El control es un aspecto intrínseco a la función de Compliance y precisamente es uno de los ejes primordiales sobre los que se asienta la cultura de cumplimiento. ¿De qué sirve establecer políticas y procedimientos con el fin de preservar a la organización de las consecuencias de un incumplimiento si no se implantan medidas de control? El control y la monitorización permiten al Chief Compliance Officer (CCO) hacer una evaluación, basada en hechos, del compromiso de los empleados y directivos con el entorno de cumplimiento.
Precisamente, uno de los puntos clave del modelo de compliance es la monitorización de los programas de compliance que, tradicionalmente, se viene llevando a cabo a través de supervisiones periódicas y de visitas in situ. Pero, cada vez más, los métodos sustantivos se quedan cortos para supervisar un creciente número de programas, controles, empleados y ubicaciones.
El siguiente paso que hay que dar, y que de hecho ya se está dando en diversas organizaciones, es basar los modelos de control y monitorización de posibles irregularidades en la aplicación del análisis de datos. Sin embargo, según revela una encuesta que llevó a cabo KPMG a finales de 2017 a los CCOs de las empresas más representativas del Fortune 100, el análisis de datos es uno de los elementos menos maduros de los Modelos de Compliance, aunque los Compliance Officers encuestados valoraban muy positivamente el beneficio que añade la utilización del D&A en las labores de monitorización y control, en la práctica se encuentran con numerosas dificultades de carácter organizativo y tecnológico, que ralentizan el avance de estas técnicas y, a la vez, socavan la confianza puesta en este tipo de proyectos.
A continuación enumeramos las tres claves fundamentales para abordar la aplicación de las técnicas de análisis de datos forense con el fin de mejorar la monitorización y el control de aquellos programas dirigidos a la prevención de fraude, corrupción y otro tipo de irregularidades:
Las organizaciones cuentan con una enorme cantidad de datos de todo tipo (financieros, operativos, de empleados, de clientes, de terceras partes…) que puede ser abrumador.
Para dar respuesta a esta pregunta, nuestra recomendación es revisitar el risk assessment, es decir, evaluar qué riesgos son los más relevantes dentro de la organización y centrar los esfuerzos de identificación de los datos en aquel o aquellos riesgos que sean más importantes. Por ejemplo, si el mayor riesgo de exposición a irregularidades es la corrupción en contrataciones de agentes comerciales y mediadores, recomendamos que se empiece por ahí, es decir, por identificar y recopilar los datos que se generan en dicho procedimiento de contratación.
El segundo paso sería identificar las métricas de compliance que ya existen en la organización en relación con esos riesgos relevantes, revisar si están bien diseñadas, qué datos las alimentan y si hay otros datos –internos o externos– que puedan enriquecer esas métricas.
Por último, en el caso de referirnos a organizaciones complejas donde la velocidad de implantación del uso de datos es diferente, animamos a los CCOs a que alcancen un entendimiento de la estrategia y de las directrices que se están tomando en relación con el Big Data así como de las líneas maestras e hitos que se están siguiendo en la compañía con el fin de acompasar sus necesidades a la estrategia global.
El segundo reto al que se enfrentan los CCOs es la calidad del dato. Los datos son la materia prima del análisis; si los datos no son completos, son inconsistentes o no homogéneos a lo largo de la organización, o son pobres -porque hayan sido recolectados de manera manual- los análisis y resultados extraídos de esos datos serán también incompletos, pobres e imprecisos.
En este caso, sugerimos que los CCOs se informen acerca de los análisis de calidad del dato que hayan sido hechos por otros departamentos o bien que ellos mismos lleven a cabo una cata de data quality antes de acometer la aplicación de técnicas forenses de análisis de datos.
El tercer reto es el acceso a los datos. En muchas ocasiones, los datos que necesita el CCO se asientan en funciones o departamentos ajenos al de Compliance (RRHH, TI, unidades de negocio…). En estos casos, puede suceder que los propietarios de los datos se muestren reticentes a compartirlos con la función de Compliance.
En este contexto, la coordinación con otros departamentos no es una opción, es esencial. En el caso de que en la organización no haya una función de gobierno de datos, lo que recomendamos es que el CCO adopte una ‘política de transparencia’ con el propietario del dato, en la medida que esto sea posible, sobre el uso que se va a dar a los datos y que busque beneficios que el uso de los datos por parte del CCO podría aportar al dueño del dato.
Por ejemplo, en el caso de una unidad de negocio, el CCO podría compartir con los responsables de todas las unidades de negocio cuál es el resultado del análisis efectuado de manera que la propia unidad de negocio pueda aplicar mejores prácticas, saber cómo está en relación con otras unidades o incluso prever riesgos futuros. Por supuesto, si la política de transparencia no funciona, la acción del CCO tiene que ser escalar la situación y encontrar el remedio.
Una vez superados los tres retos referidos, el CCO estará en condiciones de afrontar con mayores garantías la implantación del análisis de datos forense, sacar partido a la información digital derivada de las actividades diarias que se almacena en la organización y sentar las bases para alcanzar una visión 360º que le permita identificar en qué áreas se precisa un refuerzo en las medidas de control.
Deja un comentario