La matriz RACI en el compliance

Una herramienta de gestión de proyectos muy útil para que el Chief Compliance Officer pueda definir los roles, responsabilidades y autoridades en el compliance.

Por Vianella Agudo

¿Has implantado un modelo de prevención de delitos, pero no sabes cómo asignarle responsabilidades? ¿Tienes la sensación de que el compliance es una responsabilidad exclusiva del Chief Compliance Officer? Si un proceso, una actividad y una tarea no tienen nombre y apellido se queda en humo. En este artículo te explicaré como confeccionar una matriz RACI adaptada a los roles, responsabilidades y autoridades en el compliance.

«Debemos tener los nombres de todos los oficiales, generales y subalternos; inscribámoslos en un catálogo aparte, con anotaciones referentes al talento y las capacidades de cada uno, para poder aprovechar sus cualidades cuando se presente la ocasión. Procedamos de manera que todos aquellos a quienes tengamos que mandar estén convencidos de que nuestra preocupación principal es preservarlos de cualquier daño. El auténtico manager obtendrá la confianza de sus subordinados si les transmite la idea de que los protege y los utiliza en aquello en lo que son mejores, y que los protegerá y cubrirá en cualquier circunstancia»

El arte de la guerra. Sun Tzu.

Matriz RACI

La matriz RACI es una matriz de asignación de responsabilidades. RACI viene por las iniciales de los tipos de responsabilidad,

  • R: Responsable de ejecutar la tarea.
  • A: Aprueba, decide y rinde cuentas de la tarea.
  • C: Es la persona consultada necesaria para decidir.
  • I: Es la persona informada que necesita saber la decisión.

Se utiliza generalmente en la gestión de proyectos para relacionar actividades con recursos individuales o equipos de trabajo. De esta manera nos aseguramos razonablemente de que cada uno de los componentes del alcance esté asignado a una persona o a un equipo. También existe la matriz RASCI que es una variación de la RACI, con la diferencia de un nuevo rol: el de apoyo (S).

¿Cómo se puede ayudar una matriz RACI en la asignación de roles, responsabilidades y autoridades en el compliance?

Desde la reforma del Código Penal, las personas jurídicas, por la Ley Orgánica 5/2010, de 22 de junio, también están sujetas a responsabilidad penal, por una doble vía. Según el artículo 31 bis del CP una persona jurídica será penalmente responsable:

  • En caso de delitos cometidos en su nombre o por su cuenta, y en beneficio directo o indirecto, por sus representantes legales y administradores, de hecho, o de derecho.
  • Por los delitos cometidos por trabajadores, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de la empresa, cuando no se haya ejercido sobre ellos el debido control.

La nueva responsabilidad penal de las personas jurídicas ha añadido un elemento adicional a los riesgos y contingencias que las empresas deben prever y que incide de lleno en el ámbito del derecho penal económico, ya que con la nueva ley se deben reforzar y establecer políticas de control interno, o corporate compliance, para evitar que los administradores puedan llevar a cabo actos considerados como delictivos ante su poder de administración. https://www.diariojuridico.com/te-descubrimos-9-datos-cuenta-ante-la-responsabilidad-penal-las-personas-juridicas/

Desde siempre como auditora tuve especial cuidado en la responsabilidad que implicaba un fraude cometido por un trabajador y cómo se transfería como un hongo a la alta dirección y al consejo de administración. Pero con la reforma del Código penal, lo que más me llamaría la atención sería, por un lado, la responsabilidad penal a la persona jurídica y por otro por el beneficio que ésta hubiese podido obtener.

Por lo tanto, los roles, responsabilidades y autoridades deben estar «muy bien» diseñados desde el principio, tanto a nivel de los sistemas informáticos (ITCG) como en los procesos manuales.

En los casos en que la alta dirección delegue la toma de decisiones en ámbitos en los que exista riesgo potencial, el Chief Compliance Officer debe establecer y aplicar un procedimiento y un sistema de controles internos de asignación de roles, responsabilidades y autoridades que garanticen que el proceso de ejecución, aprobación, consulta e información sean adecuados y estén libres de conflictos de interés reales o potenciales.

¿Qué significa «muy bien» diseñado?

  • Lo primero que se debe ordenar son los procesos empresariales en estratégicos, operativos y de soporte.
  • Lo segundo, asignar a dichos procesos las áreas que lo componen, tales como: Dirección general, Dirección de Planificación y provisiones, Dirección de Marketing y Comunicación, Finanzas, etc. Para ello la empresa debe contar con un organigrama actualizado.
  • Lo tercero que se debe ordenar son la tareas. Por ejemplo, en el compliance, lo que suelen confeccionar las empresas antes de la implantación es el Código ético, pues este control directivo o soft control, debe estar desgajado en mini tareas que permita asignar a cada recurso su propia función.
  • Lo último, asignar roles, responsabilidades y autoridades en función a la matriz RACI.

Ejemplo

EstratégicoOperativoSoporte
Proceso 1Proceso 2Proceso n
Tarea en orden cronológicoÁrea 1Área 2Área n
Misión, visión valoresRAC
Relación con partes interesadasIRA
Regalos y cortesíasCIR
    

Las empresas que cuentan con mapa de procesos actualizados se les hace fácil hacer esta matriz. Aquellas que no, deben establecer sesiones de entrevistas que permitan al Chief Compliance Officer entender los procesos y asignar roles, responsabilidades y autoridades.

Finalmente, la alta dirección debe asegurarse que la responsabilidad y autoridad en las funciones relevantes se asignen y comunican en todos los niveles de la empresa.

Los jefes de área deben asegurase de que los empleados adscritos a sus departamentos, funciones o proyectos cumplan, observen y hagan cumplir y observar los requisitos del sistema de gestión de compliance penal en relación con sus roles y responsabilidades.

Los empleados son responsables de comprender, observar y aplicar dichos requisitos en lo concerniente a su rol en la organización.