RegTech

Site name

Requerimientos de información financiera para las Sociedades Cotizadas

Requerimientos de información financiera para las Sociedades Cotizadas

El Sistema interno de control y gestión de riesgos en relación con el proceso de la información financiera, también conocido como SCIIF, forma parte del Informe Anual de Gobierno Corporativo que deben presentar las sociedades cotizadas tras la trasposición de la Directiva 2006/46 y por mandato el artículo 61 bis de la actual Ley del Mercado de Valores.

El objetivo del establecimiento del SCIIF anual, dentro del marco de control interno de las compañías, es el de proporcionar seguridad razonable en la consecución de la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera, cumplimiento de normas aplicables y salvaguarda de los activos. Por ello, cada vez es mayor el número de empresas cotizadas o no, que se apoyan en herramientas informáticas GRC  para el cumplimiento de los objetivos señalados, en base a los elementos fundamentales del marco COSO (Committee of Sponsoring Organizations of the Treadway):

 

1-El entorno de control

El SCIIF, deberá recoger una declaración actualizada de las políticas y Código de Conducta de la compañía que integren sus valores éticos, así como un entorno de control que monitorice la supervisión del cumplimiento de dichos valores de manera contínua. Dicho proceso deberá extenderse a toda la organización, a través de la correspondiente creación de flujos de tareas y responsabilidades, comenzando desde las altas esferas de la misma y su Consejo de Administración y llegando a cada uno de los departamentos de la organización.

 

2- Evaluación de riesgos de la información financiera

 Se deberán especifica los objetivos de control, identificando y evaluando cada uno de los potenciales riesgos que dependerán fundamentalmente del modelo de negocio.

 

3- Actividades de control

El sistema deberá contener una relación de los diferentes controles y mecanismos de supervisión que garanticen el correcto desarrollo de los objetivos de la organización, con el objetivo de prevenir, detectar, mitigar, compensar o corregir el eventual impacto de riesgos financieros potenciales.

 

4- Información y control

La totalidad de las políticas, procesos y controles relacionados con la información financiera deberán ser comunicados a la totalidad de la plantilla de manera que se involucre a toda ella a través de documentos como manuales contables, procedimientos de actuación, etc.

 

5- Supervisión del funcionamiento del sistema

La CNMV en su Informe recomienda que a la hora de elaborar el correspondiente SCIIF, se ponga de manifiesto la manera en la cual se facilita la labor de la tercera línea de defensa o Auditoría interna, informando de sus funciones de supervisión, el proceso de comunicación de incidencias y debilidades del sistema a la Alta Dirección o al Comité de Auditoría.

 

* https://www.cnmv.es/DocPortal/Publicaciones/Grupo/Control_interno_sciifc.pdf

 

Regtech Congreso Nacional Compilance IOC

Regtech en el Primer Congreso Nacional de Compliance del IOC

El pasado día 13 de junio RegTech Solutions, a través de su CEO Mª Dolores Pescador, tuvo la ocasión de participar en el Congreso  organizado por la World Compliance Association junto con el Instituto de Oficiales de Cumplimiento (IOC) para hablar de uno de los temas que más preocupan a reguladores y supervisores, por su carácter sistémico, como es el riesgo de conducta.

La intervención tuvo lugar dentro del bloque relativo a “Conducta con Consumidores y Usuarios”, en el cual se abordaron temas tales como la transparencia en el mercado, publicidad responsable, nuevas formas de contratación online y telefónica y sus riesgos, deberes de diligencia debida con terceras partes como proveedores o el análisis de diversos documentos sectoriales de buenas prácticas relacionados con la materia.

Nuestra participación  se centró en analizar el riesgo de conducta desde un punto de vista práctico, abordando la implantación de la metodología ConduRisk. Esta metodología resulta acorde con los recientes principios fijados por la European Insurance and Occupational Pensions Authority (EIOPA) recientemente en febrero de 2019*, la cual establece un marco adecuado de control a lo largo de todo el ciclo de vida del producto desde su creación, pasando por la gestión de prestaciones y reclamaciones asi como la distribución.

El riesgo de conducta es definido por la IAIS (International Association of Insurance Supervisors) como “El riesgo para consumidores, aseguradores, el sector de seguros o el mercado de seguros, que surge por la forma en la que las aseguradoras y/los distribuidores gestionan el negocio de tal manera que no quede asegurado un tratamiento justo de los consumidores”. En otras palabras, podemos decir que “Conducta es lo que hacemos cuando nadie nos ve”.

Por ello, un aspecto clave a la hora de abordar el análisis del riesgo de conducta, son los llamados “drivers” o potenciadores de  comportamientos inadecuados. A modo de ejemplo podríamos hablar de:  falta de cultura de cumplimiento, existencia de conflictos de interés, falta de adaptación del producto a las necesidades y perfiles de los cliente, falta de controles y monitorización y por último,  ausencia de trazabilidad de la información.

De este modo, dentro de la metodología ConduRisk, el primer paso consiste en la identificación y evaluación del riesgo, fijando  indicadores o  KRIs (Key Risk Indicators) así como un determinado nivel de apetito de riesgo, que variará en función de la organización. Posteriormente se definirán los estándares mínimos deseados así como los planes de mitigación y la formación específica en riesgo de conducta,  todo ello unido a una monitorización y seguimiento continuos.

Por último, se destacó el valor añadido que generan las herramientas informáticas GRC (Governance, Risk and Compliance)  diseñadas para monitorizar los procesos de supervisión de las áreas de cumplimiento normativo, dejando total trazabilidad de las actuaciones realizadas, algo de vital importancia ante un supervisor cada vez más riguroso.

 

 Indicadores en los Programas de Compliance

La Importancia de los Indicadores en los Programas de Compliance

Uno de los requisitos establecidos por nuestro Código Penal en su artículo 31 bis. 5. 6º para que cualquier programa de prevención penal pueda actuar como eximente de responsabilidad penal en la persona jurídica, es el hecho de que éste se encuentre debidamente actualizado y adaptado a los cambios en la organización.

Este precepto dispone que los modelos de organización y gestión relacionados con los programas de prevención penal “realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.”

Esta actualización y verificación continua no sólo es importante en el ámbito penal. Para la realización de cualquier actividad es de vital importancia valorar y hacer un seguimiento de la implantación de Programa de Compliance en la organización de que se trate. Para ello, se utilizan diferentes indicadores, con la finalidad de valorar si el programa implantado va acorde con la consecución de los objetivos perseguidos.

Siguiendo la clasificación establecida en la ISO 19600 sobre Sistemas de Gestión de Compliance podemos hablar de los siguientes tipos de indicadores:

- Indicadores de actividad

Son aquellos que arrojan datos sobre el ejercicio de una determinada actividad, pero no permiten valorar si el proceso empleado es el adecuado ni en cómo contribuyen tales actividades a lograr un determinado objetivo de cumplimiento.

Algunos ejemplos aportados por la mencionada ISO son la medición del porcentaje de empleados a los que se haya impartido formación o la frecuencia de los contactos con los reguladores.

Adicionalmente hay quien habla de los llamados indicadores de efectividad en una clasificación adicional. Estos indicadores miden el nivel de ejecución de un determinado proceso y se concentran en evaluar el rendimiento de los recursos utilizados. Es muy adecuada su interacción con los indicadores de actividad, ya que nos darán una idea sobre si nuestras actividades van encaminadas a la obtención de las metas fijadas.

- Indicadores reactivos

La ISO 19600 al tratar sobre estos indicadores, habla de mediciones tales como las diversas formas de identificación de incumplimientos; la medición de los diversos impactos producidos por éstos en el ámbito económico o/y reputacional; o la cantidad de tiempo empleado en realizar reportes de incidentes desde la producción de los mismos o en elaborar planes de acción y acciones correctivas.

- Indicadores predictivos

Son indicadores predictivos según la ISO 19600, los diversos métodos de medición de riesgos de incumplimiento, o la medición de las tasas de incumplimientos pasadas con el objetivo de predecir eventos futuros.

Tales indicadores pueden basarse en información tanto de carácter interna (como el volumen de consultas sobre ciertas políticas concretas en la intranet) como externa (observación de organizaciones similares y su comportamiento a nivel de cumplimiento).

La capacidad del órgano de Compliance de una organización para detectar y anticiparse a futuros eventos es un elemento esencial a la hora de contribuir de manera decisiva a la sostenibilidad de la empresa.

Guía para la Evaluación de los Programas de Compliance

Guía para la Evaluación de los Programas de Compliance

La División Penal del Departamento de Justicia de EEUU ha publicado un documento* que pretende ayudar a los Fiscales a tomar decisiones informadas sobre en qué medida, el programa de cumplimiento de una organización es efectivo de cara a posibles sanciones. La estructura del documento se basa en dar respuesta a tres preguntas fundamentales:

1º ¿Está bien diseñado el programa de cumplimiento de la organización?

Para ello, debe analizar la organización en profundidad identificando, evaluando y definiendo su perfil de riesgo. Será decisivo conocer su metodología, recursos, y códigos de conducta así como la forma de comunicar y formar a los empleados en políticas y procedimientos y otras partes interesadas (por ej. proveedores). A todo ello se suma la necesidad de establecer personas clave en el ejercicio y supervisión de los procesos de control de tales políticas.

Otro sello distintivo de un programa de Compliance efectivo consiste en la existencia de un canal de denuncias para que los empleados puedan reportar eventuales indicios de incumplimientos de las normas internas de la compañía. El fiscal deberá evaluar si la gestión de las incidencias incluye medidas para crear un ambiente de trabajo abierto, sin temor a represalias, contando con mecanismos de seguimiento e investigación y recursos adecuados. Así mismo, deberán contar con planes de acción concretos y posibles consecuencias ante los incumplimientos.

La evaluación del riesgo de proveedores/socios/clientes será, del mismo modo, vital para un buen diseño del programa de Compliance, especialmente en procesos de fusión y adquisición a través de las “due diligence” o procesos de diligencia debida.

2º ¿Se está implementado de manera efectiva el programa de cumplimiento?

La trazabilidad de la información y de los procesos de puesta en práctica, será fundamental a la hora de demostrar el valor de un programa de Compliance. Deberá investigarse el grado de compromiso por parte de la alta dirección y de los mandos intermedios. La alta dirección de la compañía deberá encargarse de “dar el tomo desde arriba” articulando los estándares éticos y asegurándose de que éstos se transmitan al resto de la plantilla de manera clara e inequívoca generando cultura de Cumplimiento.

Para un adecuado funcionamiento del sistema de Compliance deberá dotarse de suficientes recursos el departamento encargado de la función, teniendo en cuenta el tamaño, estructura y perfil de riesgo de la compañía, dotandole al mismo tiempo de autonomía para el correcto ejercicio de sus funciones, evitándose con ello posibles conflictos de interés con las áreas supervisadas, y teniendo acceso directo al Comité de Dirección y al Comité de Auditoría.

Por otra parte, tanto la remuneración como las medidas disciplinarias deberán estar alineadas con los objetivos de Compliance.

3º ¿El programa de Cumplimiento funciona en la práctica?

Una característica propia de un programa efectivo es su capacidad de mejora continua y evolución por medio de pruebas periódicas, que identificarán áreas de riesgo y originarán ajustes que impedirán que quede obsoleto.

Cada programa de Cumplimiento es específico para una entidad, como lo es la situación de cada empresa sujeta a análisis, por lo que deberá ser evaluado en el contexto concreto de cada investigación, es decir, no existe ninguna fórmula rígida para determinar su efectividad. Es imprescindible valorar los riesgos de cada empresa y las soluciones para gestionarlos, a través de un análisis personalizado y un posterior juicio experto, a la luz de la información recopilada.

*https://www.justice.gov/criminal-fraud/