El análisis de causa raíz se realiza para las infracciones reglamentarias identificadas y notificadas por la función de cumplimiento o el equipo de auditoría interna. Las infracciones reglamentarias también pueden ser identificadas e informadas por el regulador.
Cuando se identifican infracciones regulatorias significativas, el oficial de cumplimiento y la gerencia deben tomar las medidas apropiadas para identificar la causa raíz de las infracciones. Para realizar el análisis de causa raíz, el equipo de cumplimiento y la administración deben comprender el requisito reglamentario relevante que se incumple y luego identificar las posibles razones de los incumplimientos de los requisitos.
Análisis de causa raíz e infracciones
Las posibles causas de las infracciones pueden ser la falta de comprensión de los requisitos reglamentarios, la falta de capacitación de los empleados, el incumplimiento intencional o debido a un error. Es responsabilidad del equipo de cumplimiento identificar la verdadera causa raíz del incumplimiento normativo y las infracciones. El equipo de cumplimiento investiga para identificar la verdadera causa raíz. Dicha investigación incluye entrevistas con los involucrados donde su conocimiento de los requisitos reglamentarios, intenciones y experiencias pasadas se prueban y verifican para relacionarse con la causa raíz real de las infracciones.
También comprueba si las infracciones identificadas se repiten durante el período o en los casos puntuales. En caso de que las infracciones se encuentren repetitivas, debe haber una falta de diseño o aplicación de controles internos. Supongamos que los controles de cumplimiento normativo se encuentran débiles u obsoletos. En ese caso, la gerencia debe tomar acciones inmediatas para diseñar o desarrollar los controles de cumplimiento requeridos, para evitar la repetición de la violación en el futuro.
Las infracciones de cumplimiento también pueden deberse a la no aplicación de los controles de cumplimiento. En tales situaciones, se verifica la razón de la no aplicación de los controles internos. Se toman medidas disciplinarias contra aquellos que se encuentran involucrados en incumplimientos intencionales. En los casos en que las infracciones se informan debido a la falta de capacitación, el oficial de cumplimiento debe asegurarse de que los programas de capacitación en cumplimiento estén diseñados para abordar las áreas donde se informan infracciones significativas.
Por ejemplo, supongamos que las violaciones son en pérdida de datos o AML / CFT. En ese caso, los programas de capacitación deben desarrollarse para garantizar que los requisitos reglamentarios relacionados con la protección de datos o ALD / CFT estén cubiertos en los programas de capacitación y se proporcionen a los empleados.
En última instancia, la administración y la junta son responsables del cumplimiento normativo y corporativo. Por lo tanto, deben saber que sin una sólida cultura de cumplimiento corporativo, un programa de cumplimiento, una función de cumplimiento independiente, informes de cumplimiento regulares, monitoreo y supervisión por parte del comité de cumplimiento de la gerencia y el comité de cumplimiento de la junta, la organización está expuesta a riesgos de cumplimiento significativos. Los riesgos de cumplimiento se mitigan a través de una sólida cultura de cumplimiento y la implementación del programa de cumplimiento, la administración y la supervisión de la junta.
Reflexiones finales
La técnica de análisis de causa raíz se utiliza para identificar las causas clave subyacentes de los hallazgos de la revisión. Comprender las causas permite a las empresas de auditoría tomar medidas para evitar que los resultados negativos se repitan y promover que se repitan los resultados positivos.
