre si nuestras actividades van encaminadas a la obtención de las metas fijadas.

- Indicadores reactivos

La ISO 19600 al tratar sobre estos indicadores, habla de mediciones tales como las diversas formas de identificación de incumplimientos; la medición de los diversos impactos producidos por éstos en el ámbito económico o/y reputacional; o la cantidad de tiempo empleado en realizar reportes de incidentes desde la producción de los mismos o en elaborar planes de acción y acciones correctivas.

- Indicadores predictivos

Son indicadores predictivos según la ISO 19600, los diversos métodos de medición de riesgos de incumplimiento, o la medición de las tasas de incumplimientos pasadas con el objetivo de predecir eventos futuros.

Tales indicadores pueden basarse en información tanto de carácter interna (como el volumen de consultas sobre ciertas políticas concretas en la intranet) como externa (observación de organizaciones similares y su comportamiento a nivel de cumplimiento).

La capacidad del órgano de Compliance de una organización para detectar y anticiparse a futuros eventos es un elemento esencial a la hora de contribuir de manera decisiva a la sostenibilidad de la empresa.