De la Auditoría al Compliance. Del Compliance a la Auditoría. Eduardo Navarro Villaverde. Vicepresidente 2º CUMPLEN
EDUARDO NAVARRO VILLAVERDE
VP Cumplen
Dir. Máster Compliance Officer
(Universidad Complutense de Madrid)
Auditor y Compliance
VP Cumplen
Dir. Máster Compliance Officer
(Universidad Complutense de Madrid)
Auditor y Compliance
En 2013-2014 empecé a convertirme de “Auditor Interno” a Compliance Officer en la organización donde trabajaba. Habían sido años de mucho viaje, muchas auditorías, informes, validación de controles, etc y profesionalmente, se podría decir que sólo sabía de Auditoría y Gestión de Riesgos. Ser Compliance Officer era un reto.
Las primeras formaciones para el puesto, todas en inglés, autodidacta la mayoría, viaje esporádico por Europa para ver cuáles eran tendencias y, cuál fue mi sorpresa, aprendí que compliance era gestión de riesgos, formaciones, canales de denuncia, auditorías, soft skills… Entonces ¿llevaba muchos años haciendo compliance?
Cada vez he ido viendo más las bondades de las habilidades anteriores para el desempeño de la función. Me acostumbré, junto con otros colegas, a ver como se trataba compliance como una extrapolación de la protección de datos, donde los estamentos jurídicos han tratado de adueñarse de una profesión donde son necesarios aunque no suficientes, y a defender el rol del auditor, especialmente el auditor interno, para ejercer la profesión.
La situación anterior se está ajustando, cada vez hay más roles, todos necesarios, entorno a la profesión y se están especializando para bien. En estos años, he cometido y he visto cometer errores que ayudan a aprender.
En las primeras auditorías de compliance pretendíamos que el profesional de compliance, además, supiera auditar. Ser auditor, es una profesión en sí misma. Realizar un plan de auditoría, un programa, una entrevista, seleccionar una muestra, contrastar, redactar un informe, categorizar las incidencias, describir los hallazgos, priorizar… eran tareas que esperábamos que el “nuevo compliance” supiera también hacer repentinamente. Tenemos que reconocer que se dieron situaciones donde los auditores esperaban que el modelo que estaban auditando fuera como el que ellos estaban implantando desde sus servicios de consultoría, en vez de validar el cumplimiento de los requisitos implantados frente a la norma auditada o la existencia, uso y eficacia de los controles diseñados.
Afortunadamente, ya hay entidades que han superado esa situación y disponen entre sus equipos a perfiles con las habilidades de auditoría. Además, los clientes, con más conocimiento y cultura, exigen que los trabajos desarrollados lo sean para el alcance contratado.
No obstante, me sorprende aún en este “compliance” que algunas entidades auditen modelos que han implantado o gestionan, obviamente se está incumpliendo un criterio fundamental en la auditoría. Para justificar lo anterior también se ven varios motivos, motivos que sospecho no serán válidos delante de un juez, igual que no lo son ante una Comisión de Auditoría experimentada.
He podido leer informes donde se da una importancia máxima a aspectos menores, obviando otros bastante relevantes por distintos motivos. Donde se caricaturiza una situación con mil hipótesis para tintarla de “incidencia con riesgo penal” e importante y llevar a la empresa a invertir recursos en iniciativas sin ningún valor agregado.
Por incidencias como las anteriores se dirige a las organizaciones hacia entornos asimétricos en función del expertis del auditor, a invertir recursos en aspectos menores, en ocasiones caprichosos del auditor, …incluso a una sensación de tranquilidad artificial porque el informe de auditoría indica que todo está bien haberlo auditado como procedería.
Cuando asumimos el rol de Auditor, también para compliance, deberíamos cumplir con los principios éticos de la profesión, conocer la importancia que tiene un Informe de Auditoría para la organización que lo contrata, prestar un servicio y dejar un producto que describa a la perfección el trabajo desarrollado con la validez esperada en ese momento y, además en compliance, en cualquier momento futuro.
La situación se acentúa ahora con los sistemas certificados donde, en ocasiones, se puede, mediante la auditoría y el informe, orientar a la empresa hacia la ejecución de acciones no prioritarias y quizás ni recomendadas, únicamente por la interpretación que un auditor hace de la norma y el deseo de la entidad auditada de disponer de ese certificado, así como el mantenimiento futuro.
Afortunadamente, esta situación está mejorando, cada vez hay mejores auditores de compliance y sobre todo, cada vez más, los clientes saben lo que quieren y tienen más criterio para discutir puntos del informe. Discusión que llevará a respaldar mejor las incidencias, a priorizarlas, dimensionarlas, …De la misma manera también se aprende a mantener la incidencia a pesar de que esto conlleve una diferencia con su cliente.
Si el trabajo realizado le da valor a la empresa y le ayuda a tomar las decisiones en el camino correcto, esa diferencia será admirada, la auditoría dará una seguridad razonable al cliente y el auditor será nuevamente contratado… aunque termino el artículo recomendando cambiar de entidad auditora, al menos cada tres años.
Las primeras formaciones para el puesto, todas en inglés, autodidacta la mayoría, viaje esporádico por Europa para ver cuáles eran tendencias y, cuál fue mi sorpresa, aprendí que compliance era gestión de riesgos, formaciones, canales de denuncia, auditorías, soft skills… Entonces ¿llevaba muchos años haciendo compliance?
Cada vez he ido viendo más las bondades de las habilidades anteriores para el desempeño de la función. Me acostumbré, junto con otros colegas, a ver como se trataba compliance como una extrapolación de la protección de datos, donde los estamentos jurídicos han tratado de adueñarse de una profesión donde son necesarios aunque no suficientes, y a defender el rol del auditor, especialmente el auditor interno, para ejercer la profesión.
La situación anterior se está ajustando, cada vez hay más roles, todos necesarios, entorno a la profesión y se están especializando para bien. En estos años, he cometido y he visto cometer errores que ayudan a aprender.
En las primeras auditorías de compliance pretendíamos que el profesional de compliance, además, supiera auditar. Ser auditor, es una profesión en sí misma. Realizar un plan de auditoría, un programa, una entrevista, seleccionar una muestra, contrastar, redactar un informe, categorizar las incidencias, describir los hallazgos, priorizar… eran tareas que esperábamos que el “nuevo compliance” supiera también hacer repentinamente. Tenemos que reconocer que se dieron situaciones donde los auditores esperaban que el modelo que estaban auditando fuera como el que ellos estaban implantando desde sus servicios de consultoría, en vez de validar el cumplimiento de los requisitos implantados frente a la norma auditada o la existencia, uso y eficacia de los controles diseñados.
Afortunadamente, ya hay entidades que han superado esa situación y disponen entre sus equipos a perfiles con las habilidades de auditoría. Además, los clientes, con más conocimiento y cultura, exigen que los trabajos desarrollados lo sean para el alcance contratado.
No obstante, me sorprende aún en este “compliance” que algunas entidades auditen modelos que han implantado o gestionan, obviamente se está incumpliendo un criterio fundamental en la auditoría. Para justificar lo anterior también se ven varios motivos, motivos que sospecho no serán válidos delante de un juez, igual que no lo son ante una Comisión de Auditoría experimentada.
He podido leer informes donde se da una importancia máxima a aspectos menores, obviando otros bastante relevantes por distintos motivos. Donde se caricaturiza una situación con mil hipótesis para tintarla de “incidencia con riesgo penal” e importante y llevar a la empresa a invertir recursos en iniciativas sin ningún valor agregado.
Por incidencias como las anteriores se dirige a las organizaciones hacia entornos asimétricos en función del expertis del auditor, a invertir recursos en aspectos menores, en ocasiones caprichosos del auditor, …incluso a una sensación de tranquilidad artificial porque el informe de auditoría indica que todo está bien haberlo auditado como procedería.
Cuando asumimos el rol de Auditor, también para compliance, deberíamos cumplir con los principios éticos de la profesión, conocer la importancia que tiene un Informe de Auditoría para la organización que lo contrata, prestar un servicio y dejar un producto que describa a la perfección el trabajo desarrollado con la validez esperada en ese momento y, además en compliance, en cualquier momento futuro.
La situación se acentúa ahora con los sistemas certificados donde, en ocasiones, se puede, mediante la auditoría y el informe, orientar a la empresa hacia la ejecución de acciones no prioritarias y quizás ni recomendadas, únicamente por la interpretación que un auditor hace de la norma y el deseo de la entidad auditada de disponer de ese certificado, así como el mantenimiento futuro.
Afortunadamente, esta situación está mejorando, cada vez hay mejores auditores de compliance y sobre todo, cada vez más, los clientes saben lo que quieren y tienen más criterio para discutir puntos del informe. Discusión que llevará a respaldar mejor las incidencias, a priorizarlas, dimensionarlas, …De la misma manera también se aprende a mantener la incidencia a pesar de que esto conlleve una diferencia con su cliente.
Si el trabajo realizado le da valor a la empresa y le ayuda a tomar las decisiones en el camino correcto, esa diferencia será admirada, la auditoría dará una seguridad razonable al cliente y el auditor será nuevamente contratado… aunque termino el artículo recomendando cambiar de entidad auditora, al menos cada tres años.
EDUARDO NAVARRO VILLAVERDE
VP Cumplen
Dir. Máster Compliance Officer
(Universidad Complutense de Madrid)
Auditor y Compliance
VP Cumplen
Dir. Máster Compliance Officer
(Universidad Complutense de Madrid)
Auditor y Compliance