Hace pocas semanas, el Chief Compliance Officer de Banamex EEUU que pertenece al Citigroup, tuvo que pagar una multa y no puede trabajar más en instituciones financieras. La razón: el Departamento de Justicia de los EEUU lo responsabilizó personalmente por no mantener un programa de compliance de prevención de lavado de dinero efectivo en Banamex.
En este mes de Mayo terminó la primera demanda judicial de la historia contra un Compliance Officer con un acuerdo con el Chief Compliance Officer de MoneyGram. El acusado tuvo que pagar una multa y a partir de ahí, no puede trabajar en el área de compliance en el sector. El motivo, no había logrado parar actividades de lavado de dinero en la organización.
Otro Compliance Officer tuvo que sufrir las consecuencias por no reportar un asunto de compliance importante a su directorio y por no haber implementado políticas y procedimientos para prevenir situaciones de conflictos de interés. Este y otros casos se encuentran acá:
Los reclamos de la SEC a Compliance Officers por responsabilidad personal en los últimos años han crecido pero siguen siendo pocos y normalmente se pueden contar con los dedos de las manos. Además se limitan, al menos por ahora, al sector financiero. Las causas más frecuentes son: participación activa en hechos ilegales, obstaculización de investigaciones de la SEC, fallas en reportar hechos internamente, y en la implementación de políticas y procedimientos y su adecuada supervisión. Ver link aquí
La responsabilidad personal del Compliance Officer viene junto con la responsabilidad personal de otros ejecutivos de la organización. Mientras se lo responsabiliza por su participación en un hecho delictivo o en la obstaculización de una investigación no puede haber objeción ni discusión. Pero su responsabilidad no termina ahí. Reguladores empiezan a investigar y penalizar a Compliance Officers en casos de negligencia en actividades de su responsabilidad, como p.ej. la de no implementar un Programa de Compliance efectivo e implementación de sus políticas. Cuando los reguladores empiezan a evaluar los Programas de Compliance para decidir sobre la responsabilidad personal del Compliance Officer, deben comenzar a preocuparse por su alta exposición y a riesgos personales y de hecho, lo empiezan a hacer.
Responsabilizar a un Compliance Officer por fallas del Programa de Compliance puede llevar a una responsabilidad con límites vagamente definidos y a situaciones poco controlables por él. Su real capacidad de prevención, monitoreo y control de todos los aspectos del Programa de Compliance (como p.ej. los aspectos de RRHH o de seguridad de datos) están limitados y dependen de la cooperación de otras áreas. Pertenece a la típica “segunda línea de defensa” según el modelo de las tres líneas de defensa del “Committee of Sponsoring Organization”, (COSO), atrás del Management operativo. Responsabilizando al Compliance Officer por hechos ilícitos lo “promocionaría” a la primera línea de defensa.
Cabe mencionar en este sentido la exigencia impuesta recientemente por el Departamento de Servicios Financieros de la Ciudad de Nueva York (NYDFS) que entrará en vigencia en Abril de 2018. Exige una certificación anual firmada por el Directorio o p.ej. el Compliance Officer confirmando que se han dado todos los pasos necesarios para cumplir con la regulación y que los sistemas operan de acuerdo con los requerimientos (Paragraph 504.4: annual Certification). Esta regulación, parecida a la de Sarbanes Oxley, rige solo para instituciones financieras y en el Estado de Nueva York, pero puede evolucionar en su aplicación a otras industrias y otras regiones. No solo porque los reguladores estadounidenses suelen marcar tendencia sino porque está en línea con el creciente foco en la responsabilidad individual de las personas. Esta tendencia se manifiesta en el famoso Yates Memo (Ver nuestro comentario en el NL N° 121, para más detalles y sus consecuencias no todas positivas aquí
La responsabilidad personal de Compliance Officers de instituciones financieras ya es un hecho y en camino de extenderse más allá de los casos de complicidad, a casos de fallas de diseño, de implementación y de supervisión de Programas de Compliance. A partir de ahí hay solo un paso para la responsabilidad personal de Compliance Officers en los sectores no financieros. Probablemente nos falte un solo caso concreto para tomar como ejemplo.
En este ambiente de creciente riesgo, los Compliance Officers deben hacerse algunas preguntas acerca de su situación y la de su organización con mayor atención que hasta el momento. La pregunta fundamental parece ser, si la organización y especialmente su Alta Dirección, están realmente comprometidas con el programa de Compliance o si lo ven solo como una desafortunada necesidad y un costo a minimizar. Entre las preguntas a hacerse también están, si se sienten capacitadas para su función específica, si disponen de los recursos adecuados para cumplirla y si los controles y sistemas funcionan.
Como una eventual responsabilización por su característica jurídica, se referirá en primera línea a temas regulatorios, vale procurar que toda información regulatoria esté permanentemente actualizada y reflejada en las políticas y procesos; y que estas actividades estén bien documentadas. En este contexto adquieren especial importancia dos temas:
- Que los Compliance Officers entiendan claramente lo que los reguladores esperan de ellos y de su supervisión de políticas y procesos, y hacia donde apuntan las tendencias. El foco global en cultura, ética y conducta para el diseño y la implementación de Programas de Compliance por ejemplo, es de suma importancia para la efectividad de su trabajo pero también les agrega riesgos: la adecuación de los Programas de Compliance a este foco es un proceso largo en el cual las organizaciones y regiones se encuentran en diferentes etapas de madurez que los reguladores no necesariamente tienen en cuenta.
- Que tengan una “job description” con sus objetivos, actividades y responsabilidades bien definidas y detalladas, describiendo claramente sus límites; caso difícil de encontrar (ver el comentario en el NL N° 156 acá )