Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.
Este artículo es parte de nuestra guía: Cumplimiento regulatorio incluye gobernanza, pero también manejo de riesgos

Principios de gestión de riesgos deben guiar el desarrollo del sistema de gestión de cumplimiento

Las agencias reguladoras ofrecen una amplia guía para el desarrollo del sistema de gestión del cumplimiento, pero las empresas pueden ser mejor atendidas al referirse a principios de gestión de riesgos ampliamente aceptados.

Un sistema efectivo de gestión de cumplimiento permite a las organizaciones identificar dónde los riesgos legales y regulatorios son mayores. Este conocimiento ayuda a la institución a dirigir sus recursos de cumplimiento limitados a donde tendrán el mayor impacto y ayuda a tomar decisiones informadas con respecto a qué actividades de negocios deberían expandirse, contraerse o cancelarse.

La Oficina de Protección Financiera del Consumidor (CFPB) ha generado una conciencia aguda del término sistema de gestión del cumplimiento (CMS) desde que comenzó a emitir sus órdenes de consentimiento altamente publicitadas en 2011. En estas órdenes, la CFPB siempre ha citado "debilidades importantes" en el CMS del sujeto, junto con violaciones de leyes financieras federales específicas del consumidor. La citación omnipresente del CFPB sobre deficiencias relacionadas con CMS contra entidades dedicadas a préstamos de tarjetas de crédito, préstamos hipotecarios, auto préstamos, préstamos de día de pago, servicios de cambio de cheques, procesamiento de pagos, cobranzas y otras actividades financieras plantea la cuestión de si un negocio es capaz de cumplir con las expectativas de CFPB.

La guía principal del CFPB con respecto a las expectativas de CMS se encuentra en su "Manual de supervisión y examen" emitido en octubre de 2012. La discusión del manual de CMS está influenciada por una guía anterior emitida por agencias bancarias federales y, en muchos casos, es casi idéntica.

Las expectativas de supervisión para CMS son consistentes entre las diferentes agencias y se basan en los principios aceptados a nivel mundial para la gestión segura de riesgos (RM). El "Manual del Contralor para el Sistema de Gestión del Cumplimiento", que fue publicado por la Oficina del Contralor de la Moneda en 1996, se refiere a un CMS como "el método por el cual el banco administra todo el proceso de cumplimiento del consumidor". La guía emitida por la Corporación de Seguros del Depósito Federal (FDIC) en 2006, a su vez, habló de "un sólido sistema de gestión del cumplimiento integrado en la estrategia general de gestión de riesgos de la institución". Ambas descripciones abarcan más que solo la función comercial de negocios, que es lo primero que viene a la mente cuando la mayoría de las personas escucha el término sistema de administración de cumplimiento. La función de cumplimiento es, sin duda, un componente de un CMS, que se describe mejor como una estructura de gestión de riesgos global para garantizar el cumplimiento en toda la empresa de los requisitos legales y reglamentarios.

La intersección del cumplimiento y el riesgo

El "Manual de la Contraloría para la Gobernanza Corporativa y de Riesgos" discute las expectativas de supervisión para el sistema de gestión de riesgos de toda la empresa en una institución financiera, e incluye la siguiente ilustración:

Es un principio universal de la buena gestión del riesgo que la junta directiva, o su equivalente en entidades más pequeñas, establezca el "tono desde la cima". Con este fin, el manual de CFPB enfatiza la necesidad de que la junta y la alta gerencia establezcan "expectativas claras sobre el cumplimiento, no solo dentro de la entidad, sino también a los proveedores de servicios".

El manual de CFPB establece que un CMS efectivo debe incluir:

  • Supervisión de la junta y de la gerencia;
  • Programa de cumplimiento;
  • Respuesta a las quejas de los consumidores; y
  • Capacidades de auditoría de cumplimiento.

Las agencias bancarias federales emitieron guías semejantes que se refieren al "apetito por el riesgo" de una institución y su "marco de apetito de riesgo". El apetito de riesgo se refiere a la tolerancia de una institución por los costos financieros que resultan de las fallas en cumplir con los requisitos regulatorios o de negocios. Estos conceptos también se abordan en una guía emitida por el Comité de Supervisión Bancaria de Basilea, que tiene una fuerte influencia en los reguladores financieros mundiales. En particular, la guía de Basilea recomienda adoptar una declaración formal de apetito de riesgo que tenga en cuenta los impactos de las fallas potenciales en cuanto a ganancias, capital, liquidez y otros componentes financieros.

El manual de CFPB y la guía similar de las agencias hacen referencia a un sistema de gestión de riesgos de "tres líneas de defensa". Bajo esta estructura, la responsabilidad del cumplimiento diario de las políticas y procedimientos operativos de la institución recae en las unidades de negocios de primera línea de la organización; es decir, la primera línea de defensa. La segunda línea de funciones de defensa, que incluye la función de cumplimiento, es responsable de monitorear y probar para validar la efectividad que la primera línea de controles administrados por la defensa tiene para mitigar los riesgos aplicables. Finalmente, la tercera línea de defensa, que normalmente se llena mediante auditoría interna, pero puede ser realizada por una firma de auditoría externa, realiza pruebas para validar la efectividad de la primera y segunda líneas de defensa para mantener el cumplimiento.

En toda la orientación relevante de las agencias, independientemente de la agencia en particular, se espera que la función de cumplimiento sea independiente de la primera línea de defensa. Normalmente, esta independencia se logra estableciendo una unidad de cumplimiento separada, pero el manual de CFPB reconoce que "el cumplimiento probablemente será administrado de manera diferente por grandes organizaciones bancarias con complejos perfiles de cumplimiento y una amplia gama de productos de consumo, productos financieros y servicios en un extremo del espectro, que por entidades que pueden ser propiedad de un solo individuo". Con respecto a las entidades más pequeñas, el manual señala que "un oficial de cumplimiento a tiempo completo puede no ser necesario" y sugiere que la independencia puede lograrse mediante la segregación de funciones. Del mismo modo, la guía emitida por la FDIC establece que:

La formalidad del programa de cumplimiento no es tan importante como su efectividad. Esto es especialmente cierto para las instituciones pequeñas donde el programa puede no estar por escrito, pero se ha establecido un sistema de monitoreo efectivo que garantiza el cumplimiento general.

Todas las guías relevantes de agencias también están de acuerdo con las expectativas específicas para la función de cumplimiento. El manual de CFPB establece una expectativa general, que se refleja estrechamente en otras guías, de que cada parte supervisada, con la excepción de las partes muy pequeñas, "establecerá un programa formal y por escrito de cumplimiento... [que] debería ser administrado por un jefe de cumplimiento".

Además, el manual de CFPB enfatiza la importancia de gestionar las quejas de los consumidores, que se describen como un componente esencial de un sistema de gestión de cumplimiento efectivo. Este fuerte énfasis en la gestión de quejas refleja la misión específica del CFPB para proteger a los consumidores de los daños financieros.

Los beneficios de incorporar principios de gestión de riesgos

Volviendo a la cuestión del umbral de si alguna parte supervisada es capaz de cumplir con las expectativas del CFPB para CMS, la respuesta breve es sí. En su "Supervisory Highlights" de 2013, que incluyó una sección dedicada a las expectativas de CMS, el CFPB señaló que "la mayoría de los bancos examinados por el CFPB generalmente tenían una estructura de sistema de gestión de cumplimiento adecuada; sin embargo, varias instituciones carecían de uno o más de los componentes de un CMS efectivo". En el caso de las no bancarias, sin embargo, la misma discusión notó que algunas entidades no tenían estructura de CMS, mientras que otras intentaron incorporar el cumplimiento dentro de la línea de negocios, lo que el CFPB notó puede ocasionar problemas. En resumen, para cualquier entidad que esté sujeta a la supervisión de CFPB, independientemente del tamaño, el conocimiento de los principios de gestión de riesgos generalmente aceptados puede ser invaluable para evitar y, si es necesario, remediar con éxito las deficiencias relacionadas con CMS.

Por último, la razón por la cual las deficiencias relacionadas con CMS aparecen en casi todas las órdenes de consentimiento de CFPB, incluidas las impuestas a los bancos, se explican al revisar la siguiente declaración del manual de CFPB: "Un programa de cumplimiento bien planificado, implementado y mantenido evitará o reducirá las infracciones normativas, protegerá a los consumidores contra el incumplimiento y los daños asociados, y ayudará a alinear las estrategias de negocios con los resultados". Lógicamente, si las leyes y regulaciones fueron violadas lo suficiente como para causar un daño financiero sustancial a un número significativo de consumidores, el CMS de la parte supervisada debe haber fallado en algún aspecto.

Si los examinadores del CFPB detectan deficiencias en el sistema de gestión del cumplimiento de una parte supervisada, se le pedirá a esa parte que explique por qué:

  1. Las deficiencias aisladas en su CMS no contribuyeron a las violaciones de la ley (es decir, las deficiencias relacionadas con CMS normalmente solo se citan si ocurrieron violaciones de la ley); y
  2. Su CMS general debe considerarse adecuadamente estructurado y bien administrado.

Según las órdenes de consentimiento de CFPB emitidas hasta la fecha, las posibilidades de que se acepte la primera explicación son excesivamente escasas. Sin embargo, la segunda explicación debería ser exitosa si el CMS de la parte supervisada refleja los principios de gestión de riesgos aceptados.

Sobre el autor. Mark T. Dabertin es asesor especial en el Grupo de Práctica de Servicios Financieros de Pepper Hamilton LLP. Tiene más de 25 años de amplia experiencia en leyes de servicios financieros y cumplimiento regulatorio y del consumidor.

Este artículo se actualizó por última vez en abril 2018

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close