Es fin de año y generalmente al término del mismo, en el ámbito corporativo, se afrontan una cantidad considerable de retos para poder culminar las actividades que desarrollan el objeto social de las organizaciones en debida forma, a saber: cierres contables, fiscales, legales entre otros.
Las unidades o equipos de riesgos y cumplimiento, trátese de Oficiales de Cumplimiento, quienes ejercen este rol o incluso Comités de Riesgos o figuras similares, tampoco están exceptuados de cerrar el año rindiendo cuenta de sus actuaciones. Lo anterior, sin perjuicio del sistema de compliance por el cual velan su cumplimiento sea en el ámbito de riesgos de LA/FT/FPADM, Corrupción o Modelos de Prevención de Delitos o incluso en el contexto de Protección de Datos Personales (PDP) entre otros.
De acuerdo con este panorama, a continuación, presentamos algunos aspectos a tener en cuenta para que puedan disfrutar de la navidad, el año nuevo y sus vacaciones de forma tranquila.
Tabla de contenidos
¿Quién queda a cargo de las funciones de cumplimiento?
Recuerde que no debe haber una interrupción en el rol de cumplimiento en la organización. Por ello se debe designar quién suple al responsable en sus ausencias temporales o definitivas o un papel de responsable suplente que pueda cubrir el período de vacaciones de forma adecuada. Importante, que sea una persona idónea y capacitada, que tenga claridad de las actividades a realizar en este período y que finalmente rinda informe de lo que se presente. En la medida de lo posible evite afectar su tiempo de descanso por temas urgentes, por ello designar a la persona adecuada es la estrategia ideal para disfrutar de sus planes.
Ten presente el tipo de contratación del Oficial de Cumplimiento a cargo. En principio, esto solo debería revisarse en el caso de que el Oficial esté contratado a través de servicios de tercerización, en ese sentido, es obligación de las organizaciones determinar la continuidad o terminación de tal vínculo.
Verificaciones generales que puede realizar cerrando el año o muy al inicio de 2025:
Algunas actividades de carácter general que, en nuestro concepto, deben ser objeto de revisión anualmente puesto que su determinación contribuirá a la delimitación de las obligaciones de la organización y, por ende, del titular de la función de cumplimiento:
Calidad del sujeto obligado.
La consideramos como el aspecto central a definir porque de ello dependerá si:
- La organización se convierte en sujeto obligado y debe desplegar un plan de trabajo para la adecuada implementación del programa de cumplimiento respectivo (puede incluso afectar planes ya definidos de vacaciones);
- Si pierde la calidad de sujeto obligado y como tal NO continúa con las mismas obligaciones de las cuales viene siendo sujeto (importante considerar si de acuerdo con la norma aplicable no hay un período de extensión de las exigencias aún a pesar de perder la calidad. Esto ocurre por ejemplo en el contexto del SAGRILAFT para sector real vigilado por Superintendencia de Sociedades en Colombia en donde se cuenta con un período mínimo de permanencia de 3 años aún después de perder la calidad de sujeto obligado);
- O, por el contrario, hay modificación en ellas y como tal se debe implementar un ajuste o plan de trabajo para su efectiva adecuación. Lo ideal para que esto no lo tome por sorpresa es hacer un monitoreo continuo de la normatividad, no obstante, esto no evitó que el 24 de diciembre de 2021 el sector Real en Colombia sorprendiera con una norma nueva en materia de SAGRILAFT, o que en días pasados se modificara la norma de datos personales en Perú y se adoptaran nuevos lineamientos en Chile.
- Sin perjuicio de lo precedente, en aras de generar cultura de cumplimiento, la misma organización puede decidir continuar con sus actividades de cumplimiento como buena práctica;
- En el mismo sentido, tras identificar cambios normativos y cómo ha operado el riesgo en la organización evaluando al cierre del ejercicio (materialidad del riesgo), se podrá indicar un plan de trabajo que establezca los posibles impactos o cambios que tendrá el programa de cumplimiento para el año por iniciar. En este caso, ¡asegúrate de dejar “andando” las tareas con que trabajarás al regreso!
- Revisa que no haya reportes pendientes de ser realizados, y asegúrate de dejar programados o encargados los que falten.
¡Permítanos acompañar
sus procesos!
Verificaciones concretas a realizar
Ya de forma concreta, y según el sistema de que se trate, traemos algunos ejemplos de aspectos a considerar para un cierre efectivo. En este aspecto, aun cuando los sistemas tienen propósitos distintos, existen puntos de encuentro que ameritan ser observados conjuntamente por encontrarse tales actividades enmarcadas en las distintas normas que regulan la materia:
1. Promoción de correcciones o actualizaciones del sistema
Sin duda, es un ítem imprescindible en el inventario de actividades que se debió haber realizado en el año pues, esto permite tanto el adecuado funcionamiento y efectividad del sistema correspondiente, así como asegurar su actualización y vigencia de acuerdo con el contexto de la organización y de los factores de riesgos que afectan su operación;
2. Gestión del riesgo
Si bien el concepto es muy amplio, nos referimos concretamente a la actualización de la matriz de riesgos en cuanto a riesgos, causas y controles, el cambio en las responsabilidades de administración del riesgo o de ejecución de controles, así como también las variaciones en el perfil de riesgo de la organización.
3. La ejecución de la segmentación
Si bien es una gestión propia de cada sistema, no sería oportuno pasar desapercibido que su trámite comporta otras actividades accesorias que también contribuyen a la gestión del cumplimiento normativo, a saber: actualización de información de las contrapartes, generación de señales de alerta, proyección de planes de trabajo en cuanto a monitoreo o debida diligencia atañe, entre otros.
4. El trabajo de inducción, entrenamiento y sensibilización
Este se erige como el pilar fundamental para que los trabajadores y directivos conozcan las disposiciones del sistema de compliance y, en consecuencia, puedan aplicarlas correctamente en el marco de sus funciones diarias. Además de ello, estas labores ayudan indirectamente a su divulgación.
5. La constatación de la conservación y archivo de los soportes.
Es fundamental guardar soportes que acrediten la voluntad de la organización en materia de cumplimiento, esto tiene múltiples contribuciones como pueden ser: preparación de informes posterior al cierre del ejercicio anual, evidencia la gestión del Oficial de Cumplimiento, demostración del funcionamiento del programa de cumplimiento, entre otros.
6. Monitoreo sobre el cumplimiento de lo dispuesto en el sistema.
Es indispensable que se verifique el cumplimiento de lo dispuesto en cada programa de cumplimiento ya que los resultados de estas actividades son la prueba del funcionamiento del mismo y, partiendo de ello, se pueden identificar algunas mejoras o correcciones cuya programación deba realizarse el año siguiente.
7. Informes
Sin duda, son la herramienta fundamental a través de la cual se demuestra la ejecución de actividades de cumplimiento. En estos documentos no solo es importante que haya un pronunciamiento frente a cada una de las etapas y elementos de los programas de cumplimiento sino, también, cualquier otro factor interno o externo que haya podido influir de manera positiva o negativa en el cumplimiento de sus contenidos. En otros términos: ¿cuáles circunstancias favorecieron la creación de cultura de cumplimiento y cuáles otras no?.
8. Planes de trabajo
Finalmente, también hay que mencionar que en la mayoría de los casos, siempre habrá actividades cuyo trámite generen la necesidad de elaborar un plan de trabajo posterior, por ejemplo: la obtención de los resultados de los procesos de segmentación comporta la creación de medidas para monitorear el riesgo de los segmentos categorizados como de riesgo alto o extremo; o la realización de evaluaciones en el marco de jornadas de formación que conlleva analizar los resultados y, además, generar capacitaciones especializadas o reinducciones.
Temas que aplican a los Sistemas de Protección de Datos Personales
Igualmente, el fin de año tampoco se puede interrumpir el funcionamiento de los programas de protección de datos. Independientemente de la legislación de que se trate, en aras de su continuidad, debido funcionamiento y en resumen, al cumplimiento del deber o principio de responsabilidad de demostrada, se deberían tener en cuenta:
Proyección sobre bases de datos
Incluye la modificación de las características de las bases de datos existentes en el inventario vigente de la organización, es decir: cantidad de titulares, finalidades para las cuales se usa la información o se mantiene vigente la base de datos, entro otros; así como también la generación de nuevas bases. Lo anterior, con miras a la preparación de los reportes o actualizaciones anuales que, de manera general, se hacen ante los registros públicos administrados por lo entes de control en esta materia.
Ejercicio de los derechos
Igualmente, las festividades no pueden afectar la continuidad del funcionamiento de los mecanismos por medio de los cuales los titulares pueden ejercer sus derechos; independientemente de las celebraciones, los términos para su atención y resolución siguen siendo perentorios.
Atención de incidentes
En idéntica forma debe ocurrir con los mecanismos de respuesta inmediata cuando se denuncian incidentes de seguridad de la información (en este caso relacionado con datos personales bajo responsabilidad de la organización). Incluso, esta época es bastante atractiva para los criminales, y por ello se incrementan los riesgos de seguridad de la información, suplantación y fraude, muchas conductas cuya materialización es más viable cuando se cuentan con los datos cuya exposición es aún más sensible. Es posible, que, en esta época, se deban fortalecer algunos de los controles aplicables.
Las amenazas de este tipo pueden materializarse en cualquier momento y, en desarrollo de los protocolos de atención a incidentes de seguridad, complementarios a los programas de protección de datos personales, la implementación de medidas para mitigar los riesgos de vulneración de derechos de los titulares es inexorable.
No obstante lo anterior, se reitera que lo sugerido de nuestra parte dependerá de la normatividad propia aplicable a cada empresa por su actividad y, de las políticas y procedimientos que tenga establecido cada sujeto obligado pues, el alcance de las actividades sugeridas puede variar en el entendido de que las organizaciones contemplen una cantidad mayor o menor de éstas o, un tiempo de ejecución más o menos frecuente.
Esperamos que con estas recomendaciones puedan empezar a disfrutar de las fiestas y prepararse de manera efectiva para los retos y oportunidades que trae consigo el nuevo año. Desde Global Compliance Academy and Risk Legal Advisory Division, los mejores deseos y esperamos continuar siendo sus aliados estratégicos desde Risk Consulting Global Group.
