Compliance revisión y auditorías en remoto

Autor: Juan Bosco Gimeno, Abogado y MBA. Consultor y auditor de sistemas de gestión de compliance y antisoborno. Compliance Officer. Miembre World Compliance Association.

Fuente: Compliancelegal

La complejidad de las organizaciones, el número de emplazamientos o la dispersión de lugares de trabajo, la disponibilidad de las personas, el tipo de actividad que puede condicionar el acceso por motivos de seguridad, higiene, o dificultad técnica, e incluso el coste y eficiencia del proceso de evaluación, seguimiento o auditoría, son algunas de las razones por las que no siempre es posible auditar de forma presencial un determinado proceso o área de la organización.

Ahora se suman, eso sí, dos componentes adicionales que entrañan limitación:

• Se pone en riesgo la salud de las personas.
• Existen normas que restringen la movilidad.

En compensación se pueden citar otros dos elementos con significado contrario:

• Cada vez más personas están familiarizadas con el teletrabajo. Lo que implica el uso habitual de herramientas (TIC) de comunicación.
• Las organizaciones se encuentran mejor preparadas para compartir, transmitir o facilitar información y documentación y otro tipo de evidencias, a través de medios tecnológicos con garantías de seguridad y confidencialidad.

Si es verdad que las actividades en remoto en los procesos de supervisión y auditoría de sistemas de compliance y antisoborno no son nuevas, y venían utilizándose parcial y ocasionalmente, lo cierto es que en los últimos meses está siendo casi la única manera en la que los oficiales de cumplimiento y auditores podemos hacer un seguimiento de la eficacia de las medidas que son preceptivas, por disposición legal y por requisitos de las normas internacionales.

EL REMOTO ESTÁ SIENDO CASI LA ÚNICA ALTERNATIVA PARA QUE OFICIALES DE CUMPLIMIENTO Y AUDITORES PUEDAN HACER EL SEGUIMIENTO DEL COMPLIANCE.

No pretendo hacer teoría de cómo llevar a cabo el trabajo en remoto, pero sí destacar algunos puntos en los que creo que es necesario poner la atención, basándome en la experiencia de un buen número de revisiones como oficial de cumplimiento, auditorías internas y auditorías de certificación con ISO 37001 y UNE 19601 llevadas a cabo en los últimos meses.

• El trabajo hecho totalmente en remoto no llegará, por muy bien que se haga, a equipararse al trabajo sobre el terreno.

La observación de la actividad y el contacto directo entre las personas son parte importantísima de la tarea. Y aunque existen medios y recursos -como la observación a través de cámaras, o las videoconferencias- que pueden presentarse como alternativas nunca sustituirán a la percepción y relaciones personales.

• Se requiere la adaptación de los sistemas documentales y de registro de los controles para que estén disponibles fácilmente para las tareas de revisión y para la identificación de evidencias en la auditoría.

Hay empresas que cuentan son sistemas muy avanzados en términos de integración y gestión de la información, otras tendrán que hacer un esfuerzo importante para conseguir que pueda accederse a su consulta y auditarse con solidez e integridad.

Hay organizaciones que necesitarán dotarse de un espacio en el que la información esté disponible, o desde el que pueda comunicarse y prever la necesidad de escanear documentos o encontrar vías alternativas de mostrarlos o facilitarlos.

• Hay que otorgar los privilegios necesarios de acceso y consulta a quienes vayan a hacerse cargo de la revisión o auditoría, interna o externa, para consultar el comportamiento del modelo de compliance y antisoborno, garantizando que no se pone en riesgo las condiciones de seguridad y confidencialidad de la información.

Esto no significa necesariamente “barra libre” para el compliance officer, auditor interno o de certificación, pero sí organizar el acompañamiento del plan de auditoría de manera que pueda estar presente o disponible -aún en remoto- quien disponiendo de las claves de acceso pueda aportar la información.

• Se tiene que programar e informar de las ausencias y presencias virtuales, y coordinar el remoto del remoto.

Las organizaciones tienen o pueden tener parte de sus directivos, plantilla o departamentos trabajando en remoto, deslocalizados de su logar habitual y con dificultad para poder consultar u obtener información histórica que se quiera incluir en la revisión. Estas circunstancias deben de preverse para evitar que tal información o documentación tenga que calificarse como inexistente.

EL AUDITOR NO SOLO TIENE QUE HACER SU PAPEL SINO QUE, INTERVINIENDO EN REMOTO, TAMBIÉN TIENE QUE SABER INTERPRETARLO.

• Desarrollar capacidades y habilidades en las personas, por parte de los auditores internos o externos y de las personas que van a llevar a cabo la supervisión, como por parte de las personas de la organización que van a participar en el proceso.

Por ejemplo en el manejo de programas de comunicación. Me he encontrado con la necesidad de manejar Webex, Zoom, Teams, Skype, Hangouts, GoToMeeting y algún programa más, según sea la empresa auditada, y aunque todos los programas trabajan con un modus operandi parecido los menús, condiciones de acceso, maneras y posibilidades de compartir información varían. Varía también la habilidad de manejo en las personas de la organización auditada, que también deben de formarse.

También en destrezas para la comunicación en remoto donde aspectos tan relevantes como la empatía, la facilidad de comunicación, la percepción de las relaciones, la capacidad de negociación, la cordialidad, amabilidad y respeto, se encuentran en un marco completamente diferente, se pierde la expresividad y las ventajas de la comunicación no verbal, la posibilidad de percibir o superar el estrés del auditado, la escucha activa… he hecho alguna auditoría donde personas que ya conocía, sin serlo, parecían distintas en su humor, en su carácter o en su disposición. En este sentido el auditor no solo tiene que hacer su papel sino que, interviniendo en remoto, tiene también que saber interpretarlo.

• Darle tiempo al tiempo.

La mejor manera de hacer inútil e ineficaz una revisión o una auditoría es hacerla de forma precipitada. Por ese motivo la planificación es fundamental, se necesita adquirir y procesar de forma correcta la información, lo cual se hace mucho más difícil cuando se hace en remoto. Los tiempos son más manejables en las revisiones y auditorías internas, en las que quienes participan conocen bien los entresijos de la organización y la programación puede hacerse más flexible, pero son críticos en las auditorías de tercera parte o de certificación en los que la dedicación está tasada conforme a unos parámetros preestablecidos, a mi juicio, sin haber tenido en cuenta algunas de las realidades y dificultades del remoto como las comentadas.

No cabe duda que tenemos que estar preparados para afrontar entornos de trabajo en un cambio permanente, la extensión universal de la pandemia derivada del covid19 nos ha planteado un importante reto de adaptación en todos los niveles, y si es verdad que el conocimiento se puede adquirir muy rápido, la experiencia te la da el tiempo. Son los oficiales de cumplimiento y los auditores quienes estamos siendo forjados en esa experiencia y quienes debemos transmitirla a las organizaciones para que revisiones y auditorías puedan cumplir correctamente su función de garantizar la eficacia de los planes de compliance y la mejora de sus procesos.