Hace poco, el Departamento de Justicia de los EEUU ha publicado un documento con el título “Evaluación de programas corporativos de compliance” Ver aquí
A pesar de aclarar que no se trata de una checklist ni de una fórmula y que muchos temas también aparecen en guías y manuales de otras organizaciones (US Sentencing Guidelines, FCPA Guide, guías de la OCDE etc.), el documente es un formidable resumen de los aspectos más sobresalientes para la evaluación de un programa de compliance. Está redactado en forma de preguntas (basado en preguntas que investigadores harán a la empresa cuando caiga en una investigación) para analizar si el programa puede (o no) servir como mitigante de multas y demás castigos. En otras palabras: si califica como “efectivo”.
La redacción en forma de preguntas, poco usual para una guía, lo convierte también en un cuestionario para la auto-evaluación del programa de compliance en cualquier empresa. Se puede usar como una suerte de “stress test” del programa de compliance e introducir modificaciones en base a los resultados.
Aunque no contenga requerimientos o mencione temas hasta ahora ausentes de la discusión, el cuestionario permite sacar conclusiones más claras en algunos temas. Veamos una selección de 6 puntos destacables:
1. Tone at the Top y Gobierno Corporativo: para empezar, el título no habla de “Tone” at the Top sino de “Conduct”, at the Top. No alcanzan las declaraciones, hay que mostrar conducta. En consecuencia, las preguntas se concentran en acciones de la Alta Dirección con el fin de desalentar actos ilegales y acciones “concretas” demostrando liderazgo y compromiso en temas de compliance así cómo influencia positiva en el comportamiento de sus subordinados. El Directorio debe involucrarse activamente en temas de Compliance y esto requiere al menos un director con expertise en temas de compliance y un proceso de monitoreo de la conducta de la Alta Dirección. Un Directorio que no cuente con estos requisitos y que no mantiene reuniones periódicas con la gente de compliance, no cumple con los requerimientos de un programa de compliance efectivo. ¿Cómo ve la Alta Dirección de su empresa estos temas?
2. El Compliance Officer: El Departamento de Justicia fortalece en el cuestionario la posición del Compliance Officer: debe compararse en status, compensación, rango y título, recursos y línea de reporte con otras funciones consideradas estratégicas de la compañía. Es una clara señal de que la función de compliance como “sub-función” de Legales o Auditoría, no es más aceptable. Compliance debe llegar al Directorio sin filtros. Es una función de nivel estratégico, que debe ocupar un lugar estratégico y que le da autonomía en la compañía con compensación y recursos correspondientes. Una línea de reporte directa a un miembro del Directorio es tan importante como las reuniones con el Directorio. Si se trata de una subsidiaria de una compañía extranjera se espera una línea de reporte a Casa Matriz. Caso contrario habrá que explicar cómo se asegura la independencia de la función. ¿Se cumplen estas condiciones en su organización?
3. El Mapeo de Riesgos: No es nuevo que la base de todo programa de compliance debe ser un mapeo de riesgos de ética & compliance. Puede interpretarse como un avance más que el Departamento de Justicia ahora pregunte también por los detalles del mapeo (metodología, tipo de información o métrica y su utilización en el programa de compliance). ¿Podrían contestar fácilmente estas preguntas para su organización?
4. Entrenamiento: Contenido y frecuencia de entrenamientos deben customizarse a las necesidades de los ejecutivos y empleados a ser entrenados, especialmente aquellos en áreas de alto riesgo. Entrenamiento con “regadera” igual para todos, no es adecuado. Además, habrá que medir su efectividad. Como es un cuestionario, no provee métricas para poder medirla. Solo midiendo la cantidad de sesiones y la asistencia no alcanza. Alineamiento de su diseño y “delivery” con los resultados del mapeo de riesgo, cantidad y calidad de denuncias e investigaciones así cómo encuestas internas y externas pueden ayudar. ¿En su empresa, se hace el entrenamiento en compliance de esta forma?
5. Incentivos: Incentivos tienen un gran impacto sobre el comportamiento de los ejecutivos. Por ende, hay que prestar mucha atención a que su diseño no tenga consecuencias negativas sobre el comportamiento de los ejecutivos. Si sus metas para ganarse el premio/bono son financieros a corto plazo y de difícil cumplimiento, dan un claro mensaje de “Hay que llegar a los números, sí o sí” que no es compatible con un efectivo programa de compliance. Una mayor cantidad de diferentes metas, mezcladas entre corto, mediano y largo plazo, que incluyen también objetivos cualitativos y de ética & compliance en cambio, envían un mensaje más en línea con el código de conducta. ¿El sistema de incentivos en su organización tendrá potencialmente efectos negativos o positivos sobre el comportamiento de los ejecutivos?
6. Terceras partes: El comportamiento de terceras partes es uno de los riesgos, si no el riesgo de compliance más grande. No asombra que el cuestionario contenga preguntas bastante detalladas respecto al análisis de la relación con los terceros, como de la necesidad de contratación, la descripción acertada de los servicios contratados, el monitoreo del cumplimiento y la proporcionalidad de los pagos frente a los servicios contratados. Se pregunta incluso si se analizó el sistema de incentivos de terceras partes y sus riesgos de compliance. Otros temas son el entrenamiento customizado del ejecutivo a cargo del relacionamiento con terceros, y una incentivación de compliance y comportamiento ético de terceros.
¿En su organización, cumplen con todos estos requisitos?
En resumen, el cuestionario no solo provee una idea más acertada de cómo el Depto de Justicia de EEUU (y en consecuencia los reguladores en muchas partes del mundo) evalúan la efectividad de un sistema de compliance, cuando una empresa lo invoca cómo mitigante en una investigación. Constituye una herramienta práctica para una rápida auto-evaluación contestando poco más de 100 preguntas concisas. Se recomienda discutir los resultados con el Directorio.
