Proteger la marcaEvolución de la función de cumplimiento y retos para la próxima década*

*connectedthinking

www.pwc.com

PricewaterhouseCoopers Regulatory and GRC ContactsNorteaméricaCanadá Brenda Eprile, Partner

brenda.j.eprile@ca.pwc.com

Dorothy Sanford, Partnerdorothy.a.sanford@ca.pwc.com

Estados Unidos ����������

Bill Lewis, Partner (Banca)bill.lewis@us.pwc.com

Gary Welsh, Managing Directorgary.welsh@us.pwc.com

Tony Evangelista, Partner (Gestión de inversiones) tony.evangelista@us.pwc.com

Roger Coffin, Partner (Mercados de capitales)roger.coffin@us.pwc.com

Ellen Walsh, Partner (Seguros)ellen.walsh@us.pwc.com

����

Miles Everson, Partner miles.everson@us.pwc.com

Luxemburgo Olivier de Vinck, Partnerolivier.de.vinck@lu.pwc.com

Emmanuelle Henniaux, Directoremmanuelle.henniaux@lu.pwc.com

Países Bajos Ger Roeleven, Senior Managerger.roeleven@nl.pwc.com

Martin Eleveld, Senior Manager martin.eleveld@nl.pwc.com

España José Luis López Rodriguez, Partnerjose.luis.lopez.rodriguez@es.pwc.com

Enric Doménech, Directorenric.domenech@es.pwc.com

Suecia André Wallenberg, Directorandre.wallenberg@se.pwc.com

Suiza Pascal Portmann, Partnerpascal.portmann@ch.pwc.com

Christiana Suhr Brunner, Directorchristiana.suhr.brunner@ch.pwc.com

Reino Unido John Tattersall, Partnerjohn.h.tattersall@uk.pwc.com

Stuart Crotaz, Senior Managerstuart.crotaz@uk.pwc.com

Australia Peter Trout, Partnerpeter.trout@au.pwc.com

Kate Clarke-Palmer, Director, Performance Improvementkate.clarke-palmer@au.pwc.com

Hong Kong/ Rick Heathcote, PartnerChina rick.heathcote@hk.pwc.com

Evi Sukardi, Managerevi.sukardi@hk.pwc.com

Japón Hajime Yasui, DirectorEmail: hajime.yasui@jp.pwc.com

Akira Yamate, Partnerakira.yamate@jp.pwc.com

Oriente Medio Elham Hassan, Partnerelham.hassan@bh.pwc.com

Madhukar Shenoy, Directormadhukar.shenoy@bh.pwc.com

Suráfrica Tom Winterboer, Partnertom.winterboer@za.pwc.com

Europa central David Wakey oriental david.wake@hu.pwc.com

Asia y Australia

Austria Andrea Cerne-Stark, Partnerandrea.cerne-stark@at.pwc.com

Gerhard Margetich, Managergerhard.margetich@at.pwc.com

Bélgica Josy Steenwinckel, Partnerjosy.steenwinckel@pwc.be

Denis Caprasse, Directordenis.caprasse@pwc.be

Francia Guy Flury, Partner, Head of Financial Services Regulatory Practiceguy.flury@fr.pwc.com

Marine Laufer-Tourte, Senior Managermarine.laufer-tourte@fr.pwc.com

Alemania Günter Borgel, Partnerguenter.borgel@de.pwc.com

Martina Rangol, Senior Managermartina.rangol@de.pwc.com

Irlanda Alan Merriman, Partneralan.merriman@ie.pwc.com

Marion Kelly, Senior Managermarion.kelly@ie.pwc.com

Italia Giacomo Neri, Partnergiacomo.neri@it.pwc.com

Fabiano Quadrelli, Directorfabiano.quadrelli@it.pwc.com

Europa, Oriente Medio y África��������� Charles Ilako, Partner,

Global Leader, Financial Services Regulatory Practicecharles.ilako@uk.pwc.com

Wendy Reed, Senior Managerwendy.reed@pwc.be

��� Sandra Birkensleigh, Partner, Global GRC Co-Leadersandra.birkensleigh@au.pwc.com

Dan DiFilippo, Partner, Global Performance Improvement Leaderdan.difilippo@us.pwc.com

���� John Campbell, Partner, U.S.john.w.campbell@us.pwc.com

Andrew Clark, Partner, EMEAandrew.p.clark@uk.pwc.com

Dominic Nixon, Partner, AsiaPacdominic.nixon@sg.pwc.com

Global

PricewaterhouseCoopers y GRC

El enfoque de PricewaterhouseCoopers sobre "Gobierno, Riesgo y Cumplimiento" (GRC) y su modelo operativo se basa entres principios básicos:

1. El modelo Integrity-Driven PerformanceTM(I) propuesto por PricewqaterhouseCoopers requiere que lasorganizaciones integren los enfoques de GRC, en su gestión diaria. Un correcto y efectivo enfoque en este sentido,fomenta la cultura de la integridad y la responsabilidad de las entidades.

2. Un modelo integrado debería estar vinculado con el valor del accionista además de contar con una buenacoordinación de las personas, los procesos y las posibilidades tecnológicas de la organización, de modo que elenfoque “Integrity-Driven PerformanceTM” promovido por la integridad esté fuertemente arraigado a la organización,y sirva así de apoyo para el logro de los objetivos estratégicos.

3. Integrity-Driven Performance requiere una nueva visión de la conducta empresarial y del cumplimiento: una visiónque entienda las necesidades de los diferentes grupos de interés y que tenga un pleno convencimiento de que esnecesario el cumplimiento de las obligaciones relevantes. Esto incluye el cumplimiento de las políticas y de losprocedimientos internos, además de la correcta gestión de las expectativas de los diferentes grupos de interés talescomo legisladores, clientes, socios, empleados, inversores y, en definitiva, del conjunto de la sociedad.

Para poder implantar de forma efectiva el modelo Integrity-Driven PerformanceTM, las organizaciones deben apoyarse encuatro elementos básicos:

• Enfocar y gestionar de modo efectivo el cambio hacia una cultura de integridad y valores éticos en los negocios.• Introducir un enfoque GRC integrado en los procesos de negocio. • Hacer uso de la capacidad de medir el rendimiento y calcular el valor mediante los datos y cuadros de mando correctos. • Apalancarse en la tecnología para permitir la eficacia y la eficiencia.

1 Véase el documento "Integrity-Driven PerformanceTM - A New Strategy for Success Through Integrated Governance, Risk and Compliance Management: A White Paper", enero de 2004. PricewaterhouseCoopers.

*Proteger la marca

Prólogo

El sector de servicios financieros está viviendo el mayor movimiento regulatorio de nuestra generación, y la tendencia a pasar de regirse por

reglas claras a regirse por principios tiene su importancia en ese proceso de cambio. Los profesionales del ámbito del cumplimiento cada

vez tienen una función más importante: proteger y fomentar los valores corporativos y la reputación de la organización teniendo en cuenta

que los grupos de interés cada vez exigen más integridad, más responsabilidad y más estabilidad financiera. Sin duda, la experiencia

reciente nos indica que aunque algunas operaciones cumplan con lo que dicta la Ley, quizá no logren el visto bueno del que finalmente

resulta ser el más irrefutable tribunal: el mercado y la opinión pública.

Toda organización debería aspirar a:

• Tener una plataforma de cumplimiento flexible, sólida y con unos costes efectivos, capaz de responder a las expectativas cambiantes de

los grupos de interés, de la regulación y del sector.

• Lograr que el cumplimiento sea un buen factor integral de la buena gestión empresarial, capaz de crear valor mediante una mejora de la

reputación, la confianza del inversor y un menor coste del capital.

Cultura de Cumplimiento

Muchas de las personas encuestadas reconocen que no se puede esperar que Cumplimiento tenga un control absoluto de unas

corporaciones que cada vez son más complejas, y que, por eso, el negocio debe aplicar los controles necesarios. Sin embargo, un 30%

menciona "la falta de aceptación y de comprensión por parte del Consejo de Administración o la Alta Dirección con respecto a sus

responsabilidades de cumplimiento" como una traba significativa para lograr ese cumplimiento, por lo que no hay duda de que queda

mucho por hacer. En última instancia, el secreto para que una organización tenga una buena gestión y "cumpla" es una cultura de "hacer

las cosas bien". Y esa cultura debe implantarse en la mentalidad y el comportamiento de los empleados, debe quedar reforzada por una

buena alineación de valores, procesos y compensaciones. En las empresas que se han visto salpicadas por los últimos escándalos es

posible que el cumplimiento no formara parte de la política de incentivos.

Función de Cumplimiento

Una organización bien gestionada hace una evaluación global de los riesgos actuales y futuros, teniendo en cuenta las necesidades de un

amplio colectivo de grupos de interés, internos y externos. A continuación, diseña mecanismos de control y gestión de riesgos apropiados, y

uno de estos mecanismos debe ser la disciplina relacionada con la función de cumplimiento.

Nuestro estudio ha sacado a la luz que si bien muchas compañías van en esa dirección, son pocas las que tienen claro cuál es la mejor

manera en que la disciplina relacionada con el cumplimiento puede ayudar al fin al que se aspira: ser una organización "en regla". La

disciplina de cumplimiento actualmente gravita entre la función de "policía" y la función de "asesor", con claras sombras sobre su

independencia y sobre su interacción con el propio negocio y, más concretamente, con otras funciones de control y de gestión dentro del

mismo. Son muchas las organizaciones que están fracasando en su intento de responder de modo adecuado a las necesidades más

amplias de los grupos de interés internos: hay que potenciar activamente el buen comportamiento y asegurarse de que las prácticas, los

procesos y la tecnología lo favorecen, en vez de ponerle trabas.

Coste del Cumplimiento

Un 64 % de los encuestados veían la complejidad del entorno regulador como el mayor impedimento para lograr el cumplimiento, pero también

Este estudio quiere actualizar y ampliar el alcance de unestudio previo, realizado en 2002, sobre el cumplimientoen las instituciones financieras, con vistas a alimentar elactual debate y extenderlo por el sector de serviciosfinancieros a escala internacional. Se ha diseñado comocomplemento de otros estudios y sondeos realizados enlos últimos años sobre temas como el buen gobiernocorporativo, el riesgo y el cumplimiento y, por supuesto,el octavo sondeo anual de CEO (8th Annual CEO GlobalSurvey: Bold Ambitions, Careful Choices), cuyosresultados se presentaron en el Foro EconómicoMundial celebrado en Davos en enero de 2005.

Jeremy ScottChairman, Global Financial ServicesLeadership Team

Charles Ilako

Global Lead Partner, Financial Services

Regulatory Practice

fueron muchos los que sugirieron que a la Dirección le preocupan enormemente sus costes. Ahora bien, el cumplimiento de la regulación es la

quintaesencia de hacer negocios y de mantenerse activo en el sector financiero, del mismo modo que cumplir las directrices de gestión de

riesgos y las directrices estratégicas marcadas por la Dirección hace posible el éxito de una organización. Sea como fuere, lo que debería

preocupar a la Dirección es si se logra un rendimiento adecuado a la inversión en materia de cumplimiento. El precio de salvaguardar a la

organización de las penalizaciones por incumplimiento normativo o de posibles daños a la reputación debe tenerse en cuenta en toda

evaluación, del mismo modo que los gastos de explotación o los costes de riesgos como el impago de deudas, por ejemplo. Cabe destacar que

en torno a un 80 % de los encuestados consideran que la función de cumplimiento da un valor añadido a su negocio, si bien la mayoría

experimenta dificultades para precisar los beneficios concretos obtenidos.

El objetivo final, según algunos de los participantes del estudio, es una organización tan "inherentemente compliant" en todos los sentidos

que no sea necesaria la presencia de un Departamento de Cumplimiento. Teniendo en cuenta el entorno regulador, complejo y rápidamente

cambiante, y las estrategias de negocio cada vez más dinámicas, esta utopía seguirá siendo muy difícil de alcanzar en un futuro próximo, si

alguna vez lo es. Ahora bien, las organizaciones pueden y deben ir avanzando en ese sentido a largo plazo.

Queremos dar las gracias a todos los participantes del estudio, que nos han permitido ofrecer unas valoraciones útiles -o eso esperamos-

sobre los avances realizados y los retos que tienen pendientes los Consejos de Administración, los equipos de Dirección y los responsables

de cumplimiento. Agradecemos especialmente los comentarios recibidos de los órganos reguladores y de las asociaciones del sector, tanto

a escala nacional como internacional. Gracias también a los especialistas en cumplimiento y regulación de PricewaterhouseCoopers, que

nos han brindado un magnífico apoyo en esta iniciativa, llevando a cabo las entrevistas, las tareas de documentación y proporcionando

información sobre su propia experiencia para mejorar el análisis realizado. Y para terminar, nuestro más sincero agradecimiento a Wendy

Reed, que se encargó de conducir el proceso del estudio general y se responsabilizó de la preparación de este proyecto.

Esperamos que los resultados de este trabajo sean ilustrativos y que se puedan poner en práctica.

Introducción

Es importante destacar que las cuestiones y el debate

fueron de una naturaleza muy cualitativa. En este informe,

para poder proporcionar indicaciones sobre las respuestas

recibidas, las hemos revisado atentamente y hemos

proporcionado "estadísticas" indicativas. Sin embargo, cabe

destacar que no todos los participantes respondieron a

todas las preguntas, de modo que las estadísticas

proporcionadas se basan en las respuestas reales, y sólo

se ofrecen datos de este tipo cuando un porcentaje

razonable de los participantes totales respondía a la

cuestión relevante.

Países representados

Asia y Australia• Australia• Hong Kong• Japón

Norteamérica:• Canadá• Estados Unidos

Europa y Oriente Medio• Alemania• Austria• Bahrein• Bélgica• España• Francia• Italia• Luxemburgo• Países Bajos• Reino Unido• Suecia• Suiza

Finalidad del estudio

El presente estudio quiere ampliar la contribución de PricewaterhouseCoopers en el debate internacional sobre el papel de la función de

cumplimiento en el sector de los servicios financieros, y para ello se basa en otras iniciativas de PricewaterhouseCoopers en el ámbito del

gobierno corporativo, el riesgo y el cumplimiento,2 así como en un estudio europeo sobre las prácticas de cumplimiento de las instituciones

financieras elaborado en 2002.3

En algunos países, hace años que la función de cumplimiento está regulada y su práctica está bien establecida. Actualmente, para

hacerse eco de las buenas prácticas, cada vez más aceptadas, o como una reacción a las crisis, los órganos reguladores de los servicios

financieros de todo el mundo4 están introduciendo, o fomentando, normas en materia de cumplimiento. Defienden una disciplina de

cumplimiento de la normativa del sector pero también de la regulación propia del negocio y de las normas de conducta , suponiendo un claro

cambio con respecto a los requisitos poco sistemáticos vistos en el pasado. El Consejo de Administración y los Altos Directivos, en general,

deben afrontar normas cada vez más restrictivas en relación con las infraestructuras de gobierno corporativo, gestión de riesgos y

cumplimiento.

El propósito de este estudio es, sobre todo, entender los avances en la potenciación de la función de cumplimiento en las

instituciones financieras y dilucidar los retos actuales y futuros. Nuestra intención es sacar a la luz las tendencias discernibles para

proporcionar más material para el debate, dado que el pensamiento sobre esta cuestión está en diferentes estadios en las distintas partes

del mundo y los diversos sectores de actividad. Este informe pretende reflejar las respuestas recibidas por los participantes ante los temas

clave planteados, además de extraer los mensajes importantes de todo el proceso realizado.

Enfoque del estudio

Creemos que es la primera vez que se lleva a cabo un estudio de semejantes características sobre la función de cumplimiento en el sector

financiero, debido a la profundidad y el alcance internacional logrados. El modelo GRC (descrito anteriormente) sirvió de guía para elaborar un

detallado cuestionario, debidamente adaptado a las instituciones específicas y a los diversos ámbitos nacionales. Los resultados del estudio se

basan en la participación de más de 73 entidades de servicios financieros con actividad a escala nacional e internacional en 17 países: un 66%

de los participantes tenían presencia internacional y el 34 % restante eran importantes instituciones a escala nacional. Los participantes del

estudio representaban a todos los sectores de los servicios financieros: un 63% a la banca, un 19% a los servicios de inversión y un 18 % a los

seguros (si bien muchos de los participantes internacionales están presentes en los tres sectores).

Se entrevistó a los responsables corporativos en materia de cumplimiento normativo, a responsables de gestión de riesgos, a

miembros de la Alta Dirección con responsabilidades de cumplimiento general (incluyendo Directores Generales), a responsables de

cumplimiento regional y a responsables de cumplimiento de línea de negocio.

Los especialistas en cumplimiento normativo y regulación de PricewaterhouseCoopers se entrevistaron personalmente con los

participantes seleccionados a lo largo del último semestre de 2004. El estudio también contó con entrevistas a legisladores y a

representantes de las asociaciones de los sectores clave. Al resultado de todo ello, se le sumó un considerable trabajo de investigación y

las aportaciones de los especialistas en cumplimiento y regulación de la red global de PricewaterhouseCoopers.

2 Véase el Anexo III de este informe para conocer las últimas iniciativas de PricewaterhouseCoopers en este sentido.3 "Regulatory Compliance: Adding value - a review of future trends", 2002.4 El Anexo I de este informe proporciona una visión general de los últimos desarrollos en los países participantes en el estudio.

Estructura del informe

Resumen ejecutivo 8

Datos detallados sobre los resultados del estudio

• Situémonos: definición de riesgo de cumplimiento 15

• Retos para lograr el cumplimiento 19

• La función de cumplimiento: ¿policía o asesor? 24

• Una configuración no tiene por qué funcionar en todos los sitios 40

• Cumplimiento: un valor añadido para la buena marcha de los negocios 51

Anexos

• Visión general de los requisitos nacionales y regionales

para la función de cumplimiento 65

• Retos normativos actuales 80

• Selección de estudios y publicaciones más recientes 82

Resumen ejecutivo

Res

umen

eje

cutiv

oEn un momento en que la sociedad espera integridad y competencia de sus proveedores de servicios financieros, el cumplimiento efectivo

se está convirtiendo tanto en un factor de competitividad como en un imperativo legal. Muchos de los órganos reguladores de los servicios

financieros se están centrando en la función y las responsabilidades de la Unidad de Cumplimiento5, por lo que este estudio se ha

planteado explorar la cambiante naturaleza y las responsabilidades de esta disciplina en un momento crítico, tanto para la disciplina en sí

como para las organizaciones en que está inmersa. En los últimos tres años se han producido mejoras considerables en todos los sectores:

• La visión de las organizaciones sobre la función y la estructura de la disciplina de cumplimiento ha avanzado mucho en todo el sector.

• El concepto de "implantar una cultura de cumplimiento" está muy extendido en los países participantes, lo cual establece un telón de

fondo coherente para las actividades de la disciplina que nos ocupa.

• Se ha producido un "salto cuántico" en algunos países en que los requisitos reguladores en materia de cumplimiento son relativamente

nuevos: en principio no tardarán demasiado en ponerse al nivel del resto.

• Como resultado de la acción reguladora, son más habituales las estructuras de gobierno mejoradas, diseñadas para garantizar la

independencia de la disciplina de cumplimiento.

No obstante, aún son necesarios cambios significativos si las organizaciones quieren alcanzar todas las ventajas de una mejora en la

disciplina de cumplimiento. Muchas organizaciones siguen creyendo que una gran parte del reto radica en el peso de las nuevas

regulaciones y en la incertidumbre de su aplicación en la práctica y que ello puede perjudicar al rendimiento si los requisitos reguladores

limitan la flexibilidad y la innovación de los modelos de negocio, e imponen costes aparentemente innecesarios. Sin embargo, el

cumplimiento -como el rendimiento- es un requisito obligatorio para hacer negocios y poder mantenerse en activo. La función de

cumplimiento proporciona una herramienta básica para que la Dirección cumpla con las expectativas de los grupos de interés en cuanto a la

integridad y protección de la marca. Y lo que es más importante, los costes del cumplimiento seguramente son bastante modestos si se

comparan con los miles de millones que pueden desaparecer del valor de la acción si salen a la luz fallos de integridad, buen gobierno y

códigos de conducta.

Básicamente, la respuesta a los desafíos planteados requiere una visión más global y proactiva con respecto al cumplimiento, una

visión que va más allá de las expectativas estatutarias para llegar a consideraciones éticas y estratégicas más amplias. Es entender la

relación básica entre la integridad, la garantía que ofrece el comportarse de un modo adecuado en los negocios y el cumplimiento de los

objetivos estratégicos. Este enfoque debería centrarse de lleno en el fomento de los comportamientos adecuados y en la aplicación de

prácticas y procesos comerciales "dentro de la norma", más que asignar esta responsabilidad exclusivamente a la función de cumplimiento.

Hay algunos elementos comunes que refuerzan esta tendencia:

• Una mayor integración del buen gobierno, la gestión de riesgos y las estructuras de cumplimiento, con lo cual se forma un movimiento

continuo que sustenta la integridad general de la organización y que va en línea con la innovación y con el logro de los objetivos

estratégicos.

• Una cultura que alimenta los comportamientos adecuados y que infunde integridad en el ADN de la organización, fomentando la

concienciación y la interiorización del cumplimiento en todos los niveles, con el apoyo de las adecuadas compensaciones, procesos y

procedimientos.

• Una ampliación de Cumplimiento para poder contactar directamente, en un primer estadio, con las personas implicadas en la toma de

decisiones estratégicas y tácticas en materias que van desde la adquisición al desarrollo de productos.

5 En este informe la función de cumplimiento se menciona tal cual o como "Cumplimiento", con mayúscula, con el objetivo de establecer una diferencia con el términogenérico cumplimiento.

© PricewaterhouseCoopers - Proteger la marca 9

• Una definición clara de la relación entre las áreas de negocio como primera línea de defensa, la función de cumplimiento, como

segunda y la auditoría independiente y los miembros externos no ejecutivos del Consejo de Administración, como tercera.

• Unas líneas coherentes para garantizar que los procesos y procedimientos de negocio, en general, facilitan más que frustran la

integridad, y que existen unas infraestructuras tecnológicas sólidas que fomentan la toma de decisiones de acuerdo con los principios

de la Integrity-Driven Performance.

El giro hacia un enfoque de regulación o supervisión más basado en principios o en riesgos que se está dando en muchos países debería

enfatizar el papel asesor de la función de cumplimiento, pero en todo caso es una cuestión de equilibrio. Antes que nada, la organización

tiene que anticiparse y dar una respuesta rápida a las amenazas más serias que sufre la marca, en vez de limitarse a "cumplir" con todo en

todo momento. El éxito de la Dirección a la hora de configurar el negocio para lograr sus objetivos de rendimiento, al tiempo que se realiza

una buena gestión (y por ello, se respeta el cumplimiento), será determinante en el cambiante papel y la continua eficacia de la función de

cumplimiento. El estudio que nos ocupa ha sacado a la luz una serie de aspectos importantes relacionados que requieren una mayor

consideración por parte de la Alta Dirección de las organizaciones.

No hay un lenguaje común

La definición del Comité de Basilea de la función de cumplimiento proporciona un enfoque amplio desde el punto de vista conceptual,

estableciendo los parámetros de las responsabilidades de la Dirección, pero no el alcance en la práctica de las actividades de la

misma. Desde el punto de vista de la organización, son aparentemente diferentes las interpretaciones de "riesgo de cumplimiento"

dentro de las diversas líneas de negocio y según el país que nos ocupe. Esto se complica cada vez más con los distintos enfoques

reguladores, a escala internacional y en los diferentes sectores, tanto con respecto al riesgo de cumplimiento como a las funciones de

cumplimiento.

Los principios normativos esbozan las expectativas de los órganos reguladores en materia de gestión del riesgo de cumplimiento y de

las funciones de cumplimiento, dejando a la Dirección que complete los vacíos legales. Ahora bien, a la Dirección le preocupa el hecho de

que, sin unas directrices más detalladas, los reguladores dejan espacio de maniobra, permitiendoles criticar a posteriori los movimientos de

la Dirección. Esto es un factor desestabilizador, ya que se percibe que los órganos reguladores son propensos a modificar los objetivos

retroactivamente.

Sin embargo, la Dirección necesita básicamente un mayor conocimiento de sus propios riesgos de cumplimiento, así como de los

riesgos regulatorios y reputacionales. De este modo, podrá contar con una base apropiada para una alineación y una asignación de

responsabilidades a la función de cumplimiento. Evidentemente, sería positivo que los reguladores dejaran más claro cuáles son sus

expectativas. Por ello, consideramos que es el primer tema que hay que tratar. De nuestro análisis se deriva lo siguiente:

• El sector y los órganos que lo regulan deben consensuar lo que entienden por riesgo de cumplimiento según las líneas de

negocio, tanto en general como en el contexto de la función de cumplimiento.

• A escala internacional, y en todos los sectores, los reguladores deben continuar alineando sus enfoques respecto a la gestión

de riesgos, incluyendo el riesgo de cumplimiento.

10 © PricewaterhouseCoopers - Proteger la marca

La Dirección habla mucho pero…es solo retórica?

El estudio refleja que el principal miedo de los Consejos de Administración y de los Altos Directivos tiene que ver con el daño a la reputación

y a la marca, además de las responsabilidades personales, lo cual es comprensible teniendo en cuenta los recientes incidentes de gran

importancia. En muchos de los países cubiertos por el estudio, las organizaciones aplicaban la ley del mínimo esfuerzo en cuanto a

cumplimiento, sobre todo en términos de funciones de cumplimiento, antes de existir requisitos reguladores. Ahora, la constante presión de

los reguladores o de los demás grupos de interés, como los inversores institucionales y posiblemente las agencias de calificación, seguirá

en principio destacando el valor intrínseco del cumplimiento y de la función de cumplimiento.

Estar en línea con el cumplimiento es la quintaesencia de una perspectiva de negocio, pero la falta general de avances a la hora de

demostrar el valor de la función de cumplimiento sugiere que si el proceso regulador disminuyera, las necesidades y el papel de la función

de cumplimiento podrían ser subyugados por otras prioridades reguladoras y de negocio. No hay duda de que es necesario que se haga

menos hincapié en los costes a corto plazo del cumplimiento y que se preste más atención a su clara capacidad de mejorar el rendimiento

de la inversión para la organización en general.

Aunque se han hecho muchos avances en lo referente a la articulación de una visión sólida de cumplimiento y al establecimiento y/o

al refuerzo de las funciones de cumplimiento en los últimos años, el estudio ha proporcionado pocas pruebas de estrategias coherentes y

sostenibles enfocadas a lograr prácticas y procesos de negocio "en línea con el cumplimiento" a largo plazo. Al atacar los requisitos

normativos, Cumplimiento suele recibir el encargo de tapar los agujeros percibidos en el marco de control existente en la organización. Pero

esta manera de actuar puede no ser la más adecuada, en especial porque las organizaciones aún no han reconocido, ni aprovechado, los

beneficios generales del cumplimiento. Intentar responder a todos los temas con un único proyecto probablemente no será efectivo. En su

lugar, es básico que se produzcan continuas iniciativas en una serie de áreas interrelacionadas (con reevaluaciones iterativas conforme

vaya evolucionando la situación), junto con una visión clara del final a largo plazo. Tras un análisis de los resultados obtenidos durante el

estudio, los primeros retos compartidos serían los siguientes:

i) Evaluar los riesgos de manera global, ahondando en la correlación entre los diferentes tipos de riesgo de mercado y negocio en

términos de riesgo de cumplimiento, regulatorio y reputacional.

ii) Partiendo de una definición de "riesgo de cumplimiento" común a todas las actividades del negocio, determinar de manera clara los

papeles y responsabilidades asociados a Cumplimiento, en el contexto de otras disciplinas de control y de apoyo, como Auditoría

Interna, Asesoría Jurídica, Gestión de Riesgos, Recursos Humanos, etc.

iii) Establecer un correcto equilibrio entre los papeles de "asesor" y "policía" de Cumplimiento (véase más adelante), y hacer que las

entidades sean flexibles para que estas funciones puedan evolucionar.

iv) Proporcionar los recursos adecuados a Cumplimiento, primando la eficiencia a través de unos recursos humanos y económicos

adecuados, además de una sólida infraestructura tecnológica.

v) Adoptar un enfoque general (enfoque top-down) pero también buscar los detalles que apoyan lo anterior (enfoque bottom-up) para

lograr el cumplimiento, de modo que los procesos y prácticas de negocio se evalúen con profundidad para garantizar el cumplimiento

actual y futuro, considerando especialmente las necesidades tecnológicas.

vi) Sobre todo, centrarse en implantar un profundo sentimiento de integridad en el ADN de la organización, fomentando los

© PricewaterhouseCoopers - Proteger la marca 11

comportamientos y las actitudes adecuados y utilizando la función de cumplimiento como una herramienta para promover y

promulgar el sistema de valores requerido.

En consecuencia, éstas son nuestras sugerencias:

• La Dirección debería evaluar el papel actual y la evolución futura de Cumplimiento como parte de las estrategias a largo plazo que

se proponen configurar las prácticas y los procesos de negocio -y toda la infraestructura general- con vistas a implantar un profundo

sentimiento de integridad y facilitar el correcto comportamiento de sus empleados. Debería darse cuenta de que los empleados no

pueden comportarse de modo coherente con la integridad si los procesos de negocio crean barreras.

• La Dirección debe luchar por una respuesta coherente a la gestión de riesgos, poniendo en práctica una evaluación de riesgos

estratégicos global que de modo explícito englobe el riesgo de cumplimiento dentro del perfil de riesgo general de la organización.

Debería prestarse una especial atención a la interacción entre Cumplimiento y otras disciplinas de gestión de riesgos, al tiempo que

debe reconocerse la diferencia en importancia a la hora de gestionar el riesgo de cumplimiento.

• Los Consejos de Administración y los Altos Directivos deberían plantearse la configuración actual y futura de Cumplimiento, el amplio

marco de control de la organización y el nivel óptimo de recursos (humanos, financieros y tecnológicos). La Alta Dirección debería

seguir garantizando que el diseño de la organización no impide la independencia y la efectividad de Cumplimiento. Entre otras cosas:

- La Alta Dirección necesita conciliar los diferentes enfoques necesarios para la cultura empresarial y societaria dentro de sus

operaciones generales, con sus estrategias asociadas en términos de configuración, modus operandi y recursos de Cumplimiento.

- La Alta Dirección debe prestar atención a la interacción con otras disciplinas de apoyo y control, y garantizar que los respectivos

papeles y responsabilidades están claramente definidos y documentados.

- Teniendo en cuenta el papel dual de Cumplimiento ("asesor" y "policía"), la Dirección debe asegurarse de que la configuración de

la organización se ha evaluado correctamente, de arriba a abajo y de abajo a arriba, para que puedan tener el debido acceso e

interacción con los negocios de primera línea.

• Igual que con otras partes intrínsecas del negocio, los Consejos de Administración y los Altos Directivos deberían centrarse en

cuantificar el coste real del cumplimiento y del incumplimiento, con vistas a garantizar las estrategias adecuadas de gestión de

costes, mejorando la comprensión del valor del Cumplimiento y, finalmente, permitiendo un equilibrio efectivo entre los costes del

cumplimiento y el valor generado por éste.

• Debería concederse una prioridad equivalente (si no mayor) al desarrollo y uso de tecnología capaz de ayudar a la Dirección a

comprender, en el momento adecuado y con total coherencia, lo que está sucediendo en su negocio. Desde la perspectiva de

Cumplimiento, una infraestructura tecnológica sólida conlleva sofisticadas herramientas para controlar el cumplimiento en las

actividades del negocio, y herramientas adecuadas para racionalizar las actividades de Cumplimiento y facilitar la transmisión de

información.

• Los Consejos de Administración y los Alta Dirección deben centrarse más en la frecuencia, la oportunidad y la coherencia del

reporting, para disminuir la probabilidad de que las prácticas y transacciones de negocio generen futuros problemas de

cumplimiento.

• Las agencias de calificación deberían tener más en cuenta el papel y la potencial contribución del Cumplimiento a la fuerza y

calidad general de la organización.

Sugerencias:

• Los responsables de Cumplimiento, con la ayuda de la Dirección, deben hacer hincapié en el desarrollo de su visión del

negocio: deben ser capaces de asesorar a la Dirección con respecto a posibles soluciones de negocio que se adecuen a las

diferentes normas sin dejar de ser rentables.

• Cumplimiento debe estar preparado para asesorar a la Dirección en las primeras etapas de nuevos negocios o transacciones,

incluidos nuevos productos, entrada en nuevos mercados, fusiones y adquisiciones, posibilidades de subcontratación e

iniciativas de deslocalización. (Según la madurez de la organización en materia de integridad, Cumplimiento deberá hacer que

la Dirección intensifique o reduzca toda actividad que pueda afectar al cumplimiento a largo plazo y hasta entonces, podría

funcionar, sobre todo, haciendo hincapié en su capacidad asesora).

12 © PricewaterhouseCoopers - Proteger la marca

La figura del Responsable de Cumplimiento: ¿policía o asesor?

El papel tradicional de Cumplimiento en los países anglosajones está pasando de "policía" a "asesor". Cada vez se asimila más el que

Cumplimiento, como un fiel asesor del negocio, crea valor añadido y protege la marca. En algunos países europeos en que las funciones de

cumplimiento son más recientes, se ha hecho más hincapié, desde un principio, en su función asesora, mientras que el papel de "policía" -

es decir, su necesaria función de control y supervisión- suele quedar infravalorada. Cumplimiento da lo mejor de sí mismo cuando se le deja

ser proactivo y reactivo, eso es, ayudar a garantizar que el negocio está en regla y a controlar la actividad ya existente. Ahora bien, hay que

encontrar el correcto equilibrio entre estas dos funciones dentro del contexto organizativo, empresarial y cultural. Conforme un negocio va

manifestando un comportamiento correcto -lo cual comporta tanto la integridad como la innovación-, la necesidad de que Cumplimiento

vigile sus actividades disminuye, y en cambio, el papel de los asesores que aportan valor adquiere un mayor protagonismo. Durante esta

evolución, hay que tener el cuidado de garantizar que los potenciales conflictos de intereses entre ambos papeles se gestionen de modo

efectivo.

Repartir las funciones de cumplimiento entre el propio Departamento de Cumplimiento y la entidad en general no siempre es fácil en

el día a día. Actualmente, Cumplimiento suele ocuparse de llevar a cabo controles de cumplimiento en las transacciones diarias

(cumplimiento operativo), además de supervisar el cumplimiento general. Esto provoca un potencial conflicto de intereses que se puede

mitigar a través de los estándares definidos por la Alta Dirección, lo que se conoce en inglés como "tone at the top" (implantar una cultura

de cumplimiento en toda la organización); unas medidas coherentes para garantizar que la entidad conoce perfectamente sus

responsabilidades con respecto al cumplimiento, y líneas de reporting diferenciadas.

Evidentemente, para poder asesorar a la Dirección y a la entidad como es debido, los responsables de Cumplimiento deben conocer

muy bien el negocio, deben atesorar un detallado conocimiento de la normativa procedente y deben estar al corriente de las expectativas de

los órganos reguladores, además de todas las cuestiones prácticas relacionadas. Muchos de los encuestados destacaron durante el estudio

que las habilidades de comunicación y de convicción de los responsables de Cumplimiento eran clave para generar confianza. No obstante,

la confianza que se tiene en su asesoramiento no debería depender únicamente de sus dotes de convicción: la Dirección debe estar

preparadas para escuchar y para actuar. Según nuestro análisis, nos permitimos hacer las sugerencias que planteamos en el siguiente

cuadro.

© PricewaterhouseCoopers - Proteger la marca 13

¿"Pesadez" reguladora?

Entre los principales problemas que veían los encuestados para respetar la conformidad que nos ocupa, mencionaban las crecientes

expectativas normativas, la incertidumbre que provoca el hecho de que los reguladores modifiquen sus objetivos con carácter retroactivo, y

la cada vez más "pesada" actuación de los órganos reguladores y de la aplicación de la legislación.

Las entidades financieras con presencia internacional afirmaban que es muy complejo cumplir las diferentes normativas locales, muy

diversas. Claramente, se agradecería una mayor convergencia en las actitudes y en los enfoques reguladores a escala internacional,

porque los encuestados destacaban que las incoherencias -tanto a nivel local como internacional- aumentan las dificultades actuales.

Asimismo, sería positivo poder contar con más directrices y explicaciones en cuanto a las expectativas de los reguladores. Ahora bien, las

organizaciones también deberían adoptar una visión más a largo plazo, reconociendo que una convergencia reguladora a tiempo puede

redundar en un considerable ahorro de costes, en especial si pueden desarrollar e implantar ahora estrategias globales a futuro para

garantizar esos resultados utilizando la función de cumplimiento como un elemento clave para lograrlo.

• Los reguladores deben proporcionar más directrices y más explicaciones con respecto a lo que esperan de la Dirección y de

Cumplimiento, y deben mostrar una mayor transparencia en ese sentido.

• Los órganos reguladores deben aspirar a la coherencia, en la línea temporal y con los demás órganos de regulación, tanto en

el ámbito nacional como en el internacional.

• Cumplimiento, con el apoyo de la Dirección, debe hacer lo posible por fomentar el diálogo con los órganos reguladores y otros

organismos del sector, al objeto de ahondar en los entresijos de la disciplina de cumplimiento, en diferentes organizaciones y

países.

• Debería hacerse hincapié en la combinación de habilidades y competencias dentro de Cumplimiento, garantizando una amplia

formación para los responsables y todo el personal de la unidad.

• Los responsables de Cumplimiento deben aportar su grano de arena, por sí mismos y por sus organizaciones, al desarrollo de

la "profesión", y ello mediante la participación en foros, grupos y asociaciones del sector.

• Cumplimiento debe conocer mejor las tecnologías utilizadas por la organización, incluyendo sus sistemas informáticos.

tradicionales, y se le debe consultar en caso de que se quieran implementar nuevos sistemas o desarrollos. Al mismo tiempo,

el Departamento de Informática ha de familiarizarse más con las necesidades de Cumplimiento.

Datos detallados sobre los resultados del estudio

© PricewaterhouseCoopers - Proteger la marca 15Situémonos: definición de Riesgo de Cumplimiento

Para empezar, durante el estudio se acostumbraba a pedir a los participantes que definieran unos conceptos que son básicos para las

funciones del cumplimiento: a) riesgo de cumplimiento, b) riesgo de regulatorio y c) riesgo reputacional. No todos nos dieron una definición

para los tres términos, y entre los que lo hicieron, se detectaron sutiles diferencias.

Riesgo de Cumplimiento

La definición de riesgo de cumplimiento, según la Economist Intelligence Unit y PricewaterhouseCoopers es la siguiente6:

"Riesgo de perjudicar al modelo de negocio, la reputación o las condiciones financieras de una organización por no estar al nivel

requerido por la Ley, la normativa, las políticas y los estándares internos, así como las expectativas de los grupos de interés clave, tales

como los clientes, los empleados y la sociedad en general."

La amplitud de esta definición quedó reflejada en la definición de la función de cumplimiento de un banco elaborada por el Comité de

Basilea, en su publicación "Compliance Functions in Banks", de octubre de 20037.

Muchos de los encuestados consideraron que esta definición coincidía con lo que pensaban que era el riesgo de cumplimiento, pero

algunas instituciones internacionales consideraron que era demasiado amplia. Para ellas, el riesgo de cumplimiento se derivaba de la

posibilidad de incumplimiento de los requisitos legales y normativos que afectaban a la oferta de productos y servicios (relevantes). Algunos

consideraban que la definición propuesta se acercaba más al concepto de "riesgo reputacional", mientras que otros pensaban que era más

adecuada para "riesgo operativo". Además algunas empresas, sobre todo las situadas en Suecia y Japón, consideraban que era preferible

definir el riesgo de cumplimiento como "riesgo de que las empresas no se gestionen de acuerdo con los requisitos legales y regulatorios".

Algunos encuestados consideraban que el riesgo de cumplimiento implicaba las posibles consecuencias derivadas del incumplimiento

de leyes y regulaciones, en términos de una atención reguladora adversa para la empresa, pérdida de confianza en la función de

cumplimiento e impacto negativo en Cumplimiento y en tiempo de la Dirección.

Riesgo Regulatorio

Para algunos encuestados, el riesgo regulatorio era un concepto más delimitado que el de riesgo de cumplimiento, y se definía como el

riesgo de incumplir unas leyes y regulaciones concretas. Otros, en cambio, le daban una definición mucho más amplia:

"El riesgo de regulatorio se puede definir como el riesgo de sanciones reguladoras, pérdidas financieras o perjuicios a la reputación que

puede sufrir un banco por no cumplir todas las leyes o regulaciones aplicables [...] cambios en los modelos de negocio al objeto no sólo de

evitar el incumplimiento de las leyes y regulaciones aplicables sino también de responder al cambio en las expectativas de los reguladores."

Efectivamente, muchos encuestados mencionaban dos dimensiones en el riesgo de regulatorio: 1) incumplir las regulaciones y 2) no

responder a las expectativas de los reguladores. El riesgo regulatorio se puede interpretar como el riesgo de no avanzar desde el punto de

vista normativo al mismo nivel que avanza la regulación. Y ese nivel ha dejado de ser nacional: la Ley Sarbanes-Oxley es una muestra de

los efectos potenciales de la extraterritorialidad.

El riesgo regulatorio también establece la necesidad de ajustar los modelos de negocio para cumplir con las nuevas regulaciones

detalladas, sobre todo en términos de costes y de posibles impropiedades del negocio. También se mencionó a lo largo del estudio el riesgo

de que la comunicación con los órganos reguladores no fuera fluida. Sin duda la preocupación más explícita en ese sentido es que los

reguladores han cambiado sus objetivos y que han aplicado la retroactividad. Según los encuestados, estos temores aumentan la

incertidumbre, y obstaculizan el control de riesgos de las organizaciones.

6 Encuesta de PricewaterhouseCoopers y Economic Intelligence Unit, julio de 2003: "Compliance: A gap at the heart

of risk management".

7 La Unidad de Cumplimiento de un banco se puede definir según sigue: "Un departamento independiente que

identifica, evalúa, ofrece asesoramiento, controla e informa sobre el riesgo de cumplimiento del banco, es decir, el

riesgo de penalizaciones normativas o legales, de pérdida financiera o de perjuicio a la reputación que un banco

puede tener que afrontar a consecuencia del incumplimiento de las leyes, regulaciones, códigos de conducta y

estándares de buenas prácticas aplicables". Nota: El documento de octubre de 2003 era un documento de consulta.

El Comité de Basilea ha publicado hace muy poco (abril de 2005) una guía formal titulada Compliance and the

Compliance Function in Banks.

Principales retos reguladores planteados:

• Legislación relacionada con la prevención del blanqueo

de capitales

• Basilea II

• Mejora en la ejecución

• Disposiciones de cumplimiento

• Conflictos de intereses incluyendo abuso de mercado y

de información privilegiada

• Resaltar el trato a los clientes de un modo justo (retail)

• IFRS

• Requisitos de información al mercado y transparencia

• Legislación sobre privacidad

• Sarbanes-Oxley

• Regímenes de solvencia para aseguradoras

16 © PricewaterhouseCoopers - Proteger la marca

Riesgo Reputacional

A lo largo del estudio, se afirmó con frecuencia que el mayor temor de la Alta Dirección recaía en los daños que podían sufrir la reputación

de la empresa y la propia marca. También cabe decir, sin embargo, que a menudo no se decía qué se entendía por "riesgo reputacional" o

"riesgo de marca", y a veces eso era intencionado, en aras de la coherencia.

En algunos casos se proporcionó más consistencia a una potencial definición. Los perjuicios se producían, en cualquier caso, cuando

el comportamiento de la empresa era considerado impropio por los grupos de interés, bien sean éstos los órganos reguladores, los clientes,

los diversos operadores del mercado o, en algunos casos, el público en general. Una institución financiera lo describía del siguiente modo:

"[..] más amplio que el riesgo regulatorio, es el riesgo de cualquier actividad que pueda tener un efecto en la reputación de la empresa. No

tiene por qué ser de naturaleza jurídica".

Los encuestados destacaban la imposibilidad de cuantificar ese riesgo, ni siquiera de mitigarlo completamente en todas las

circunstancias, en especial cuando surgía sin que forzosamente se estuviera haciendo nada incorrecto en la organización. Por ejemplo, la

reputación podía quedar deslucida por una simple asociación. También hay que tener en cuenta el factor material: convertirse en el centro

de atención de los medios de comunicación por algo negativo puede causar daños irreparables, a pesar de que el incidente acaecido sea

de poca importancia o relevancia.

� Reflexiones

Claramente, no se alcanzó el consenso en lo que a definiciones se refiere. Pero las diferencias de significado y apreciación de estos riesgos

son comprensibles teniendo en cuenta la cambiante naturaleza de la gestión de riesgos, las diferentes etapas evolutivas de las unidades de

cumplimiento según la empresa, el posicionamiento de estas unidades dentro de las organizaciones de servicios financieros (desde el punto

de vista legal, del riesgo, de operaciones) y la receptividad cultural con respecto a la regulación. Ahora bien, las diferencias en las

definiciones apuntan a la necesidad de un lenguaje y un enfoque común con respecto a los riesgos de cumplimiento y regulatorio, en todos

los sectores además de entre el propio sector y los reguladores. Esto facilitaría una mayor coherencia a la hora de identificar y evaluar los

riesgos de cumplimiento.

A partir de las respuestas obtenidas durante el estudio, la definición de riesgo reputacional o de reputación es más genérica: un riesgo

general, donde todas las áreas de la empresa son vulnerables, puede derivarse de las actividades propias de la empresa o de las

cambiantes perspectivas de los grupos de interés externos que la empresa no logra anticipar de un modo adecuado. Al ser una de las

principales preocupaciones de los equipos directivos, el riesgo reputacional quizá podría proporcionar un marco dentro del cual los riesgos

para la organización pudieran estar correlacionados, de modo que se apreciara mejor su interdependencia. Sin embargo, los Consejos de

Administración y los Altos Directivos tienen que ser realistas en lo que respecta a las posibilidades de Cumplimiento: no pueden mitigar el

riesgo reputacional en general. El riesgo reputacional sólo puede controlarse mediante una cuidada orquestación de los diferentes

mecanismos de control disponibles en la empresa.

La falta de un lenguaje común, dentro de las propias organizaciones, en el sector, y entre los reguladores y el sector inhibe la claridad

y la transparencia en torno al papel y a las responsabilidades del cumplimiento. Es importante destacar que los que elaboran las normas a

escala internacional -Comité de Basilea, IAIS e IOSCO-, en términos de principios estratégicos, han marcado la pauta para una mayor

coherencia ideológica. La definición del Comité de Basilea de la función de cumplimiento demuestra que los reguladores esperan un

enfoque conceptual amplio, que refleje la responsabilidad de la Dirección para identificar, evaluar y gestionar todos los riesgos de

"Se tarda años en crearlo y todo puede perderseen un instante".

© PricewaterhouseCoopers - Proteger la marca 17

cumplimiento de su negocio de un modo efectivo. Esta definición no se identifica necesariamente con el alcance real de la función de

cumplimiento. La función de cumplimiento no puede asumir la responsabilidad de todos los riesgos de cumplimiento que pueden afectar a la

reputación de una organización, sólo de los relacionados con operativas de negocio específicas y predeterminadas por el mandato de la

Dirección. Al respecto, hubo un comentario muy sagaz que nos parece muy adecuado: "el papel del cumplimiento puede desmenuzarse de

muchas maneras: lo básico es la necesidad de garantizar que todo quede cubierto por alguien y que esté claro quién hace qué". Las

definiciones claras proporcionan la base para una adecuada asignación de responsabilidades.

También hubo varias interpretaciones sobre el alcance del riesgo de cumplimiento en términos de operaciones o transacciones

similares dentro de diferentes líneas de negocio, y en caso de tener operaciones internacionales. Las políticas de grupo pueden

proporcionar unos estándares mínimos, pero son necesarios mayores esfuerzos para garantizar que el riesgo de cumplimiento y el alcance

de la competencia de Cumplimiento se comprendan y penetren a través de toda la organización.

Este reto se complica con las diferentes políticas reguladoras, desde el punto de vista internacional e intersectorial. Los principios

reguladores esbozan la expectativa de los reguladores en lo que respecta a la gestión del riesgo de cumplimiento y a las funciones de

cumplimiento. Se espera que los equipos directivos cubran los vacios existentes. Sin embargo, la Dirección está preocupada por el hecho

de que, sin una guía clara, los reguladores dejen espacio de maniobra para luego poder criticar sus esfuerzos: un factor desestabilizador

teniendo en cuenta la actual percepción de que los reguladores tienden a modificar sus objetivos y a su aplicación retroactiva (véase el

siguiente apartado). Esta incertidumbre no beneficia a ninguna de las partes.

A partir del análisis realizado, se puede sugerir lo siguiente:

• El sector y los reguladores tienen que consensuar el significado -y su entendimiento- de "riesgo de cumplimiento" en las diferentes

líneas de negocio, tanto en general como en el contexto del papel de la función de cumplimiento.

• Desde un punto de vista internacional e intersectorial, los reguladores tienen que seguir alineando sus iniciativas con respecto a la

gestión de riesgos, incluyendo el riesgo de cumplimiento.

Riesgo reputacional

������������������������ �

������������ ����

�����������������

���������������

����

��� ������

����� �

� ��

18 © PricewaterhouseCoopers - Proteger la marca

Introducción de los requisitos nacionales con respecto a las funciones de cumplimiento8

Es evidente que hace tiempo que existe regulación en los países anglosajones sobre las funciones de cumplimiento en las sociedades de valores. En otros países también se puededibujar una trayectoria conceptual a partir de los requisitos relacionados con la prevención de blanqueo de capitales (PBC).

(1) Australian Standard on Compliance Program AS3806, borrador actualizadopublicado: los preceptos conforme a la Managed Investment Act aún no estabansubsanados en ese momento. Obligatoriedad de otros requisitos adicionales según laFinancial Services Reform Act. (2) Financial Transactions Report Act, 1988, en materia de operaciones en efectivo(no estipulaba el nombramiento de un Responsable de Cumplimiento).(3) Adopción de normas equivalentes a lo estipulado en la Directiva 91/308/CEE, laprimera directiva de prevención de blanqueo de capitales.(4) Para fondos de pensiones.(5) Regulación de la Ontario Securities Commission.(6) 2000, regulación de la Mutual Fund Dealers Association; 2001, regulación de laInvestment Dealers Association; 2002, Universal Market Integrity Rules.(7) Para bancos sujetos a la regulación CMF.(8) Más actualizaciones en 1995,1998 y 2002. La Federal Financial SupervisoryAuthority introdujo requisitos más detallados en cuanto a cumplimiento en 1999.

(9) No aplicable: la regulación actual no define de modo explícito el término función decumplimiento, sólo Unidad de Auditoría Interna.(10) Introducción anticipada para agentes-intermediarios.(11) El Cumplimiento estaba bajo la responsabilidad del auditor interno.(12) En los bancos no estaba definida de modo explícito la función de cumplimientopero sí había reglas sobre adecuación de la organización administrativa y contable ysobre los controles internos. Más cambios introducidos en materia de cumplimiento deauditoría interna.(13) La función de cumplimiento ha derivado tradicionalmente del régimen reguladoren materia de normas de conducta, conflictos de intereses, controles internos y niveladecuado de recursos administrativos.(14) Primera introducción como parte de un sistema de control interno según lasdirectrices de la Association Suisse des Banquiers, 2002: unas disposicionesespecíficas para las funciones de cumplimiento en bancos/sociedades de bolsa quese publicarán en breve por la Commission Fédérale des Banques.

(15) Antes de la introducción de la normativa específica de prevención de blanqueode capitales en 1991, existían disposiciones sobre identificación de clientes desde1977. Introducción del término "persona con exposición política" (líderes políticos ofuncionarios de gran exposición pública) y normativa relacionada en 1998 (despuésadoptada por el Grupo de Acción Financiera Internacional o GAFI): la CommissionFédérale des Banques publicó en 2003 la Anti-Money Ordinance, que anticipaba lamayoría de las 40 recomendaciones del GAFI.(16) Introducción de normativa para agentes-intermediarios.(17) Actualización de normativa para agentes-intermediarios, nueva normativa paraasesores de inversiones y fondos mutuos.(18) Para agentes-intermediarios y fondos mutuos.(19) Se espera una normativa definitiva para asesores de inversión y compañías deseguros en 2005.

País Banca Entidades de inversión SegurosFunciones de cumplimiento Cumplimiento PBC Funciones de Cumplimiento Cumplimiento PBC Funciones de Cumplimiento Cumplimiento PBC

1ª Actualización 1ª Actualización 1ª Actualización 1ª Actualización 1ª Actualización 1ª Actualizaciónintroducción introducción introducción introducción introducción introducción

Alemania 1993 2004(8) 1993 2002 1993 2004(8) 1993 2002 2002 - 1993 2002Australia 1998 2004(1) 1988(2) 2005 1998 2004(1) 1988(2) 2005 2002 - 2005 -Austria 1993 2002 1993(3) 2003 1993(4) 2002(4) 1996 2003 1993 2002 1978 2003Bahrein 1999 - 1989 2001 1999 - - - 2005 - 2001 -Bélgica 2001 - 1993 2004 2002 - 1993 2004 2005 - 1993 2004Canadá 1999/2000 2002/2003 1993 2001 1999(5) 2003(5) 1993 2001 1999/2000 2002/2003 1993 2001

2000/20012000(6)

España 1995(12) 2002(12) 1993 2003/2005 1988(13) 2002/2003(13) 1993 2003/2005 N/A N/A 1993 2003/2005Estados Unidos N/A N/A 1987 2002 1988(16) 2004(17) 2002(18) 2005(19) Ley Ley 2005(19) -

Estatal EstatalFrancia 1996(7) 2005 1991 2002 2001 2005 1991 2002 - - 1991 -Hong Kong 1991 2003 1997 2004 1997 2003 1997 2003 2002 - 1997 2000Italia N/A(9) N/A(9) 1991 1997/2004 2005(10) - 1991 1997/2004 N/A(9) N/A(9) 1991 1997/2004Japón 1999 2004 1990 2003 1992 2003 1990 2003 2000 2004 1990 2003Luxemburgo 1998(11) 2004 1989 2004 1998(11) 2004 1989 2004 - - 1991 2004Países Bajos 1999 2004 1993 2004 1999 2004 1993 2004 2004 - 1993 2004Suecia 1999 - 1993 1999 2002 2004 1993 1999 2000 - 1993 1999Suiza 2002 2005(14) 1991(15) 1998/2003(15) 2001 - 1991(15) 1998/2003(15) - - 1998 -Reino Unido 1988 2001 1993 2004 1988 2001 1993 2004 1988 2001 1993 2004

8 Si desea obtener más información, véase el Anexo I. Fuente: PricewaterhouseCoopers.

© PricewaterhouseCoopers - Proteger la marca 19Retos para lograr el cumplimiento

Introducción

Tradicionalmente, el cumplimiento normativo era un tema secundario para la mayoría de Altos Directivos y Consejos de Administración. Las

consecuencias para la empresa de los posibles incumplimientos se consideraban de relativa poca importancia. Ahora, en cambio, las

organizaciones se enfrentan a una presión sin precedentes, y los que ejercen esa presión son los órganos reguladores y demás grupos de

interés externos, la Alta Dirección y los miembros de los Consejos de Administración: es necesario hacer una buena gestión de los riesgos

de cumplimiento, regulatorio y reputacional. La permisibilidad ante este tipo de riesgo se encuentra donde debe estar: en unos niveles

bajos; algunos encuestados incluso respondieron con un "tolerancia cero". Al mismo tiempo, las organizaciones se enfrentan a un entorno

normativo cambiante, complejo e incierto.

¿Cuáles son los principales retos?

Como era de esperar, el estudio ha demostrado que una gran mayoría de los participantes9 eran conscientes de la clara y creciente

complejidad del entorno regulatorio, tanto en lo referente al volumen como a la frecuencia de los cambios, y ése les parecía el principal

impedimento para alcanzar el cumplimiento. Y esa complejidad la sufrían organizaciones de todo tipo (minoristas, mayoristas, seguros,

banca y gestión de activos). También se detectaba un cierto temor hacia posturas más agresivas de los reguladores y hacia la tendencia a

variar los objetivos no sólo con nuevas regulaciones sino también con las ya existentes. A las organizaciones les preocupaban también las

cambiantes expectativas (externas) de los grupos de interés en un sentido amplio (incluyendo los accionistas, clientes, etc.), en especial las

dificultades para anticipar los cambios, por ejemplo, cuando había que cuestionarse las prácticas de mercado existentes.

Los responsables de Cumplimiento recalcaban dos retos que están relacionados para lograr el cumplimiento sobre una base sostenible:

• Integrar una cultura de cumplimiento dentro de la organización, especialmente en los aspectos internacional e intersectorial.

• Mantener el cumplimiento sobre una base internacional e intersectorial en el contexto de un entorno de negocio dinámico y de unas

regulaciones cambiantes de forma muy rápida.

Las estrategias de negocio dinámicas aumentan los retos. La complejidad reguladora se incrementa exponencialmente cuando las

organizaciones operan a escala internacional, con la necesidad de equilibrar los requisitos nacionales y los internacionales. Efectivamente,

los encuestados identificaron muchos retos derivados de su presencia internacional (véase el cuadro de la página siguiente).

La falta de infraestructura tecnológica resultó ser el aspecto que más preocupaba a nivel interno, seguida de cerca por la falta de

reconocimiento de las responsabilidades de cumplimiento, tanto por el Consejo de Administración como por la Alta Dirección. También

destacaron las repercusiones de los recortes de gastos y de las políticas de control de costes.

Gran complejidad del entorno reguladorMala comunicación con los reguladores y demás grupos de interésexternosExpectativas cambiantes de los grupos de interésLa no participación de Cumplimiento en la toma de decisiones estratégicas(en lo relacionado con la estructura organizativa de la institución financiera,nuevos mercados o productos...)La organización de la función de cumplimiento (papel y responsabilidades)Falta de independencia de CumplimientoInfraestructura tecnológica insuficiente para controlar el cumplimientoMala integración con otras funciones, incluyendo gestión de riesgos,ventas y servicio de atención al clienteFalta de comunicación directa entre Cumplimiento y la Alta Dirección o elConsejo de AdministraciónÉnfasis en la reducción de gastos / control de costesFalta de personal cualificado en esta áreaPoca aceptación / comprensión por parte del Consejo de Administración /Alta Dirección de sus responsabilidades en materia de cumplimiento

��

��

��

����

��

��

����

�� ��

��

�

��

��

��

��

��

��

��

8 Si desea obtener más información, véase el Anexo I. 9 En el gráfico podemos ver el porcentaje del total de encuestados que identificó cada una de las categorías como un reto.

¿Cuáles son los principales retos para lograr el cumplimiento?8

20 © PricewaterhouseCoopers - Proteger la marca

También había otros impedimentos relacionados:

• No otorgamiento a Cumplimiento del poder, la autoridad, los medios y las capacidades necesarias para desarrollar sus funciones.

• Falta de estructuras organizativas eficientes, así como, responsabilidades y roles poco claros

• Diferentes expectativas entre grupos de interés internos (incluida la Dirección) y Cumplimiento

• Falta de pragmatismo por parte del personal de Cumplimiento al tratar con el negocio

• Diferente concienciación de los aspectos relacionados con el cumplimiento en los negocios de valores, banca, seguros y gestión de

activos.

Varios responsables de Cumplimiento se hicieron eco de las preocupaciones de los reguladores en lo referente al hecho de que la Alta

Dirección no parecía haber desarrollado correctamente una estrategia a largo plazo con respecto al cumplimiento. Uno de ellos nos comentaba

que sin una visión estratégica de cómo "lograr" el cumplimiento, la capacidad de su organización de seguir manteniéndose dentro de la norma

no era sostenible en un entorno complejo. En algunas jurisdicciones más avanzadas, se sugirió que los altos índices de rotación entre el

personal de los departamentos de Cumplimiento se debía a la frustración ante la falta de estrategias coherentes. En jurisdicciones menos

avanzadas, se dijo que la Dirección consideraba el cumplimiento como "un punto que no les gustaba pero que era inevitable", y a la función de

cumplimiento la veían como la que lograba calmar los ánimos entre los reguladores, en lugar de verla como una herramienta de apoyo para

una gestión efectiva.

¿Cómo compagina el alcance del cumplimiento con los valores yobjetivos corporativos?Algunas de las preguntas de nuestro sondeo intentaban aclarar el alcance de Cumplimiento, evaluar si coincidía con los objetivos y valores

de la organización y los retos de cumplir esos objetivos: básicamente, reflejando el comentario del Comité de Basilea que decía que "la

gestión del riesgo de cumplimiento es más efectiva cuando la cultura de un banco enfatiza los elevados estándares que han de regir los

comportamientos éticos a todos los niveles del banco"10.

Según el estudio, la mayoría de los códigos éticos y de conducta de las entidades (o códigos de conducta que se referían a estos

aspectos) habían sido claramente definidos por el Consejo, o por la Alta Dirección con la supervisión del Consejo. Curiosamente, no fueron

muchos los encuestados que mencionaron una relación directa entre los valores corporativos y los objetivos de responsabilidad social de la

organización. Los responsables de Cumplimiento solían estar involucrados directamente en la preparación de la declaración de valores

corporativos y códigos éticos. Después, esos códigos pasaban a manos del Consejo o la Dirección, o quedaba delegada su aplicación a la

función de cumplimiento o, en algunos casos, a Recursos Humanos. Esta delegación, sin embargo, preocupaba a los reguladores, por el

riesgo de discontinuidad cuando se extendiera por la organización.

La frecuencia con que se revisan las declaraciones de valores corporativos y códigos de ética varía (anualmente, cada 2 ó 3 años… o

incluso "cuando surja la necesidad"). Las estrategias de comunicación activas, iniciadas por la Alta Dirección se hacen evidentes en algunas

respuestas, pero en muchos casos se adopta una actitud pasiva, jugándose todas las cartas a la intranet y a la red de Cumplimiento. Hubo

sólo algunos ejemplos de declaraciones de personal o pruebas concretas, aunque en estos casos se trataba sin duda de dar una imagen

de seguridad en cuanto a la amplitud de la concienciación. La formación especializada y las encuestas sobre temas éticos también parecen

ser limitadas, aunque los empleados de un conglomerado europeo aplicaban métodos para seleccionar alternativas de actuación, de

acuerdo con las políticas corporativas y con los valores éticos.

Los retos de Cumplimiento para los negocios conpresencia internacional• Diferentes interpretaciones del concepto de ética

empresarial (y de los objetivos de cumplimiento)teniendo en cuenta el trasfondo cultural de cada país,que la Dirección no siempre logra conciliar.

• Diferentes estados en la evolución de la función decumplimiento y de su papel en los diferentes países ylíneas de negocio:- Variaciones en las habilidades técnicas de

cumplimiento- Convencimiento a Dirección de la lógica inversa del

potencial aumento de los errores o debilidades deregulación cuando se implanta una función decumplimiento o cuando se amplía su espacio demaniobra

- Comunicaciones no efectivas- Falta de un "lenguaje" común para el riesgo de

cumplimiento• Desconexión entre la política de cumplimiento a nivel

grupo y los procedimientos nacionales.• Posibles distorsiones competitivas a escala nacional a

resultas del enfoque de cumplimiento a nivel grupo.• Desarrollo no eficiente de los productos y servicios de

cumplimiento en diferentes jurisdicciones.• Superposición de los requisitos reguladores en

diferentes sectores financieros.• Poder de los reguladores diferente y cambiante,

politización del regulador.• Agendas políticas nacionales/regionales que crean

barreras a los negocios.• Diferencias en las expectativas de los accionistas en

materia de buen gobierno corporativo y cumplimiento(combinado con el diferente poder/influencia de losaccionistas). Mayores expectativas y conocimientosfinancieros de los clientes, incluidos los consumidores.

• Mayor impacto de los medios de comunicación.

10 Comité de Basilea. "The compliance function in banks", octubre de 2003, p. 2.

© PricewaterhouseCoopers - Proteger la marca 21

¿Qué visión tiene la organización del cumplimiento?

Para evaluar la evolución de la visión de la organización y para ver si se están estableciendo los vínculos necesarios entre Cumplimiento y

los valores corporativos y la ética, por un lado, y la estrategia de la organización por el otro, se pidió a los participantes que describieran su

propia percepción y que nos dijeran si habían detectado cambios en los tres últimos años.

La visión actual de las organizaciones iba desde frases como "el cumplimiento no debería tener unos costes muy elevados y ser un

elemento perturbador" hasta otras como "debería proporcionar un asesoramiento de alta calidad a los empleados y a la Dirección". Algunas

organizaciones afirmaron que el cumplimiento formaba parte de la "cultura corporativa", pero que eran necesarios más esfuerzos para

implementarlo por completo en la organización. Si se percibía la necesidad de tener una función de cumplimiento (por ejemplo, en

organizaciones activas a escala internacional) y/o si ésta es un requisito de la regulación nacional, solía haber una alineación más clara

entre la visión del cumplimiento y los valores éticos.

En todos los casos, la visión del cumplimiento había cambiado en los últimos tres años: normalmente a través de obligaciones legales

reforzadas, pero a veces como anticipación a las expectativas de los reguladores o por seguirle el ritmo a las buenas prácticas de negocio a

escala internacional. Sin duda, la Alta Dirección es más consciente de la importancia del cumplimiento en cuanto a la protección de la marca

y la reputación, pero muchos responsables de cumplimiento expresaban su preocupación en torno al hecho de que las responsabilidades

percibidas podían exceder de su autoridad formal en ese sentido.

En las organizaciones con presencia internacional, en los tres últimos años, la visión parece haber madurado, más que cambiado, y

ofrecen un enfoque más profesional y formal del cumplimiento. Los encuestados destacan una mayor sensibilidad y concienciación, tanto

dentro del sector como en sus propias organizaciones, de la necesidad de ser proactivos, de tener programas sólidos de cumplimiento,

apoyados siempre por la Alta Dirección. Se fomentan las estructuras centralizadas de cumplimiento (de grupo o de división), y cada vez parece

que se es más consciente de que las actividades de cumplimiento deberían realizarse de modo centralizado y posteriormente, dejarse en

manos de líneas de negocio y entidades determinadas.

¿Cuál es el alcance deseado del cumplimiento?

La mayoría de los encuestados dijeron que sus empresas aspiraban a respetar:

• La regulación propia del negocio.

• Los códigos de buenas prácticas y de buena conducta del sector.

• Las políticas y códigos internos de buena conducta.

No obstante, como ya se ha dicho, se ha confirmado que todas las responsabilidades relacionadas no recaen enteramente en la función de

cumplimiento. El respeto de la regulación propia del negocio, por ejemplo, prácticamente siempre es responsabilidad de Contabilidad o

Finanzas. Algunos encuestados indican que el principal objetivo de Cumplimiento es garantizar el respeto total de las leyes y regulaciones con

relación a las operaciones del negocio; otros, en cambio, incluyen también los códigos de buena conducta del sector. Además, los llamados

"códigos de buenas prácticas del sector" no siempre se ven ni como buenas prácticas ni apropiados para la organización.

Un 14 % de las organizaciones quiere ir más allá del respeto de la legislación y la normativa, centrándose en satisfacer las

expectativas de otros grupos de interés (clientes, comunidades, etc.) y adoptando valores sociales éticos. Estos encuestados indicaban que

se trata de un tema en que todo el sector debe centrarse. Cada vez son más las organizaciones que adoptan un enfoque pragmático al

determinar qué es lo que deben "cumplir" o respetar. Si bien se adhieren a los mínimos requisitos de todas las áreas, un número significativo

de encuestados afirman querer destacar en determinadas áreas. Una persona del Reino Unido destacaba que dada la naturaleza del

Ventajas identificadas ante una mayor formalización de

la función de Cumplimiento:

• Obtener un mayor respeto, con una mayor influencia en

las decisiones de negocio.

• No ser vista únicamente como una herramienta de

control, sino como un apoyo continuo y activo al equipo

directivo.

• Ampliar el alcance de la responsabilidad de

Cumplimiento (más allá de las políticas de prevención

de blanqueo de capitales, de valores...).

• Contar con una mayor concienciación acerca de los

requisitos de cumplimiento en toda la organización.

• Adoptar un enfoque de cumplimiento más integrado en

toda la entidad.

• Adoptar enfoques basados en el riesgo según unos

niveles de tolerancia predeterminados para el riesgo de

cumplimiento/regulatorio, dependiendo del tipo de

negocio.

• Ver a Cumplimiento como un elemento que contribuye a

los objetivos estratégicos, por ejemplo, con estándares

de buen gobierno corporativo.

• Ofrecer información retrospectiva y previsora para el

Consejo de Administración y la Alta Dirección.

• Lograr una interacción más proactiva entre

Cumplimiento y el negocio.

• Conseguir una mayor apreciación del valor potencial de

Cumplimiento por parte de los grupos de interés

externos (aparte de los reguladores).

22 © PricewaterhouseCoopers - Proteger la marca

modelo de negocio de su organización, el contar con un amplio programa de gestión de riesgos, incluido el riesgo de cumplimiento, se había

convertido en un tema de importancia capital. En consecuencia, su organización creía que tenía que hacer un gran esfuerzo para responder

a los dos primeros elementos (regulación propia del negocio y códigos de buenas prácticas y buena conducta del sector, etc.), y utilizar la

última (políticas y códigos internos) como una herramienta de negocio que ayudara a maximizar sus resultados.

En el estudio se dijo también que si se perdía la confianza de los reguladores, quedarían limitadas las oportunidades de negocio. Sin

embargo, el escepticismo regulador parecía ampliarse más allá de los puros requisitos reguladores, hasta las buenas prácticas. Un

regulador nos comentaba que las instituciones anuncian, a priori, su intención de cumplir con las buenas prácticas, pero que tras realizar un

análisis de costes y beneficios, no suelen llevar a cabo sus planes iniciales.

� Reflexiones

Si miramos las respuestas en general, aparecieron serios retos para lograr el cumplimiento, tanto a nivel interno como externo. Desde una

perspectiva externa, el estilo y fuerza de los reguladores y de la aplicación de la legislación son una evidente fuente de preocupación, con

una especial consternación ante las cambiantes expectativas de los reguladores. Las políticas reforzadas para evitar el blanqueo de

capitales y para combatir la financiación del terrorismo aumentan de modo significativo las preocupaciones con respecto a la aplicación de

la legislación. Aunque el impacto de las investigaciones por parte del fiscal general del Estado de Nueva York, Eliot Spitzer, se han hecho

sentir sobre todo en Norteamérica, su repercusión ha sido mundial. Las organizaciones están preocupadas por si este nivel de

incertidumbre llegara a generar una aversión al riesgo que bloquee el sector.

En el lado positivo, se han extendido valores corporativos, códigos éticos y de conducta y las empresas formulan mejor lo que consideran

“han de cumplir”, en un contexto más amplio de grupos de interés. Sin embargo, el daño generado por los recientes incidentes de alto nivel y

las reacciones de los reguladores parecen ser el motor principal de la reformulación de la visión corporativa del cumplimiento. Esta situación

puede muy bien cambiar con el tiempo si dejan de producirse incidentes de este tipo. En muchos países cubiertos por el estudio, las empresas

aplicaban la ley del mínimo esfuerzo en cuanto a cumplimiento hasta que se han visto obligadas por ley. Es posible que la presión futura

provenga de otros grupos de interés, como los inversores institucionales y, posiblemente, las agencias de calificación. La falta de avances para

demostrar el valor del Cumplimiento significa que cuando desaparezca la presión, el cumplimiento quedará relegado por otras prioridades de

negocio y reguladoras.

Desde una perspectiva interna, muchos encuestados recalcaban los retos que plantea el hecho de que la Alta Dirección y los cargos

intermedios siguen sin apreciar los potenciales beneficios para el negocio del cumplimiento. La Dirección debe adoptar un continuo enfoque

coherente top-down y bottom-up para cambiar las maneras de pensar en su organización, con el objetivo de implantar un profundo

sentimiento de integridad. Esto representa una carga no sólo para las organizaciones que se enfrentan a nuevos requisitos en relación con

Cumplimiento. Efectivamente, intentar lograr una comprensión práctica y amplia de las ventajas inherentes de crear comportamientos,

prácticas y procesos de negocio apropiados diseñados para el cumplimiento, puede ser más difícil en aquellos lugares en los que la función

de cumplimiento exista desde hace tiempo: los cambios sutiles suelen ser más complicados de conseguir que los sustanciales. Si las

organizaciones no están convencidas de los beneficios a largo plazo, se corre el riesgo de que -cuando mengüe la presión reguladora y el

miedo asociado- la Dirección deje de poner en marcha los procesos de cambio necesarios para modificar las mentalidades corporativas de

modo sostenible11.

���

���

��

��

��

� �� �� �� �� �� �� �� !� "� ���

¿Qué cumple su empresa?

Estándares sociales y éticos/RSCPolíticas y procedimientos internosBuenas prácticas del sectorNormas comerciales de conducta/del mercadoRegulación propia del negocio

% de respuestas totales

© PricewaterhouseCoopers - Proteger la marca 23

Intentar tratar todos los aspectos asociados en un único proyecto, probablemente no será efectivo. En lugar de eso, las constantes

iniciativas en una serie de áreas interrelacionadas (con reevaluaciones conforme vaya evolucionando la situación), junto con una visión más

clara del final a largo plazo, son básicas. Basándonos en el análisis de los resultados del estudio, entre los retos iniciales a que se enfrentan

los equipos directivos, destacamos los siguientes:

• Evaluar el riesgo de forma integral, ahondando en la correlación entre los diferentes tipos de riesgo de mercado y negocio en términos

de riesgos de cumplimiento, regulatorio y reputacional.

• Dada una definición de riesgo de cumplimiento para todas las actividades de negocio, determinar claramente los papeles y

responsabilidades de la función de cumplimiento, en el contexto de otras disciplinas de apoyo y control, como Auditoría Interna,

Asesoría Jurídica, Gestión de Riesgos, Recursos Humanos, etc.

• Establecer el correcto equilibrio entre los roles de “asesor" y "policía" para Cumplimiento, y proporcionar flexibilidad para que esos

papeles puedan evolucionar.

• Proporcionar los recursos adecuados a Cumplimiento, estableciendo un objetivo de eficiencia a través de los apropiados recursos

humanos y financieros, con el apoyo de una sólida infraestructura tecnológica.

• Adoptar un enfoque bottom-up y top-down para lograr el cumplimiento, a través del cual los procesos y las prácticas de negocio sean

reevaluadas para garantizar el cumplimiento actual y futuro, tomando en especial cuenta las necesidades tecnológicas.

• Sobre todo, concentrarse en implantar un profundo sentimiento de integridad en el ADN de la organización, fomentando los

comportamientos y las actitudes adecuadas y haciendo uso de Cumplimiento como herramienta para fomentar y promulgar el sistema

de valores requerido.

El resto de este informe se plantea aspectos como los papeles y las responsabilidades de la función de cumplimiento, su configuración y, en

particular, los medios por los que promover unos comportamientos adecuados y, en consecuencia, extraer el valor inherente de

Cumplimiento para todo el negocio. Ahora bien, los esfuerzos y los avances en este sentido es probable que no tengan efecto a largo plazo

si no se difunden con el completo apoyo de la Alta Dirección a la realización del valor intrínseco de los comportamientos en regla, apoyados

por las prácticas y los procesos de negocio adecuados.

A partir del análisis realizado, se puede sugerir lo

siguiente:

• La Dirección debe evaluar el rol actual y futuro de

Cumplimiento, como parte de las estrategias a largo

plazo que deben configurar las prácticas y los procesos

de negocio -y su infraestructura general- con vistas a

implantar un profundo sentimiento de integridad y de

facilitar los comportamientos adecuados en sus

empleados. Debe tener en cuenta que las personas no

pueden tener un comportamiento coherente con la

integridad si los procesos de negocio crean barreras

infranqueables.

11 Las iniciativas que pueden ayudar a las organizaciones a nutrir esa mentalidadacorde con el cumplimiento se tratan con más detalle en la web dePricewaterhouseCoopers sobre buenas prácticas a escala internacional:www.globalbestpractices.com

24 © PricewaterhouseCoopers - Proteger la marca La función de Cumplimiento: ¿policía o asesor?

¿Cuáles son los objetivos de Cumplimiento?

La mayoría de los encuestados consideraba que todos los objetivos que les planteábamos eran relevantes, en mayor o menor grado (véase

el gráfico de la izquierda). Sin embargo, "garantizar que la empresa cumpla la regulación que le es de aplicación" se situaba a la cabeza de

las preferencias, seguida de cerca por "garantizar que el riesgo de reputacional se gestione de manera efectiva" y "garantizar que el riesgo

regulatorio se gestione de manera efectiva". Las dos afirmaciones que recibieron menos votos fueron "crear una mayor confianza en la

organización por parte de los clientes" y "actuar como difusor del cliente dentro de la empresa". Dicho esto, una persona australiana que

participó en la encuesta consideraba que Cumplimiento era una herramienta de marketing, diferenciadora de su organización respecto a la

competencia. La relación entre la gestión del riesgo de reputacional y la confianza del cliente, obtuvo un papel destacado.

Uno de los encuestados de Norteamérica nos indicaba que algunos de los objetivos terminaban en un cajón, por falta de recursos, y

daba el ejemplo de "ayudar a la empresa a anticipar y planificar los cambios en las regulaciones". En cambio, un encuestado del Reino

Unido subrayaba la importancia de este objetivo en concreto, pues permitía a Cumplimiento ofrecer un mejor asesoramiento a la Dirección

al igual que ayudar a preparar el negocio para los cambios asociados a los desarrollos normativos.

Un aspecto recurrente fue la necesidad de hacer más hincapié en el apoyo y el asesoramiento a la Dirección. Un banco francés

destacaba que el objetivo preponderante debía ser mantener a la Dirección alejada de los problemas, y eso implicaba tres metas básicas

para Cumplimiento:

a) Proporcionar asesoramiento y apoyo a la Dirección para gestionar el riesgo regulatorio en términos de la operativa de negocio.

b) Formar y educar al personal, aumentar su concienciación con respecto al cumplimiento en el negocio.

c) Mejorar las relaciones con los reguladores a través de un continuo diálogo y a través de la participación en el debate regulatorio.

De esto se hace eco, hasta un cierto punto, uno de los encuestados de Norteamérica, que sugería que el objetivo general de Cumplimiento

debería consistir en proporcionar la pericia y los conocimientos necesarios para que la organización pudiera gestionar los riesgos regulatorio

y reputacional, y que esto pudiera hacerse desde las propias líneas de negocio, para así ser vistos como un asesor de confianza

(involucrado con la gestión del cambio, la formación, el asesoramiento, etc.), y desde la Dirección, verificando el cumplimiento (haciendo

pruebas, controlando el riesgo, etc.). Curiosamente, las entidades francesas tendían a restar importancia a las actividades de verificación

del cumplimiento.

¿Cuáles deberían ser los objetivos principales de Cumplimiento en una entidadfinanciera?

Ayudar a la empresa a anticipar y planificar los cambios en lasregulacionesGarantizar que el riesgo reputacional se gestiona de manera efectivaGarantizar que la empresa cumple la regulación aplicableActuar como defensor del cliente dentro de la organizaciónInfluir en el proceso regulador en interés de la organizaciónGarantizar que el riesgo regulatorio se gestiona de manera efectiva Garantizar el cumplimiento de la normativa y de los códigos de conductainternos y externos en el desarrollo de nuevos productos y mercadosFormar y educar al personal en cuanto a los requisitos reguladores y depolíticas y procedimientos internos Crear una mayor confianza en la organización por parte de los clientes Actuar como un depósito central de toda la información, sobre códigos yprácticas de negocio y garantizar su difusión a todas las personasprocedentes de la organizaciónAsesorar a las unidades de negocio sobre cómo garantizar que los nuevosservicios y productos estén dentro de las normas de cumplimiento

��

����

"

��

��

��

��

��

��

��

�

��

��

��

��

��

��

��

Objetivos de Cumplimiento

% de respuestas totales

© PricewaterhouseCoopers - Proteger la marca 25

¿Cuáles son las funciones y las responsabilidades de Cumplimiento?

Una serie de preguntas del cuestionario estaban pensadas para sondear las funciones y las responsabilidades actuales de Cumplimiento.

El estudio sacó a la luz que estaban cambiando de acuerdo con los objetivos tratados anteriormente. Para algunos, Cumplimiento seguía

siendo sobre todo una disciplina de control, pero el peso de la balanza estaba cambiando y se tendía al equilibrio entre el papel de "asesor"

(asesor de confianza) y el de "policía". Un 30 % de los encuestados indicaban que los papeles y responsabilidades de Cumplimiento se

formalizaban a nivel de grupo y línea de negocio, por medio de unos estatutos de cumplimiento, términos de referencia formales o

documentos similares. Un 33 % afirmaba que éstos estaban implícitos en las políticas de cumplimiento.

Los encuestados coincidían ampliamente con la lista de actividades de Cumplimiento presentada en la tabla (a continuación). Las

actividades se podían dividir en los dos papeles, pero los encuestados destacaban que había una interrelación sustancial entre ambos (cabe

destacar que los porcentajes de la tabla son puramente indicativos) y algunas tendencias se hacían evidentes.

En los países anglosajones (Estados Unidos, Canadá, Australia y el Reino Unido), se hacía un mayor énfasis en un enfoque de "policía

amable": la actividad de control de Cumplimiento representa un porcentaje mayor que la media internacional, y el "asesoramiento" se sitúa en un

porcentaje más igualado. Sin embargo, esto también podría reflejar un enfoque más manual de las actividades de control del cumplimiento, y una

falta de apoyo tecnológico. Las entidades de Japón y Hong Kong hacían bastante más hincapié en la formación y la educación de las unidades

de negocio, y en la implantación de una cultura de cumplimiento. Los encuestados de la Europa continental parecían fomentar el establecimiento

de políticas y procedimientos de cumplimiento; el control y la interpretación de los desarrollos reguladores y el asesoramiento a la organización.

"Todavía no está claro si soy un vicario o un policía."

Estatutos/términos de referencia de Cumplimiento

Porcentaje de actividad de la función de cumplimientoANGLO- EUROPA

TOTAL SAJONES ASIA CONTINENTAL

PolicíaControlar el cumplimiento con procedimientos 16 26 11 10Informar a la Dirección 8 10 10 5AsesorFomentar la adopción de una cultura de cumplimiento en la organización 5 3 10 6Relación con reguladores 6 7 1 5Controlar e interpretar los desarrollos normativos 12 7 12 13Tomar medidas preventivas o correctoras* 5 5 7 3Establecer políticas y procedimientos de cumplimiento 16 11 12 22Proporcionar asesoramiento (incluyendo una línea de ayuda especial) 19 19 23 22Procesos de aprobación nuevos productos/mercados 5 4 2 6Formar y educar a las unidades de negocio 6 5 11 6Mayor desarrollo del papel de la función de cumplimiento 2 3 1 2

100 100 100 100

* Las medidas correctoras suelen contemplarse dentro del papel de "policía".

Explícitamente en unos estatutos (o similar)Implícitamente en políticas o instruccionesNo hay estatutos ni nada parecidoActualización en curso/necesariaEn desarrolloNo sabe / no contesta

26 © PricewaterhouseCoopers - Proteger la marca

Tres líneas de control:• Unidad de negocio - ejecución de controles• Cumplimiento de grupo - supervisión del control

y de las pruebas• Auditoría de grupo - auditoría independiente

Policía

Control del cumplimiento con políticas y procedimientos

Más del 95 % de los encuestados indicaban que Cumplimiento debía responsabilizarse del control de la adhesión a las políticas y

procedimientos, en muchos casos trabajando codo con codo con Auditoría Interna. Sin embargo, en algunas ocasiones -normalmente

cuando Cumplimiento estaba en un estadio menos avanzado-, esto era responsabilidad exclusiva de Auditoría Interna. En cambio, en

algunos países europeos, donde los requisitos explícitos de Cumplimiento eran relativamente recientes, se hacía menos hincapié en la

función de control de Cumplimiento (destacaba más su función de asesoramiento a la organización).

Controlar las transacciones diarias (operativa sospechosa de los empleados, etc.) solía ser una parte intrínseca de la responsabilidad

del personal local de Cumplimiento. Este personal podría ser al mismo tiempo responsable de la supervisión y control a nivel de unidad de

negocio, con lo cual se podría crear confusión en la diferenciación de los dos papeles. El reporting normal se llevaba a cabo a la Dirección

local y a través de la red de Cumplimiento de forma simultánea.

En caso de que existieran las infraestructuras tecnológicas apropiadas, Cumplimiento a nivel grupo respaldaba este control en

"tiempo real" (p. e., con un control del posicionamiento de negocio global). Cumplimiento a nivel grupo también llevaba a cabo visitas de

control especiales, a veces junto con Auditoría Interna y Asesoría Jurídica. Un participante europeo nos contó que su empresa llevaba a

cabo tres o cuatro revisiones "temáticas" al año en áreas de riesgo específicas. Un participante norteamericano nos indicó que Auditoría

Interna hacía de 20 a 30 revisiones especiales de cumplimiento al año. A gran escala, Cumplimiento colaboraba estrechamente con

Auditoría Interna para hacer un seguimiento de las políticas de cumplimiento, a menudo para asesorarle sobre lo que debería cubrir su plan

de auditoría anual. Ahora bien, aunque las funciones de Cumplimiento y de Auditoría Interna quedaran descritas en estatutos de

cumplimiento o acuerdos de nivel de servicio (en sus siglas inglesas, SLA, de service level agreements), algunos encuestados también

mencionaban que la línea entre ambas disciplinas era confusa, y que la Alta Dirección y la propia organización no siempre entendían las

diferencias entre ambas funciones. También se apuntó que si la comunicación era fluida, se podía evitar la superposición entre

Cumplimiento y Auditoría Interna.

La capacidad de Cumplimiento para preparar debidamente su propio plan de control dependía de su conocimiento tanto de los

hechos pasados como de los desarrollos previstos para el negocio y la normativa aplicable. Si Cumplimiento no participaba directamente en

las nuevas iniciativas de negocio, los encuestados decían que en la mayoría de los casos tanto la organización como Auditoría Interna le

informaban sobre los potenciales riesgos de los nuevos negocios (véase la p. 33).

Emprender medidas correctoras

La Dirección de la línea de negocio de que se trata es la responsable, en la mayoría de los casos, de la rectificación de los posibles errores

y puntos débiles de cumplimiento, aunque también es cierto que algunos encuestados afirmaron que esa labor correspondía a

Cumplimiento. En las principales organizaciones, Cumplimiento:

• Decidía si debía informarse de una irregularidad al regulador.

• Informaba a la Alta Dirección en el caso de que la irregularidad debiera notificarse al regulador y/o se considerara importante desde una

perspectiva interna.

© PricewaterhouseCoopers - Proteger la marca 27

• Asesoraba a la organización sobre la rectificación aplicable.

• Hacía un seguimiento del avance de la rectificación (junto con Auditoría Interna).

• Informaba a la Alta Dirección / al Consejo sobre el avance de las rectificaciones emprendidas.

Si no se informaba al regulador, las irregularidades eran comunicadas a la alta Dirección o al Consejo, en función de su trascendencia

(siguiendo unos parámetros establecidos). Uno de los encuestados contaba con un sistema de gradación de incidentes que predeterminaba

quién debía responsabilizarse de la rectificación (véase la p. 42). Más del 90 % de los encuestados afirmaban que se aseguraban de que

se realizara un análisis de las causas para identificar casos de debilidades potenciales, garantizando que se emprendían las actuaciones

adecuadas, incluyendo la penalización del personal en caso necesario. Curiosamente, sin embargo, no existía ningún proceso de

rectificación de irregularidades en determinadas organizaciones si la función de Cumplimiento era nueva y si no se habían producido

incidentes significativos en el país.

Informar al Consejo de Administración o a la Alta Dirección

Un 84 % de los encuestados informaban directamente al Consejo o a un Comité concreto del Consejo; el otro 16 % informaba a la Alta

Dirección. En más del 95 % de las organizaciones, o bien un miembro de la Alta Dirección era Responsable de Cumplimiento o el

Responsable de Cumplimiento reportaba directamente a uno de los miembros de la Alta Dirección. Un 40 % de los encuestados indicaba

que el reporting formal al Consejo era trimestral, y un 17 % decía que en realidad era más frecuente (cinco veces al año o incluso mensual).

Un 3 % no preparaba informe formal alguno para el Consejo.

¿Con qué frecuencia informa Cumplimiento al Consejo de Administración?

AnualmenteSemestralmenteTrimestralmente5 veces al añoCada dos mesesMensualmenteCon regularidadSi se le solicitaNo le informa

28 © PricewaterhouseCoopers - Proteger la marca

Asesor

Las organizaciones con presencia internacional son más conscientes de que Cumplimiento puede añadirles valor, tanto desde el punto de

vista estratégico como en el día a día, si se le percibe como un asesor de confianza de la Dirección en todos los niveles del negocio. Esta

tendencia es evidente en la mayoría de las regiones cubiertas por el estudio, aunque en algunas organizaciones parece haber una

desconexión entre el objetivo de fomentar una cultura del cumplimiento y el poder, la autoridad, los medios y las capacidades efectivamente

otorgadas a la Unidad de Cumplimiento. En Europa continental (p. e. Bélgica, los Países Bajos y Suecia), el concepto parece que, en

general, se entiende bien, pero todavía no se han desplegado por completo las estructuras y los recursos necesarios. En el Reino Unido y

Canadá, hubo un movimiento coherente en esa dirección, aunque algunos encuestados sugerían que se estaban creando algunas

tensiones políticas dentro de la empresa.

El papel como asesor del negocio creaba diferentes roles y responsabilidades a nivel local, regional y de grupo, y entre entidades

legales y líneas de negocio. Una organización australiana repartía las responsabilidades entre el grupo y las unidades de negocio, tal y

como se muestra en el cuadro.

Fomentar la adopción de una cultura de cumplimiento dentro de la organización

Como actividad general -que incide en mayor o menor grado en todas las demás actividades-, el porcentaje relativamente bajo de la tabla

anterior (p. 25) es comprensible. Pocos proyectos o actividades en curso se relacionaron con la afirmación "fomentar la adopción de una

cultura de cumplimiento", aunque una amplia gama de actividades se podía diseñar con este objetivo en mente, tanto explícita como

implícitamente. El principal papel que Cumplimiento representa en el fomento de la cultura de cumplimiento está relacionado con la

comunicación, diseñado para facilitar una interpretación coherente de la visión de Alta Dirección por parte de las unidades de negocio. Los

encuestados describían esta función como "vital", "crítica", "central", pero también como "sutil" e "intrínseca". Ahora bien, en algunas

empresas no se le daba un papel formal. Otros encuestados decían que eran conscientes de que era necesario que tuviera más funciones.

Para ser efectivo, Cumplimiento necesitaba hacerse con el respeto de las unidades de negocio, y eso no dependía únicamente de que

fuera capaz de demostrar sólidos conocimientos sobre el negocio, también dependía de que la Alta Dirección le reconociera explícitamente

su estatus dentro de la organización.

La mayoría de los encuestados indicaban que Cumplimiento era un asesor activo del Consejo y de la Dirección a la hora de llevar a cabo

cambios necesarios por nuevas regulaciones específicas. Cumplimiento informaba al Consejo sobre los efectos para el negocio de los

desarrollos normativos, presentaba propuestas para los cambios requeridos y su implementación debía contar con el apoyo de la Dirección. Un

encuestado norteamericano afirmaba que la función de Cumplimiento iba más allá, y llegaba hasta la evaluación de la efectividad de los cambios

por medio del feedback por parte de los empleados, y pasaba por hacer que esos cambios fueran sostenibles, por medio del desarrollo de un

escenario adecuado u otras herramientas de formación, con tal de ayudar al negocio a adaptarse a los cambios en su día a día.

Sólo en algunos casos había claras indicaciones del papel activo de Cumplimiento -y de su autoridad- en términos de programas de

gestión del cambio coherentes, con vistas a la mejora de la cultura de cumplimiento.

Responsabilidades de Cumplimiento a nivel grupo

• Establecer la visión, el perfil, los objetivos y la cultura

• Establecer el marco, la política y la estrategia

• Comunicar que la gestión de cumplimiento y del riesgo

operacional es una prioridad institucional

• Proporcionar y compensar una actitud abierta "sin

sorpresas"

• Actuar como asesor del negocio para la implementación

de políticas

• Supervisar el entorno de control

• Gestionar la interacción de los grupos de interés para

lograr su concienciación y colaboración

• Obtener y actuar con respecto a la información de

gestión relevante

Responsabilidades de Cumplimiento a nivel de unidad

de negocio

1. Crear un perfil y una cultura de concienciación del riesgo.

2. Implementar y gestionar una estrategia de riesgos

coherente en toda la organización.

3. Comunicar que la gestión de los riesgos de

cumplimiento y operacional es una prioridad de la

organización.

4. Traducir esa estrategia en políticas, procesos y

procedimientos.

5. Promocionar y compensar una actitud abierta "sin

sorpresas".

6. Implementar y mantener un ambiente de control efectivo.

7. Generar y utilizar sistemas de información de gestión

efectivos.

© PricewaterhouseCoopers - Proteger la marca 29

Controlar las expectativas de los grupos de interés externos

Las expectativas cambientes de los grupos de interés, en el sentido amplio, se considera un reto significativo para lograr el cumplimiento

(véase la p. 19). Aunque en Norteamérica, Australia, Japón y el Reino Unido existía un enfoque relativamente sistemático y amplio con

respecto al control de las expectativas de los grupos de interés externos desde el punto de vista del cumplimiento (se implicaba a

Cumplimiento y a otros departamentos de apoyo, como los departamentos jurídicos, de atención al cliente, marketing, etc.), en algunos

países europeos, su control en responsabilidad principalmente de Cumplimiento.

Como era de esperar, los reguladores eran considerados el grupo de interés más importante desde una perspectiva de cumplimiento. Los

auditores externos también recibieron puntuaciones altas, junto con la aplicación de la legislación. A los clientes, los analistas (incluyendo

agencias de calificación) y al público en general se les concedía una importancia moderada. Un encuestado de la región nórdica destacaba

el mayor énfasis que hacían los inversores institucionales en que las unidades de cumplimiento funcionaran correctamente. Un alemán, por

su parte, añadía que si las agencias de calificación se centraban en la efectividad de la unidad de cumplimiento (así como han comenzado

a dirigir su mirada hacia los regímenes de buen gobierno corporativo), esto podía tener un impacto positivo en el valor percibido de esta

función dentro de la organización. Sin embargo, un Responsable de Cumplimiento francés, que había sido encuestado varias veces por

agencias de calificación, consideraba que sus preguntas no eran adecuadas.

Control sistemático de los grupos de interés externos

• Comunicación frecuente y diálogo con los reguladores

• Seguimiento de los medios de comunicación, principalmente de la cobertura de la prensa de los incumplimientos normativos

de otras organizaciones y de las protestas de los clientes.

• Seguimiento de las expectativas cambiantes de los clientes por medio de:

- Revisión de las reclamaciones de los clientes y realización de encuestas de satisfacción del cliente y de reputación con

regularidad. Un encuestado decía al respecto que trimestralmente su organización encargaba la realización de una

encuesta de satisfacción del cliente.

- Interacción regular con la Alta Dirección, los cargos intermedios, los equipos de ventas y de desarrollo del negocio para

calibrar las expectativas de los clientes.

• Seguimiento de los avances del sector a través de la participación en asociaciones y agrupaciones de especialistas,

incluyendo, si cabe, asociaciones de responsables de Cumplimiento.

• Seguimiento de las expectativas de los accionistas: por medio del diálogo, encuestas y participación en el Consejo.

Grupos de interés externos importantes

�

��

��

��

��

��

��

��

!�

"�

���

"�

�� �"

��

���" �"

� � �

ReguladoresAplicación de la legislaciónInversores/accionistasAnalistas (incl. agencias de calificación)Auditores externosClientesPúblico en generalColegasSociosMedios de comunicación

% del total de respuestas

30 © PricewaterhouseCoopers - Proteger la marca

"El mayor reto actual de la disciplina es el aumento de la

complejidad reguladora a raíz de interpretaciones nuevas y

poco claras de los requerimientos normativos. La cuestión

es cómo proteger los intereses de los accionistas en un

mundo en que las interpretaciones de los reguladores se

mueven en la incertidumbre".

Relación con reguladores

La mayoría de los responsables de Cumplimiento indicaban que su relación con los reguladores (locales) era básicamente abierta, aunque

los japoneses sugerían una mayor necesidad de formalización de la misma. Un 47 % de los encuestados afirmaba que, en general,

Cumplimiento era el principal punto de contacto con los reguladores, aunque un 12 % mencionaba otro departamento -bien

Finanzas/Contabilidad (el departamento responsable del reporting regulatorio) o Asesoría Jurídica. Ahora bien, una serie de participantes

recalcaba que dependía del regulador. Un 17 % indicaba que el punto de contacto principal era el miembro de la Alta Dirección con

responsabilidad de cumplimiento, y un 13 % afirmaba que eran varios los miembros de la Alta Dirección que se relacionaban con los

reguladores. De hecho, la comunicación a través de personas de contacto concretas, o a través de Cumplimiento, solía complementarse

con los contactos informales de la Alta Dirección y/o el Consejo.

Los encuestados destacaban no sólo las diferencias entre los reguladores (algunos más dictatoriales que otros), sino que también

mencionaban diferentes niveles de habilidad/enfoque del personal de los reguladores (p. e., policía-supervisor). Había cuatro aspectos de

las relaciones con el regulador que debían coordinarse de modo efectivo (véase el cuadro de la página siguiente): un problema de

comunicación en un área podía afectar a la relación general, creando una impresión de incoherencia. Algunos participantes anglosajones

hacían frente a dicha situación del siguiente modo:

1. Manteniendo una agenda o base de datos central sobre toda comunicación entrante o saliente con los reguladores.

2. Desarrollando planes de "compromiso" con los reguladores.

Los encuestados apreciaban el mayor diálogo y la creciente convergencia de las actitudes y los enfoques reguladores, a escala

internacional, si bien la complejidad reguladora general no se reducía. Un encuestado mencionaba que le parecía útil comentar con el

regulador local las dificultades encontradas en otros países porque así mejoraban los conocimientos del regulador local (del país de origen)

con respecto a las dificultades experimentadas por el grupo, así como las del regulador extranjero, debido a una mayor comunicación entre

reguladores a escala internacional.

Contacto con reguladores

CumplimientoAltos directivos con responsabilidadde cumplimientoOtros departamentosVarios altos directivosMiembros del ConsejoNo hay restricciones

© PricewaterhouseCoopers - Proteger la marca 31

Cuatro aspectos de las relaciones con los órganos reguladores

Diálogo y actividad de “lobby” Los contactos regulares con los reguladores no siempre se mueven por el deseo de influir en la agenda normativa. Esto suele hacerse através de las asociaciones sectoriales. Según nuestro estudio, Cumplimiento y Asesoría Jurídica unen sus fuerzas para seguir e interpretarlos desarrollos reguladores en muchos casos (un 36 %), el doble de las veces en que sólo Asesoría Jurídica es responsable de ello (un 18%). Esto suele ser así en jurisdicciones de derecho civil. Sin embargo, este enfoque también se ha adoptado en el RU y EE. UU. (sobretodo en casos en que Asesoría Jurídica y Cumplimiento están combinados dentro de la organización). El segundo enfoque más popular esque únicamente Cumplimiento se encargue de hacer un seguimiento de los desarrollos (un 30 %). Todos los encuestados salvo tresindicaron que el seguimiento se hacía de modo proactivo, aunque muchos adoptaban un enfoque combinado proactivo-reactivo. Laimplicación era, en cambio, que esa proactividad se refería sólo a la normativa en proceso de elaboración, más que en influir en la agendareguladora o adelantarse a nuevas normativas.

Reporting regulatorio Cumplimiento tenía un papel en el reporting regulatorio de acuerdo con su competencia. En general, no se incluía el reporting normativo,aunque algunos de los encuestados indicaron que Cumplimiento actuaba con capacidad asesora tanto en los informes como en losprocesos normativos.

Revisiones sobre el terreno Una serie de encuestados afirmaron que eran necesarios diferentes enfoques al tratar con los equipos de inspección de las autoridadesreguladoras. Algunos recalcaron que Cumplimiento debería tener un papel clave en la preparación de las visitas de supervisión sobre elterreno: algunos participantes británicos, por ejemplo, destacaron la importancia de la implicación directa de Cumplimiento en las visitas dela Financial Services Authority (FSA) en relación con su programa ARROW.

Gestión y solución de crisis Este tema se ha tratado, hasta cierto punto, en el apartado de medidas correctoras anterior. En general, los encuestados decían queCumplimiento no estaba implicado directamente en la gestión de crisis o en el proceso de solución de las mismas: eran la Alta Dirección olos mandos intermedios los responsables en ese caso (dependiendo de la gravedad de la situación). Sin embargo, Cumplimiento podía amenudo hacer un seguimiento y elaborar informes sobre los avances de las soluciones a nivel interno. En algunas organizaciones, laDirección recurría al asesoramiento de Cumplimiento en la gestión de crisis, en especial para comunicarse con los reguladores(normalmente junto con Asesoría Jurídica) y, en ocasiones, con otros grupos de interés externos.

Emprender medidas preventivas

En general los encuestados tenían la sensación de que Cumplimiento debería poder dar más importancia a la prevención que a la

corrección, aunque no todos sentían que esa fuera su situación. Al preguntarles si le daban más importancia a la identificación y

rectificación del riesgo o a la mitigación del riesgo y a la gestión, muchos contestaban "a ambas", y los que se decidieron por la primera

opción afirmaron que estaban intentando moverse hacia la segunda. También se dijo que podía depender de la naturaleza de los riesgos

de cumplimiento: "apagar fuegos" puede ser más importante en áreas como la lucha contra el blanqueo de capitales.

32 © PricewaterhouseCoopers - Proteger la marca

Establecer las políticas y los procedimientos de cumplimiento

Un 69 % de los encuestados indicaba que Cumplimiento era responsable o colaboraba con la Dirección o con el Consejo en el

establecimiento de las políticas de cumplimiento y los procedimientos asociados. Un 12 % indicaba que las políticas de cumplimiento eran

responsabilidad del Consejo, y un 17 % afirmaba que eran de la Dirección, si bien con la ayuda de Cumplimiento. Sólo un 2 % afirmó que

Asesoría Jurídica o Auditoría eran responsables de las políticas de cumplimiento.

Un 88 % de los participantes hablaba de un control de cumplimiento centralizado o a nivel grupo, a través de la imposición de

políticas de grupo (normalmente con el visto bueno del Consejo), con ciertos niveles de autonomía delegados a las unidades divisionales

para adaptarles a requisitos específicos de negocio, regionales o locales. De éstos, un 50 % indicaba que esas políticas de grupo o

centralizadas eran amplias, y un 38 % aseguraba que eran bastante limitadas.

Algunos encuestados afirmaron que este tipo de políticas se consideraban un estándar mínimo: después había que cumplir otros

requisitos más exigentes a nivel local. Otros dijeron que había que cumplir los estándares de grupo, aun cuando fueran más estrictos que

los existentes a nivel local. En cambio, también hubo personas que consideraban que, partiendo de un nivel aceptable de conformidad de

los estándares de grupo, éstos no deberían suponer para la organización una desventaja competitiva desde el punto de vista local.

Algunas organizaciones con presencia internacional se han empezado a plantear el alcance de las políticas de cumplimiento para todo el

grupo, reconociendo que a veces es necesaria una adaptación muy ampliada a nivel de negocio, local o regional. Por otro lado, un 9 % de

los encuestados indicaba que las responsabilidades en materia de políticas de cumplimiento estaban completamente descentralizadas y

Cumplimiento a nivel grupo sólo tenía una capacidad asesora.

Proporcionar asesoramiento (incluyendo una línea de asistencia especializada)

Las respuestas nos dieron tres dimensiones de la función de asesoramiento: a) asesoramiento continuo de la Alta Dirección,

b) asesoramiento de la dirección de negocio en la operativa diaria y c) establecimiento de una línea de ayuda urgente para toda la

organización. Incluso en países "avanzados", este asesoramiento solía verse sobre todo como algo reactivo, en respuesta a peticiones de

la organización. La proactividad de Cumplimiento dependía de a) el estatus que la Alta Dirección concedía a Cumplimiento, b) el grado de

confianza entre Cumplimiento y la organización, c) la proximidad de Cumplimiento con respecto al negocio y, de modo importante, d) los

recursos de los cuales disponía Cumplimiento.

Un 37 % de los encuestados cuenta con una línea de ayuda formal, pero la mayoría recalca que el personal tiene acceso a los

responsables de Cumplimiento pertinentes tanto dentro como fuera del horario de oficina. Un encuestado mencionó que en su intranet

tenían foros en que el personal podía tratar temas éticos; otros mencionaban el valor de las "líneas directas sobre ética"12. Pocos

encuestados indicaban que la línea de asistencia estuviera respaldada por tecnología específica (aparte de teléfonos, e-mail, intranet) o

que el asesoramiento ofrecido se hiciera accesible de forma más amplia. Sin embargo, algunos dijeron que la calidad del asesoramiento

se utilizaba como una medida de rendimiento.

Políticas de grupo/centralizadas

Aplicación de políticas de grupo/centralizadas

12 Véanse también los sistemas de whistle-blowing, p. 42.

AmpliasLimitadasNinguna

Obligatorias (con adaptaciónregional/local)VoluntariasLocales

© PricewaterhouseCoopers - Proteger la marca 33

Proceso de aprobación de nuevos mercados/productos

Las percepciones sobre si el asesoramiento era proactivo no se basaban en la existencia de una línea de asistencia para consultas,

aunque la "disponibilidad" de Cumplimiento, evidentemente, era un factor importante. Las percepciones positivas de Cumplimiento se

derivaban de su capacidad para facilitar los negocios: los encuestados decían que era necesario que Cumplimiento fuera a la vez

pragmático y "creativo" a la hora de encontrar soluciones para que los negocios se realizasen de forma acorde con el cumplimiento.

Un 51% de los encuestados estaba inmerso en procesos de aprobación de nuevos negocios, aunque el nivel de implicación

variaba. Las organizaciones con presencia internacional hacían que Cumplimiento participase cada vez más y -de modo sistemático- a la

hora de evaluar nuevos productos y servicios, y a la hora de planificar la entrada en nuevos mercados y de llevar a cabo “due diligence”

de fusiones y adquisiciones. Un 25 % de los participantes afirmó que se requería la participación de Cumplimiento en toda nueva

propuesta -incluyendo subcontrataciones y deslocalizaciones, si cabe- y Cumplimiento participaba en los comités claves de riesgos y de

control. Otros también mencionaron que Cumplimiento tenía derecho a veto en las nuevas propuestas y también tenía derecho a apelar

las decisiones tomadas.

En el caso concreto de un banco internacional, Cumplimiento a nivel grupo era el motor de un comité de investigación. La Dirección

elevaba las peticiones de autorización de nuevos productos, etc. para que el comité las pudiera revisar, filtrando las inapropiadas. Por su

parte, una entidad de gestión de activos australiana decía que se fomentaban los grupos de control, incluyendo a Cumplimiento y a

Asesoría Jurídica, en las primeras etapas del proceso, y que la Dirección sabía perfectamente que el comité ejecutivo no daría luz verde a

ningún proyecto a menos que tuviera el visto bueno de Cumplimiento. En Japón, los encuestados participaban en los nuevos productos

pero de entrada no en las “due diligence” de fusiones y adquisiciones. Además, sólo un 30 % de los encuestados formaba parte

sistemáticamente de las decisiones sobre sistemas informáticos nuevos.

Un 24 % de los encuestados afirmaba que Cumplimiento se involucraba poco o de manera poco sistemática en los nuevos

negocios, aunque señalaban que sí era informado después de que se realizase la operación. Algunos comentaron que la Dirección estaba

obligada a informar a Cumplimiento en caso de existir implicaciones de cumplimiento en los nuevos negocios, pero esto no equivalía

necesariamente a tener indicaciones claras de un elevado nivel de conocimiento/concienciación de los mismos.

"Las unidades de negocio suelen parecer más creativas

que las unidades de Cumplimiento a la hora de dar con

soluciones para lograr el cumplimiento".

Responsabilidades de cumplimiento con respecto a nuevos negocios

Tipos de nuevas iniciativas

��

�

��

��

�

��

��

��

��

��

��

Visto bueno/acuerdo de CumplimientoDerecho de veto de CumplimientoImplicación de Cumplimiento en el proceso de aprobaciónNinguna implicación (formal)

��

��

��

��

�

��

��

��

��

��

��

��

!�

ProductosDue diligence de nuevos mercadosFusiones y adquisicionesSistemas informáticos

Porcentaje de respuestas totales

Porcentaje de respuestas totales

34 © PricewaterhouseCoopers - Proteger la marca

Formación y educación de las unidades de negocio

Un 71 % de los encuestados afirmaba que sus empresas tenían unos programas de introducción u orientación para todas las nuevas

incorporaciones y que dicho programa incorporaba una sesión sobre cumplimiento, o que a todos los recién llegados se les presentaban los

códigos de conducta (en algunos casos se les pedía que firmaran los ejemplares en aceptación de los mismos). Un encuestado nos

comentó que este "pack de iniciación" incluía instrucciones explícitas sobre los procedimientos de información de incidentes de

cumplimiento. No obstante, un 18 % de los encuestados nos indicaron que no se hacía en su empresa programa de introducción alguno (a

menos que se tratase de áreas en las que fuera obligarorio de acuerdo con la normativa aplicable) o que Cumplimiento no participaba en el

proceso. En estos casos, los códigos de conducta estaban colgados en la intranet de la empresa. Los programas de introducción, si

existían, eran organizados por Recursos Humanos, y Cumplimiento participaba en su contenido. Las personas que iban a ocupar cargos de

responsabilidad o a formar parte de la Alta Dirección (p. e. las Approved Persons del Reino Unido) sí se entrevistaban con los responsables

locales de Cumplimiento, que determinaban las necesidades de formación oportunas.

Cuando se preguntó a los participantes del estudio qué papel tenía Cumplimiento en la formación y educación del personal de las

áreas de negocio, las respuestas iban desde que Cumplimiento tenía un gran peso a ninguno en absoluto. En algunos casos, Cumplimiento

era el principal responsable, evaluaba la formación requerida, desarrollaba el material necesario e impartía las clases de formación,

mediante una combinación de enseñanza presencial y de métodos de aprendizaje electrónicos. Otra posibilidad era que Cumplimiento

trabajara mano a mano con Recursos Humanos para diseñar e impartir esa formación.

Mayor desarrollo del papel de Cumplimiento

¿Qué papel representaba Cumplimiento en la promoción del desarrollo de la propia función de cumplimiento? Los encuestados holandeses

en general subrayaban sus esfuerzos por mejorar el perfil de Cumplimiento externamente, a través de publicaciones, networking, etc. Otros

participantes mencionaban las iniciativas de comunicación internas, tales como las newsletters.

Es evidente que esta función no era una competencia explícita en muchos casos, si bien implícitamente Cumplimiento dirigía el

proceso. Algunos encuestados destacaban la responsabilidad de la Alta Dirección en cuanto al desarrollo de la función de cumplimiento,

pero era Cumplimiento a nivel grupo (o de la central) quién solía tener un peso más importante a la hora de potenciar la red de

cumplimiento dentro de la organización, mediante el feedback de la red y una estrecha colaboración con la Dirección. También se recurría a

las visitas sobre el terreno por parte de Cumplimiento a nivel grupo para apoyar el desarrollo de esta disciplina. En este caso es muy

importante la estructura de Cumplimiento dentro de la organización y sus líneas de reporting (tratadas más adelante).

En general, como se sugería anteriormente, los encuestados consideran que queda mucho por hacer para desarrollar su papel, y que

no se han desarrollado estrategias a largo plazo suficientes.

Retos específicos identificados para la función de

cumplimiento

General:

• Asignación efectiva de los recursos de Cumplimiento

para gestionar los riesgos del modo adecuado.

• Asignación adecuada de las responsabilidades de

seguimiento del cumplimiento entre Cumplimiento y las

áreas de negocio ("cumplimiento operativo" con

respecto a la operativa diaria y al papel supervisor de

Cumplimiento).

• Capacitación para asesorar debidamente a la Dirección

a la luz de la complejidad del negocio, la rapidez de los

cambios normativos y la falta de claridad en relación

con las expectativas regulatorias .

• Aumento del “apetito” de los reguladores por la

aplicación de la normativa.

Recursos:

• Falta de infraestructura tecnológica adecuada: tratar con

los sistemas informáticos implantados para generar

información de gestión de cara al cumplimiento.

• Incapacidad de justificar el coste del cumplimiento.

• Habilidades técnicas variables del personal de

cumplimiento.

Cultura:

• Aceptación del cumplimiento por las unidades de “front-

office”.

• Educación en toda la organización en lo referente al

papel de cumplimiento y a las obligaciones del personal

en ese sentido.

• Garantía de que las unidades de negocio están acordes

con el cumplimiento.

• Garantía de que el Cumplimiento se implica más en la

toma de decisiones estratégicas.

• Implantación del cumplimiento en el negocio.

• Equilibrio entre los requisitos de los grupos de interés,

de la dirección y de los reguladores.

© PricewaterhouseCoopers - Proteger la marca 35

¿Qué competencias requiere Cumplimiento?El papel destacado de Cumplimiento como asesor de la Dirección ha hecho que salieran a la luz algunas cuestiones relacionadas con las

competencias de los responsables y del personal de Cumplimiento, tanto a nivel de grupo como en las unidades operativas o líneas de

negocio. Los encuestados estuvieron de acuerdo en que una competencia básica es el conocimiento y la comprensión de la organización,

además de un fuerte poder de convicción. En los EE. UU. y el RU, la tendencia era que al frente de Cumplimiento hubiera abogados y

contables, pero parece que esto está cambiando. Las unidades de Cumplimiento se están rediseñando para incorporar un abanico

relativamente amplio de habilidades y experiencias. En Europa continental, Japón y Hong Kong, la tendencia es configurar las unidades de

Cumplimiento partiendo de cero. Un participante francés nos explicaba que una unidad de Cumplimiento actual debía contar con abogados,

contables, controllers internos, ex reguladores, analistas, personal del front-office y policías. Un italiano comentaba que el Responsable de

Cumplimiento debía tener una visión sistémica de la empresa, con buenas habilidades tanto analíticas como de innovación de procesos así

como buenas habilidades de comunicación.

Evidentemente, teniendo en cuenta este abanico de posibilidades en cuanto a competencias, no se mencionaban requisitos concretos

en cuanto a cualificación para los responsables de Cumplimiento y su personal, excepto en sociedades de valores, donde parece haber una

cierta preferencia por los juristas. Algunos encuestados, en especial en Europa continental y Hong Kong, sí veían necesario tener título

universitario. Un participante italiano nos indicaba que algunas de las responsabilidades de Cumplimiento necesitaban formación en negocios.

� ReflexionesSin duda, las empresas se encuentran en etapas evolutivas diferentes en cuanto a la definición de roles y responsabilidades de las

unidades de cumplimiento. Las propias unidades -dentro de las empresas- también están en distintos estadios de desarrollo. En algunas

zonas (en Asia, por ejemplo), muchos aspectos de la Dirección, incluidas las actividades de cumplimiento, todavía no se han definido con

claridad. Para que la disciplina de Cumplimiento sea reconocida como un elemento facilitador del negocio, además de como un elemento

protector, (comparable a la gestión del riesgo de crédito, por ejemplo), la actitud de la Dirección debe dar un paso adelante. Tras definir lo

que entendemos por riesgo de cumplimiento -y el alcance general de las atribuciones de Cumplimiento-, un objetivo clave para la Dirección

debe ser buscar el correcto equilibrio entre los papeles de "policía" y de "asesor", con el telón de fondo de la relativa fortaleza de la cultura

de cumplimiento en la organización (p.e. hasta qué punto la integridad está enraizada en la misma). De nuevo, se trata de determinar los

papeles y las funciones determinantes, y de garantizar que cada aspecto concreto pueda ser tratado de modo apropiado por Cumplimiento

o, si cabe, por otra disciplina de control que asista a Cumplimiento. Sea como fuere, Cumplimiento comparte la responsabilidad de crear y

mantener ese equilibrio.

Habilidades y competencias de CumplimientoDel estudio se desprende claramente que los responsables de Cumplimiento están convencidos de que sólo podrán lograr ese equilibrio si

cuentan con la suficiente confianza de la organización. Se hizo mucho hincapié en las cualidades personales: la capacidad de ganarse el

respeto de la organización, la discreción, la integridad personal, la honestidad y la independencia de juicio, así como la influencia del

Responsable de Cumplimiento (lo que hoy en día suele ir ligado a la jerarquía), además del prestigio percibido entre los reguladores. Sin

embargo, con el objetivo de asegurar la efectividad de la red general de cumplimiento, la habilidad de los responsables de Cumplimiento de

"Un perfil caracterizado por la discreción, la neutralidad, la

independencia de juicio, los conocimientos profesionales y

la experiencia en las actividades de la empresa".

36 © PricewaterhouseCoopers - Proteger la marca

influir en las decisiones de negocio no debería depender del nivel jerárquico de la persona, sino de sus conocimientos del negocio y de la

regulación aplicable, combinado con su perspicacia en cuanto a las intenciones del regulador.

Teniendo en cuenta estas cualidades, el principal requisito para generar confianza es el pragmatismo: la habilidad para dar con soluciones

oportunas y apropiadas en materia de cumplimiento sin perjudicar la rentabilidad del negocio. Para lograr ese pragmatismo, los responsables de

Cumplimiento y su personal deben centrarse en la realidad de la organización -los retos competitivos a los que se enfrenta- en el contexto de una

actuación según las normas pasadas, actuales y de los futuros requerimientos regulatorios. Cumplimiento, en cierto modo, debe tener un campo

de mira más amplio que la propia organización, además de la habilidad de comunicar esa visión de un modo coherente. No obstante, quizá sea

mucho pedir cuando:

a) Cumplimiento no reporta a las personas adecuadas en el nivel correcto.

b) No hay unas políticas de remuneración adecuadas (y el proceso de evaluación está dirigido por el negocio y se ve afectado por las

limitaciones del mismo).

c) En las decisiones de negocio importantes participan miembros del personal con poca experiencia.

d) Hay dificultades para garantizar unas capacidades adecuadas del personal de Cumplimiento en toda la red de cumplimiento.

El abanico de habilidades y competencias requeridas por la disciplina de cumplimiento -para lograr ese equilibrio entre las funciones de

policía y asesor- presupone una mezcla de diferentes personalidades y la necesidad de una comunicación fluida dentro de la unidad de

Cumplimiento, además de una capacidad para trabajar en equipo y unas habilidades de liderazgo del responsable del departamento. Esto

refuerza la importancia de los papeles y responsabilidades claramente definidos dentro de la función de cumplimiento, en especial en términos de

interacción con los distintos grupos de interés internos, como por ejemplo Auditoría Interna, Gestión de Riesgos, Recursos Humanos, etc.

También sugiere que debe prestarse una atención considerable a la formación de los responsables de estos departamentos, para ir construyendo

progresivamente su marco de competencias necesarias, conforme vayan evolucionando sus papeles y responsabilidades. Las necesidades de

formación deben comportar no sólo los avances normativos, sino también los desarrollos importantes del mercado y del negocio, junto con una

formación que incremente sus competencias (p. e. habilidades interpersonales, de comunicación, de trabajo en equipo, etc.).

Algunos aspectos del programa general deben ser específicos de la organización, teniendo en cuenta la naturaleza y el alcance del

negocio (o negocios) y la configuración de su unidad de Cumplimiento. Ahora bien, teniendo en cuenta el conjunto de habilidades relativamente

único de su personal, la formación interna se enriquecería enormemente mediante un aumento de la interacción con grupos externos de la

misma profesión.

La falta de acceso del personal de Cumplimiento a programas educativos externos (a excepción de en los países anglosajones) puede

impedir la "profesionalización" de la disciplina de cumplimiento. Se han hecho movimientos para crear asociaciones, o institutos de responsables

de Cumplimiento, en algunos países de Europa continental. Luxemburgo cuenta con la Association Luxembourgeoise des Compliance Officers

desde el año 2000. La Swiss Association of Compliance Officers se creó en 1998. Asimismo, la incipiente European Compliance Association

organiza conferencias una vez al año para los profesionales del campo del Cumplimiento y hasta ahora han contado con un elevado índice de

asistencia. En otros países, las asociaciones sectoriales (p. e. la Association Belge des Banques et des Sociétés de Bourse) están empezando a

ofrecer formación en temas relacionados con el cumplimiento. Es necesario que se dedique más atención a este tema fuera de los países

anglosajones.

Las ventajas de las asociaciones de cumplimiento pueden ir más allá de los fines formativos y educativos. Los institutos o asociaciones a

escala nacional, regional y, evidentemente, internacional podrían convertirse en ese interlocutor tan necesario para los reguladores.

© PricewaterhouseCoopers - Proteger la marca 37

Perfeccionar el equilibrio

Más vale prevenir que curar

El papel de "asesor de confianza" hace que la balanza se incline más hacia las medidas preventivas, a diferencia de lo que ha sucedido en

el pasado en los países anglosajones. La prevención efectiva requiere un enfoque holístico y sobre varios flancos (lo cual evidentemente

puede provocar medidas correctoras):

• Anticipar intenciones reguladoras y llevar a cabo una evaluación temprana de los posibles efectos de las mismas en el negocio, desde

una perspectiva de cumplimiento, todo ello aunado con una presión efectiva (lobbying), puede ayudar a protegerse o a racionalizar los

requisitos en las que el coste puede sobrepasar los potenciales beneficios. Esas evaluaciones también introducen consideraciones de

negocio estratégicas a más largo plazo.

• Interpretar correctamente las nuevas regulaciones y sus implicaciones específicas para las prácticas y los procesos de negocio puede

garantizar que se hagan planes adecuados para adaptar esas prácticas y los procesos de negocio a los nuevos requisitos, en plazo y

con unos costes efectivos.

• Evaluar con profundidad los riesgos de cumplimiento -en términos de su probabilidad e importancia en línea con la "tolerancia al riesgo"

de la organización- permite establecer unas prioridades efectivas de los recursos.

• Determinar si los procesos de negocio existentes se configuran para estar acordes con el cumplimiento y si la tecnología actúa como

facilitador, con lo cual se pueden aclarar las dificultades y los riesgos de incumplimiento inherentes, y simplificar la adaptación de estos

procesos para reflejar los nuevos requisitos reguladores.

• Garantizar que un buen conocimiento sobre el cumplimiento guía el día a día de las organizaciones a través de iniciativas de

concienciación y de formación y de adecuadas estrategias de comunicación que, simultáneamente, mejoran los conocimientos de

negocio de los asuntos relacionados con el cumplimiento y del perfil de esta disciplina.

• Asegurar que las ramificaciones del cumplimiento se toman en consideración en todas las asociaciones y transacciones de negocio,

desde una perspectiva tanto estratégica como táctica, con el objeto de racionalizar de modo efectivo la innovación y los costes asociados.

• Analizar las tendencias para garantizar que las potenciales debilidades de cumplimiento se identifican rápidamente es básico en el

contexto de un entorno de negocio dinámico.

Colaboración con los reguladores

Como ya se ha visto, los encuestados han identificado los siguientes retos para lograr el cumplimiento: el creciente nivel de expectativas de

los reguladores, la incertidumbre debida a que los reguladores cambian sus objetivos de modo retroactivo y la creciente fuerza de los

reguladores y de la aplicación de la legislación. En particular, se ha hecho hincapié en que las reglas detalladas pueden crear impedimentos

de costes para las empresas. Sin embargo, en última instancia, el cumplimiento, como la gestión de riesgos, es uno de los costes del

negocio, y de mantenerse en activo. Para estar en posición de poder asesorar a las organizaciones como es debido, Cumplimiento debe

tener un papel activo e intrínseco, apoyando a la Dirección en su relación con los reguladores, teniendo en cuenta los cuatro aspectos de la

38 © PricewaterhouseCoopers - Proteger la marca

relación normativa mencionados anteriormente. En efecto, Cumplimiento puede representar un conducto de comunicación efectivo entre la

Dirección y los reguladores.

El policía informa al asesor

No deberíamos dejar que el péndulo tendiera sin reservas hacia el asesoramiento. Cumplimiento debe representar un papel crítico a la hora

de supervisar la conformidad y hacer un seguimiento de la misma. El objetivo es que, además de proporcionar la tranquilidad necesaria a la

Dirección, impulse su labor de asesoramiento. Debe realizarse una clara delimitación entre "hacer el cumplimiento" y "supervisar el

cumplimiento". Debe inculcarse un conocimiento suficiente en el negocio para llevar a cabo los controles de cumplimiento necesarios: esta

responsabilidad no debe confundirse con el papel de supervisión y control que debería mantenerse en Cumplimiento (independientemente

de si cuenta con el apoyo de otros departamentos de control, como por ejemplo Auditoría Interna).

Hay que admitir que esta distinción puede ser difícil a nivel local. No obstante, la Dirección debe diferenciar claramente las dos

funciones, su importancia intrínseca y diferenciada al configurar la función de cumplimiento, estableciendo sus objetivos, asignándole

recursos y determinando la naturaleza de su interacción con otras disciplinas de control y apoyo a corto y largo plazo.

Evidentemente, para poder asesorar bien al equipo directivo y, en general, a la organización, los responsables de Cumplimiento

deben tener un profundo conocimiento del negocio, deben estar al día de los detalles de la normativa aplicable y deben tener una cierta

perspicacia en cuanto a las expectativas de los reguladores; y además, deben ser pragmáticos. Muchos de los encuestados recalcaban,

también, que era de extrema importancia que los responsables de Cumplimiento tuvieran buenas habilidades de comunicación y poder de

convicción para generar la confianza necesaria. Ahora bien, la confianza que se genere en torno a su asesoramiento no debería depender

únicamente de su capacidad de influencia: la Dirección siempre debe estar preparada para escuchar y para actuar según convenga.

© PricewaterhouseCoopers - Proteger la marca 39

A partir del análisis realizado, se puede sugerir lo siguiente:

• Los Consejos de Administración y la Alta Dirección deben dar un mayor protagonismo a la frecuencia, la oportunidad y la

coherencia del reporting, para que sea mucho menos probable que las transacciones y prácticas de negocio generen

problemas de cumplimiento en el futuro.

• Los responsables de Cumplimiento, con el apoyo de la Dirección, tienen que centrarse más en el desarrollo de su visión de

negocio: la capacidad de asesorar a la Dirección sobre soluciones que estén dentro de lo exigido sin que, por ello, dejen de

ser rentables.

• Cumplimiento debe estar preparado para asesorar a la Dirección en las primeras etapas de nuevos negocios y operaciones,

incluyendo el desarrollo de nuevos productos, la entrada en nuevos mercados y fusiones y adquisiciones, así como iniciativas

de subcontratación o deslocalización (siempre de acuerdo con la madurez de la organización en términos de integridad, la

unidad de Cumplimiento deberá contar con la autoridad para elevar o inhibir toda actividad que pueda conllevar problemas de

cumplimiento a largo plazo hasta que pueda funcionar, básicamente, con una capacidad asesora).

• Cumplimiento, con el apoyo de Dirección, debe hacer lo posible para incrementar el diálogo con los reguladores -y los

participantes del sector- para mejorar los conocimientos generales de los retos a los que se enfrenta el cumplimiento en

distintas organizaciones y distintos países.

• Debería hacerse hincapié en las habilidades y competencias necesarias en la unidad de Cumplimiento, garantizando una

formación amplia para los responsables y el personal de estas unidades.

• Los responsables de Cumplimiento deben ayudarse entre sí (por el bien de sus organizaciones) participando en un mayor

desarrollo de la "profesión" mediante la participación en foros, grupos y asociaciones sectoriales.

Además, creemos que las agencias de calificación deberían tener más en cuenta el papel y la contribución potencial de las

unidades de cumplimiento a la calidad y a la fortaleza de las organizaciones.

40 © PricewaterhouseCoopers - Proteger la marca

Una configuración no tiene por qué funcionar en todos sitios

Introducción

Los reguladores quieren que Cumplimiento sea independiente del negocio para garantizar su efectividad como herramienta de gobierno

corporativo. En ciertos lugares se han publicado determinadas directrices normativas sobre la configuración de los departamentos de

Cumplimiento con vistas a proteger su independencia. Ahora bien, estos marcos normativos raramente se convierten en soluciones

empresariales prácticas.

Los encuestados sugirieron distintas combinaciones de factores para garantizar esa independencia:

1. Requisitos legales específicos para la independencia de los departamentos de Cumplimiento.

2. Estructuras de gobierno:

• Reporting frecuente y directo a la Alta Dirección o al Consejo.

• Acceso directo al Consejo.

• Reporting funcional directo entre Cumplimiento y la Alta Dirección/el Consejo, sin pasar por los cargos intermedios.

3. Recursos humanos dedicados:

• Imposibilidad de que Dirección despida a los responsables de Cumplimiento sin contar con la aprobación del Consejo.

• Integridad personal, personalidad y experiencia de los responsables de Cumplimiento

• El control (contrataciones y despidos) del personal de Cumplimiento, debe seguir siendo competencia de Cumplimiento.

• Estatutos de cumplimiento (o un documento similar) que garanticen una asignación más clara de las responsabilidades de

Cumplimiento.

4. Relación con el negocio

• Libre acceso a todas las áreas de negocio.

• Debida autoridad para Cumplimiento (por ejemplo, derecho a veto en nuevos negocios).

• Presupuesto: Cumplimiento no debe depender de las líneas presupuestarias de las unidades de negocio para obtener recursos.

• Distancia de las decisiones de negocio: Cumplimiento sólo actúa con capacidad asesora.

© PricewaterhouseCoopers - Proteger la marca 41

Estructuras de gobierno

La mayoría de los encuestados indicaban que el Responsable de Cumplimiento del grupo reportaba directamente a un miembro ejecutivo

de la Alta Dirección (p. e., el consejero delegado, el director de riesgos, el director general...) o directamente al Consejo de Administración.

Algunos afirmaban que la responsabilidad de supervisión del Consejo se delegaba a un comité concreto del propio Consejo (p. e., el comité

de auditoría y cumplimiento, el comité de riesgo y de control, etc.). Los encuestados, en general, indicaban que este enfoque también se

adoptaba en los niveles de division y de entidad legal (donde sea obligatorio de acuerdo con la normativa local), además de reportar

jerárquicamente dentro de la red de cumplimiento. En un 51 % de los casos existían programas concretos de supervisión del Consejo. La

mayoría de los encuestados también decían que sus líneas de reporting estaban formalmente documentadas, quedaban reflejadas en los

organigramas y en muchos casos se publicaban en la intranet. Del mismo modo, los representantes de Cumplimiento de las filiales

reportaban a Cumplimiento a nivel grupo o de la central y a los consejos/directivos locales. No todos los participantes en el estudio tenían

acceso directo al Consejo.

Muchos recalcaron que las dobles líneas de reporting de Cumplimiento son un medio de garantizar su independencia. Las

organizaciones con departamentos de Cumplimiento a nivel grupo tenían una división 50/50 entre el personal

de Cumplimiento que reportaba jerárquicamente a Cumplimiento de grupo (centralizado) y los que

directamente reportaban a la Alta Dirección de la organización con "una línea punteada" que iba a

Cumplimiento de grupo (descentralizado).13 Todos los miembros de la Dirección en última instancia eran

responsables de que las prácticas y los procesos de negocio estuvieran dentro de la legalidad, pero algunos

encuestados confesaron que creían que esa responsabilidad debía reforzarse: el personal de Cumplimiento

debía reportar directamente a la Alta Dirección de la empresa. Otros, en cambio, creían que la independencia

de Cumplimiento sólo quedaba garantizada si había un reporting directo y funcional dentro de Cumplimiento

a nivel grupo, pues este enfoque transmitía tranquilidad a la Dirección del grupo y además era un marco

adecuado para evaluar a los responsables y al personal de Cumplimiento a partir de las responsabilidades

asignadas, bien personalmente o como parte de la red de Cumplimiento de grupo.

El potencial conflicto de intereses a raíz de la necesidad de Cumplimiento de estar cerca del negocio

en el día a día, se controlaba según lo estipulado por la Alta Dirección (tone at the top), así como por una

combinación de otros sistemas de seguridad, como por ejemplo:

• Auditoría de grupo: obviamente se trata de una importante válvula de seguridad, todos los encuestados

confirmaban que en el alcance de Auditoría Interna se incluía la unidad de Cumplimiento, y también que

revisaba las unidades de negocio desde el punto de vista del cumplimiento con las políticas y

procedimientos de la organización, incluyendo el cumplimiento de leyes y regulaciones.

• Control de riesgos: Algunos encuestados indicaban que, aparte de la Auditoría Interna, los

departamentos de Control de Riesgos también tenían responsabilidades en relación con el riesgo de

cumplimiento.

"El conflicto inherente está claro, pero se afronta del modo

apropiado mediante válvulas de seguridad".

Descentralizado (reporting funcional a Cumplimiento)

13 Siempre quedaba claro si el reporting de Cumplimiento era operativo o funcional dentro de las diferentes líneas de negocio. Source: PricewaterhouseCoopers.

Consejo de Administración

Comité de auditoría

LE 1

CumplimientoDIV C

Cumplimiento• PBC• Protección de

datos• Conflicto de

intereses• Abuso de

mercado• Etc.

DIV B

Cumplimiento• PBC• Protección de

datos• Conflicto de

intereses• Abuso de

mercado• Etc.

DIV A

Cumplimiento• PBC• Protección de

datos• Conflicto de

intereses• Abuso de

mercado• Etc.

LE 2

Cumplimiento

LE 3

Cumplimiento

Aud

itorí

a in

tern

a

Ges

tión

de r

iesg

os d

e gr

upo

Cum

plim

ient

o de

gru

po

Consejero

delegado

Comité de riesgos Comité de cumplimiento

42 © PricewaterhouseCoopers - Proteger la marca

• Políticas y procedimientos de cumplimiento de grupo: A menudo se recurría a las políticas de

grupo para establecer estándares mínimos para el cumplimiento en toda la organización (véase

la p. 32).

• Comités de cumplimiento operativo: Unos pocos participantes dijeron que contaban con comités

de cumplimiento operativo, compuestos por diferentes grupos de interés (de asesoría jurídica, de

auditoría interna, de recursos humanos, etc.) normalmente a nivel de directores funcionales. Sin

embargo, un encuestado europeo añadió "la experiencia ha demostrado que las ventajas de los

comités de cumplimiento son limitadas en las organizaciones grandes (cuando entran en juego

diferentes intereses) y más útiles en las empresas más pequeñas o en partes de organizaciones

grandes, cuando todos los grupos de interés clave pueden tener representación en el comité".

• Programas de alerta interna: Sarbanes-Oxley requiere la existencia de un sistema externo de

denuncia de actividades impropias (whistle-blowing). Esto ha tenido efectos en otros territorios,

incluso para organizaciones no registradas en la SEC. Los reguladores cada vez están imponiendo

más presión a las empresas para introducir esa voz de alarma, programas de alerta internos o líneas

de teléfono dedicadas a temas éticos. Los programas de alerta externa, sin embargo, no son

habituales, a excepción de los registrados en la SEC. La mayoría de los encuestados anglosajones

indicaban que mientras que los programas de alerta interna hacía algún tiempo que existían, no

siempre eran sistemas anónimos (confidenciales). Ahora bien, surgieron algunas dudas sobre la

necesidad de los sistemas anónimos si realmente existe una cultura de cumplimiento efectiva, y

también se puso en duda su eficacia. Muchos consideraban que con alertar a Cumplimiento

bastaba. En una serie de países, los empleados estaban obligados a dar parte de los

incumplimientos de códigos éticos o de conducta. Las limitaciones culturales nacionales parecen

tener un efecto claro en la introducción o en la efectividad sostenible de los sistemas anónimos de

whistle-blowing.

• Procedimientos de jerarquización/elevación: Un 52 % de los encuestados indicaban que estos procedimientos de jerarquización

eran responsabilidad de la Dirección (bien la alta Dirección o los cargos intermedios). Si la naturaleza o la importancia de un

incumplimiento lo exigen, los cargos intermedios reportan a la Alta Dirección o al Consejo y a Cumplimiento de grupo. Un 59 % de los

encuestados indicaba que el departamento de Cumplimiento había definido claramente las responsabilidades en materia de

jerarquización. Algunas personas de países anglosajones nos informaron de que tenían bases de datos específicas en que se hacía un

seguimiento las incidencias detectadas y de su rectificación en toda la organización, lo cual se sumaba a la jerarquización formal y a los

procedimientos de reporting de incumplimientos y puntos débiles.

• Informes frecuentes al Consejo: Como se ha dicho antes, se han detectado grandes diferencias en la frecuencia del reporting al

Consejo. Sin embargo, muchos encuestados, además de ese reporting formal, llevaban a cabo un reporting frecuente formal e informal

a la Alta Dirección.

Descentralizado (directo, reporting jerárquico a Cumplimiento)

Sistemas de denuncia de actividades impropias

SíNo

Fuente: PricewaterhouseCoopers.

Consejo de Administración

Comité de auditoría

LE 1

Cumplimiento DIV C

Cumplimiento• PBC• Protección de

datos• Conflicto de

intereses• Abuso de

mercado• Etc.

DIV B

Cumplimiento• PBC• Protección de

datos• Conflicto de

intereses• Abuso de

mercado• Etc.

DIV B

Cumplimiento• PBC• Protección de

datos• Conflicto de

intereses• Abuso de

mercado• Etc.

LE 2

Cumplimiento

LE 3

Cumplimiento

Aud

itorí

a in

tern

a

Cum

plim

ient

o

Cum

plim

ient

o

Cum

plim

ient

o

Cumplimiento de grupo

CEO

Comité de riesgos Comité de cumplimiento

© PricewaterhouseCoopers - Proteger la marca 43

Estructurar la Unidad de Cumplimiento

Obviamente, en los últimos años las entidades le han dedicado una considerable atención a la estructura necesaria para el desarrollo de la

función de cumplimiento. Entre los actores internacionales -en todos los sectores- existe un concepto común a la hora de estructurar el

departamento, una tendencia muy influida por las directrices normativas. La tendencia es establecer un departamento de cumplimiento a

nivel grupo apoyado por los departamentos de cumplimiento de las unidades de negocio y a nivel local (a los que a su vez, también

proporciona asistencia). Como ya se ha comentado, es importante conocer las diferentes funciones y responsabilidades del departamento

de cumplimiento de grupo, frente a las del personal de cumplimiento de las unidades de negocio o entidades menores.

De las conversaciones mantenidas se desprenden algunos elementos determinantes para la estructura de Cumplimiento:

• Estructura general de la organización

• Alcance y escala de la actividad de Cumplimiento

• Requisitos reguladores en términos de estructuras de cumplimiento, a nivel de grupo, unidad de negocio, filiales y entidades legales

• Mejora de las estructuras de gestión de riesgos, a menudo en el contexto de nuevos requisitos regulatorios (como los de Basilea II)

Sin embargo, no está claro que las organizaciones lo hagan siempre bien. Hay que tener en cuenta los clásicos problemas de diseño

y rediseño de las organizaciones, el equilibrio de los aparentemente contradictorios requisitos reguladores dentro de las estructuras

organizativas existentes, además de la maximización de las oportunidades y la gestión de los costes.

El estudio muestra dos tendencias principales en la organización de Cumplimiento del grupo: por función o por objeto. La división

funcional reflejaba la serie de actividades del departamento de cumplimiento, reconociendo las distintas habilidades y competencias

necesarias para llevar a cabo las tareas señaladas. En algunos casos, la diferenciación por objeto es un resultado claro de la trayectoria de

la organización: por ejemplo, en caso de que los requisitos legales para los responsables de cumplimiento en materia de prevención de

blanqueo de capitales existieran antes que los requisitos de cumplimiento más generales (y sigan ahí). De cualquier modo, los encuestados

aclaraban que la diferenciación por objeto tenía sentido porque los distintos temas necesitaban estrategias de cumplimiento diferentes en

toda la organización.

En muchos casos, este concepto parecía sostener el enfoque general de los departamentos de cumplimiento dentro de las empresas

(reflejando también las estructuras de Dirección). Muchos encuestados tenían una unidad de Cumplimiento de grupo relativamente

pequeña, con estructuras de soporte dentro de las distintas unidades de negocio. La organización, y el principal interés, de las estructuras

de cumplimiento dentro de unidad de negocio empresa variarían para responder a los riesgos específicos de cada negocio. En las

instituciones que se dedican a un único sector o dentro de líneas de negocio únicas, el departamento de cumplimiento se organiza

normalmente según un modelo regional y local. Una organización nos decía que se había contratado a coordinadores locales de

cumplimiento en entidades legales, a través de las cuales, operaban las distintas líneas de negocio.

El número de trabajadores a jornada completa de los departamentos de cumplimiento a nivel grupo iba desde dos personas hasta cuarenta,

pero en la mayoría de los casos la franja estaba entre 10 y 15. Así era en bancos, aseguradoras y grupos financieros. Algunos encuestados

indicaron que los departamentos divisionales de Cumplimiento eran mayores que la unidad de Cumplimiento de Grupo.

Funciones de cumplimiento a nivel grupo

"Un tema clave en la estructuración del departamento de

cumplimiento es la delimitación de las diferentes disciplinas

de 'control'. El papel de cumplimiento se puede dividir de

muchas maneras: lo esencial es garantizar que todo queda

cubierto por alguien y que está claro quién se encarga de

qué."

Organización por función

• Seguimiento y supervisión

del cumplimiento

• Política y procedimientos

de cumplimiento

• Formación

• Tecnolgía

Organización por objeto

• Regulaciones de mercado

• Comportamiento del personal

(operaciones de los empleados, fraude,

abuso de información privilegiada, etc.)

•Prevención de blanqueo de capitales

ESTÁNDARES EMERGENTES

44 © PricewaterhouseCoopers - Proteger la marca

Comparando el total de trabajadores de Cumplimiento con la cifra global de empleados, las organizaciones con presencia internacional iban

del 0,24 al 0,65 %, y las de carácter regional, estaban entre el 0,16 y el 0,24%. Parece que ese porcentaje era significativamente más alto

en las sociedades de valores y en las gestoras de inversión. Cabe destacar, una vez más, que estos porcentajes son puramente indicativos:

no todos los encuestados podían dar una cifra concreta de empleados. Las cifras totales no siempre estaban disponibles en caso de que se

aplicara un enfoque descentralizado de cumplimiento. Sería útil que se profundizara más en este tema para tener más datos de

benchmarking dentro del sector y entre los diferentes sectores.

Especialidades dentro de los departamentos de cumplimiento

Los requisitos regulatorios para el cumplimiento en temas específicos -como la prevención del blanqueo de capitales, el fraude, la

protección de datos, el uso de información privilegiada y, en Francia, la ética (déontologie)- a menudo existían ya antes del requisito de

existencia de departamentos de cumplimiento en una serie de países. En Bélgica, existe la obligación de tener un responsable de

cumplimiento para "mecanismos especiales" (básicamente centrados en antifraude y en la evasión fiscal) desde hace casi 20 años.

Claramente, el estudio mostraba que la tendencia era racionalizar el alcance del departamento de cumplimiento, alineando a estos

especialistas con el departamento de cumplimiento genérico (o integrándolos en el mismo), sin renunciar a su especialidad (exceptuando a

los especialistas en protección de datos y privacidad, que normalmente actúan por separado). Dentro de las organizaciones con presencia

internacional, las redes globales de prevención de blanqueo de capitales, organizadas regional y localmente, trabajan dentro del

departamento de Cumplimiento o con una colaboración estrecha. La Dirección, en algunas organizaciones, había creado equipos

especializados para centrarse en áreas concretas del riesgo de cumplimiento. Una empresa alemana con presencia internacional, por

ejemplo, ha creado una división global que se dedica al seguimiento y a la gestión de conflictos de intereses, como reflejo de una normativa

alemana.

© PricewaterhouseCoopers - Proteger la marca 45

¿Cómo interactúa Cumplimiento con las demás disciplinas de apoyo ycontrol?

La inclusión de Cumplimiento, desde el punto de vista organizacional, dentro de la infraestructura de apoyo y control corporativo general, influye

en el enfoque de la organización de la función de cumplimiento y en su interacción con otras disciplinas de apoyo. El estudio demuestra que

algunas empresas de los países más avanzados recientemente se han replanteado esta situación. En un 49 % de los casos, los departamentos

de cumplimiento eran independientes, como consecuencia de requisitos normativos explícitos. Una alineación con Asesoría Jurídica (por ejemplo,

en caso de que tanto Cumplimiento como Asesoría Jurídica reporten al Secretario General y del Consejo) era el siguiente enfoque más popular.

Un 16 % de los encuestados, principalmente originarios de Australia y el Reino Unido, indicaban que Cumplimiento formaba parte de Gestión de

Riesgos (p. e. con líneas de reporting directo, a nivel del grupo, al máximo responsable de riesgos). En un 8 % de los casos, Cumplimiento era

una de las disciplinas de control y apoyo (junto a Auditoría Interna, Asesoría Jurídica y Gestión de Riesgos) y reportaban a una única persona.

Sólo en un 2 % de los casos Cumplimiento estaba alineado con Auditoría Interna.

Curiosamente, algunas organizaciones asociaban directamente calidad, seguridad o responsabilidad social corporativa con

cumplimiento, con el personal de cumplimiento centrado en estos aspectos.

El estudio indica que las interacciones con otras disciplinas de control y apoyo no necesariamente contaban con un reconocimiento

adecuado ni tampoco se las explotaba lo suficiente (véase el siguiente apartado Reflexiones). Está claro que hay diferentes puntos de vista sobre

la naturaleza de esa interacción14, en especial en relación con la Gestión de Riesgos o con las disciplinas de control de riesgos. La interacción iba

desde "una parte integral de Gestión de Riesgos" hasta "ninguna relación". Un norteamericano afirmaba que la integración con Gestión de

Riesgos debería evitarse, pues podría perjudicar a la independencia de Cumplimiento. La integración estratégica, en cambio, sobre todo en la

forma en cómo los riesgos eran evaluados, era importantísima.

Muchos encuestados reconocían que existía una superposición potencial con la gestión de riesgos operativos al identificar, evaluar y (hasta

cierto punto) hacer un seguimiento del riesgo de cumplimiento, pero muchos destacaban las diferencias básicas en cuanto al enfoque adoptado.

Un británico apuntaba que el enfoque de la gestión del riesgo operativo era más transaccional.

En términos de comunicación, en algunas organizaciones se establecían líneas regulares y formales de comunicación con Gestión de

Riesgos. Un encuestado belga nos indicaba que Gestión de Riesgos proporcionaba sistemáticamente a Cumplimiento información sobre riesgos,

deficiencias y controles de cumplimiento. En otros casos, las líneas de comunicación eran informales o se concentraban en torno a temas

específicos, como por ejemplo nuevos productos.

Algunos de los participantes destacaban que el riesgo operativo y Cumplimiento tenían un estatus similar, pero no siempre era así. En

algunos casos, Gestión de Riesgos Operativos reportaba a Cumplimiento sobre todos los temas relacionados con el cumplimiento que

identificaba. En otros casos, en cambio, Cumplimiento quedaba supeditado a Riesgos Operativos. En el estudio, en algunos casos se tenía la

sensación de que los beneficios tangibles de la gestión de riesgos operativos -en que las buenas prácticas redundan en ahorro de capital en el

contexto de Basilea II- ponían a Cumplimiento en una posición de desventaja, porque sus beneficios eran intangibles. Como se ha dicho

anteriormente, en el estudio se ha mencionado que la intención era fomentar las bases de datos desarrolladas para los objetivos de riesgo

operativo de Basilea II y apoyar el seguimiento del cumplimiento en toda la organización. Varias personas indicaron que la interacción entre

Gestión de Riesgos y Cumplimiento no era tan buena como debería.

"Los riesgos relacionados con el incumplimiento son una

parte específica de toda la serie de riesgos que la

compañía debe afrontar".

Configuración

14 El apartado anterior estudiaba la relación con Auditoría Interna y AsesoríaJurídica (véanse las pp. 26-31).

��

��

��

��

� �

Cumplimiento separadoCumplimiento implantado en la AltaDirecciónCumplimiento al mismo nivel que el Asesoría jurídicaCumplimiento al mismo nivel que Auditoría InternaOtros

46 © PricewaterhouseCoopers - Proteger la marca

¿Cómo interactúa Cumplimiento con el negocio?

Ante la pregunta de cómo interactúa Cumplimiento con las unidades de negocio, las respuestas han ido desde "la interacción de

Cumplimiento con las unidades de negocio se basa en la confianza y en las relaciones establecidas" hasta "las unidades de negocio

esperan que Cumplimiento no les moleste en el transcurso de su actividad". En la mayoría de los casos, los encuestados indicaban que la

interacción con las unidades de negocio se basaba en una combinación de requisitos formales (declaración de la misión, estatutos, etc.) y

relaciones informales, a través de un asesoramiento en el día a día sobre su operativa y la implicación en comités relevantes. Lograr el

correcto equilibrio entre el seguimiento del cumplimiento por las unidades de negocio y el proporcionarlas asesoramiento no solía ser una

tarea fácil. Uno de nuestros encuestados hablaba de relaciones muy tensas, pues percibían a Cumplimiento como un inhibidor del negocio.

Otro indicaba que las directrices formales incluían una asignación obligatoria de las responsabilidades de cumplimiento a los mandos

intermedios. Este tipo de enfoque se hace evidente siempre que las unidades de negocio deban hacer autoevaluaciones periódicas de la

comunicación de los objetivos de cumplimiento (y reportar a Cumplimiento).

Muchos encuestados afirmaron que las unidades de negocio esperan que Cumplimiento proporcione, por un lado, guía, apoyo y

asesoramiento y, por otro, formación y educación. Otros creen que sólo esperan instrucciones de trabajo claras: sin embargo, de modo

sorprendente, no se hace mucho hincapié en la función de seguimiento y supervisión de Cumplimiento. Las unidades de negocio a veces

confundían el papel de Cumplimiento con el de un departamento jurídico o simplemente no tenían un concepto claro de su papel. Para

poner remedio a esta situación, algunos participantes en el estudio indicaron que Cumplimiento ofrecía a los responsables de estas

unidades de negocio, una vez al año, un resumen de las principales responsabilidades de Cumplimiento con respecto al negocio, un

informe en el que se trataba lo que se haría y el modo en que se haría (de acuerdo con un patrón basado en el riesgo).

Sólo un 12 % de los encuestados indicaba que se habían firmado service line agreements (SLA) con las unidades/entidades, y el

porcentaje era aún menor para auditoría, servicios jurídicos, gestión de riesgos, etc. Un 58 % de los encuestados indicaba que no existía

SLA alguno. Dos personas afirmaron que los SLA determinaban la base para facturar los costes de cumplimiento a las unidades de

negocio. Una serie de encuestados decía que su intención era establecer este tipo de acuerdo sobre todo con otros colaboradores

funcionales (Auditoría Interna, Gestión de Riesgos, etc.). A veces, de la estructura organizativa se derivaba una falta de formalidad: una

persona nos explicaba que debido a la estructura existente, en que todas las funciones de apoyo y control reportaban a la misma persona,

dichos acuerdos eran innecesarios.

Cumplimiento: % de respuestas

Acuerdos de nivel de servicio (SLA) totales

Con negocio 12%Con auditoría 6%Con asesoría jurídica 1%Con gestión de riesgos 3%Con otros (p.e. RR. HH.) 4%Responsabilidades respectivas establecidas 27%en mandatos/planesInexistencia de SLA 58%

© PricewaterhouseCoopers - Proteger la marca 47

� Reflexiones

Conforme Cumplimiento vaya ganando fuerza en las organizaciones de servicios financieros, su papel deberá estar claramente definido con

vistas a 1) proporcionar a la Alta Dirección la garantía de que el cumplimiento, la reputación de la empresa y los posibles riesgos que ésta

corra están bajo control y 2) informar a la Alta Dirección de los riesgos de cumplimiento inherentes al negocio. La gama de actividades que

debe llevar a cabo Cumplimiento, según lo determine la Dirección, tendrá un efecto en su estructura, sus costes y su habilidad para atraer

nuevos talentos hacia el sector. Los participantes reconocían que la evolución llevaría un tiempo, pero que además las actividades de

Cumplimiento variaban de un modo significativo según el sector, la región y el estado.

Deberá elaborarse una estrategia clara en cuanto a la configuración actual de Cumplimiento, y su evolución futura, para garantizar un

uso efectivo de sus recursos e influencia. Limitarse a superponer a Cumplimiento en un contexto organizacional existente o en otras

iniciativas de gestión de riesgos -intentando remendar los agujeros detectados- no suele ser el enfoque adecuado para garantizar la

eficiencia y efectividad óptima del marco de Cumplimiento y de la disciplina en sí. En realidad, las limitaciones políticas podrían perjudicar al

valor a largo plazo de Cumplimiento. Básicamente, la Dirección debe plantearse algunas cosas, como por ejemplo la función y la existencia

de todo lo que compone el marco de Cumplimiento.

Estructuras de cumplimiento:centralización o descentralización

Para Cumplimiento, tanto los modelos centralizados como los

descentralizados tienen su importancia15. Un modelo centralizado

permite la estandarización del cumplimiento y las actividades de

reporting en la organización, con lo cual se logra la eficiencia en

temas como la formación, la interfuncionalidad, la comunicación y la

gestión de los recursos. Un modelo descentralizado, en cambio,

permite una cierta adaptación, de manera que cada unidad de

negocio puede responder a las demandas de sus mercados, de su

cultura o de su sector. Los directivos pueden seguir más de cerca

sus actividades de cumplimiento y ofrecer a sus empleados un

sentimiento más profundo de implicación en el proceso.

15 Para más información, véase el documento "Global Best Practices", que seencuentra en la web www.globalbestpractices.com.

Modelo de cumplimiento centralizado Modelo de cumplimiento descentralizado Comité de Dirección• Elabora los estatutos• Hace de la supervisión del cumplimiento una responsabilidad

importante del Comité

Unidad de Cumplimiento:• Funciona a nivel de la Alta Dirección• Coordina las actividades de cumplimiento y el reporting

de las unidades de negocio• Desarrolla herramientas y plantillas que pueden adaptar a las

unidades de negocio• Garantiza la asignación de los recursos adecuados

Unidades de Negocio:• Nombran a un jefe de Cumplimiento• Reúnen y transmiten información sobre cumplimiento

para la Alta Dirección• Adaptan el flujo del trabajo de cumplimiento en respuesta a

los requisitos de la unidad y del sector• Se aseguran de que los empleados conocen cuál es su

función y que están preparados para llevarla a caboFuente: PricewaterhouseCoopers

Global Best Practices

Comité de Dirección:• Elabora los estatutos• Hace de la supervisión del cumplimiento una responsabilidad

importante del Comité

Unidad de Cumplimiento:• Funciona a nivel de la Alta Dirección• Dirigida por el máximo responsable de cumplimiento

o por un alto directivo• Hace un seguimiento del rendimiento• Supervisa la formación y la comunicación• Mantiene un vínculo confidencial con el Comité

Unidades de Negocio• Aseguran que las actividades de control y cumplimiento son

efectivas• Aseguran que los empleados se adhieren a las políticas

y regulaciones• Aseguran que los principales “proveedores” están informados

48 © PricewaterhouseCoopers - Proteger la marca

Para optar por una estructura centralizada o descentralizada hay que tener en cuenta el papel general que se quiere representar

desde Cumplimiento a nivel local. En organizaciones complejas, la combinación de los dos enfoques suele ser la solución más práctica,

pues proporciona la flexibilidad de manejar diferentes negocios y culturas nacionales. En muchas organizaciones, Cumplimiento local es

"operativo", llevando a cabo los controles y procedimientos necesarios en el negocio para hacer un seguimiento y asegurar el cumplimiento.

En este caso, la capacidad de que Cumplimiento supervise la conformidad local queda comprometida. Del mismo modo, suele existir la

necesidad de equilibrar los roles del cumplimiento local con los requerimientos también locales, por lo que los responsables de

Cumplimiento no suelen tener una dedicación completa (y por tanto existe la posibilidad de que se entienda mal el rol de Cumplimiento).

Salvaguardar la independencia de Cumplimiento depende de la actitud de los directivos locales, que puede variar de una ubicación a

otra, y de la efectividad de las habilidades de supervisión de Cumplimiento a nivel grupo. El hecho de que las organizaciones se decidan

por el modelo centralizado, el descentralizado o por la combinación de ambos en las actividades de cumplimiento afecta a las relaciones y

al flujo de trabajo de la organización, conformando el modo en que trabajan conjuntamente la Alta Dirección, las unidades de negocio,

Auditoría Interna y Gestión de Riesgos, los empleados y el personal de Cumplimiento. Definir y gestionar de manera clara estas relaciones

dentro del marco del cumplimiento es algo básico para lograr los objetivos de cumplimiento. La estructura de cumplimiento debe evolucionar

conforme la cultura del cumplimiento vaya calando en la organización:

• Los departamentos de cumplimiento centralizados no siempre logran encontrar ese equilibrio entre el "papel de control" y la adecuada y

estratégica "autoridad de gestión de cambio".

• Los departamentos descentralizados y focalizados en los negocios pueden tener más facilidad a la hora de lograr un cambio táctico

pero su independencia puede quedar comprometida porque 1) Cumplimiento no reporte a las personas correctas en el nivel adecuado,

2) no existan políticas de remuneración adecuadas (el proceso de evaluación está dirigido por el negocio, con sus propias limitaciones),

3) el personal involucrado en la toma decisiones de negocio importantes no tenga la suficiente experiencia y 4) sea difícil garantizar

capacidades homogéneas del personal de cumplimiento cuando la estructura es descentralizada..

• La naturaleza y el alcance de las actividades de una organización suelen requerir una combinación de ambas estructuras, lo que añade

complejidad en términos de evolución de la disciplina general.

Interacción con otras funciones

Hay otras consideraciones a tener en cuenta a la hora de determinar el enfoque óptimo en cada caso. Una interacción adecuada con otras

disciplinas de control y apoyo es básica para garantizar la efectividad y la eficiencia de la disciplina de cumplimiento y de todo lo que la

rodea. A continuación se presenta una tabla en la que convergen varias ideas a partir de las respuestas obtenidas, en las que se puede

dilucidar la posible naturaleza de esta relación, así como los puntos de interacción.

© PricewaterhouseCoopers - Proteger la marca 49

Actor Naturaleza de la interacción Areas de interacción potencial con Cumplimiento

con Cumplimiento

Gestión de Riesgos Colaboración, apoyo • Identifica y evalúa los riesgos, incluyendo el riesgo de cumplimiento.

• Contribuye al seguimiento del riesgo de cumplimiento y planes de seguimiento.

• Fomenta la concienciación sobre el riesgo de cumplimiento dentro de la organización.

• Colabora con Cumplimiento en el asesoramiento de la Dirección (p. e., nuevos productos, nuevos mercados, etc.)

Auditoría Interna Colaboración, apoyo • Dirige la adopción de controles automáticos para el flujo de trabajo del riesgo de cumplimiento.

• Proporciona información para evaluar el riesgo de cumplimiento general.

• Hace un seguimiento de los procesos y prácticas de negocio para el riesgo de cumplimiento, entre otros.

• Evalúa la efectividad de los controles internos en torno a los riesgos de cumplimiento.

• Revisa áreas específicas del riesgo de cumplimiento a instancias de Cumplimiento, como parte del Plan de Auditoría anual.

• Lleva a cabo revisiones “temáticas” de aspectos relacionados con el cumplimiento.

• Participa en investigaciones sobre puntos débiles y errores de cumplimiento.

Asesoría Jurídica Colaboración, apoyo • Mantiene a Cumplimiento al día de los desarrollos legislativos y de la jurisprudencia, y ayuda a interpretar sus consecuencias para la organización.

• Colabora con Cumplimiento a la hora de asesorar a Dirección (nuevos productos, nuevos mercados, etc.).

• Representa a la organización desde el punto de vista jurídico y en incidentes relacionados con el cumplimiento.

• Colabora con Cumplimiento en las relaciones con los reguladores.

• Apoya a Cumplimiento en la formación del personal y en las comunicaciones dirigidas al mismo.

• Participa en investigaciones de puntos débiles o errores en el cumplimiento.

• Proporciona asesoramiento en cuestiones disciplinarias.

Responsabilidad social de la empresa Colaboración • Relaciona los procesos de cumplimiento con las responsabilidades generales en materia de RSC.

Garantía de Calidad Colaboración • Asegura la coherencia entre Garantía de Calidad y Cumplimiento.

• Refuerza la relación entre cumplimiento y calidad.

Recursos Humanos Apoyo • Ayuda a implementar regulaciones, códigos de conducta, manuales de personal y cursos de iniciación.

• Ayuda en el desarrollo de políticas relacionadas con las medidas que deben tomarse en caso de incidentes de cumplimiento.

• Ayuda a administrar/desarrollar formación y comunicación en materia de cumplimiento.

• Ayuda a Cumplimiento en la contratación de personal para cargos delicados.

• Ayuda a Cumplimiento en el desarrollo de sistemas de evaluación y remuneración con el objeto de estimular los comportamientos

prometidos por Cumplimiento.

• Lidera el diálogo con sindicatos y las relaciones laborales (si cabe).

Comunicación corporativa Colaboración, información • Apoya a Cumplimiento en la emisión de comunicados internos para que los comportamientos sean acordes con lo estipulado por Cumplimiento.

• Garantiza que las comunicaciones externas y la información pública es conforme a lo estipulado por Cumplimiento.

Marketing Información, apoyo • Garantiza que la información de marketing es conforme al cumplimiento.

• Ayuda a Cumplimiento en el seguimiento del entorno externo.

Servicio al Cliente Información • Proporciona información a Cumplimiento por medio de informes sobre las reclamaciones de los clientes.

A partir del análisis realizado, se puede sugerir lo siguiente:

• Los Consejos y la Alta Dirección deberían replantearse la configuración presente y futura de la disciplina de cumplimiento, del

marco de control de la organización y el nivel óptimo de recursos (humanos, financieros y tecnológicos). La Alta Dirección debe

seguir garantizando que el diseño organizativo no impida la independencia y la efectividad de la disciplina de cumplimiento. Entre

otros:

- La Alta Dirección debe conciliar los diferentes enfoques exigidos por las distintas culturas empresariales y sociales en el marco

de sus operaciones, con estrategias asociadas en términos de configuración, modus operandi y recursos de Cumplimiento.

- La Dirección debe prestar atención a la interacción con las demás disciplinas de apoyo y control, y garantizar que los papeles

y las responsabilidades respectivos están claramente definidos y documentados.

- Es necesario que se reconozca el doble papel de Cumplimiento ("asesor" y "policía"). Hay que garantizar que toda la

organización recibe el asesoramiento adecuado, top-down y bottom-up, para tener un acceso e interacción adecuados con las

líneas de negocio.

• Los reguladores deben proporcionar más directrices y deben ser más claros con respecto a las expectativas que tienen de la

Dirección y de Cumplimiento, y mostrarse más transparentes en ese sentido.

• Los reguladores deben aspirar a ser coherentes, tanto en una línea temporal como respecto a otros reguladores tanto nacionales

como internacionales.

50 © PricewaterhouseCoopers - Proteger la marca

© PricewaterhouseCoopers - Proteger la marca 51Cumplimiento: un valor añadido para la buena marcha de la entidadIntroducción

Como ya hemos visto, la visión de la Alta Dirección y el Consejo en cuanto a Cumplimiento -incluyendo su papel, sus responsabilidades y la

organización de la propia disciplina- ha evolucionado hacia una mayor formalización en los últimos años. Sin embargo, aún no contamos

con estrategias a largo plazo coherentes dirigidas a inculcar un sentimiento de integridad en el negocio (demostrable por los

comportamientos asociados) y a garantizar que Cumplimiento contribuya a añadir valor al rendimiento de la organización de manera

continua. Uno de los participantes en el estudio nos decía que aún quedaba camino por recorrer para conciliar teoría y práctica.

Basándose en nuestro análisis, hay tres retos de partida en los que parece haber consenso:

• Evaluar, controlar y gestionar los riesgos de cumplimiento dentro del contexto del perfil de riesgo general de la organización.

• Cuantificar el valor del cumplimiento y encontrar un equilibrio con los costes asociados.

• Asegurar el soporte tecnológico adecuado, tanto en lo referente a la disciplina de cumplimiento como a los procesos de negocio en

general.

Evaluar, controlar y gestionar el riesgo de cumplimiento dentro delcontexto del perfil de riesgo general de la organización

En términos de los principales riesgos de cumplimiento afrontados por la organización, las respuestas están divididas: los hay que inciden

en los requisitos normativos específicos (prevención del blanqueo de capitales, uso de información privilegiada y deber de diligencia con los

clientes) y los que citan áreas de negocio específicas (por ejemplo, banca de inversión, banca privada o gestión de activos). En el ranking

de riesgos de cumplimiento, el hecho de "incumplir requisitos reguladores o legales" y el "riesgo de marca/reputacional" (véase la p. 16) son

seguidos por la normativa contra el blanqueo de capitales y el uso de información privilegiada. Curiosamente, no hubo una correlación

directa en las respuestas de los encuestados en lo referente a los principales riesgos de cumplimiento, entre los principales retos para la

disciplina de cumplimiento y los retos percibidos para lograr el cumplimiento en todos los casos.

Muchos encuestados decían que (aún) no se cuenta con una terminología común en sus organizaciones con respecto al riesgo de

cumplimiento. Los encuestados de todas las regiones indicaron que ahora se está trabajando en ello con vistas a aclarar los principales

indicadores clave del riesgo de cumplimiento o del rendimiento en diferentes líneas de negocio. Se están desarrollando matrices de riesgo

de cumplimiento para registrar las diferencias sectoriales y reguladoras de cada lugar. Un norteamericano indicaba que los responsables de

cumplimiento usaban una matriz de evaluación de riesgos de todo el grupo para llevar a cabo evaluaciones del riesgo de cumplimiento en

las unidades de negocio. Muchos de los bancos que participaban en el estudio afirmaron que la evaluación de este riesgo aún se hacía con

las reglas de Basilea II sobre riesgos operativos, o que Cumplimiento planeaba potenciar los datos recabados para evaluar mejor el riesgo

de cumplimiento. Una aseguradora comentaba que las unidades de negocio eran puntuadas con una escala del 1 al 10 en función de

varios indicadores y riesgos de cumplimiento, su preparación para actuar, su receptividad ante los riesgos, las acciones reales llevadas a

cabo, el reporting y los objetivos alcanzados.

"Una dificultad básica en términos de cumplimiento es la

diferencia entre teoría y práctica. Posiblemente se pueden

diferenciar tres niveles: 1) el escenario ideal de

cumplimiento, 2) las decisiones de gestión (que en teoría

son adoptadas sopesando todos los pros y contras,

incluyendo las consideraciones de cumplimiento) y 3) la

implementación práctica, dentro de los límites de

cumplimiento, de dichas decisiones."

Riesgos específicos de cumplimiento identificados16

Legislación antifraude

Prevención de Blanqueo de Capitales (y aumentar el nivel

regulatorio)

Legislación antimonopolio

Gestión de reclamaciones

Conflictos de intereses

Legislación de protección de los consumidores

Hechos que se consideran improbables (fat tail events)

Uso de información privilegiada y manipulación del mercado

Asuntos internos de la organización

Reglas de conocimiento del cliente (KYC)

Riesgo de responsabilidad: riesgo de penalizaciones

Desarrollo de productos y administración

Corrupción de empleados

Reglas de confidencialidad y privacidad

Riesgos de tecnología

Terrorismo

Terceras partes (subcontratación, joint ventures, contratos

de agencia)

16 Veáse Anexo II.

52 © PricewaterhouseCoopers - Proteger la marca

El peso de la relación de la red de Cumplimiento con las unidades de negocio -la comunicación efectiva- se considera un mecanismo

importante para identificar y evaluar los riesgos de cumplimiento. Además, se lleva a cabo una evaluación formal de los riesgos como

resultado de un reporting periódico.

Casi una cuarta parte de los encuestados indicaba que normalmente su organización adoptaba un enfoque integral del riesgo,

identificando y evaluando el riesgo de cumplimiento en el contexto de otros riesgos (como el riesgo de crédito, el riesgo de mercado, el

riesgo operativo). Un 40 % de los encuestados adoptaban un enfoque estratégico amplio para evaluar los riesgos de cumplimiento, pero en

este caso, un cierto número de actores con presencia internacional también se estaban replanteando sus enfoques y estaban trabajando

para incrementar su detalle, para mejorar su apreciación de los riesgos de cumplimiento y de su interdependencia con otros riesgos. A

pesar de todo, un 21% indicaba que no se hacía una evaluación sistemática de los riesgos de cumplimiento dentro de la organización.

Muchos encuestados afirmaban que la identificación y evaluación de los riesgos de cumplimiento ocurría como resultado de varias

actividades de la organización, no exclusivamente de las de Cumplimiento. Se reconocía sin duda el papel de Auditoría Interna, (en el

marco de su Plan de Auditoría anual), entre otros, en la identificación y evaluación de riesgos de cumplimiento potenciales en la

organización. Sin embargo, como hemos visto, a veces estaban poco claros los papeles de Cumplimiento y de Gestión de Riesgos -sobre

todo el de Gestión de Riesgos Operativos- en términos de identificación, evaluación, control y gestión de riesgos. Incluso en las

organizaciones en que el riesgo de cumplimiento se percibía como parte integral del programa de gestión de riesgos general, la vinculación

o mejor dicho, la separación entre ambos, en términos de responsabilidades relativas, no siempre estaba clara.

Más de un 40 % de los encuestados dijeron que su organización había adoptado un enfoque basado en el riesgo para controlar el

riesgo de cumplimiento: un 8 % decía que ellos habían desarrollado cuadros de mando de cumplimiento. Un 18 %, en cambio, siguen

funcionando como "apagafuegos", tratando los temas conforme van surgiendo, sin un control sistemático del mismo. Pocos decían aplicar

un enfoque basado en el riesgo para la identificación y la evaluación del riesgo de cumplimiento, si bien algunos han empezado a evaluar la

importancia y la probabilidad de que se produzcan riesgos reales de cumplimiento.

Cuantificar el valor de cumplimiento y equilibrarlo con sus costes

Coste de cumplimiento

Sólo un 49 % de los encuestados indicaba que tenía un presupuesto explícito para Cumplimiento, y menos de la mitad de los mismos

tenían carta blanca para asignarlo libremente. Un norteamericano nos contaba que cada año tenía que preparar un presupuesto detallado,

con partidas concretas, al que Cumplimiento tenía que adaptarse. Otros, en cambio, destacaban la necesidad de cierta flexibilidad para

tener capacidad de reacción. Evidentemente, los encuestados que habían empezado a aplicar políticas de cumplimiento recientemente (en

el último año/últimos 18 meses) indicaban que la elaboración de presupuestos todavía estaba "en curso".

En muchos casos el presupuesto de Cumplimiento a nivel grupo era asignado centralmente -a veces, “escondido” en la partida de

gastos generales-, y las unidades de negocio se encargaban de asignar presupuesto al personal de Cumplimiento local. El coste completo

de Cumplimiento, incluyendo los costes a nivel de línea de negocio, no se controlaban mucho (y por ello, los encuestados sólo podían

proporcionar cifras indicativas, en el mejor de los casos, para los costes totales).

Evaluación del riesgo de cumplimiento

Enfoque basado en riesgos para el seguimiento del cumplimiento

0

5

10

15

20

25

30

35

40

45

Percent of total

25

8

40

18

14

21

Evaluación de riesgos integralTrabajo en cursoBasada en el ConsejoParcialPunto de partidaNo se hace evaluación del riesgo de cumplimiento

Porcentaje de respuestas totales.

Basado en riesgosNo basado en riesgosNo hay plan de seguimiento del cumplimientoNo sabe/no contesta

© PricewaterhouseCoopers - Proteger la marca 53

Un banco con presencia internacional comentaba que no llevaba un control de los costes de Cumplimiento porque "se ven como una

proporción muy baja de los costes totales". También se recogieron las siguientes observaciones:

• Cumplimiento era simplemente un coste obligado para hacer negocios.

• Es difícil diferenciar los costes entre las actividades de Cumplimiento y las que la empresa pone en práctica porque está obligada a

hacerlo.

• Con sus limitados recursos, Cumplimiento no dispone de tiempo para analizar todos sus costes.

En algunos casos, Cumplimiento seguía teniendo una influencia significativa al determinar los recursos a nivel local, pero

normalmente tenía que negociar las con unidades de negocio. Como se ha visto, algunas organizaciones con presencia internacional

indicaban que había un sistema por el que los costes de cumplimiento, sobre todo los costes de Cumplimiento a nivel grupo, se volvían a

cargar a las líneas de negocio.

En cuanto a los elementos cubiertos por el presupuesto, la mayoría de los encuestados indicaban que el presupuesto solía incluir

costes de personal (salarios, beneficios, formación y gastos generales), aunque en algunos casos, con respecto a personal, había que

obtener una autorización específica de RR. HH. o de la Alta Dirección. Otros indicaban que los costes de formación relacionados con el

cumplimiento (particularmente en términos de programas de formación más amplios para las líneas de negocio) solían ser responsabilidad

de RR. HH. o del departamento de formación, si lo hubiere. Ningún encuestado comentó que se aplicase en su organización un enfoque

integral que cubriera todos los costes potenciales de cumplimiento (como se muestra en el cuadro que tenemos en esta página), aunque

algunas de las organizaciones más avanzadas en este sentido afirmaban que se lo estaban planteando. Algunos de los costes derivados de

incumplimientos (sanciones, multas, tasas legales) solían registrarse de modo separado a nivel corporativo, o bien la unidad de negocio se

hacía responsable de ellos. Pocas respuestas tenían en cuenta el impacto del daño a la reputación en cuanto a cuota de mercado, ni

siquiera las que decían que el riesgo reputacional era el más importante para la organización. Tampoco los costes de interrupciones,

trastornos en el negocio o los costes de gobierno se tenían en cuenta en el contexto de cumplimiento.

Dicho esto, la mayoría de los encuestados indicó que se había registrado un incremento de los costes de cumplimiento en los últimos

tres años -a veces se habían duplicado o triplicado- como resultado del aumento de la plantilla (o de la mayor experiencia/calidad del

personal) con el objeto de responder a los desarrollos normativos. Algunos indicaban que los cambios en el negocio -como fusiones o

adquisiciones, o inversiones adicionales en infraestructura tecnológica- también habían incrementado los costes. Muchos anticipaban que

los costes de cumplimiento seguirían en aumento en los próximos años.

Visión global de los costes de cumplimiento

• Costes de cumplimiento

- Personal (a tiempo completo o parcial): salarios,

beneficios, formación

- Un programa más amplio de educación/comunicación

- Costes de la tecnología asociada, espacio

• Costes de incumplimiento

- Sanciones

- Costes de reparación

- Costes de suspensión/trastornos en el negocio

- Impacto en coste de capital

- Impacto en cuota de mercado

• Costes de gobierno

Fuente: PricewaterhouseCoopersIntegrity-Driven Performance TM White Paper, 2004.

54 © PricewaterhouseCoopers - Proteger la marca

Cuantificar el valor añadido

Ante la pregunta de si Cumplimiento añadía valor a la organización, un 78 % de los encuestados consideraba que sí lo hacía, aunque

un 22 % de los mismos ponía reparos a la respuesta por la dificultad de su cuantificación. Un grupo europeo afirmaba que "una

disciplina de cumplimiento efectiva permite a la organización alcanzar sus objetivos; no sólo le evita daños, incrementa su fuerza".

Para el resto, Cumplimiento era una necesidad legal, un departamento de control, o demasiado inmaduro para que la organización le

reconozca ese valor.

Entre los que dijeron que Cumplimiento sí añadía valor, ninguno había desarrollado un enfoque de cuantificación del mismo, pero

algunas organizaciones con presencia internacional se estaban preparando para ello. Los encuestados indicaban, en cambio, que

cuantificar este valor era difícil porque dependía de una lógica inversa: que no se produzcan acontecimientos que incumplan lo estipulado.

Como destacaba un europeo, el valor real de una póliza de seguros

sólo se aprecia cuando algo va mal. Un australiano nos decía que su

organización percibía más valor añadido antes de la introducción de la

Financial Services Reform Act (Ley de Reforma de los Servicios

Financieros), pero no después, dado que se tiene que cumplir con

requisitos normativos extremadamente onerosos (con lo cual se

sugería que Cumplimiento era el responsable de ello). Además,

cuando se formalizaron por primera vez acuerdos de cumplimiento o

se extendió el alcance de los mismos, hubo un incremento en los

errores y las debilidades de cumplimiento que la Dirección

consideraba dificil de conciliar con los crecientes costes de la unidad

de cumplimiento. Un participante norteamericano nos decía que

mientras su negocio de valores apreciaba el valor añadido de

Cumplimiento, su negocio bancario lo veía como "un simple impuesto".

No obstante, como ya se ha dicho, Cumplimiento también se

veía en desventaja en comparación con otras disciplinas de gestión

de riesgos de negocio, que se percibían como facilitadores mientras

que Cumplimiento era "un coste obligado para poder hacer

negocios". El impacto financiero de la gestión de los riesgos de

crédito, de mercado y de los riesgos operativos se cuantificaba en

términos de potenciales reducciones de los requerimientos de capital.

Algunos encuestados creían que el valor de Cumplimiento sólo se

reconocería si se encontraba un equilibrio viable con sus costes.

Muchos de los encuestados afirmaban que Cumplimiento tenía que

aprender a venderse internamente. Un Responsable de

Cumplimiento apuntaba: "mi tarea es hacer que Cumplimiento y sus

ventajas sean más transparentes y explotables a nivel operativo".

Medídas lógicas:• Calidad y rapidez de las interpretaciones de la regulación políticas

y procedimientos de cumplimiento relacionados

• Relación normativa mejorada, incluyendo un feedback adecuado de

las revisiones del supervisor

• Mejor relación con los accionistas

• Mejor relación con los clientes (encuestas de satisfacción de

clientes)

• Sentimiento positivo por estar haciendo las cosas bien

• Buenas revisiones de auditoría externas/internas de Cumplimiento

• Decisiones de negocio dentro de lo estipulado por Cumplimiento

• Rapidez en el desarrollo y ofrecimiento al mercado de productos

acordes con el cumplimiento

• Feedback positivo a nivel interno desde las áreas de negocio (a

través de encuestas, revisiones de 360°)

• Evaluaciones de formación en materia de cumplimiento

• Efectividad de las revisiones de Cumplimiento

• Documentación de marketing acorde con el cumplimiento

• Sistemas informáticos diseñados desde cero para que estén de

acuerdo con las prácticas de cumplimiento

• Aumento de la profesionalidad de Cumplimiento

• Nivel de ética/cultura de cumplimiento en la organización

(encuestas internas)

• Claridad y comprensión del reporting de cumplimiento

• Rectificación a tiempo de los incumplimientos/deficiencias

• Resultados del control de cumplimiento

Medidas lógicas inversas• Ausencia de multas/sanciones• Menos multas/sanciones que la competencia• Póliza de seguros• Ausencia/reducción de errores/deficiencias de cumplimiento• Revisiones no necesarias para lograr la calidad• Menos reclamaciones (menos recursos para la gestión de las

mismas)• No suspensión o restricciones de licencias de actividad• "Silencio" administrativo y de gestión• Hacer guardia: detener las decisiones de negocio incorrectas

Ejemplos de cómo Cumplimiento añade valor

© PricewaterhouseCoopers - Proteger la marca 55

Un 71 % de los encuestados indicaba que se había establecido una descripción de los puestos de trabajo y unos objetivos individuales

específicos para el personal y los responsables de Cumplimiento. Varios afirmaban que estaban intentando introducir cuadros de mando

integrales (balanced scorecards) en Cumplimiento (aunque un europeo dijo que había intentado introducirlo y no había funcionado).

Desarrollar indicadores clave de rendimiento (en sus siglas en inglés, KPI) -tanto para Cumplimiento como para cuantificar los

comportamientos adecuados dentro de las unidades de negocio- era algo que la mayoría de los encuestados consideraba difícil, de nuevo

debido a la necesidad de cuantificar la ausencia de incumplimientos (ni multas, ni sanciones, ni incumplimientos...). No resulta sorprendente

que un 62 % afirme que no usa KPI o, al menos, que todavía no los usa. Y los que sí los usan, tienen la sensación de que es algo tan nuevo

que aún son demasiado genéricos. La mayoría de las organizaciones con presencia internacional estaban trabajando para dar con KPI más

definidos. Por ejemplo, estaban intentando introducir indicadores para los resultados de cumplimiento de las empresas, tales como el número

de investigaciones regulatorias, número de incidencias detectadas en auditorías, etc. Algunos encuestados recalcaban la importancia de

implantar el análisis de la causa de los incumplimientos y de las debilidades: debían hacerse evaluaciones para determinar si las irregularidades

de cumplimiento se podían haber detectado antes. Fueron pocos, en cambio los que indicaron que utilizaban KPI para predecir tendencias.

Se utilizaban varias herramientas para evaluar el desempeño de cumplimiento en general (incluyendo el trabajo de Cumplimiento y

las prácticas adecuadas de la organización), por ejemplo:

• Revisiones de 360°

• Encuestas internas para controlar las percepciones de Cumplimiento y la relación con las áreas de negocio, entre otras cosas

• Cuadros de mando (dashboards), con los aspectos de los que se ha informado a los reguladores, las multas pagadas, conclusiones

adversas, incumplimientos, debilidades, operaciones inadecuadas realizadas por el personal

• Elementos gráficos destacando los riesgos de cumplimiento

• Autoevaluación controlada de las unidades de negocio (regularidad de la formación, autorización previa en operaciones concretas, etc.)

contra objetivos

• Análisis estadísticos de reclamaciones e incumplimientos

Algunos encuestados indicaban que les gustaría tener datos para realizar comparaciones con la competencia (benchmarking), pero

que no era fácil. Un participante con presencia internacional comentaba que los reguladores estadounidenses estaban intentando

establecer este tipo de comparativas en sus revisiones, tales como comparar el número de comunicaciones de operativa sospechosa

realizadas por los bancos. Sin embargo, esos datos no eran fiables debido a las diferentes actividades comerciales, perfiles de riesgo,

niveles de tolerancia al riesgo, etc.

Ejemplos de KPI genéricos

• Formación proporcionada frente al plan previsto

• Pruebas realizadas frente al plan previsto

• Volúmenes de reclamaciones

• Seguimiento de excepciones

• N.º de anuncios revisados

• N.º de incumplimientos (reportados o no)

• Revisiones de auditoría

• Resultados de exámenes regulacionales

• Sondeos en toda la organización

• Éxito en la contratación/formación de personas con

talento para Cumplimiento

• Evaluación del conocimiento del control de cumplimiento

• Calidad de benchmarking de la organización

• Reporting de rendimiento sobre los cambios en políticas

y procedimientos de cumplimiento

• Calidad de la cultura de cumplimiento

• Retención de personal

• Cobertura negativa en la prensa

• N.º de investigaciones reguladoras

• Relación general con los reguladores

• Rapidez de respuesta y rectificación de incumplimientos

y debilidades

Indicadores clave del rendimiento

��

�

�

�

KPI para CumplimientoKPl utilizados en análisis de predicciónEmpieza a usar/desarrollar KPINo usa KPI

56 © PricewaterhouseCoopers - Proteger la marca

Garantizar una estructura de apoyo tecnológico apropiada con respectoa Cumplimiento y a los procesos de la organización en general

Nuestro análisis muestra que Cumplimiento está a la cola en términos de explotación y conocimientos de la tecnología. Mientras que una

gran mayoría de los encuestados mencionaba que Cumplimiento hacía uso de la intranet, el correo electrónico, los teléfonos, etc., sólo un

14 % de los encuestados se centraba en un mayor uso de la misma -y el ejemplo más citado de tecnología utilizada era el software

relacionado con prevención de blanqueo de capitales (PBC). Curiosamente, sólo un 3 % decía tener una alta dependencia de la tecnología

para el control del cumplimiento, mediante herramientas para el análisis de sus resultados. Uno de estos usuarios convencidos de la misma

recordaba, en cambio, que el uso eficiente de la tecnología racionalizaba de un modo muy adecuado las necesidades de recursos

(humanos) y mejoraba el rendimiento global de Cumplimiento.

Sólo un 17 % de los participantes en el estudio usaban la tecnología con propósitos de gestión del conocimiento dentro de

Cumplimiento. Del mismo modo, al preguntarles hasta qué punto el personal de tecnología se implicaba en el programa de cumplimiento,

un 43 % de los encuestados indicaba que había una cierta implicación pero sólo un 28% tenía la seguridad de que los informáticos

conocían las necesidades de Cumplimiento. En términos de desarrollo de nuevos sistemas, un 30 % indicaba que Cumplimiento estaba

implicado, pero en la mayoría de las unidades de negocio, éstas eran las que tomaban las decisiones a la hora de dar prioridad a los

proyectos de sistemas. Mientras que la mayoría de participantes daba la misma prioridad a Cumplimiento en términos de desarrollo de

sistemas (con la debida justificación), un 20 % decía que en general los proyectos de cumplimiento tenían una prioridad baja.

En general, es evidente que el uso de tecnología era más una necesidad regulatoria que una visión de la organización. Por ejemplo,

los requisitos de PBC revisados y, al menos en Europa, los requisitos de abuso de mercado, han actuado como catalizador para un mayor

uso de la tecnología y la mayor necesidad de que Cumplimiento entienda la tecnología en uso dentro de su organización.

� Reflexiones

Subsisten retos significativos si las organizaciones esperan lograr todos los beneficios de un cumplimiento mejorado. Muchas

organizaciones siguen creyendo que una gran parte de estos retos radica en el peso de las nuevas regulaciones y en la incertidumbre de

su aplicación práctica, y que el cumplimiento puede perjudicar al rendimiento si los requisitos regulatorios limitan la flexibilidad y la

innovación de los modelos de negocio, e imponen costes aparentemente innecesarios. En última instancia, en cambio, el cumplimiento -

como el rendimiento- es un requisito para hacer negocios y mantenerse en activo. Cumplimiento proporciona una herramienta, esencial, por

cierto, para que la Dirección pueda alcanzar las expectativas de los grupos de interés en cuanto a integridad y protección de la marca. Los

costes de Cumplimiento son modestos si los comparamos a los miles de millones que la organización puede perder si salen a la luz pública

irregularidades en materia de integridad, buen gobierno o códigos de conducta.

© PricwaterhouseCoopers - Proteger la marca 57

Básicamente, responder a estos retos requiere un enfoque más integral y proactivo hacia el cumplimiento, que vaya más allá de las

expectativas legales por acogerse a consideraciones éticas y estratégicas más amplias. Significa comprender el vínculo esencial con la

integridad, garantizar los comportamientos correctos en la organización y responder a los objetivos estratégicos. Este enfoque debe

centrarse claramente en fomentar los comportamientos adecuados y en el logro de las prácticas y los procesos de negocio correctos

(resultados de acuerdo con el cumplimiento) en lugar de asignar la responsabilidad únicamente a Cumplimiento.

Algunos elementos comunes sustentan este enfoque:

• Una mayor integración de las estructuras de buen gobierno, gestión de riesgos y cumplimiento, formando un todo que sostenga la

integridad general de la organización y se alinee con la innovación y el logro de los objetivos estratégicos.

• Una cultura que alimente los comportamientos adecuados y que infunda integridad en el ADN de la organización, fomentando la

concienciación y la razón de ser de Cumplimiento en todos sus niveles mediante el apoyo de las compensaciones, procesos y

procedimientos adecuados.

• Una extensión del papel de Cumplimiento para comprometerse directamente, y en una etapa inicial, con las decisiones estratégicas y

tácticas en ámbitos que pueden ir desde las adquisiciones hasta el desarrollo de productos.

• Una definición clara de la relación con la unidad de negocio como primera línea de defensa; Cumplimiento como la segunda, y la

auditoría independiente y los miembros externos no ejecutivos del Consejo de Administración como la tercera.

• Enfoques coherentes para garantizar que los procesos y procedimientos de negocio, en general, faciliten la integridad (en lugar de

ponerle trabas), y que unas estructuras tecnológicas sólidas fomenten la toma de decisiones de acuerdo con los principios de la

Integrity-Driven Performance. El cambio hacia un enfoque regulatorio o de supervisión basado en principios o en riesgos en muchos

países puede necesitar una mayor fuerza del papel asesor de Cumplimiento, pero es una cuestión de equilibrio. Básicamente, la

organización tiene que anticipar y responder rápidamente a las más serias amenazas para la marca, no debe obsesionarse por

"cumplir" con todo en todo momento. El éxito de la Dirección al configurar la organización para lograr sus objetivos de rendimiento sin

por ello descuidar la buena gestión (y en consecuencia, de acuerdo con el cumplimiento) será determinante para la evolución del papel

y la constante eficacia de la disciplina de Cumplimiento.

58 © PricewaterhouseCoopers - Proteger la marca

Estrategias sostenibles para Cumplimiento

Nosotros estamos convencidos de que una estrategia coherente y sostenible para Cumplimiento tiene dos dimensiones, en el marco de una

amplia comprensión de las expectativas de los grupos de interés y una madura cultura de integridad (véase el gráfico de esta página).

Desde una perspectiva práctica -en el contexto más amplio del buen gobierno, el riesgo y el cumplimiento-, la Dirección debe garantizar que

el papel de Cumplimiento evoluciona mediante el logro progresivo de prácticas y procesos acordes con el cumplimiento, convirtiéndose si

cabe en una disciplina de gestión proactiva para proteger la salud de la organización a largo plazo.

Si no se tiene una visión y no se cree que un negocio acorde con el cumplimiento es un objetivo válido (en lugar de actuar como reacción

ante la presión reguladora), se prevén muchas dificultades futuras para Cumplimiento, y no sólo en los países en que el cumplimiento es

una disciplina relativamente nueva. Como principal grupo de interés, Cumplimiento no cuenta con un rol claro y coherente en el proceso de

gestión del cambio, y tampoco se le asignan los recursos que necesita para que tenga una participación activa en el negocio. Si la presión

reguladora disminuyera, los recursos se dirigirían hacia otras prioridades de negocio o normativas.

En general, los encuestados encontraban pocos problemas reales para obtener recursos (humanos y financieros) para Cumplimiento

(aunque sin duda hay un énfasis insuficiente en optimizar el uso de la tecnología). Sin embargo, esta tendencia quizá no dure si disminuye

la presión regulatoria y los beneficios se reducen. Las organizaciones saldrían beneficiadas de una menor presión regulatoria, pero para

lograrlo deben hacer lo posible por lograr procesos y prácticas de negocio coherentes y acordes con las prácticas del cumplimiento.

1. Garantizar la viabilidad a largo plazo de Cumplimiento:• Proporcionar los recursos adecuados:

- Centrarse en los costes de cumplimento y en quién paga.

- Proporcionar a Cumplimiento el apoyo tecnológico adecuado

para el negocio.

• Establecer una definición/asignación clara de roles y

responsabilidades entre las diversas disciplinas de gestión de

riesgos y control, optimizando su naturaleza complementaria.

• Gestionar la evolución de estos papeles y responsabilidades a lo

largo del tiempo.

• Reconocer cada vez más a Cumplimiento como una disciplina de

gestión proactiva y fomentar la "profesión" de especialista en

cumplimiento.

• Hacer hincapié en la eficiencia de la disciplina de cumplimiento en

su interacción con el negocio.

• Crear métodos apropiados para cuantificar el valor añadido por

Cumplimiento.

�� ���������� �� ����������� �����������������

������������

������� ��������� �����������������

!�����"�����

Fuente: PricewaterhouseCoopersIntegrity-Driven Performance TM White Paper, 2004.

EX

PECTA

TIVAS DE LOS GRUPOS DEINTER

ÉS

CULTURA ÉTICA

CULTURA CAPACITADORA

PROC

ESO Y TECNOLOGÍAESTÁNDARES EMERGENTES

2. Integrar el cumplimiento en los procesos de negocio:• Asignar claramente responsabilidades de cumplimiento al Consejo

y a la Alta Dirección, así como a los mandos intermedios.

• Centrarse en fomentar los comportamientos apropiados en la

organización.

• Entender el riesgo de cumplimiento definiendo su naturaleza en el

contexto de una amplia evaluación de riesgos y determinar los

enfoques para gestionar y mitigar este riesgo que sean apropiados

para el negocio y para la organización en general.

• Desarrollar políticas de cumplimiento coherentes y flexibles y

procedimientos apropiados para la organización.

• Definir estrategias para equilibrar los riesgos de cumplimiento

frente a los costes.

• Desarrollar los procesos para establecer, revisar y supervisar los

controles internos.

• Garantizar que la tecnología apoya los resultados acordes con el

cumplimiento.

• Asegurar la capacidad de respetar el cumplimiento en un entorno

de negocio dinámico.

Y NUEVOS REQUISITOS

© PricewaterhouseCoopers - Proteger la marca 59

Amplia identificación, evaluación y gestión de riesgos

Una encuesta de 200417 realizada por PricewaterhouseCoopers y la Economist Intelligence Unit identificaba cuatro razones por las que la

gestión de riesgos sigue estando básicamente centrada en cumplir los requisitos reguladores y, en segundo lugar, en proteger y potenciar el

valor de la franquicia:

• Aún se tiene que forjar una cultura de concienciación del riesgo.

• Los riesgos cuantificables siguen acaparando una atención excesiva.

• El cumplimiento no se está utilizando como una ventaja competitiva.

• La importancia del buen gobierno se subestima.

Claramente, este estudio muestra que hay una creciente apreciación del riesgo de cumplimiento como parte integral del riesgo general de la

organización. Sin embargo, la interacción sustancial entre los distintos riesgos a los que se enfrenta una organización debe entenderse

mejor antes de que se lleguen a gestionar con profesionalidad. La Dirección, evidentemente, tiene que centrarse más en la esencia de los

riesgos de cumplimiento, llevando a cabo evaluaciones de modo progresivo a través de todos los niveles de negocio, lo que facilitará una

mayor apreciación de los mismos, tanto top-down como bottom-up. Como indicaba la encuesta realizada en 2004, cada vez se presta más

atención a los riesgos cuantificables, como el riesgo de crédito, el riesgo de mercado y el riesgo operativo, sobre todo en el contexto de

Basilea II. Buena parte de este esfuerzo, sin embargo, puede formar parte de la evaluación de los riesgos de cumplimiento. El grupo de

trabajo de la Risk Management Association centrado en los indicadores de riesgo clave ha identificado más de 1.000 indicadores, con lo

cual se puede ofrecer a los miembros un amplio abanico de opciones.

Un conjunto equilibrado de medidas de un amplio abanico de rendimiento se centraría en:

• Organización, personas y cultura (p. e.: estadísticas a partir de la línea de teléfono sobre temas éticos, resultados de encuestas entre el

personal...).

• Efectividad del proceso de cumplimiento (p. e.: n.º de incidentes/acontecimientos, datos de procesos clave sobre temas importantes).

• Grupos de interés clave (número e importancia de temas regulatorios, percepciones de los medios de comunicación y del mercado...).

• Costes (costes de programas directos, costes de programas indirectos, multas, sanciones y pagos).

17 PricewaterhouseCoopers/EIU. "Uncertainty tamed? The evolution of riskmanagement in the financial services industry", julio de 2004.

60 © PricewaterhouseCoopers - Proteger la marca

Cuantificar el valor del cumplimiento

El estudio demuestra que se está haciendo algún avance en la cuantificación del valor de Cumplimiento, pero persisten las reticencias para

cuantificar el coste total del cumplimiento y del incumplimiento. Cuantificar este coste es, sin embargo, algo básico para descubrir su valor

inherente. Si Cumplimiento no puede cuantificar su efectividad y rendimiento, se enfrenta a barreras considerables para interpretar su papel

en la organización. El Cumplimiento afecta, de un modo u otro, a todos los procesos de negocio de las entidades financieras y entender ese

efecto ayudará a los departamentos de Cumplimiento a poder demostrar su valor. Proporcionará una base más sólida para las

organizaciones, una base sobre la que construir procesos de negocio que mejoren el desempeño del rendimiento a mayor escala.

A pesar de todo, cabe destacar que esta cuantificación también puede ser necesaria como justificación para mantener -o aumentar- los

recursos humanos, financieros y tecnológicos de Cumplimiento, en caso de que la actitud de los equipos directivos no evolucione. La

incapacidad de Cumplimiento para centrarse en la cuantificación de los costes y del rendimiento va ligada directamente a la poca importancia

que se da al uso de la tecnología y a la propia percepción que de Cumplimiento se tiene en las propias organizaciones.

© PricewaterhouseCoopers - Proteger la marca 61

Tecnología

El nivel aparentemente bajo de implicación de Tecnología como disciplina de apoyo de Cumplimiento demuestra que en muchas

organizaciones este departamento no es una parte importante del mismo. Del mismo modo, las respuestas también sugerían que el

conocimiento, dentro de los departamentos de tecnología, de las necesidades de Cumplimiento era muy limitado. Ahora bien, nosotros

estamos convencidos de que la tecnología es un elemento capacitador básico para apoyar el cumplimiento dentro de la organización, y

presenta una oportunidad significativa para muchas organizaciones. También hay una oportunidad de aprovechar la tecnología que se usa

en apoyo de Basilea II para gestionar mejor el riesgo de cumplimiento. Establecer con éxito un proceso sostenible y con unos costes

efectivos para obtener un cumplimiento continuo requiere hacer un buen uso de la tecnología para lograr la eficiencia y la efectividad en un

entorno de control de una organización, así como en su proceso de cumplimiento. Eso significa que se puede usar la tecnología para:

• Controlar y gestionar los procesos horizontales. Cumplimiento afecta a casi todas las unidades administrativas y operativas de una

organización, de modo que la tarea de controlar y gestionar el propio proceso de cumplimiento es enorme. Sin embargo, también

estamos ante la ingente tarea de controlar y gestionar los procesos de negocio subyacentes. Cada uno de ellos requiere una adecuada

aplicación de la tecnología con vistas a establecer un cumplimiento sostenible. En primera instancia, la tecnología se usa para facilitar la

recuperación y la actualización de documentación, análisis y reporting. En última instancia, los controles manuales se automatizan.

• Mejorar la calidad de información y la velocidad de entrega de la misma. Una información imprecisa, incompleta o tardía impide la

actuación correcta. Si se cuenta con una información fiable, aumenta la confianza para emprender la acción. El uso apropiado de la

tecnología puede mejorar la calidad y la velocidad mediante la transferencia de datos de un sistema a otro, sustituyendo los procesos

manuales de ejecución, análisis y reporting, desafiando la calidad de los datos, modelando alternativas y elaborando informes e

información para tomar decisiones.

• Identificar y gestionar acontecimientos de modo coherente y auditable. Cuando los incidentes de incumplimiento pasan

desapercibidos, el riesgo aumenta. La tecnología se puede usar para identificar acontecimientos concretos y reportar excepciones. Esto

conlleva optimizar las capacidades de control de los sistemas de negocio y de apoyo existentes, usar las tecnologías de integración

para reunir información de diferentes fuentes y administrar y controlar las autoevaluaciones de riesgo y autocontrol y otros estudios.

• Crear la responsabilización en la Dirección e informar de los acontecimientos importantes. Si se detecta algún acontecimiento

negativo (p. e., en un archivo del sistema) y no se emprende acción alguna, el riesgo aumenta, y esa falta de información suele

contaminar procesos posteriores. La gestión de procesos de negocio y las tecnologías con motores de reglas de negocio (BRE) ayudan

a garantizar esa acción creando un entorno de "bucle cerrado" que incorpora la asignación de la responsabilidad a quién corresponda

para cada incidente que se produce y requiriendo una actuación concreta.

Una importante lección del pasado reciente es el reconocimiento de que el cumplimiento se ejecuta en última instancia en múltiples niveles:

organización, unidad de negocio y proceso de negocio. Mientras que muchos departamentos de Cumplimiento se han centrado en los

primeros dos puntos, las organizaciones están descubriendo que la oportunidad de crear valor real a través de la tecnología radica en el

nivel de procesos de negocio. Para captar ese valor, las empresas deben desarrollar arquitecturas de tecnología de cumplimiento para

reunir datos obtenidos de distintos sistemas y usarlos para reforzar el cumplimiento, mejorar la calidad de los datos o identificar incidentes.

62 © PricewaterhouseCoopers - Proteger la marca

Al adoptar ese enfoque, las empresas hacen que el cumplimiento sea una realidad por una fracción de los costes que tuvieron que asumir

para implementar otras aplicaciones de negocio.

No hay ninguna solución tecnológica que permita las acciones descritas anteriormente. Hay soluciones diferenciadas, distintos tipos

de funcionalidades, algunas de las cuales están disponibles en la mayoría de los entornos tecnológicos actuales de las organizaciones.

Otras posibilidades son algunas de las soluciones creativas e informales que inundan el mercado. Una arquitectura de tecnología de

cumplimiento debe incorporar los siguientes componentes:

• Procesamiento de la actividad estratégica de la organización: Sistemas de front, middle y back office, sistemas financieros, de

recursos humanos y demás sistemas usados para el día a día del negocio de la mayoría de las grandes organizaciones. Se llevan a

cabo muchos controles de cumplimiento importantes en estos sistemas y buena parte de los datos para apoyar el reporting de

cumplimiento, incluyendo los indicadores de riesgos clave, se encuentran en los mismos.

• Integración de datos: Capacidad para obtener la información de los sistemas estratégicos de la organización y de los utilizados para la

identificación de acontecimientos y reporting. Las tecnologías van desde la integración de aplicaciones empresariales a las bases de

datos y servicios XBRL/Internet.

• Control de procesos e identificación de acontecimientos: Capacidad para aplicar controles clave horizontales e identificación y

gestión de incidencias de cumplimiento conforme se llevan a cabo las actividades de negocio. Las tecnologías que apoyan esta

funcionalidad incluyen las plataformas de gestión de procesos del negocio (que se pueden usar para automatizar procesos manuales,

con lo cual se logra un mayor control de los procesos), motores de reglas de negocio (que pueden ayudar a establecer y gestionar

umbrales y tolerancias) y diferentes plataformas de control de procesos, como tecnologías de PBC, control de la actividad de negocio y

tecnologías de gestión de acontecimientos de seguridad.

• Riesgos estratégicos y gestión de cumplimiento: Funcionalidad específica de la gestión de Cumplimiento, incluye la gestión de

políticas y procedimientos, el apoyo de procesos de evaluación de riesgos, la fácil obtención de los aspectos analíticos de la gestión de

riesgos y de cumplimiento, la gestión de proyectos de iniciativas clave de cumplimiento, el seguimiento de obligaciones de cumplimiento

clave y el desempeño de la organización teniendo en cuenta estos puntos, etc.

• Herramientas de reporting de cumplimiento y riesgo: Tratan análisis de riesgos, indicadores clave de rendimiento (KPI) y reporting

de gestión. Las tecnologías que apoyan esta funcionalidad incluyen la inteligencia de negocio y las plataformas de reporting corporativo.

© PricewaterhouseCoopers - Protecting the brand, May 2005 63

A partir de nuestro análisis , podemos sugerir lo siguiente:

• La Dirección debe esforzarse por dar una respuesta coherente y general a la gestión del riesgo, desarrollando evaluaciones

integrales de riesgos estratégicos que conlleven de modo explícito riesgos de cumplimiento dentro del perfil general de la

organización. Debe prestarse una especial atención a la interacción entre Cumplimiento y las demás disciplinas de gestión de

riesgos, al tiempo que debe tenerse presente la diferencia de énfasis en la gestión de riesgos de cumplimiento.

• Al igual que con otras partes intrínsecas del negocio, los Consejos y la Alta Dirección deberían centrarse más en cuantificar el

coste real del cumplimiento y del incumplimiento, como medio para garantizar las estrategias de gestión de costes apropiadas,

mejorando su conocimiento del valor de Cumplimiento y finalmente permitiendo un equilibrio efectivo entre sus costes y el valor

generado.

• Igual o más prioridad debería concederse al desarrollo y uso la de tecnología capaz de ayudar a la Dirección a comprender, en el

momento oportuno y de forma coherente, lo que está sucediendo en la organización. Desde la perspectiva de Cumplimiento, una

sólida infraestructura tecnológica comporta herramientas sofisticadas para controlar el cumplimiento en las actividades de negocio,

junto con las herramientas apropiadas para racionalizar sus actividades y poder compartir mejor la información.

• Cumplimiento debería desarrollar un mayor conocimiento de las tecnologías utilizadas por la organización, incluyendo los sistemas

informáticos implantados, y se le debería consultar en caso de desarrollo de nuevos sistemas. Al mismo tiempo, la Tecnología

debería conocer mejor las necesidades de Cumplimiento.

ES

TÁ

ND

AR

ES

EM

ERG

ENTES

ANEXOS

© PricewaterhouseCoopers - Proteger la marca 65Anexo IVisión general de los requisitos nacionales y regionales para la función de cumplimiento

Asia y Australia

AustraliaEl primer intento en Australia de regular de modo objetivo lo que era necesario para un sistema de cumplimiento efectivo fue en 1998,

cuando Standards Australia publicó el AS 3806-1998: Compliance Programs, tras una larga fase de consultas al sector. En el mismo año, el

sector de la gestión de fondos se vió inmerso en mayores obligaciones relacionadas con el cumplimiento de la Managed Investments Act

1998, que hacía obligatorio que todos los fondos de inversión tuvieran un Plan de Cumplimiento registrado con la Australian Securities and

Investment Commission (ASIC) antes de ser operativos. A partir de ese momento, los reguladores australianos son cada vez más

conscientes del importante papel de los sistemas de cumplimiento en el apoyo del desarrollo y del mantenimiento de los estándares

apropiados de gobierno corporativo, de los códigos de conducta y éticos. Esta mayor concienciación se ha visto reflejada en los informes de

una serie de revisiones del Gobierno Federal en el sector de servicios financieros, entre los que destaca CLERP 6, cuyas recomendaciones

fueron la base de la reciente legislación Financial Services Reform Act 2001, que requiere la implementación de programas de cumplimiento

basados mayoritariamente en el AS 3806. Se requiere el mantenimiento de un programa efectivo con vistas a cumplir lo expuesto en la

Australian Financial Services Licence conforme con dicha ley. El último ejemplo de la importancia reguladora del cumplimiento es la

publicación, en diciembre de 2004, del proyecto de normativa de la Australian Prudential Regulation Authority (APRA), que insta a todas las

compañías de seguros de vida extranjeras a establecer y mantener operativo un Comité de Cumplimiento.

En diciembre de 2004, Standards Australia publicó un nuevo proyecto de normativa en materia de cumplimiento, en respuesta a las

críticas recibidas por la versión de 1998 del AS3806, pues se decía que no proporcionaba las suficientes directrices sobre cómo

implementar un programa de cumplimiento efectivo. El nuevo borrador proporciona más información sobre tipos específicos de documentos

y actividades que deberían tenerse en cuenta al desarrollar un marco de cumplimiento. En particular, sugiere que las organizaciones

establezcan procesos de gestión de cumplimiento, con un plan documentado. Debe desarrollarse una Política de Cumplimiento en consulta

con las partes interesadas dentro de la organización, y refrendada por el Consejo y la Alta Dirección. Los directivos y el personal de las

entidades deben tener la responsabilidad de gestionar el cumplimiento, junto con estos. Las empresas también deben nombrar a un

Responsable de Cumplimiento ("un alto ejecutivo competente"), en el que recaería la máxima responsabilidad en temas de cumplimiento

dentro de la organización.

El nuevo proyecto establece reglas en apoyo al desarrollo de programas de cumplimiento dentro de las empresas, por ejemplo,

relacionando la retribución variable con el logro de las obligaciones de cumplimiento. En la Alta Dirección recae la responsabilidad de

promover la concienciación entre el personal sobre la importancia del cumplimiento, sobre todo entre los empleados que trabajan en

actividades con posibilidad de desviaciones de aquellas. El proyecto de Stándards Australia recomienda tambien que las empresas

documenten e informen del desempeño de cumplimiento de modo regular a los grupos de interés internos y externos. También se

recomiendan las revisiones regulares del programa de cumplimiento para garantizar que respalda los objetivos de cumplimiento del negocio

y que se adapta al cambiante entorno operativo tanto interno como externo.

Fundamentos legales:

Corporations Act 2001 (Ley de sociedades)

Managed Investments Act 1998 (Ley de gestión de

inversiones)

Financial Services Reform Act 2001 (Ley de reforma de

servicios financieros)

ASIC Policy Statement 164, agosto de 2003

AS 3806-1998: Compliance programs (Standard)

SAA HB 133-1999: A guide to AS 3806-1998

Compliance programs (Manual).

Draft Prudential Standard: Compliance Committees for

eligible foreign life insurance companies (proyecto de

normativa sobre Comités de Cumplimiento para compañías

de seguros de vida extranjeras)

66 © PricewaterhouseCoopers - Proteger la marca

Prevención de blanqueo de capitales

En Australia existe normativa contra el blanqueo de capitales desde hace más de 15 años, desde la Financial Transaction Reports Act

(FTRA), de 1988. Sin embargo, dicha ley no especificaba el nombramiento de un Responsable de Cumplimiento con propósitos de

detección de blanqueo de capitales. La FTRA sí cubría las operaciones en efectivo (cash dealers). La nueva legislación, esperada a finales

de marzo de 2005, tendrá un enfoque basado en riesgos y una más amplia cobertura de las partes implicadas. Será de aplicación a las

partes en las transacciones financieras (la legislación incluye una definición más amplia del término transacción financiera), cubriendo un

abanico mucho más amplio de instituciones financieras, tanto bancarias como no bancarias. También incluirá a abogados, contables,

operadores de metales preciosos y agentes inmobiliarios.

Hong KongEn Hong Kong, la supervisión de las instituciones financieras se comparte entre diferentes órganos reguladores. La Hong Kong Monetary

Authority (HKMA) que se responsabiliza de la supervisión bancaria; la Securities and Futures Commission (SFC) que se encarga del control

y la regulación de los mercados de valores y futuros; y la Office of the Commissioner of Insurance (OCI) que supervisa el sector asegurador.

La Mandatory Provident Fund Authority controla la regulación de los fondos de pensiones de caracter obligatorio.

El Commissioner of Banking (el antiguo órgano regulador del sector bancario) publicó un manual de buenas prácticas con los deberes

y responsabilidades de los directores de las instituciones autorizadas, en el que se afirmaba que los directores son los responsables del

cumplimiento de las instituciones con respecto a los requisitos expuestos en la normativa bancaria. El 1 de abril de 1993, se estableció la

HKMA tras fusionar la Office of the Exchange Fund y la Office of the Commissioner of Banking. De acuerdo con las directrices legales

expuestas en IC-1 General Risk Management Controls (del Supervisory Policy Manual), existen unas disposiciones específicas que tratan la

disciplina del cumplimiento. En la web de la HKMA también se hace referencia al trabajo actual para el desarrollo de una normativa de

cumplimiento más detallada.

La SFC regula el mercado de valores y futuros de Hong Kong. Al igual que los bancos, las firmas de inversión de Hong Kong deben

tener un departamento de cumplimiento que implemente las políticas de cumplimiento establecidas por la Dirección. En el documento

"Management, Supervision and Internal Control Guideline" se describen ampliamente los deberes de cumplimiento que debe aplicar el

departamento que cubra esta disciplina.

La OCI publicó una nota que trata el gobierno corporativo de las aseguradoras autorizadas. Dicho documento especifica que el

Consejo debe garantizar el cumplimiento corporativo de todas las ordenanzas, regulaciones, orientaciones, normas del sector y directrices

relevantes. Se aconseja a las aseguradoras autorizadas que nombren a un responsable de cumplimiento que supervise el cumplimiento

conforme a las leyes, regulaciones, orientaciones, normas del sector y códigos de práctica relevantes. Se indica que el responsable de

cumplimiento debe informar al Consejo con regularidad.

Prevención de blanqueo de capitales

La HKMA publicó una guía sobre el blanqueo en 1997. Más tarde, se introdujeron enmiendas para reflejar el contenido de la Organised and

Serious Crimes (Amendment) Ordinance, de 2000, y se volvió a modificar en 2004. Las directrices actuales estipulan que una institución

autorizada debe nombrar a un responsable de cumplimiento que actúe como punto de referencia central para informar de transacciones

sospechosas. Dicho responsable de cumplimiento debe tener un papel activo en la identificación e información de transacciones

sospechosas.

Fundamentos legales:

Valores:

Management, supervision and internal control guidelines for

persons licensed by or registered with the securities and

futures commission. Abril de 2003 (Directrices de control

interno, supervisión y gestión para personas registradas o

con licencia de la comisión de valores y futuros)

Securities and Futures Ordinance (Ordenanza de valores y

futuros)

Banca:

Statutory guideline: IC-1 General Risk Management

Controls (Supervisory Policy Manual). (Controles de gestión

de riesgos generales, del Manual de políticas de

supervisión)

Seguros:

Statutory guideline: GN10 Guidance Note on The Corporate

Governance Of Authorised Insurers (gobierno corporativo de

las aseguradoras autorizadas)

Insurance Companies Ordinance (Ordenanza de compañías

de seguros)

© PricewaterhouseCoopers - Proteger la marca 67

JapónLa Financial Services Agency in Japan (JFSA), establecida en el año 2000, regula el sector de servicios financieros. Desde 1998 hasta

2000, la Financial Supervisory Agency representaba ese papel. Previamente, el Ministerio de Finanzas se había encargado de regular el

sector de servicios financieros japonés.

En 1992, se creó la Securities and Exchange Surveillance Commission a través de una enmienda a la Securities and Exchange Law.

Dicha comisión fue capacitada para vigilar si se observaban las leyes en el mercado de valores. Según la Securities and Exchange

Surveillance Commission, un órgano autorregulador -la Japan Securities Dealers Association (JSDA)- establecía una serie de normas para

sus miembros en 1992 en relación con el nombramiento de responsables de control interno. La JSDA requiere a todas las firmas de

inversión que nombren a un director general de control interno y a directores de control interno en las filiales. No existe una normativa

específica para nombrar a responsables de cumplimiento, pero el máximo responsable está obligado a participar en un programa de

formación organizado por la JSDA cada año. Se fomenta el nombramiento de directores de cumplimiento que hayan aprobado un examen

de certificación para ser director de control interno, organizado por la JSDA. El responsable de cumplimiento debe ser miembro del Consejo.

El presidente de la organización determinará la frecuencia de los informes del responsable de cumplimiento.

A finales de los años noventa, la JFSA decidió preparar una serie de manuales de inspección, una guía para los inspectores y para

las instituciones financieras. Este manual cubre la gestión de riesgos y de cumplimiento. El manual de inspección para entidades de

depósito fue el primero en ver la luz, en 1999, seguido por el de las compañías aseguradoras, en 2000, y por el de las sociedades de

valores, en 2001. En estos manuales, la JFSA estipula que el departamento de cumplimiento debe ser prioritario en la gestión de

instituciones financieras. Por ejemplo, el Consejo debería debatir todos los temas de cumplimiento, así como la promoción de ventas; debe

prepararse un manual de cumplimiento y hacer difusión del mismo entre todos los empleados; y el programa de cumplimiento debe contar

con la aprobación del Consejo y debe implementarse regularmente en la organización.

Prevención de blanqueo de capitales

Los esfuerzos contra el blanqueo de capitales se iniciaron en julio de 1990, cuando se exigió a las instituciones financieras que identificaran

a sus clientes. El Gobierno también estableció el sistema de comunicación de transacciones sospechosas, que exigía a las instituciones

financieras que presentaran informes sobre las transacciones que fueran sospechosas de blanquear capitales procedentes de delitos

relacionados con la droga regulados por la Anti-Drug Special Law, que entró en vigor en julio de 1992. Según la Anti-Organised Crime Law,

efectiva a partir de febrero de 2000, el Gobierno fomentaba la información sobre transacciones sospechosas. La nueva ley ampliaba el

marco de delitos para cubrir todos los delitos graves. Dicha ley también daba poderes a la Commissioner of the Financial Services Agency

para recoger y analizar informes de transacciones bajo sospecha y para hacer pública esa información entre los organismos de aplicación

de la ley. La Law on Customer Identification and Retention of Records on Transactions by Financial Institutions entró en vigor el 6 de enero

de 2003. Dicha ley obliga a las instituciones financieras a llevar a cabo procedimientos de identificación de clientes y a mantener unos

archivos con la información de las transacciones realizadas.

Fundamentos legales:

Banking Law (Ley de banca)

Insurance Law (Ley de seguros)

Securities and Exchange Law (Ley de valores y bolsa)

JFSA: Inspection Manual for banks, insurance companies

and securities companies (Manual para bancos, compañías

de seguros y sociedades de valores)

68 © PricewaterhouseCoopers - Proteger la marca

Europa

Unión EuropeaTradicionalmente, la legislación de la UE se ha centrado en regular los sistemas de control interno y administrativos de las instituciones

financieras. Tras la reciente adopción de la Directiva relativa a los mercados de instrumentos financieros (MIF), ahora hay una normativa

explícita para que los bancos y las firmas de inversión creen un departamento de cumplimiento "permanente y efectivo". La Directiva MIF es

una de las primeras legislaciones (y sin duda la más extensa) que queda sujeta al "procedimiento Lamfalussy", por el cual la legislación de

primer nivel se aprueba por el procedimiento de codecisión habitual (en el que participan el Consejo y el Parlamento Europeo) y la de

segundo nivel la desarrolla la Comisión Europea, con el asesoramiento de un comité Lamfalussy -en este caso, el Comité Europeo de

Reguladores de Valores (CERV)- y en colaboración con el Comité Europeo de Valores (compuesto por representantes de los gobiernos

nacionales).

Actualmente se está trabajando en las medidas de nivel 2 de la Directiva MIF. La Comisión Europea acaba de anunciar un retraso de

un año en la fecha de su implementación, que se traslada a abril de 200717. De este modo se contará con más tiempo para elaborar los

detalles de nivel 2 y los reguladores podrán preparar las medidas nacionales necesarias, una vez se llegue a un acuerdo sobre estos

detalles. El asesoramiento del CERV incluye unos principios relacionados con el departamento de cumplimiento, las políticas y los

procedimientos de cumplimiento, y la supervisión del cumplimiento. La Directiva MIF también establece unas normas de conducta en la

organización, que cubren temas como la gestión de conflictos de intereses, mejores prácticas, la transparencia, la clasificación de clientes y

los requisitos de adecuación de los clientes.

Por ahora no hay requisitos de este tipo en el ámbito de la UE para las compañías de seguros.

Prevención de blanqueo de capitales

Se han aprobado dos directivas comunitarias en el campo del blanqueo de capitales: la primera en 1991 y la segunda en 2001. La primera

directiva hacía de la información sobre blanqueo de capitales una obligación e instaba a las instituciones financieras a identificar y conocer a

sus clientes, a mantener unos registros adecuados y a establecer programas de formación contra el blanqueo. La segunda directiva

ampliaba el marco más allá del sector financiero (gestores de activos, seguros, empresas de inversión y entidades de crédito) para llegar a

profesiones como contables, auditores externos y abogados.

En junio de 2004 la Comisión proponía una tercera directiva contra el blanqueo de capitales y actualmente la están revisando el

Consejo y el Parlamento Europeo. La Comisión elaboró un proyecto de directiva para alinear las normas de la UE con las 40

recomendaciones del Grupo de Acción Financiera sobre el Blanqueo de Capitales (GAFI). Entre otras cosas, hace que los intermediarios

del sector seguros estén igualmente sujetos a la misma normativa que los demás intermediarios de servicios financieros.

Fundamentos legales:

Directiva 2004/39/CE del Parlamento Europeo y del

Consejo, de 21 de abril de 2004, relativa a los mercados de

instrumentos financieros.

Directiva 91/308/CEE del Consejo, de 10 de junio de 1991,

relativa a la prevención de la utilización del sistema

financiero para el blanqueo de capitales

Directiva 2001/97/CE del Parlamento Europeo y del

Consejo, de 4 de diciembre de 2001, por la que se modifica

la Directiva 91/308/CEE del Consejo relativa a la prevención

de la utilización del sistema financiero para el blanqueo de

capitales.

17 Pendiente de aprobación del Consejo de Ministros y el Parlamento Europeo.

© PricewaterhouseCoopers - Proteger la marca 69

AustriaEl requerimiento de una función de cumplimiento independiente fue introducido en Austria por primera vez en 1993 de manera voluntaria, y

con arreglo a una autorregulación de las suborganizaciones para las instituciones de crédito, las compañías aseguradoras y fondos de

pensiones de la Cámara de Comercio Austriaca. Actualmente no hay ninguna normativa legal que obligue al nombramiento de un

responsable de cumplimiento o al establecimiento de un departamento de cumplimiento. Los principales principios son:

• Definición de áreas restringidas que suelen tratar con información delicada.

• Listado y seguimiento de valores restringidos (valores que deben ser negociados por la empresa o sus empleados).

• Listado y seguimiento de valores controlados (las operaciones de estos valores serán investigadas por el Departamento de

Cumplimiento).

Actualmente, las actividades de la función de cumplimiento están limitadas sobre todo a la prevención del uso de información privilegiada o

de la realización de otras transacciones prohibidas con arreglo a la legislación de la bolsa de valores (Börsegesetz) y a la de supervisión de

valores (Wertpapieraufsichtsgesetz).

La normativa relacionada con el blanqueo de capitales se adoptó a las normas de la UE en 1993. La enmienda más reciente data de

2003, cuando se transpuso la segunda directiva de la UE de blanqueo de capitales. Estas regulaciones especifican el nombramiento de un

responsable de cumplimiento independiente para el blanqueo de capitales, que no tendrá otras responsabilidades de cumplimiento. En una

circular de marzo de 2004, la Autoridad de Mercados Financieros Austriaca (Finanzmarktaufsicht, FMA) afirmaba que, en principio, las

funciones de cumplimiento, prevención de blanqueo de capitales y auditoría interna no deben asignarse a una misma persona o unidad de

la organización. No obstante, se admitía que dependiendo del tamaño de la entidad, del número de empleados, del tipo de negocio y del

número y la complejidad de transacciones relevantes para cumplimiento y blanqueo de capitales, dichas funciones podían ser realizadas

por una misma persona, siempre que ésta se sometiera a un proceso de auditoría independiente.

La FMA está en pleno proceso de consulta con el sector en lo referente a las necesidades de cumplimiento de acuerdo con la

Directiva MIF. Es de esperar que esta nueva regulación conlleve cambios significativos en lo que se entiende por cumplimiento en Austria y,

así, tengan un efecto en las funciones de cumplimiento.

BélgicaLa Commission Bancaire, Financière et des Assurances (CBFA) -creada a través de la integración de la Office de Contrôle des Assurances

(OCA) en la Commission Bancaire et Financière (CBF)- es la autoridad de control única del sector financiero belga desde el 1 de enero de

2004.

En su Circular D1 2001/13, la CBFA establecía su posición sobre la organización de una completa función de cumplimiento en las

instituciones de crédito, y enumeraba 10 principios. La circular requería a estas instituciones que crearán un departamento de cumplimiento

independiente con el objetivo de garantizar que la empresa cumpliera la normativa de "integridad" bancaria. Identifica las áreas a las que la

política de integridad debe dar prioridad. El Comité Ejecutivo es responsable de diseñar una política de integridad y el Consejo de

Administración debe responsabilizarse de su adecuación. Al menos una vez al año, el Comité Ejecutivo informa al Consejo de

Administración sobre el cumplimiento, a través del Comité de Auditoría, si lo hubiere. La circular estipula que la competencia profesional,

integridad y discreción son básicas para el personal de cumplimiento si se quiere que la unidad funcione debidamente. En noviembre de

2002, la entidad reguladora belga hizo pública una circular similar en la que estipulaba que la función de cumplimiento en las firmas de

Fundamentos legales:

Standard Compliance Code of the Austrian Credit

Institutions Sector.

Standard Compliance Code of the Austrian Insurance

Sector.

Standard Compliance Code of the Austrian Pension Fund

Associations.

Fundamentos legales:

Loi du 22 mars 1993 relative au statut et au contrôle des

établissements de crédit (Ley relativa al estatuto y control

de las entidades de crédito) y reales decretos asociados

Circular D1 2001/13 a las entidades de crédito, 18 de

diciembre de 2001.

Circular D1/EB/2002/6 sobre el control interno y la función

de auditoría interna y de cumplimiento en las firmas de

inversión, 14 de noviembre de 2002.

Circular PPB/D.255 a las compañías de seguros, 10 de

marzo de 2005.

Loi du 11 janvier 1993 relative à la prévention de l'utilisation

du système financier aux fins du blanchiment de capitaux et

du financement du terrorisme (Ley en materia de

prevención de uso del sistema financiero para el blanqueo

de capitales y la financiación del terrorismo), reales

decretos asociados y circulares de la CBFA.

70 © PricewaterhouseCoopers - Proteger la marca

inversión debía ser independiente. En marzo de 2005, se imponían unos requisitos similares a las compañías aseguradoras. Dichas

circulares son reforzadas por otra con fecha de junio de 2004 en que se confirma que los requisitos de cumplimiento son aplicables a las

entidades de crédito y a las firmas de inversión en todas las actividades subcontratadas.

Antes de 2001, estaba regulado el hecho de tener una función de cumplimiento limitada en todas las entidades financieras (bancos,

firmas de inversión y compañías de seguros) con arreglo a la ley que regula el blanqueo de capitales, de 11 de enero de 1993, que, entre otras

cosas, requería el nombramiento de un responsable de cumplimiento. En aquel momento también estaban en vigor requisitos similares en

relación con los "mecanismos especiales" (antifraude y evasión de impuestos). La Ley de 11 de enero de 1993 transpuso la primera Directiva

de blanqueo de capitales de la UE (91/308/CEE). La segunda (2001/97/CE) fue transpuesta mediante la Ley de 12 de enero de 2004. El

artículo 21bis de dicha ley estipulaba que la CBFA debía definir unas reglas de implementación específicas aplicables a las instituciones que

controla y dichas reglas se promulgaron mediante la Circular de la CBFA de 27 de julio de 2004, que posteriormente fue aprobada por un Real

Decreto de 8 de octubre de 2004.

FranciaLa Autorité des Marchés Financiers (AMF, antes CMF), el órgano regulador francés para las firmas de inversión, fue el primer órgano regulador

francés en establecer una normativa sobre cumplimiento. El Règlement général de l'Autorité des Marchés Financiers requiere que se nombre a

un "deontólogo" que se responsabilice de la definición y la implementación de normas de conducta empresarial de la entidad. Recientemente,

la Commission Bancaire, el órgano regulador francés para el sector bancario, publicaba una serie de propuestas sobre cumplimiento. Dichas

propuestas son aplicables a bancos y a empresas de inversión, ya que la Commission Bancaire supervisa a los dos grupos de entidades.

Además forman parte de la actual legislación sobre controles internos (Régulation 97-02).

Las propuestas introducen una definición de "riesgo de incumplimiento", basada en la definición dada por el Comité de Basilea en

octubre de 2003. El blanqueo de capitales está incluido dentro del marco de riesgo de incumplimiento, si bien no de manera explícita. A

continuación presentamos los principales puntos:

• Nombramiento de un responsable de cumplimiento independiente con dedicación exclusiva.

• Implementación de un programa de control del cumplimiento.

• Implementación de procedimientos específicos con respecto a aprobación de nuevos productos.

• Implementación de procedimientos específicos en términos de identificación de incumplimientos, niveles de autorización y

mantenimiento de registros.

• Implementación de un proceso de whistle-blowing opcional (todo empleado puede dar la voz de alarma si lo desea pero no debe

sentirse obligado a hacerlo bajo ningún concepto).

Además de lo dicho anteriormente, las nuevas propuestas (deben entrar en vigor el 30 de junio de 2005) incluyen unos requisitos

específicos en cuanto a subcontratación e introducen la necesidad de dividir las funciones de auditoría interna y de control interno (a los

controllers internos se les llama "controllers permanentes"). La función de cumplimiento es una disciplina de control permanente, a

diferencia de auditoría interna, a la que se refiere el documento como una "función de control periódico".

Hay también una regulación relacionada con el blanqueo de capitales que va más allá de las definiciones de prácticas relacionadas

con el blanqueo y de la exposición de las sanciones relacionadas (véase el cuadro), pero no se han introducido cambios recientemente. En

la actualidad no existe regulación de cumplimiento para el sector de las compañías de seguros. Sin embargo, sí son de aplicación

regulaciones específicas de blanqueo de capitales.

Fundamentos legales:

Cumplimiento:

• Règlement général de l'Autorité des marchés financiers

• Proyecto de propuesta de la Commission Bancaire

sobre cumplimiento, dentro del existente Règlement n°

97-02 du 21 février 1997 relatif au contrôle interne des

établissements de crédit et des entreprises

d'investissement (Reglamento relativo al control interno

de las entidades de crédito y de inversión),

implementación anticipada el 30 de junio de 2005.

Prevención de blanqueo de capitales:

• Règlement n° 91-07 du 15 février 1991 relatif à la lutte

contre le blanchiment des capitaux provenant du trafic

des stupéfiants (Reglamento relativo a la lucha contra el

blanqueo de capitales procedentes del tráfico de

estupefacientes) , Comité de la réglementation bancaire

et financière (actividades bancarias y financieras).

• Règlement 02-01, Comité de la réglementation bancaire

et financière (actividades bancarias y financieras).

• Instruction n° 2000-09 relative aux informations sur le

dispositif de prévention du blanchiment de capitaux

(Instrucción relativa a la información sobre el dispositivo

de prevención de blanqueo de capitales), 18 de octubre

de 2000. Commission Bancaire.

© PricewaterhouseCoopers - Proteger la marca 71

AlemaniaLos órganos reguladores de servicios financieros alemanes se fusionaron en una única entidad en el año 2002, que pasó a denominarse

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). La BaFin se responsabiliza de la supervisión de las entidades financieras, incluyendo

las compañías de seguros y los fondos de pensiones, y de la regulación del trading de valores y negocios de inversión (compañías de

inversión). La supervisión de entidades de servicios financieros tiene una doble faceta: solvencia y supervisión de los mercados.

Instituciones de servicios financieros

Supervisión de mercados

En el sector de servicios financieros alemán, el término cumplimiento mantiene un estrecho vínculo con el sector bursátil y la protección del

inversor. La base para la supervisión y el trabajo preliminar para la protección de los inversores la encontramos en las normas de conducta

empresarial para las empresas que ofrecen servicios de inversión, unas normas que se establecen en la regulación de la negociación de

valores en bolsa (Wertpapierhandelsgesetz, WpHG).

Otro componente fundamental de la supervisión de mercado es la supervisión de acuerdo con la regulación de custodia (Gesetz über

die Verwahrung und Anschaffung von Wertpapieren, DepotG). Para las entidades de servicios financieros, cuya actividad habitual es proveer

servicios de inversión (firmas de inversión), la función de cumplimiento ha formado parte del régimen regulador desde 1994, cuando

entraron en vigor determinadas reglas relacionadas con las transacciones del personal. Fue desarrollada en la WpHG y en las

correspondientes directrices de supervisión sobre normas de conducta y requisitos organizacionales. Desde 2002, la BaFin controla los

análisis de los valores que proporcionan las firmas de inversión. En octubre de 2004 Alemania llevó a cabo la transposición de la Directiva

2003/6/CE del Parlamento Europeo y del Consejo sobre las operaciones con información privilegiada y la manipulación del mercado (abuso

del mercado), que establece los deberes y las normas de conducta para todo tipo de analista financiero que creen y distribuyan

recomendaciones de inversión.

Las estructuras de la función de cumplimiento, y los procesos asociados, quedan regulados por las directrices sobre deberes de la

organización de la BaFin de acuerdo con la Sec 33 WpHG. Aquí se incluyen, por ejemplo, la obligación que tienen las compañías de

mantener un nivel adecuado de recursos para la función de cumplimiento, y la obligación de tratar los conflictos de intereses. La función de

cumplimiento debe encajar en la naturaleza y la estructura de negocio de la firma de inversión. Se estipulan los requisitos mínimos. La función

de cumplimiento debe ser asignada a un departamento independiente. Sean cuales fueren las funciones del responsable de cumplimiento, la

responsabilidad principal de cumplimiento recae en la Dirección.

La BaFin hace un seguimiento del cumplimiento con las normas de conducta empresarial y la DepotG. Auditores externos llevan a cabo

auditorías anuales para comprobar ese cumplimiento y la BaFin evalúa los informes de auditoría resultantes. Más allá del sector bursátil, no

hay mucha regulación relacionada con el cumplimiento, hay más normativa relacionada con el control interno.

Supervisión de solvencia

El trabajo preliminar para control interno y cumplimiento (en un sentido amplio) lo proporciona el apartado 25a de la normativa de banca

(Gesetz über das Kreditwesen (Kreditwesengesetz - KWG), junto con las diversas directrices de la BaFin en ese sentido. Las tres más

importantes son: a) requisitos mínimos para las actividades de trading de las entidades de crédito (MaH, 1995); b) requisitos mínimos para

que las entidades de crédito participen en la actividad de crédito (MAK, 2002) y c) requisitos mínimos para la función de auditoría interna de

las instituciones de crédito (MaIR, 2000) que se fusionarán en 2005 con los requisitos mínimos para la gestión de riesgos (MaRisk). La

Fundamentos legales:

WpHG - 1994 (normativa de negociación de valores en

bolsa), según enmienda de octubre de 2004.

KWG (normativa de banca), según enmienda de abril de

2004.

InvG (normativa de inversiones), según enmienda de

octubre de 2004.

VAG (normativa de supervisión de seguros), según

enmienda de julio de 2004.

GwG (normativa de blanqueo de dinero), según enmienda

de agosto de 2002.

Fundamentos legales:

Decreto Legislativo n.° 58/98.

Banco de Italia, Circular 229/99.

Banco de Italia, Circular 216/96.

Banco de Italia, regulación de 1/7/98.

72 © PricewaterhouseCoopers - Proteger la marca

nueva unidad MaRisk se encargará de implementar el segundo pilar de Basilea II (proceso de examen supervisor y proceso de evaluación

de la adecuación de capital, sólidas prácticas para la gestión y supervisión del riesgo operativo).

Seguros

La base para la supervisión del sector seguros es la normativa de supervisión de seguros (Versicherungsaufsichtsgesetz, VAG). La circular

29/02 de la BaFin expone los requisitos referentes a las inversiones de las compañías de seguros. La circular requiere, entre otras cosas, un

"informe de cumplimiento" sobre las inversiones de las aseguradoras y el cumplimiento de la normativa legal, regulatoria e interna.

Firmas de inversión

Según la legislación alemana, las compañías de inversión son instituciones de crédito especializadas. La normativa de inversiones

(Investmentgesetz, InvG) proporciona un catálogo de activos permisibles que se pueden combinar libremente dentro de los límites inversores.

La Derivateverordnung (DerivateV), de 2004, gobierna la gestión de riesgos específicos y las políticas de cuantificación de riesgo, requeridas

por la InvG, al manejar derivados en fondos. Las obligaciones de reporting son aplicables al exceder los límites de inversión, en las

declaraciones de activos y en las transacciones importantes para intensificar y mejorar la supervisión de mercado de los fondos.

Prevención del blanqueo de capitales

La normativa de blanqueo de capitales (Geldwäschegesetz, GwG) y las directrices de la BaFin relativas a las medidas que deben tomar las

entidades de crédito para combatir y prevenir el blanqueo son los dos documentos reguladores principales diseñados para combatir el

blanqueo de capitales. La GwG, que entró en vigor a finales de 1993 y que se revisó en 2002, especifica los deberes legales de las entidades

de crédito y otros negocios (entidades de servicios financieros y algunos tipos de empresas de seguros). Las directrices de la BaFin aclaran

los principales deberes legales. Estas regulaciones representan unos requisitos mínimos. Se hace un llamamiento a las entidades de crédito

para que desarrollen normas administrativas y propias de la organización.

ItaliaEl Banco de Italia y la responsable del control bursátil (Commissione Nazionale per le Società e la Borsa, CONSOB) regulan el sector

bancario y de valores en Italia. El sector de seguros es supervisado por el Instituto Superior de Vigilancia de seguros privados (ISVAP).

Estos tres órganos supervisores, especialmente el Banco de Italia, han definido claramente el marco de control interno de las empresas

italianas, pero no se han establecido requisitos concretos con relación a la función de cumplimiento en la actual normativa. Tanto el Banco

de Italia como la CONSOB consideran el control del cumplimiento, como una actividad dentro de la auditoría interna y sus procesos

relacionados.

El Banco de Italia está a punto de publicar una nueva circular que regulará las operaciones de las compañías de gestión de activos y

de inversiones con arreglo a la Directiva UCITS III. El proyecto de circular expone que la función de auditoría interna debe llevar a cabo

actividades relacionadas con la "función de cumplimiento".

© PricewaterhouseCoopers - Proteger la marca 73

Fundamentos legales:

Loi du 5 avril 1993 relative au secteur financier (Ley de 5 de

abril de 1993 sobre el sector financiero)

Circulaire 04/155 concernant la fonction de Compliance

Officer (Circular 04/155 de la CSSF sobre la función de

responsable de cumplimiento)

LuxemburgoLa Commission de Surveillance du Secteur Financier (CSSF) supervisa el sector de servicios financieros luxemburgués, y ahí se incluyen

las entidades de crédito, las firmas de inversión, los fondos de inversión y los fondos de pensiones. El 27 de septiembre de 2004, tras un

proceso de consulta con el sector, la CSSF emitió una circular (CSSF 04/155) en que detallaba unas directrices para el establecimiento de

una unidad de cumplimiento en bancos y firmas de inversión. Dicha unidad será obligatoria en todos los bancos y firmas de inversión

luxemburguesas a partir del 1 de enero de 2006.

La introducción de una unidad de cumplimiento no comporta un nivel adicional de supervisión. Más bien aspira a garantizar una

adecuada coordinación, organización y estructuración de los mecanismos de control que ya se ponen en práctica de acuerdo con las

disposiciones de la circular sobre control interno, unos controles que suelen estar divididos por departamentos y que se manejan a

diferentes niveles dentro de una misma organización.

Según la circular, el Consejo de Administración debe adoptar una actitud positiva hacia el cumplimiento, garantizar la efectividad de la

unidad de cumplimiento y aprobar la política de cumplimiento y los estatutos de cumplimiento definidos por la Dirección. La política de

cumplimiento debe incluir lo esencial del riesgo de cumplimiento, aclarar los amplios principios para gestionarlo, definir la función de

cumplimiento, sus objetivos, su independencia; prescribir su proceso de constitución y el programa de formación aplicable. Los estatutos de

cumplimiento, que deben comunicarse a todo el personal, rigen los objetivos y las responsabilidades de la función de cumplimiento. Deben

describir los objetivos, las responsabilidades, la independencia y la permanencia, las relaciones con las demás unidades, el acceso a toda

la información necesaria, las líneas de reporting y el acceso a los órganos directivos para la unidad de cumplimiento. La Dirección debe

desarrollar e implementar la política de cumplimiento, así como establecer una unidad de cumplimiento que respete los principios

expuestos. La Dirección debe nombrar a uno de sus miembros como responsable directo de la unidad de cumplimiento y su nombre debe

comunicarse a la CSSF.

La circular también estipula que la unidad de cumplimiento será independiente de todas las funciones comerciales, administrativas o

de control y que existirá de manera permanente. Tiene la potestad de iniciar investigaciones y controles por propia iniciativa, y tiene derecho

a acceder a todo tipo de información. La institución debe designar a un empleado que estará a cargo de la función de cumplimiento, el

"responsable de cumplimiento", cuyo nombre se comunicará a la CSSF. El responsable de cumplimiento debe tener plena dedicación, en

principio, a la función de cumplimiento. Las instituciones de dimensiones más reducidas que participen en actividades de bajo riesgo

pueden asignar a la función de cumplimiento una dedicación parcial, previa autorización de la CSSF. Ciertas tareas asignadas a la función

de cumplimiento pueden delegarse a otros servicios siempre que sean compatibles con las otras tareas que llevan a cabo. En tales casos,

la función de cumplimiento asume la coordinación entre los servicios que están realizando dichas tareas. En cualquier caso, la

responsabilidad recae en la función de cumplimiento.

El Commissariat aux Assurances (CAA) supervisa el sector asegurador luxemburgués. Por ahora, el CAA no ha emitido ninguna

regulación específica sobre la función de cumplimiento para el sector de los seguros.

74 © PricewaterhouseCoopers - Proteger la marca

Países BajosLos mercados financieros holandeses están regulados por la Autoriteit Financiële Markten (AFM) en todo lo referente a la supervisión de la

conducta del mercado. Los requisitos cautelares para bancos, instituciones de valores, fondos de pensiones, instituciones de inversión y

compañías aseguradoras están supervisados por el Banco Central Holandés (De Nederlandsche Bank, DNB).

Las entidades de inversión, empresas de operaciones en bolsa y las instituciones de crédito de los Países Bajos están obligadas por

ley a tener uno o varios especialistas en cumplimiento. Las regulaciones sobre organización y control (Regeling Organisatie en Beheersing,

ROB) estipulan que la función de cumplimiento debe ser independiente y debe reportar directamente al Consejo de Administración, y en caso

de que la integridad del Consejo esté en duda, el responsable de cumplimiento debe tener acceso a un delegado del Consejo Supervisor.

Aunque no es obligatorio, se espera del responsable de cumplimiento que haga un seguimiento y controle las actividades de la

institución, además de asesorar sobre la implementación y la interpretación de las normas y regulaciones, así como asesorar a la Dirección

sobre los diversos aspectos relacionados con el cumplimiento. Las reglas para nombrar a responsables de cumplimiento son muy limitadas y

si bien existen algunos programas de certificación de especialista en cumplimiento, organizados por entidades de formación empresarial, en

realidad tener un título no es obligatorio.

Según la ley holandesa en materia de prevención de blanqueo de capitales (Wet melding ongebruikelijke transacties), no es obligatorio

nombrar a un responsable de cumplimiento. Sin embargo, es una práctica habitual, porque en general se considera que es preferible que los

temas relacionados con la legislación de blanqueo de capitales los lleve una única persona, en general, o preferiblemente, el responsable de

cumplimiento.

EspañaEn España, de la supervisión del sector financiero se ocupan el Banco de España (actividad bancaria), la Comisión Nacional del Mercado

de Valores (actividad bursátil) y la Dirección General de Seguros y Fondos de Pensiones (actividad aseguradora).

Con arreglo a la legislación española aplicable a las entidades financieras, tradicionalmente se ha velado por el cumplimiento en

términos de normas de conducta en los negocios, de conflictos de intereses, de control interno y de mantenimiento adecuado del nivel de

recursos administrativos. De acuerdo con este enfoque a la función de cumplimiento, la reglamentación general española para las entidades

financieras proporciona normas generales de conducta en las entidades, principios generales de conflictos de intereses y obligaciones legales

específicas en materia de clientes y operaciones. Desde 2003 cierta normativa se focaliza en el control interno, gobierno corporativo,

transparencia y protección del inversor.

Las normas de prevención de blanqueo de capitales se han modificado recientemente para implementar medidas de control de calidad

adicionales, tales como fomentar el gobierno corporativo dentro del marco de prevención de blanqueo de capitales de las instituciones

financieras, aplicar una normativa estricta en relación con el conocimiento del cliente y adoptar un control de calidad y medidas de supervisión

aplicables a las áreas de alto riesgo de las entidades financieras, según la naturaleza de la actividad y el tipo de cliente, entre otras cosas.

Entre los cambios introducidos por la nueva legislación, cabe destacar que ahora las entidades financieras están sujetas a una revisión de

cumplimiento de sus procedimientos internos, y dicha revisión debe llevarla a cabo anualmente un experto externo.

Fundametos legales:Ley 24/1988, de 28 de julio, del Mercado de Valores.Ley 26/1988, de 29 de julio, sobre Disciplina e Intervenciónde las Entidades de Crédito.Ley 26/2003, de 17 de julio, por la que se modifican la Ley24/1988, de 28 de julio, del Mercado de Valores, y el textorefundido de la Ley de Sociedades Anónimas, aprobado porel Real Decreto Legislativo 1564/1989, de 22 de diciembre,con el fin de reforzar la transparencia de las sociedadesanónimas cotizadas.Orden ECO/3722/2003, de 26 de diciembre, sobre elinforme anual de gobierno corporativo y otros instrumentosde información de las sociedades anónimas cotizadas yotras entidades.Ley 19/1993, de 28 de diciembre, sobre determinadasmedidas de Prevención del Blanqueo de Capitales, yregulaciones de implementación.

Fundametos legales:Wet toezichteffectenverkeer 1995 (Ley de supervisión demercados de valores, 1995).Besluit toezicht effectenverkeer 1995 (Decreto sobre lasupervisión de los mercados de valores, 1995).Nadere regeling gedragstoezicht effectenverkeer 2002(Normativa sobre supervisión de la conducta de mercado deoperación de valores, 2002).Nadere regeling prudentieel toezicht effectenverkeer 2002(Normativa sobre la supervisión cautelar del mercado devalores, 2002)Wet toezicht Kreditwezen 1992, Wtk 1992 (Ley desupervisión de las entidades de crédito, 1992).Regeling Orginsatie en Beheersing (Regulaciones sobreorganización y control).Wet toezicht verzekeringsbedrijf 1993 (Ley de supervisión delas compañías aseguradoras, 1993).Pensioen- en Spaarfondsenwet (Ley de fondos de pensionesy fondos de ahorro).Wet melding ongebruikelijke transacties (Ley de publicaciónde transacciones inusuales).

© PricewaterhouseCoopers - Proteger la marca 75

SueciaEl órgano regulador Finansinspektionen (FI) supervisa los sectores relacionados con los servicios financieros suecos y se creó en 1991.

Existe un código regulador (FFFS 2002:5-7) que requiere que todas las firmas de inversión e instituciones bancarias con licencia para

realizar operaciones bursátiles cuenten con una función de cumplimiento. Una firma de inversión debe tener a una o más personas

especializadas en cumplimiento que garanticen que los empleados y el Consejo de Administración conocen las normas que rigen la conducta

de sus operaciones. Es responsabilidad del Consejo de Administración garantizar que el responsable de cumplimiento reporte directamente al

Consejo o a la Dirección de la compañía. Los bancos y las compañías de seguros (FFFS 1999:12 y 2000:3) deben tener una función de

control interno que se responsabilice del cumplimiento de la normativa interna y externa.

Reino UnidoLa Financial Services Authority (FSA), órgano regulador integrado del Reino Unido, fue creada a raíz de la Ley de Servicios y Mercados

Financieros (Financial Services and Markets Act 2000, FSMA 2000). Nació en 1997 y asumió la plena responsabilidad para el sector de

servicios financieros en 2001, sucediendo al Securities & Investments Board, establecido en 1985.

Desde finales de los años ochenta, la gran mayoría de empresas de servicios financieros del RU se han visto obligadas a tener un

responsable de cumplimiento. Las firmas de inversión deben nombrar a un miembro del Consejo o a un alto directivo como responsable de

la supervisión del cumplimiento de la firma que debe reportar directamente al Consejo de Administración de la organización. La función de

cumplimiento es una "función controlada" en el Reino Unido, lo que significa que el candidato a ocupar el puesto de responsable de

cumplimiento no puede ser nombrado hasta contar con la aprobación de la FSA. El órgano regulador debe tener pleno convencimiento de

que dicha persona es apta y apropiada (fit and proper) de acuerdo con el proceso de supervisión que debe superar (fit and proper test for

approved persons). Se puede subcontratar el cumplimiento a consultoras externas, pero la responsabilidad sigue recayendo en uno o más

miembros del Consejo o altos directivos de la firma, en su condición de responsable de cumplimiento.

El responsable de cumplimiento consulta a todas las líneas de negocio y no se limita a la función de control. Cumplimiento suele

equivaler a respetar los principios de la organización y de la Alta Dirección, así como las reglas de conducta empresarial, la normativa

referente a la inversión colectiva y al blanqueo de capitales. Además, los responsables de cumplimiento suelen responsabilizarse de las

relaciones de la empresa con la FSA.

El cumplimiento se define en el capítulo 3 del Manual de la FSA (apartado "Senior Management Arrangements, Systems and

Controls") y en la recopilación sobre blanqueo de capitales (Money Laundering sourcebook).

Fundamentos legales:

FFFS 2002:5-7 - Normativa sobre la conducta del mercado

de valores.

FFFS 1999:12 - Normativa sobre la conducta del mercado

bancario.

FFFS 2000:13 - Normativa sobre la conducta del mercado

de seguros.

Ley de prevención de blanqueo de capitales 1993:768.

FFFS 1999:8 - Normativa para prevención de blanqueo de

capitales.

Fundamentos legales:

FSMA 2000.

FSA Handbook, apartado "Senior Management

Arrangements, Systems and Controls", capítulo 3, diciembre

de 2001.

Fundamentos legales:

Loi fédérale sur les banques et les caisses d'épargne du 8

novembre 1934 - Loi sur les banques, RS 952.0 (Ley sobre

los bancos)

Circular 04/01. CFB. 21 de abril de 2004, sobre la

supervisión de grandes bancos.

Circular sobre la supervisión dentro de los bancos (se

espera a mediados de 2005).

76 © PricewaterhouseCoopers - Proteger la marca

Oriente Medio y Europa extracomunitaria

BahreinLa Bahrain Monetary Agency (BMA) es el órgano capacitado para regular y supervisar las instituciones financieras de Bahrein, y a tal efecto

emite una serie de normas que son de obligado cumplimiento para las entidades pertinentes, de acuerdo con la Ley de la BMA.

La BMA es consciente que habida cuenta de la compleja estructura y los riesgos subyacentes de los bancos y demás entidades

financieras, la extensión de la responsabilidad de cumplimiento en diferentes entidades y funciones sin tener un punto de coordinación

interno podría redundar en que determinadas áreas no recibieran una cobertura eficaz y eficiente. En consecuencia, el 15 de junio de 1999,

la BMA publicó una circular en la que requería que un alto directivo debía hacer el seguimiento del riesgo de cumplimiento. Dicha circular

llevó por título "Cumplimiento, gestión de riesgos y controles internos" (Compliance, Risk Management and Internal Controls).

Dicha persona responsable debe obtener la aprobación de la BMA antes de su nombramiento. Asimismo, la BMA requiere que las

instituciones financieras se pronuncien sobre cómo la función de cumplimiento se enmarca en la estructura de reporting de la institución y la

circular también afirma que el responsable de cumplimiento debe tener acceso al Consejo de Administración.

El papel del responsable de cumplimiento puede incluir otras funciones, como la prevención del blanqueo de capitales, aspectos

jurídicos o auditoría interna.

SuizaLa Commission Fédérale des Banques (CFB) es el órgano supervisor y regulador de Suiza para bancos y sociedades de valores. La Ley

sobre los bancos es el principal texto legal en materia de cumplimiento pero se pueden obtener más detalles en las circulares de la CFB.

El cumplimiento, como parte de los controles internos, se mencionó por primera vez en la circular de controles internos publicada por

la Association Suisse des Banquiers en 2002. En una circular de la CFB, prevista para mediados de 2005, los banqueros y los corredores

de bolsa deberán poner en marcha una función de cumplimiento. Sin embargo, la implementación de funciones de este tipo es una práctica

habitual en Suiza. Debido a la gran comunidad de bancos internacionales presentes en la zona, la normativa nacional está fuertemente

influenciada por las buenas prácticas internacionales y por el trabajo de los reguladores de diferentes países.

La CFB ve el cumplimiento como un deber del personal. Debería ser independiente y no tener responsabilidades operativas. Además,

debería tener contacto directo con el Consejo de Administración.

En cuanto a la prevención de blanqueo de capitales, el texto se tenía que haber implementado el 30 de junio de 2004, pero se hizo

una auditoría y se ha tenido que presentar un informe independiente a la CFB el 15 de marzo de 2005.

Fundamentos legales:

BMA Rule Book (normativa de la BMA).

Amiri Decree Law No. 23 of 1973 (Decreto Ley n.º 23 de

1973), "Ley BMA".

BC/13/99 - Circular: Compliance, Risk Management and

Internal Controls (Cumplimiento, gestión de riesgos y

controles internos).

© PricewaterhouseCoopers - Proteger la marca 77

Fundamentos legales:

Bank Act (Ley de bancos)

Insurance Companies Act (Ley de compañías de seguros)

Trust and Loan Companies Act (Ley de compañías

fiduciarias y de préstamo)

Cooperative Credit Associations Act (Ley de asociaciones

de crédito cooperativas)

Financial Consumer Agency of Canada Act (Ley de la

Financial Consumer Agency of Canada)

Office of the Superintendent of Financial Institutions Act (Ley

de la Office of the Superintendent of Financial Institutions)

Bill C-15

Legislative Compliance Management (LCM) Sound

Business & Financial Practices.

2003 FCAC Mystery Shopping Results.

Leyes de valores en el ámbito provincial.

Norteamérica

CanadáEntidades de Depósito, Compañías de Seguros y Planes de Pensiones

(Bancos, Compañías de Seguros, Compañías Fiduciarias y de Préstamo, Cooperativas y Planes de Pensiones)

A nivel federal, la Office of the Superintendent of Financial Institutions Canada (OSFI) rige las instituciones financieras reguladas

federalmente, incluyendo bancos y compañías de seguros. Según la Office of the Superintendent of Financial Institutions Act, la OSFI tiene

potestad para supervisar y regir todas las instituciones financieras reguladas federalmente. Mediante la Bill C-15, el mandato de la OSFI se

aclaró para incluir el fomento de prácticas comerciales sólidas para reducir el riesgo de fracaso de las instituciones financieras.

La supervisión de la OSFI es acorde con el Supervisory Framework (1999) y el documento relacionado Supervisory Framework

Rating Assessment Criteria (2002). En 2000, la OSFI introdujo la Interim Guideline Legislative Compliance Management (LCM), que fue

sustituida en 2003 por la Guideline E-13, Legislative Compliance Management for Sound Business & Financial Practices (2003), donde se

expresan las expectativas de la OSFI para las instituciones reguladas federalmente. La E-13 estipula, entre otras cosas, una función de

cumplimiento que incluye un marco a nivel de toda la empresa de controles de cumplimiento, un responsable de cumplimiento encargado

de la supervisión de la LCM, recursos adecuados para gestionar el cumplimiento y una red integrada de comunicaciones y de reporting.

Además, todos los bancos y todas las compañías de seguros creados o registrados a nivel federal, las compañías fiduciarias o de

préstamo y las asociaciones de crédito cooperativas están regulados por la Financial Consumer Agency of Canada (FCAC). La FCAC es el

órgano responsable de hacer que se apliquen las leyes federales que protegen a los consumidores en su relación con las instituciones

financieras. El mandato de la FCAC se centra en la protección y la educación del consumidor. En 2003, la FCAC publicaba los "2003 FCAC

Mystery Shopping Results", un documento que reflejaba los datos derivados de una experiencia: la FCAC había enviado a falsos clientes a

1.653 oficinas bancarias de Canadá para identificar las buenas prácticas de los bancos con respecto al tipo y a la disponibilidad de la

información que proporcionan a los clientes.

A escala provincial, hay regulaciones que rigen las pensiones, los seguros, las compañías fiduciarias, cooperativas de crédito,

"caisses populaires", cooperativas y agentes hipotecarios. Estas regulaciones se administran mediante los departamentos de finanzas a

escala provincial.

Gestores de Inversiones, de Fondos Mutuos, Asesores de Inversiones y Gestores de Carteras

En Canadá, la regulación del sector bursátil es responsabilidad de las comisiones de valores provinciales que supervisan la aplicación de

una ley de valores provincial. Esta legislación se compone de un conjunto de normativas y regulaciones que define las actividades que se

pueden realizar. Las comisiones de valores provinciales delegan ciertos aspectos de la regulación bursátil a los siguientes organismos

autorreguladores: a) Investment Dealers Association of Canada (IDA); b) Mutual Fund Dealers Association of Canada (MFDA); y c) Market

Regulation Services Inc (RS). La IDA y la MFDA se ocupan de algunas tareas de los gobiernos provinciales para garantizar que sus propios

organismos autorreguladores cumplen los estándares acordados y recogidos en la legislación provincial. RS es un órgano independiente

que ofrece servicios para los mercados de activos canadienses y cuenta con el reconocimiento de las comisiones de valores provinciales de

Alberta, British Columbia, Manitoba, Ontario y Quebec

Supervisión de las responsabilidades reguladoras de los organismos autorreguladores:

78 © PricewaterhouseCoopers - Proteger la marca

• IDA - regula las actividades de gestores de inversión en cuanto a adecuación de capital y conducta del negocio (cumplimiento en el

registro y venta, cumplimiento financiero).

• MFDA - regula todas las ventas de los fondos mutuos, controlando sus miembros y la adecuación de su capital.

• RS - garantiza la integridad del mercado regulando el trading para garantizar que las transacciones se hacen del modo adecuado de

forma, justa y de acuerdo con las normas.

Los asesores de inversión y los gestores de carteras están regulados por las comisiones de valores provinciales.

En 2000, la MFDA introdujo la Rule 2.5.2 la cual requería que los miembros designaran a un especialista en trading como

responsable de cumplimiento. La MFDA contaba con el reconocimiento como organismo autorregulador por una serie de comisiones de

valores canadienses en 2001. Ese año, la IDA introdujo el By-Law 38, por el que se requiere a los miembros que designen a una persona

como máxima responsable de cumplimiento y que nombren a una segunda persona que actúe como responsable operativo de

cumplimiento (Chief Compliance Officer, CCO). En 2002, se adoptaron las Universal Market Integrity Rules (UMIR) en sustitución de las

normas y las políticas de la Bolsa de Toronto y del Canadian Venture Exchange. La Rule 7.1 de la UMIR relativa a la obligación de

supervisión de trading, establece los requisitos para nombrar al personal de supervisión y tiene unas políticas y procedimientos de trading

por escrito.

Prevención de blanqueo de capitalesEn 1993, el Gobierno federal canadiense introdujo los Proceeds of Crime (Money Laundering) Suspicious Transaction Reporting

Regulations, aplicables a todas las instituciones financieras. En 2001 sustituyó esa normativa por los Proceeds of Crime (Money

Laundering) and Terrorist Financing Suspicious Transaction Reporting Regulations. En 1999, la Ontario Securities Commission (OSC)

introdujo la Rule 31-505, en materia de condiciones de registro, que requiere que los corredores o asesores registrados designen a un socio

o especialista registrado como representante de cumplimiento. La OSC enmendó la Rule 31-505 en 2003 para incluir el requisito de que los

asesores registrados designen a un alto directivo como la persona en la cual recaiga la máxima responsabilidad para la función de

cumplimiento, y que de la supervisión del día a día se encargue un responsable de cumplimiento.

© PricewaterhouseCoopers - Proteger la marca 79

Estados UnidosCompañías de Gestión de Inversiones

La Securities and Exchange Commission (SEC) ha aprobado unas reglas según la Investment Company Act de 1940 y la Investment Advisers

Act de 1940, que requieren que toda firma de inversiones y todo asesor de inversiones registrado en la SEC debe adoptar e implementar unas

políticas y procedimientos por escrito diseñados para: a) evitar el incumplimiento de la legislación federal de valores, b) revisar estas políticas y

procedimientos anualmente para su adecuación y efectividad de su implementación y c) designar un responsable de cumplimiento para

administrar estas políticas y los procedimientos. En el caso de una firma de inversiones, el responsable de cumplimiento reporta directamente al

Consejo de Administración. Las normas están diseñadas para proteger a los inversores garantizando que todos los fondos y asesores tienen

programas internos para fomentar el cumplimiento de la legislación federal de valores.

Broker-Dealers

La National Association of Securities Dealers (NASD) y la Bolsa de Nueva York (NYSE) tienen normativa en materia de sistemas de

supervisión, control de supervisión y procedimientos de certificación de sus miembros aprobadas por la SEC. La Rule 3010 requiere el

establecimiento de un sistema de supervisión que incluya políticas y procedimientos diseñados para lograr el cumplimiento de normas y

regulaciones. La Rule 3012 requiere de modo específico que las empresas identifiquen a un responsable de establecer, mantener y hacer

que se aplique un sistema de políticas y procedimientos de Control que ponga a prueba y verifique sus propios procesos de supervisión. La

Rule 3013 estipula que el CEO debe certificar que existe un proceso que garantiza que los controles estipulados en la Rule 3010 y 3012

están en vigor. La Rule 342 de la NYSE requiere que sus miembros creen procedimientos de verificación de supervisión en áreas concretas

y un método para evaluar dichos procedimientos.

Banks

Los bancos, como otras instituciones financieras norteamericanas, deben establecer un programa de prevención del blanqueo de capitales,

pero la ley que las regula no obliga a tener un programa específico de cumplimiento. Los reguladores estadounidenses, -mediante la

publicación de normativas, supervisión y exámenes sobre el terreno- intentan garantizar que los bancos operan de un modo seguro y

adecuado. En ese sentido, los reguladores del sector esperan que los bancos cuenten con un sistema de gestión del riesgo de

cumplimiento que esté diseñado de modo efectivo teniendo en cuenta su tamaño, alcance, la complejidad y la naturaleza de sus actividades

comerciales, así como su estructura legal. Se hace hincapié en cumplir estas expectativas a través del proceso de supervisión y los

exámenes realizados.

Compañías de Seguros

Según la McCarran-Ferguson Act, la regulación del sector de los seguros en los Estados Unidos funciona a escala estatal. Las compañías

de seguros están reguladas por comisionados estatales, que coordinan sus actividades a través de la National Association of Insurance

Commissioners. Los requisitos o expectativas sobre programas de cumplimiento para compañías de seguros se evaluarían y se aplicarían

por medio de los mismos. No obstante, se escapa del alcance de este estudio identificar normativa a escala estatal.

Fundamentos legales:

Gestión de inversiones: SEC Rule: Compliance Programs of

Investment Companies and Investment Advisers (Normativa

de la SEC sobre programas de cumplimiento de las

entidades de inversión y asesores de inversiones)

Rule 38a-1, Investment Company Act (Ley de entidades de

inversión) y Rule 206(4)-7, Investment Advisers Act (Ley de

asesores de inversión).

Agentes-intermediarios: NASD Rules 3010, 3012 y 3013, y

NYSE Rule 342.

80 © PricewaterhouseCoopers - Proteger la marca Anexo IIRetos normativos actuales

Región/país Retos normativos actuales

Asia

y Australia

Australia • Normas internacionales de información financiera (IFRS)• Sarbanes Oxley• Basilea II• Licencia APRA y Super Choice (sólo fondos de pensiones)• Prevención de blanqueo de capitales (PBC)• Para titulares de una licencia de Australian Financial Services: gestión de conflictos de intereses (PS 181)

y divulgación (en dólares y general)• Para firmas reguladas por APRA: obligaciones de fit and proper persons• Proyecto normativo sobre Unit Pricing

Hong Kong • IFRS/Normas internacionales de contabilidad (NIC)/China • Basilea II

• Sarbanes Oxley para empresas cotizadas en EE. UU.• PBC• Supervisión por Independent Financial Advisory (IFA) en Hong Kong

Japón • Basilea II• Protección para la Ley de privacidad (a partir de abril de 2005)• Regulación como SOA302 (posiblemente como 404 en el futuro)• Programa de continuidad de negocio• Reforzar la función de auditoría interna (según el Manual de inspección)• Evaluación más estricta de la calidad de los activos (préstamos) (según el Manual de inspección)• IFRS

Europa

Austria • IFRS y filtros cautelares• Debate abierto sobre Basilea II/Directiva sobre requisitos de capital (DRC); los reguladores ya han puesto

sobre la mesa sus expectativas:- Niveles mínimos para controlar el riesgo de crédito y la conducta con respecto a las

normas comerciales de financiación- Niveles mínimos para auditoría interna

• Mayores expectativas de los reguladores en cuanto a la implementación de soluciones de buenas prácticas

• Transposición de las directivas de la UE (Directiva de abuso de mercado, Directiva de transparencia)• Transposición de las directivas de la UE (Directiva de abuso de mercado, Directiva de transparencia)

Belgium • Circular sobre buenas prácticas para la subcontratación (externa, pero también dentro del grupo) conplazos de cumplimiento a finales de 2005 (toda la subcontratación debería regirse por SLA, respondiendoa los principios subrayados en la regulación)

• Nueva normativa (Real decreto) sobre PBC/KYC/Control de transacciones• Recomendaciones sobre el plan de continuidad de negocios. Si bien no se trata de una regulación formal,

es un aviso importante de la CBFA de que se espera el cumplimiento para 2007. Esto se deriva deltrabajo realizado en el Comité de trabajo por la estabilidad financiera, establecido en el Banco Nacionalde Bélgica (BNB)

Región/país Retos normativos actuales

Norte-

américa

Canadá • Nueva legislación:- PBC- Privacidad

• Áreas actuales de riesgo de regulación/preocupación:- Abuso de información privilegiada y barreras chinas- Abusos en el trading de fondos mutuos

Estados • Ley de secreto bancario/Prevención de blanqueo de capitales /Office of Foreign Assets Control

Unidos • Ley de transacciones de crédito justas y precisas (FACT ACT) (identificar robos/reporting de crédito justo)

• Privacidad/seguridad de información (también regulada por la FACT ACT)• Requisitos de programa de cumplimiento (compañías de gestión de inversiones)• Prácticas de trading de fondos mutuos• Mejor ejecución (agentes-intermediarios)• Temas relacionados con los agentes del sector seguros

Bélgica (cont) • Las IFRS están muy presentes porque implicarán cambios en el reporting normativomensual a la CBFA, a través del BNB. Las IFRS son obligatorias para todos los bancoscotizados o que deban emitir estados financieros consolidados a partir del 2005. El reportingNSA (New Schema A) de las IFRS se iniciará en enero de 2006

• Basilea II

Francia • PBC: Aunque no se han hecho cambios en la normativa francesa existente en materia dePBC, es un tema central en la agenda de las instituciones financieras. La tolerancia de losreguladores es nula, como se ha visto en las últimas sanciones

• Basilea II: conforme se va acercando la fecha de aplicación, las instituciones se centran enla implementación de los acuerdos de Basilea II. Aún se tienen que hacer algunos diagnósticos, pero la implementación es el elemento clave y están empezando a salir nuevos temas, como la interacción con el reporting normativo

• Acuerdos de cumplimiento: es el nuevo tema clave, a la vista de la última consulta realizadapor la Commission Bancaire. Se trata de llegar a una regulación específica sobrecumplimiento y la fecha de finalización gira en torno a junio de 2005

• IFRS: 2005 es el primer año de aplicación a nivel consolidado y evidentemente lasinstituciones le están dedicando todos sus esfuerzos

© PricewaterhouseCoopers - Proteger la marca 81

Región/país Retos normativos actuales

Europa

Alemania Sector bancario:• Basilea II (incluyendo el proceso de revisión supervisor y los requisitos mínimos para

la gestión de riesgos (MaRisk)• IFRS (sobre todo en el sector público; las principales entidades de crédito privadas ya cumplen

la normativa)Sector bancario/firmas inversión (supervisión de mercado - temas de cumplimiento):• Transposición de la Directiva de abuso de mercado en la legislación alemana (ley alemana en materia de

mejora de protección del inversor): prácticas de mercado aceptadas frente a la manipulación de mercado,listas de personas con información privilegiada, información sobre transacciones sospechosas)

Seguros• Solvencia I y (la futura) Solvencia II• Ley de supervisión de seguros: enmiendas de la ordenanza de inversión y cambios

en el enfoque de gestión de riesgos• IFRS (ED 7)

Italia • IFRS/NIC: Obligatorio para compañías cotizadas y entidades financieras bajo la supervisión del Bancode Italia (2005, obligatorio estados financieros consolidados; estados financieros individuales, voluntarioAmbos serán obligatorios en 2006)

• Basilea II• Sarbanes-Oxley para empresas cotizadas en EE. UU.• Nuevo decreto legislativo del Banco de Italia (en relación con la UCITS III) sobre las

operaciones de las compañías de inversión: en los próximos meses• Decreto legislativo 231/2001 sobre las responsabilidades y el marco de control interno de las compañías

para evitar fraudes e ilegalidades administrativas

Luxemburgo • IFRS• PBC (nueva legislación de 12 de noviembre de 2004)• Función de cumplimiento (nueva circular de la CSSF en septiembre de 2004)• UCITS III• Basilea II/DRC• Solvencia II

Países • Basilea II Bajos • Solvencia II

• Directiva de mediación en los seguros• Conducta íntegra• Subcontratación• Normativa anticompetencia• NIC

España • Normativa en materia de PBC (cambios en 2003 y 2005) y recomendaciones específicas sobrefunciones de cumplimiento por el órgano regulador español

• UCITS III• Basilea II• Solvencia II• NIC

Región/país Retos normativos actuales

Europa

Suecia • Basilea II/DRC• IFRS, especialmente las NIC 39 y 32• Directiva de conglomerados financieros• Solvencia II

Suiza • Proyecto de ley sobre supervisión financiera integrada (propuesta para integrar la CommissionFédérale des Banques, la Comisión de seguros privados de Suiza y la Autorité de contrôle enmatière de lutte contre le blanchiment d'argent)

Banca y sociedades de inversión• Basilea II• Circular de la Commission Bancaire sobre la supervisión de grandes bancos, abril de 2004• Regulación sobre conglomerados financierosSeguros• Solvencia I y II, y regulación sobre supervisión de conglomerados financieros• Nueva ley sobre supervisión de seguros• Ley de contratos de seguros privados: revisión íntegra de los órganos legislativos

relevantes en cursoLey de sociedades• Gobierno corporativo - normativa sobre transparencia de compensación • UCITS III• Prevención de blanqueo de capitales, manejo de información privilegiada• Proposición legislativa para cumplir con los requisitos relacionados con el GAFI• Revisión del alcance y la apreciación del manejo de información privilegiada

Reino • Requisitos de capital para bancos y sociedades de inversión (Basilea II/DRC)Unido • Cambios en la normativa contable internacional

• Regulación del negocio de seguros general y de hipotecas• Expectativas de la FSA con respecto al trato justo de los clientes• Futuro impacto de la Directiva de MIF

Bahrein • Basilea II• IFRS• PBC• Requisitos de normativa cautelar, el órgano regulador ha adoptado los papers

de Basilea

82 © PricewaterhouseCoopers - Proteger la marca Anexo IIISelección de estudios y publicaciones más recientesEstudios recientes:

• 8th Annual Global CEO Survey, 2005: Bold Ambitions, Careful Choices

• PricewaterhouseCoopers Management Barometer, julio y noviembre de 2004

• Private Banking/Wealth Management, Global Survey 2004: Leveraging Compliance and Risk Management for Strategic Advantage

• Banana Skins 2005 (encuesta anual del Centre for the Study of Financial Innovation · CFSI, patrocinada por PricewaterhouseCoopers)

Publicaciones / Libros Blancos:

The PricewaterhouseCoopers/Economist Intelligence Unit Briefing Series:

• Governance: From compliance to strategic advantage

• Compliance: The gap at the heart of risk management

• Uncertainty tamed? The evolution of risk management in the financial services industry

El futuro en las series de Cumplimiento:

• Best Practice and Delivering Value, 2002

• Using Technology to Deliver Value, 2003

• An Efficient and Effective Commercial Operation, 2004

Integrity-Driven PerformanceTM - A New Strategy for Success Through Integrated Governance, Risk and Compliance Management: A White

Paper, enero de 2004

Regulatory Compliance: Adding value - a review of future trends, 2002

Todos estas publicaciones están disponibles en la web de PricewaterhouseCoopers www.pwc.com/financialservices

PricewaterhouseCoopers (www.pwc.com) ofrece a las empresas y a la Administración servicios profesionales especializados en cada sector. Más de 120.000 personas en 144 países aúnan sus conocimientos,experiencia y soluciones para dar confianza e incrementar el valor de sus clientes y grupos de interés.

Este estudio no pretende proporcionar un asesoramiento específico y tampoco era nuestro objetivo entrar en detalles. En caso de necesitar asesoramiento personalizado o si desea obtener más informaciónsobre cualesquiera de los temas tratados en este informe, puede dirigirse a su contacto habitual de PricewaterhouseCoopers o a cualquiera de las personas mencionadas en esta publicación.

Si desea obtener un ejemplar de este informe, puede ponerse en contacto con Jurgen de Greef, PricewaterhouseCoopers, por teléfono (+32 2 710 9716) o por correo electrónico (jurgen.de.greef@pwc.be).

©2005 PricewaterhouseCoopers. Todos los derechos reservados. "PricewaterhouseCoopers" se refiere a la red de firmas miembros de PricewaterhouseCoopers International Limited; cada una de las cuales esuna entidad legal separada e independiente. *connectedthinking es una marca de PricewaterhouseCoopers LLP.