By: Ernesto Gómez Gallardo A.
Last week we talked about what Compliance is and mentioned some features that need to be considered to implement an effective program in this area. Today I would like to dig deeper into the topic and synthesize 5 functions that a Compliance program covers in an organization (according to the International Compliance Association), either through an internal department or through external advisors who can support the organization in the performance of these activities.
- IDENTIFICATION. It refers to detecting and defining the risks that an organization faces and building the program on these. There are different ways to outline risks through predetermined catalogues which different subject matter experts have defined. I believe that a useful classification is the one proposed by COSO (Committee of Sponsoring Organizations of the Treadway Commission), as it is not exclusive to an industry, rather it is applicable to all sectors and business segments. This classification considers 4 types: Reporting Risk around the effectiveness of the company’s financial reports, Compliance Risk related to compliance with regulations (internal and external), Operational Risk regarding the effectiveness and efficiency of the entity’s operations including the performance and profitability of the entity, and finally the Strategic Risk in terms of aligning the mission – vision of the organization with its resources.
- PREVENTION. It is the design and implementation of controls to protect an organization from the risks we mentioned earlier. It is essential to map the processes that are followed within the organization and then find the vulnerabilities and establish the controls in the most appropriate place or steps in the processes in order to be safe when performing day-to-day activities.
- MONITORING AND DETECTION. It means establishing a systematic observation of controls and being able to report on their effectiveness. It does not mean that we must constantly be auditing the company, on the contrary, the idea is to determine a way to evaluate the controls previously established on the regular “business as usual”, to detect any deviations and, where required, be able to act.
- RESOLUTION. It has to do with the organization’s reaction to any difficulty that has surfaced, either through the detection of a breach in the controls or through other escalation means. The resolutions should be made by the right person or area depending on the magnitude of the problem, and it is where a good Corporate Governance structure is key to ensure the flow of information and the level of escalation that the issue requires.
- CONSULTANCY or ADVICE. Compliance’s constant advice and presence in the organization is key to getting things done right. Compliance often has a negative connotation in institutions of being a department that “does not allow to carry out activities or businesses”. The Compliance mindset has been changing and is progressing into more of a partner who is present from the start and not with a role of “gatekeeper” or final approver.
At Miranda Compliance, we believe Compliance should be part of the culture in the organization, not a department. The experience of having worked in different institutions performing and implementing these programs, has made us understand that doing Compliance is not to say: “it shouldn’t be done”, but to find how to do it, doing it the right way.
Por: Ernesto Gómez Gallardo A.
La semana pasada platicamos de ¿qué es Compliance?, y se mencionaron algunos aspectos que se deben considerar para implementar un programa eficaz en la materia. Hoy me gustaría profundizar en el tema y lograr concretizar 5 funciones que cubre un programa de Compliance en una organización (de acuerdo con la International Compliance Association), ya sea por medio de un departamento interno o a través de asesores que puedan acompañar a la organización en el desempeño de estas actividades.
- IDENTIFICACIÓN. Se refiere a detectar y definir los riesgos que una organización enfrenta, y a partir de éstos basar el programa. Existen distintas formas de encasillar riesgos a través de catálogos predeterminados que distintos expertos en la materia han definido. Me parece que una clasificación útil es la que propone COSO (Committee of Sponsoring Organizations of the Treadway Commission), ya que no es exclusiva a una industria, más bien es aplicable a todos los sectores y segmentos de negocio. Esta clasificación considera 4 tipos: Riesgo de Reporteo en torno a la efectividad de los reportes financieros de la empresa, Riesgo de Compliance relacionado con el cumplimiento de la normatividad (interna y externa), Riesgo Operacionalrespecto de la efectividad y eficiencia de las operaciones de la entidad incluido el desempeño y rentabilidad de esta, y por último el Riesgo Estratégico por lo que se refiere a alinear la misión – visión de la organización con sus recursos.
- PREVENCIÓN. Es el diseño e implementación de controles para proteger a una organización de los riesgos que mencionamos antes. Es indispensable mapear los procesos que se siguen dentro de la organización para entonces encontrar las vulnerabilidades y establecer los controles en el lugar o momento más adecuado a fin de tener seguridad al realizar las funciones del día a día.
- MONITOREO Y DETECCIÓN. Significa establecer una observación sistemática de los controles y poder reportar sobre su efectividad. No significa que debemos estar auditando a la empresa constantemente, por el contrario, la idea es que se determine una forma de evaluar sobre la marcha del negocio, los controles previamente establecidos para detectar en su caso, cualquier desviación y estar en condiciones de actuar.
- RESOLUCIÓN. Tiene que ver con la reacción de la organización a cualquier dificultad que se haya manifestado, ya sea a través de la detección de una falla en los controles o a través de otro tipo de escalamiento. La resolución debe hacerse por la persona o área correcta dependiendo del tamaño del problema y es donde una estructura de Gobierno Corporativo es clave para el flujo de la información y el nivel de escalamiento que el tema requiere.
- CONSULTORÍA o ASESORAMIENTO. La constante asesoría y presencia de Compliance en la organización es clave para que las cosas se hagan bien. Compliance muchas veces, tiene una connotación negativa en instituciones como un departamento que “no permite realizar las actividades o negocios”. La mentalidad de Compliance ha ido cambiando y se está transformando en ser más un socio que está presente desde el inicio y no con un papel de “gatekeeper” o revisor final.
En Miranda Compliance, creemos que Compliance debe ser parte de la cultura en la organización, y no un departamento. La experiencia de haber estado dentro de diferentes instituciones realizando e implementando estos programas, nos ha hecho entender que hacer Compliance no es para decir un “no se puede”, sino para encontrar el cómo sí, haciéndolo bien.