El término «controles internos» es uno cargado: se transforma de varias maneras según el contexto. A veces es una abreviatura de controles contables financieros; otras veces abarca los controles de cumplimiento de una empresa (es decir, políticas y procedimientos).
La OFAC adoptó el término para equiparar las políticas y los procedimientos de una compañía para el cumplimiento de sanciones. La OFAC reconoció que las funciones de cumplimiento de la OFAC tienen que comenzar con el negocio, y que a partir de este punto, el cumplimiento de las sanciones depende de reglas claras para identificar, elevar y resolver las posibles señales de alerta.
Esto puede no parecer un gran problema para los programas de ética y cumplimiento, dado el gran número de riesgos que enfrentan las empresas, pero en el contexto de las sanciones es importante porque las empresas tienden a relegar el cumplimiento de las sanciones a una prioridad más baja que la requerida. El agresivo registro de cumplimiento de la OFAC y su marco de cumplimiento deberían cambiar este panorama.
Bajo requisitos generales, el elemento de controles internos de la OFAC, enumera lo siguiente:
- Un SCP efectivo debe incluir controles internos, incluidas políticas y procedimientos, con el fin de identificar, interceptar, escalar, informar (según corresponda) y documentar la actividad de cumplimiento de SCP.
- El propósito de los controles internos es definir los procedimientos y procesos relacionados con el cumplimiento de la OFAC (incluidos los informes y las cadenas de escalamiento), y minimizar los riesgos identificados por las evaluaciones de riesgo de la organización.
- Las políticas y procedimientos deben reflejar las operaciones y procedimientos diarios de la organización, y deben aplicarse;
- Las auditorías internas y / o externas y las evaluaciones del programa deben realizarse de forma periódica.
- Una vez más, los requisitos generales de la OFAC probablemente estén cubiertos por los programas de cumplimiento existentes, especialmente en el área de cumplimiento comercial.
Sin embargo, en el nivel más específico, hay dos elementos interesantes que requerirán la revisión de un SCP.
- En la medida en que las soluciones de tecnología de la información inciden en los controles internos de la organización, la organización ha seleccionado y calibrado las soluciones de manera adecuada para abordar el perfil de riesgo y las necesidades de cumplimiento de la organización, y la organización prueba las soluciones de forma rutinaria para garantizar su efectividad .
- La organización se asegura de que sus políticas y procedimientos de mantenimiento de registros relacionados con la OFAC documenten adecuadamente su SCP.
El nuevo enfoque en la solución tecnológica de una organización refleja la falta de voluntad de la OFAC de ignorar cualquier posible error de detección como mitigación de la violación de una sanción. Esto refleja la importante acción de cumplimiento de la OFAC en el caso de Cobham, en el cual la compañía fue encontrada responsable a pesar de un claro error de selección.
Bajo este nuevo e importante requisito, una empresa debe documentar por qué seleccionó una tecnología de la información; cómo calibró el sistema para ajustarlo a su perfil de riesgo; y si probó la precisión de la tecnología (al menos anualmente). Este es un requisito de cumplimiento nuevo e importante.
ALD/volkovlaw.
