El compliance, de cara al 2020

la regulación y la organización de las empresas, incluso más allá de lo que marcan las propias legislaciones.

Prueba de ello es la propuesta del paquete económico para el ejercicio 2020, a través del cual se otorga a las autoridades facultades excesivas, tales como la discre-cionalidad, la subjetividad y tintes de abstracción, que dejan al contribuyente en total estado de inseguridad jurídica e imponen la urgente necesidad de implantar programas de compliance para mitigar los efectos inde-seados de dicha reforma.

En este sentido, y para dar la batalla y protección de los contribuyentes frente a nuevas atribuciones de las auto-ridades, se hace imprescindible incorporar procesos de esta magnitud en las organizaciones, para generar no sólo procesos integrales de desarrollo de las empresas, sino que además tengan efectos preventivos y protecto-res del patrimonio y la libertad del individuo.

Como es sabido, el concepto compliance, tiene que ver con el cumplimiento normativo. La palabra proviene del verbo en inglés to comply with, que se traduce como cumplir con.

¾ LCC y AbogAdo Adrián rueLAs estrAdA Presidente de la Federación nacional de la asociación Mexicana de colegios de contadores Públicos, ac (FnaMcP)

En la actualidad, el sistema económico, en conjunto con el sistema jurídico y los marcos normativos que regulan la relación de las empresas con las autoridades, para dar forma a los sistemas productivos de las sociedades contemporáneas, evolucionan a gran velocidad, al grado que las regulaciones legales llegan a quedarse rezaga-das con respecto de lo que pasa día a día en la vida real.

La empresa del siglo XXI enfrenta no sólo el reto de la feroz competencia, sino el que las legislaciones inter-nacionales, nacionales y locales son cada vez más de-mandantes, justo en este ámbito de galopante globali-zación en el que vivimos.

Por ello, es importante que las organizaciones instauren procesos tendientes a lograr la excelencia y la perma-nencia en el tiempo, a través de directrices bien defini-das, que sean claras para todos los involucrados en su funcionamiento, tanto al interior como al exterior y, por ende, puedan convertirse en referente exitoso de la apli-cación de buenas prácticas, así como de la implemen-tación de modelos que, incluso, puedan ser ejemplo de gestión para el sector público. Esto es: ir un paso ade-lante. Estar a la vanguardia y marcar la pauta en torno a

A171a. quincena

noviembre 2019

Colaboraciones FISCAL

Taller fiscal 883- 1a parte.indd 17 18/10/19 14:54

Si bien es cierto, el compliance no pretende ser la pa-nacea, hoy en día se constituye como una herramienta indispensable, por lo que con este artículo se propone dejar de manifiesto la imperiosa necesidad de incor-porar procesos de cumplimiento empresarial, no sólo acciones tendientes a la transparencia, a la rendición de cuentas, de comportamientos éticos y conductas so-cialmente responsables, sino también, salvaguardar y blindar a la empresa, ante cualquier situación a la que pudieran exponerla quienes en ella se desempeñan, consecuencia de su actuar, como parte de sus respon-sabilidades dentro de la misma.

Los programas de cumplimiento normativo buscan al-canzar como sus objetivos: la observancia del debido control en la organización (control interno), que se adop-ten y ejecuten modelos de organización y gestión ade-cuados, prevenir delitos, reducir el riesgo de su comi-sión, disponer de sistemas y protocolos de supervisión y control de cumplimiento normativo, establecer meca-nismos internos de prevención, gestión y control.

Tener un programa compliance disminuye la posibilidad de riesgos. El modelo de las tres líneas de defensa si-gue por este mismo camino y es adaptable para empre-sas con compliance y para empresas cuyo presupuesto podría no permitirles implementar un programa de cum-plimiento. Las tres líneas de defensa al igual que los programas de cumplimiento, sirven para eliminar ries-gos en que puede caer una empresa.

Este modelo ofrece opciones sencillas. En principio esta-blece bien los roles y responsabilidades dentro de la em-presa, pero a su vez jerarquiza y relaciona estos puestos:

1. La primera línea de defensa es el control ge-rencial.

2. La segunda tiene que ver con la supervisión de control de riesgos y de cumplimiento den-tro de la empresa (compliance).

3. La tercera es la auditoría interna y externa.

cuadamente. Su trabajo debe estar reflejado desde ahí y pueden ser quienes ayuden a la eficacia del modelo.

Son ellos los responsables de la empresa y quienes de-ben dar la cara ante cualquier situación que se presen-te. Desde esas esferas se desprenden las estrategias a seguir para que la disminución de riesgos −uno de los objetivos presentes en casi cada empresa existente−se alcance. La gestión de los recursos necesarios para que se lleve a cabo depende de ellos (los principales riesgos identificados son: fraude, soborno, corrupción, cibercrimen y manipulación de información financiera, además de la debilidad en la gestión de riesgos).

La primera línea de defensa recae en las gerencias de la compañía. Dentro de este modelo, ellas son las due-ñas o propietarias de los riesgos que pueden existir. Por tanto, son ellas quienes deben diseñar y ejecutar con-troles que eviten cualquier situación que pueda dañar a la empresa.

Desde ahí, se debe mantener un control que funcione las 24 horas del día, los siete días a la semana. Es res-ponsabilidad de la gerencia identificar los riesgos, dis-minuirlos, pero también hacer una evaluación para de-terminar cuáles son más urgentes de intervenir o cuáles son los que tienen más probabilidad de suceder y/o de generarse de manera continua.

La gerencia debe asegurarse que los operativos, los modelos o los diseños implementados para la identifi-cación y prevención de riesgos estén alineados con las metas y con los objetivos que ya existen. A partir de ahí se tiene que desarrollar una estructura para repartir las tareas y responsabilidades.

Las gerencias de mediana jerarquía asumirán las res-ponsabilidades determinadas y reportarán a la gerencia operativa. Su tarea tendrá que ir encaminada a la elabo-ración de procedimientos a detalle de control y de su-pervisión. El gerente de mediano nivel tendrá que revi-sar y supervisar que los empleados a su cargo ejecuten los controles que desde ahí se han diseñado.

Debido a que la gerencia es la encargada de la opera-ción de la empresa, es natural que la primera línea de defensa recaiga sobre ellos. Se deben evitar operacio-nes poco aptas para el desarrollo empresarial y los con-troles de riesgo deben estar diseñados para cualquier evento inesperado que pueda ocurrir.

A continuación, hablaremos de cada una de ellas con mayor detenimiento.

En principio, son los altos directivos quienes más inte-resados deben estar en que estas líneas funcionen ade-

A181a. quincena

noviembre 2019

FISCAL Colaboraciones

Taller fiscal 883- 1a parte.indd 18 18/10/19 14:54

Una sola línea de defensa no es suficiente para prevenir todos los riesgos que pueden existir, una segunda es necesaria, ya que los niveles gerenciales sólo pueden ocuparse de una parte, pero por las mismas atribucio-nes de puestos no pueden llegar a detalles más peque-ños. Aunque no todas las empresas son iguales, ni el diseño de sus atribuciones, ni sus controles de riesgos, existen ciertas similitudes entre lo que puede abarcar esta segunda línea de defensa:

Un comité que vigila la correcta gestión preventiva de riesgos, la cual también tiene dentro de sus atribucio-nes cuidar que la gerencia diseñe programas adecua-dos para estos fines, y ayuda a determinar el objetivo adecuado que se tiene que cumplir con cada caso de riesgo detectado. Junto con esto, se diseña la mejor manera de presentar estos programas al interior de la empresa.

La otra función se centra en la vigilancia constante de riesgos, tales como el no cumplir adecuadamente las normas y reglamentos, y las regulaciones a las que esté sujeta la empresa. Desde este punto, los encargados de monitorear estos riesgos deben reportar directamente las faltas encontradas a la alta dirección de la empresa o al gobierno corporativo. Algunos otros puntos de vi-gilancia tienen que ver con el cuidado de las cadenas de suministro, el cuidado de la salud, la seguridad de los empleados o la calidad del producto en el que esté especializada la compañía.

El último punto similar entre empresas dentro de esta segunda línea de defensa es el de la contraloría interna. Ahí se deben identificar y vigilar los riesgos financieros que podrían llegar a existir.

Aunque estas parecen y son funciones que se deben operar desde la gerencia, son independientes de ella. Tienen un objetivo específico: asegurarse de que la pri-mera línea de defensa funcione. Por ello mismo, puede llegar a intervenir en el diseño o corrección de los con-troles que se realicen. Sin embargo, esto también signi-fica que los reportes que hagan a la dirección ejecutiva o corporativa no son totalmente independientes de los que haga la gerencia de la empresa.

Algunas otras funciones que la segunda línea de defen-sa puede contener son: asistir en la definición de roles y responsabilidades o descripciones de puesto, ayudar en la capacitación para la realización de controles de riesgos y ayudar y mejorar el control interno de la em-presa.

La tercera línea de defensa tiene que ver con la audi-toría interna. Esta línea de defensa, a diferencia de la segunda, sí ofrece independencia total de los niveles gerenciales y de cualquier relación que pueda haber en-tre la empresa, y a partir de procedimientos específicos acercarse a una total objetividad al momento de evaluar los riesgos.

La auditoría interna evalúa el trabajo del gobierno cor-porativo, y que la primera y la segunda línea de defensa estén alcanzando los objetivos previamente trazados. La auditoría interna debe reportar directamente al go-bierno corporativo o a los altos directivos de la empresa.

Son muchos los procesos en los que se ve involucrada la auditoría interna. Uno es revisar que el funcionamien-to de la empresa sea el adecuado, esto incluye asegu-rarse de que se estén cumpliendo las leyes, los procedi-mientos, contratos, entre otros. Esto también sirve para verificar un actuar ético de la compañía. Otro, es revisar que el programa compliance se esté llevando a cabo de forma adecuada. Los procesos de comunicación y de control de información también se auditan.

Todas las divisiones de la compañía deben auditarse. Si tiene subsidiarias también deben pasar por el proce-dimiento. Y cualquier proceso que sea ejecutado por la empresa debe ser sujeto a revisión, no importa si son ventas, o marketing y publicidad, seguridad, gastos, ingresos, control de clientes, presupuestos, estado de la infraestructura, activos, tecnología, redes sociales, inventario.

Este proceso es tan importante que, en estos tiempos, parece inconcebible que no todas las empresas lo uti-licen; sin embargo, sucede que aún existen compañías de cierta importancia que obvian las ventajas de tener esta línea de defensa. La auditoría interna también es recomendable para empresas pequeñas.

Una auditoría interna debe trabajar de forma indepen-diente a la empresa que contrató.

La auditoría interna debe estar sujeta a normatividades internacionales para que su práctica ofrezca mejores re-sultados y confiabilidad. Deben tener una capacitación suficientemente alta para que hagan su trabajo por ellos mismos, y tener una excelente comunicación con la alta dirección para poder reportarles cualquier anomalía.

El que los auditores sean ajenos a la organización o in-dependientes de ella, no significa que no puedan tener

A191a. quincena

noviembre 2019

FISCALColaboraciones

Taller fiscal 883- 1a parte.indd 19 18/10/19 14:54

un lugar dentro de los procedimientos de la empresa o incluso dentro de la estructura del gobierno corporativo. Muchas empresas de índole financiera trabajan bajo este esquema. Y se fortalece así el control de riesgos; sin em-bargo, habrá que acotar que los encargados de trabajar las tres líneas de defensa deben mantener una coordinación entre ellos, para que los controles sean mucho más efectivos; es decir, que no se entorpezcan entre ellas mismas y que la información que les llega a los altos directivos no sea doble. Además, economiza los esfuerzos y se evita que se trabaje en lo mismo dos veces. La mejor manera de coordinar las líneas es delimitando con mucha precisión las atribuciones de cada una y quien debe intervenir en qué y cómo.

Es recomendable que las tres líneas existan dentro de todas las empresas, aunque en ocasiones −sobre todo cuan-do hablamos de empresas muy pequeñas− algunas funciones se pueden combinar. Por ejemplo, las auditorías en casos muy particulares pueden realizar acciones de control que están enmarcadas dentro de la segunda línea de defensa.

Habrá que recordar que las líneas de defensa ayudan al control de riesgos, que las atribuciones de cada línea de-berán quedar muy bien definidas y que las tres líneas deben estar muy bien coordinadas para un correcto funciona-miento. Es ideal que estas líneas no se mezclen y no repitan funciones. Y que la alta dirección se mantenga al tanto del impacto y de la organización de estas líneas.

Conclusión

Con la introducción de la responsabilidad penal de las personas morales a través de la denominada miscelánea penal publicada en el DOF del 17 de junio de 2016, así como con la actual propuesta del paquete económico para el ejercicio 2020, a través del cual se otorga a las autoridades facultades excesivas, tales como la discrecio-nalidad, la subjetividad y tintes de abstracción, que dejan al contribuyente en total estado de inseguridad jurídica e imponen la urgente necesidad de implantar programas de compliance para mitigar los efectos indeseados de dicha reforma, sin duda, para las empresas implementar en su organización un programa de cumplimiento nor-mativo se convierte en primera necesidad y de esta manera puedan controlar de mejor forma sus operaciones, además, tener acceso a las excluyentes de responsabilidad penal.

A201a. quincena

noviembre 2019

FISCAL Colaboraciones

Taller fiscal 883- 1a parte.indd 20 18/10/19 14:54