Algunos textos sobre Compliance apuntan la conveniencia de soportar dicha función con sistemas informáticos que faciliten su labor. Otros, sin embargo, guardan silencio sobre este extremo ¿Hasta que punto son necesarios? Veamos algunas consideraciones al respecto.
Casi siempre ayuda disponer de apoyo informático, en la medida que no condicione la estrategia y actividades de Compliance. Podríamos decir que la función de Compliance debe ser libre de determinar qué música necesita su organización, y el sistema informático será la instrumentación que la hará sonar. Cuando existe armonía entre ambos elementos, se facilitan las tareas de Compliance y se progresa en la consecución de sus objetivos. Sin embargo, cuando no es el caso, puede darse una peligrosa inversión de los términos, donde los instrumentos condicionan la partitura y supeditan el enfoque de Compliance. En estos casos, se puede estar más pendiente de comprender los aplicativos y nutrirlos de información, que de verificar que la “música” que producen es realmente la que necesita la organización.
Los textos modernos de Compliance, como los estándares ISO 19600, ISO 37001 o UNE 19601 no regulan minuciosamente la metodología de evaluación de riesgos, los objetivos específicos de Compliance o los controles concretos a establecer, conociendo las diferentes necesidades que pueden darse de una organización a otra. Evitan precisar el software de Compliance a tales efectos, conscientes de que el “one fit all” transgrede su filosofía, donde lo importante es ceñirse a las circunstancias de cada organización e incardinarse en sus procesos de negocio. Buscar soporte informático sin considerar esas necesidades equivale a adquirir instrumentos musicales sin antes valorar su conveniencia en la obra que deseamos interpretar. Aunque existen soluciones informáticas flexibles de gran calidad, no infravaloremos conocer siempre la música que necesita nuestra organización.
Los procesos de Compliance deben integrarse en los de negocio de la organización, de forma que no puedan ejecutarse los unos sin los otros. Esto garantiza que no pueda concluir una transacción si no se cumplen antes los requisitos de Compliance asociados con ella. En términos de sistemas informáticos, esto precisa soluciones más allá de un repositorio documental o un gestor de eventos: aplicativos capaces de moldear la arquitectura de los flujos de información y orden de aprobaciones, comunicaciones, etc. Se requiere, en definitiva, soluciones capaces para operarde manera integrada con el ERP de la organización, y no solo aptas para actuar en paralelo con él.
En esta materia existe, además, un factor nada despreciable de eficacia: el “look and feel”. Considerando el gran número de usuarios de Compliance dentro y fuera de la organización, manejar sus requisitos informatizadamente no debería suponer una tortura, siendo siempre acordes al entorno que conocen. Aplicativos técnicamente completos pero ajenos a la interface que usa la organización y sus personas pueden fracasar, como lo hace cualquier producto incapaz de ceñirse a las expectativas de sus clientes.
Todo ello nos hace pensar que la selección de soluciones informáticas no es en absoluto intrascendente, y que requiere reflexionar sobre las necesidades de cada organización en materia de Compliance antes de decantarse por una opción u otra.
En el Documento número 12 (“Indicadores de Compliance”) de la Serie Compliance avanzado explico la importancia y diferente tipología de indicadores de Compliance. Una vez más, son elementos muy propios de cada organización, difíciles de fijar de manera universal, que precisan soluciones informáticas capaces de ceñirse a ellos, sin abocar a la organización a entonar unos acordes generales no alineados con la música verdaderamente querida.
Socio responsable de Cumplimento Legal. Especialista en modelos de cumplimiento y prevención penal, Alain es socio de KPMG Abogados desde 2000.
