Un proceso de evaluación no puede ser limitado a la aplicación de un check list en términos de existe, no existe o aplicar alguna escala de mayor gradualidad como inexistente, inmaduro o administrado, por ejemplo.
Cuando nos hablan de evaluación lo primero que pensamos es: ¿Qué me falta?, ¿Dónde están mis falencias?, ¿Qué he hecho mal? Incluso, desde una óptica negativa, pensamos que nos van a preguntar por aquello que no tenemos. Esto último hace que nos olvidemos del trabajo que hemos realizado, de cuánto hemos avanzado desde que iniciamos la construcción de nuestro sistema de prevención, de nuestro aprendizaje y –lo más importante– del logro de sensibilizar y de crear la cultura de la prevención del LA/FT en nuestra organización.
Sería muy arriesgado decir que tenemos un sistema de prevención perfecto, ya que siempre habrá algo por mejorar. Pero sí deberíamos estar en capacidad de garantizarle a nuestra organización que cuenta con unas herramientas que están en capacidad de mantener controlados los riesgos. Además, a partir de pequeños logros, de construir sistemáticamente con los aportes de cada individuo, de contar con un soporte tecnológico básico y tener conocimientos y experticia podremos materializar el objetivo de contar con un sistema de prevención del LA/FT
Afrontar la evaluación como una auditoría
Dicho lo anterior, ahora quiero abordar el tema de los aspectos a tener en cuenta tal y como lo haríamos al enfrentar una revisión de calidad o un proceso de auditoría interna.
Es fundamental que tengamos claramente identificados el ámbito de aplicación (esto es delimitar el sistema a evaluar) y el referente o la norma contra la cual queremos llevar a cabo la evaluación. Dicho ámbito podría ampliarse a los referentes mundiales o a las mejores prácticas empresariales, con lo cual surge un interrogante: ¿Vamos a verificar el cumplimiento de una norma? o ¿Queremos identificar qué tan maduro está nuestro sistema frente a la realidad comercial, social, económica y legal a nivel global? Cada uno de nosotros debe establecer su línea base y de ello dependerá mucho el resultado que se obtenga.
Como lo he mencionado anteriormente, el concepto de sistema -per se- es tan amplio que debemos definirlo claramente para conocer hasta dónde llegará su evaluación. Por eso circunscribiré el concepto de sistema de prevención de LA/FT a un criterio mediamente universal, comprendido por todas aquellas entradas, procesos y salidas asociadas a los riesgos LA/FT. Algo complejo porque es un proceso de gestión integral de riesgos transversal a la organización; a su entorno; a sus relaciones con proveedores, contratistas, empleados y comunidad; así como a sus procesos, sus clientes, canales de distribución, competidores y el gobierno (tanto el propio como los externos).
Si esperamos realizar la evaluación desde el marco de cumplimiento normativo, podríamos volverla muy instrumentalista u operativa fijándonos unos objetivos o hipótesis de validación tales como: evaluar la definición y nivel de implantación de la función de cumplimiento en la organización, verificar el cumplimiento legal o marco normativo existente aplicable a la organización y verificar la adopción e implementación del sistema de autocontrol y gestión del riesgo del LA/FT con unos mínimos elementos exigibles.
Dependiendo de la norma contra la cual nos estemos evaluando, revisaríamos, entre otros, contar al menos con: políticas, procedimientos, mecanismos e instrumentos; así como con órganos con funciones de control u oficial o empleado de cumplimiento; pautas para la identificación de factores de riesgo; asignación de funciones específicas de la junta directiva o representante legal; capacitación; emisión de un código de ética, manual o reglas de conducta empresarial; procedimientos de conocimiento de las contrapartes y una gran variedad de reportes a la Uiaf.
No obstante, el proceso de evaluación no podemos limitarlo a la aplicación de un check list en términos de existe, no existe o aplicar alguna escala de mayor gradualidad como inexistente, inmaduro, administrado o maduro, por ejemplo. La existencia del sistema objeto de la evaluación requerirá de identificar si el ciclo de planear, hacer, verificar y actuar (Phva) se viene aplicando. Deberá comprobarse un claro y explícito compromiso de la alta gerencia mediante una declaración o política de gestión y prevención de los riesgos LA/FT.
Joe vía Flickr
A partir de este punto, debemos evaluar si la función está asignada a un área responsable en particular o está asignada como un ‘apéndice’ a cualquier otra área, dependencia o proceso de su organización. Para ello es fundamental lo establecido por la Circular Básica Jurídica (CBJ) de la Superintendencia de Sociedades en el Capítulo 10, ya que allí se exige a las empresas obligadas designar un oficial de cumplimiento o funcionario que haga sus veces, el cual deberá ser nombrado por la junta directiva (a falta de esta por el representante legal con la aprobación del máximo órgano social). Adicionalmente este funcionario debe tener capacidad decisoria y acreditar los conocimientos requeridos no solo sobre la administración de riesgos, sino también sobre la operación de la empresa.
Frente a lo anterior la evaluación debería responder si estamos cumpliendo o no con lo allí establecido y aun cuando no estemos obligados por dicha norma, deberiamos tomarla como una muy buena práctica y como una demostración de madurez del sistema objeto de evaluación. Dicho sistema –según la CBJ- debe contemplar como mínimo las siguientes atribuciones generales asignadas al oficial de cumplimiento:
- Velar por el efectivo, eficiente y oportuno funcionamiento del sistema.
- Promover la adopción de correctivos y actualizaciones al sistema.
- Coordinar el desarrollo de programas internos de capacitación.
- Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el revisor fiscal y adoptar las medidas del caso frente a las deficiencias informadas.
- Certificar ante la Superintendencia de Sociedades el cumplimiento de lo previsto en el Capítulo X, según lo requiera esta entidad de supervisión.
- Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del riesgo de LA/FT.
- Diseñar las metodologías de segmentación, identificación, medición y control del riesgo de LA/FT que formarán parte del sistema.
- Realizar reportes de las operaciones sospechosas a la Uiaf y cualquier otro reporte o informe, en los términos del X.
Adicionalmente cada organización debe establecer responsables de efectuar una evaluación del sistema a fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes.
La importancia de la puesta en práctica
Saliéndonos un poco de este marco normativo e independientemente de la norma que lo obligue, la evaluación de nuestro sistema debería estar en capacidad de responder, entre otras, a las siguientes preguntas:
- ¿Existe un verdadero compromiso de la alta dirección?
- ¿Se ha definido y establecido algún tipo de normatividad, políticas, lineamientos y procedimientos del proceso?
- ¿Está la empresa protegida de ser utilizada para delitos asociados al LA/FT?
En cuanto a la capacitación y sensibilización de los diferentes grupos de interés o contrapartes se debe verificar, entre otros, si existe en los trabajadores y directivos una conciencia de prevención o de ‘levantar la mano’ frente a situaciones que puedan exponer la empresa a estos riesgos, si se ha medido el impacto de las capacitaciones en temas de prevención del LA/FT (más allá de los indicadores operativos de horas hombre y cursos ofrecidos), verificar si los trabajadores tienen una aproximación y conocimiento del tema, revisar si tenemos identificados cargos críticos o cargos con una mayor exposición y validar si se ha socializado el modelo con proveedores, contratistas y clientes.
También deberíamos estar en capacidad de ‘vender’ nuestro sistema como un proceso de relacionamiento organizacional a largo plazo, sostenible y fundamentado en la transparencia, legalidad y de mutuo beneficio para todas y cada una de nuestras contrapartes, en lugar de mostrarlo como un sistema de prevención del delito.
Las áreas de cumplimiento debemos ser los ‘socios de valor’ para los procesos de relacionamiento con los diversos grupos de interés de nuestra organización; es decir, que éstas perciban el valor agregado de nuestra gestión y contemos con su activa participación en la prevención de los riesgos asociados al LA/FT.
Ahora bien, desde el área de cumplimiento debemos estar en capacidad de responder si la empresa ha llevado a cabo un proceso de identificación de los riesgos asociados. Es decir, validar si se tienen identificados los riegos legales, reputacionales, operativos/operacionales y de contagio o concentración, si están mapeados los factores de riesgo (contrapartes, productos, canales y jurisdicciones) y si estos últimos están identificados, analizados y monitoreados.
Por otra parte es importante validar qué tan directa es la línea de comunicación con los máximos órganos rectores de la empresa, si conocemos los pares de nuestro sector y si sabemos para dónde va el país en temas de prevención del LA/FT.
La evaluación no es como una toma de lección del colegio, sino que nos debe llevar a mayores reflexiones, entre ellas a una tan sencilla como fundamental: ¿Conocemos las 40 recomendaciones del Gafi y entendemos el espíritu de cada una de ellas?
¿Cuándo hacer el examen?
El proceso de evaluar el sistema de prevención del LA/FT es permanente y continuo. Sin embargo, considero que podríamos establecer periodos de evaluación que deberían llevarnos a una clara reflexión sobre la efectividad del sistema. Me aventuro con periodicidades: una de ellas sería anual (como mínimo) y la fecha dependería de la publicación de los informes de gestión dirigidos a la junta directiva o a la gerencia general de la organización, o cuando se presenten informes de sostenibilidad. Los anteriores son momentos muy impactantes y efectivos para llevar a cabo dicha evaluación
Otro momento válido sería incidental (por no llamarlo reactivo) y se realizaría frente a la materialización de un riesgo o dentro de procesos de auditoría interna o externa previos y debidamente programados por dichas áreas.
Cuidado con la debida diligencia
Intencionalmente dejé para el final el proceso de realización de las debidas diligencias de terceros o contraparte, y lo hago así porque muchas de nuestras organizaciones han limitado su gestión de cumplimiento en términos de consultas en listas públicas; craso error en el que incurren muchas de las empresas que se han visto obligadas a tener sistemas de prevención del LA/FT y que circunscriben el alcance de su quehacer a la ejecución de consultas en listas públicas, como si se tratara de tomar fotografías y no de mantener la producción de un largo metraje que nunca estará terminado.
El reto de toda evaluación, no será –como ya mencioné- algo similar a un proceso de evaluación educativo que nos lleva a obtener una nota aprobatoria simplemente. El reto es identificar dónde estamos y cómo mejoramos. Es llevarnos a reflexionar y ver cómo entramos en una espiral de mejoramiento continuo y permanente que mantenga la dinámica del sistema como un proceso continuo, que identifique sus insumos, sus procesos, sus salidas o productos y se mantenga en permanente realimentación para alcanzar los objetivos fijados.