En muchos países ya existen leyes que penalizan a las empresas (aparte de individuos) en casos de corrupción. La madre de todas estas leyes es la Foreign Corrupt Practices Act (FCPA) de los EEUU (1977). Muchos países siguieron este ejemplo. La ley más notoria en este sentido entre muchas otras que aparecieron en los últimos 10 años es la UK Bribery Act en Gran Bretaña (2011). En América Latina, se dictaron leyes parecidas en Chile (2009), en Colombia (2013), en Brasil (2014) y en el Perú (2016). Varias de estas leyes sólo se aplican a actos de corrupción que involucran a las actuaciones de funcionarios públicos en el extranjero (un ejemplo en este sentido es Perú). Otras, como la Ley Anticorrupción de Brasil, incluye la corrupción local. En general, estas leyes prevén la responsabilidad objetiva de la empresa, es decir su responsabilidad por los actos cometidos en su interés, independientemente de si quien actuó lo hizo de mala fe o con negligencia: para ser pasible de multas y otros castigos, simplemente alcanza la existencia del acto corrupto que causa el resultado.
Ahora Argentina se suma a este grupo de países. La nueva Ley de Responsabilidad Penal de las Personas Jurídicas, sigue en gran parte de sus efectos sobre las empresas las líneas de la ley brasilera: Aplicabilidad local e internacional, estableciendo la responsabilidad de la empresa y duras sanciones. La nueva Ley establece en su Art.7 las penas aplicables a las personas jurídicas. Por más que las multas previstas (2 a 5 veces del beneficio indebido obtenido o que se hubiese podido obtener) podrán resultar difícil de establecer porque las empresas no suelen llevar contabilidades por contrato, las penas pueden resultar duras y en casos extremos amenazar la existencia de la organización: Además de la aplicación de multas, pueden dictarse suspensiones parciales o totales de la actividad de la compañía incursa en actos contrarios a esta ley por hasta 10 años; la suspensión o pérdida de beneficios estatales, la publicación de una sentencia condenatoria e incluso la suspensión para participar en concursos o licitaciones estatales de obras o servicios públicos, así como la disolución y liquidación de la personería jurídica.
De acuerdo al Art. 8 de la ley en comentario, la pena será graduada según una variedad de criterios enumerados en su texto. Entre ellos, cabe señalar el incumplimiento de reglas y procedimientos internos, y la falta de supervisión de los actores, partes esenciales de un programa de integridad efectivo.
Conforme al Art. 9, quedarán eximidas de pena y responsabilidad administrativa la persona jurídica, cuando se den simultáneamente las siguientes circunstancias: Denuncia espontanea a consecuencia de una detección o investigación interna, la implementación de un sistema de control y supervisión de acuerdo a los Art. 22 y 23 de la ley con anterioridad al hecho del proceso cuya violación hubiera exigido un esfuerzo de los intervinientes en la comisión del delito y por último si se hubiere devuelto el beneficio indebido obtenido.
Esta posible exención de pena requiere la implementación de un programa de integridad que reúna al menos los criterios previstos en los Art.22 y 23 de la ley bajo análisis. El agregado previsto en el Art. 9 que reza: “cuya violación hubiera exigido un esfuerzo de los intervinientes en la comisión del delito” resalta que el programa de integridad debe ser efectivo. Unos papeles cosméticos claramente no alcanzarán para desarrollar el efecto de exención según el Art. 9 ni de graduación previsto en el Art. 8, respectivamente.
La tendencia internacional y regional de implementar este tipo de legislación, el requerimiento de la OCDE de tener al menos una ley anti-corrupción internacional implementada para poder aspirar a la membresía, y el decidido esfuerzo de lucha contra la corrupción del Gobierno Nacional, permiten suponer que esta ley cambiará el esquema con el que actualmente operan las empresas.
Para las empresas y organizaciones, esta nueva ley representa una señal que no deja dudas: es momento para mirar con lupa su programa de compliance y en ausencia de éste, empezar con urgencia su diseño e implementación.
Un programa de compliance deficiente o inexistente aumenta significativamente el riesgo de sufrir consecuencias muy duras en casos de actos de corrupción. Definiendo riesgo como la probabilidad de ocurrencia (en este caso ser detectado) multiplicado por el impacto, se acaba la sensación de una baja probabilidad de detección combinada con un impacto no significativo: La probabilidad de detección está subiendo ya hace tiempo drásticamente. Gracias a las redes sociales, los hackers y las regulaciones cada vez más estrictas de prevención de lavado de activos, la transparencia crece y los secretos dejan de serlo. A la mayor probabilidad de detección, se suman las penalizaciones previstas en la nueva ley. El resultado, es un riesgo enorme que puede comprometer hasta la misma subsistencia de la organización.
Las empresas existen porque toman y gestionan los riesgos inherentes a su actividad. Deciden como mitigarlos (o, mejor dicho, cómo mitigar los determinantes de los riesgos reconocidos): evitándolos, minimizándolos o transfiriéndolos a terceros. En este caso, el primer paso consiste en reconocer que las condiciones están cambiando con consecuencias para los procesos de toma de decisión en las empresas. Al evaluar los hechos y el entorno es importante no fijarse en la situación actual, sino en escenarios del futuro cercano: una probabilidad de detección creciente y un impacto importante. Esto último, parece sencillo y se escribe fácil, pero las investigaciones en el campo de toma de decisiones demuestran reiteradamente que tendemos a fijarnos en el entorno actual cuando tomamos decisiones y nos cuesta basarnos en escenarios futuros. Vistos los nuevos riesgos planteados con la recién sancionada ley, conviene entonces efectuar un esfuerzo extra para evitar incurrir en situaciones desagradables que puedan incluso resultar en el cese de la existencia de la compañía.
Para mitigar los determinantes del riesgo en cuestión (comportamientos inadecuados por miembros de la organización) y para poder gozar de la mitigación o exención de penalizaciones prevista en la nueva ley anti-corrupción, es necesario contar con un efectivo programa de integridad en los términos previstos por los Art. 22 y 23 de la ley. Para algunas empresas, significa empezar, para otras mejorar y para algunas mantener sus esfuerzos de prevención, detección y remediación de actos ilícitos en la compañía. La nueva ley premia estos esfuerzos en forma muy parecida como lo hacen prácticamente todas las leyes anti-corrupción de otros países. Se mitigan las multas y demás penas y castigos en caso de ocurrencia de actos de corrupción, si la compañía tiene implementado un programa de integridad que cumple con ciertos estándares, y si habiendo identificado un acto de corrupción en su organización, se ha autodenunciado y procede a retornar el beneficio indebido.
Los estándares para el programa de integridad que establece la nueva ley en sus Art. 22 y 23 son básicamente los internacionales, los cuales se encuentran plasmados en varios documentos como el documento de guía de recursos para la FCPA emitida por la Securities and Exchange Commission de los EEUU (SEC por sus siglas en Inglés) y el Departamento de Justicia de EEUU (DoJ por sus siglas en Inglés) -DOJ/SEC's Resource Guide to the U.S. Foreign Corrupt Practices Act-, y la guía de la Ley Inglesa (UK Bribery Act Guidance) así como la Ley Brasilera en esta materia.
El Art. 22 de la ley, requiere que el programa de integridad guarde relación con los riesgos propios de la actividad, su dimensión y capacidad económica. Estos requerimientos precisarán una definición en la reglamentación de la ley. Por su parte, en el Art. 23 se establecen los 13 elementos mínimos del Programa de Integridad que deben poseer las compañías de ahora en más. Los más importantes son: un código de ética, políticas y procesos de integridad, reglas y procedimientos de prevención de delitos en interacciones con la Administración Pública, capacitaciones periódicas de ejecutivos y empleados, análisis de riesgos periódicos, cultura corporativa (Tone at the Top), las implementación de líneas de reporte y su protección contra retaliación, poseer sistemas de monitoreo e investigación, procesos de due diligence y el efectivo monitoreo de terceras partes y demás participantes de la cadena de valor, la evaluación continua de la efectividad del programa de integridad y la designación de un responsable interno del programa de integridad: un Compliance Officer. Entre los elementos antes indicados y otros documentos, hay algunas diferencias. En algunos aspectos, son más específicos (como p.ej. la mención de reglas para la interacción con el sector público) y en otros menos precisos (mencionando la función del Compliance Officer sin exigir su independencia y acceso directo al Directorio). Al final, estas y otras diferencias menores no serán de importancia para el diseño de un programa de integridad. Por un lado, no hay mucho para inventar o cambiar. Los estándares internacionales son muy parecidos y maduros. Es intención del legislador seguirlos y se espera que la regulación comprendida en esta nueva ley, contemple y precise algunos tópicos en este sentido. Establecer estándares menos exigentes además no hubiera hecho sentido porque dejarían en un contexto cada vez más internacional a las empresas expuestas a riesgos de aplicación de una ley extranjera como la FCPA. Una buena solución será fijarse en las ISO: La ISO 19.000 que establece un estándar para programas de compliance y la ISO 37.001 que se establece cómo estándar para programas anti-corrupción.
Las investigaciones del Centro de Gobernabilidad y Transparencia del IAE realizadas entre 2010 y 2015 (disponibles en: www.gobernabilidadytransparencia.com) indican que la gran mayoría de las empresas más importantes en el país tienen un programa de integridad ( aunque la denominación varía entre este nombre y el de compliance o de ética y compliance u otras combinaciones de estas palabras) pero no todos estos programas cumplen con los estándares mínimos requeridos por la nueva ley. En otras palabras: En muchos casos, existe un importante espacio para mejoras. El proceso de diseño de un programa de compliance efectivo comienza necesariamente con un adecuado mapeo de los riesgos de ética y compliance específicos para la compañía y su sector (Art. 22 y 23 c, I) y la elaboración de un Código de Conducta (Art. 23, a). Sigue con la sensibilización del Directorio y la Alta Dirección, así como en la implementación de un decidido “Tone at the Top” verbal, por escrito y sobre todo en las manifestaciones de liderazgo (Art. 23 c, II). La comunicación y entrenamiento de ejecutivos y empleados constituye otro elemento esencial (Art. 23 c), y las políticas y procedimientos (Art 23 b), el monitoreo de su cumplimiento (Art 23 c V), una línea de denuncia y políticas de no-retaliación (Art. 23 c III, IV) así como la evaluación periódica de la efectividad del programa (Art 23 c, VIII) y la supervisión de la cadena de valor externa (Art. 23 c VI) forman otros bloques de construcción de un robusto programa de integridad que reúna los extremos legales locales e internacionales.
La ley y su futura regulación merecen un análisis detallado y extenso para brindarles a las personas jurídicas una base para su aplicación. Es de esperar que se vengan una avalancha de comentarios e interpretaciones de los muchos aspectos de la ley y su aplicación, los cuales se fortalecerán recién en el transcurso de sus aplicaciones durante los próximos años. Con ánimo de enfatizar solo algunos de los aspectos principales siguen algunos comentarios respecto a puntos relevantes para que las organizaciones puedan empezar a andar el camino a un programa de integridad, que no solo cumpla con los requisitos mínimos de la ley sino que pueda convertirse en una herramienta útil para las empresas que quieren “hacer las cosas bien” y no correr riesgos evitables.
- Mapeo de riesgos de ética y compliance (E&C)
La piedra fundamental en este camino es un mapeo de riesgos de ética y compliance.
Suena lógico: los Programas de Integridad están ahí para prevenir actos contrarios a normas, regulaciones y los valores de la organización (y mitigar sus consecuencias si a pesar de todo ocurren). Para organizar esta prevención hay que identificar apropiadamente cuáles son estos riesgos, dónde están, cuál es su importancia, cómo mitigarlos (o cuales eventualmente asumir) y qué afectarían si ocurren: Aspectos financieros, organizacionales y/o la reputación.
Para entender la situación, muchas empresas tendrán que mejorar sus procesos de evaluación de riesgos para abarcar en forma más sistémica su exposición a riesgos de E&C. Las regulaciones internacionales y locales se multiplican y las expectativas de los stakeholders importantes de las organizaciones también. La consecuencia son riesgos de E&C no solo mayores sino también más complejos de reconocer y de mitigar.
Los riesgos típicamente nombrados en este contexto son los que presentan las regulaciones, contactos con la Administración Pública (como cliente, proveedor o a través de la aduana) el sector industrial, el modelo de negocio y los socios en el negocio. Otros recomiendan acercarse al tema desde las siguientes categorías: riesgos de la compañía, riesgos del país, riesgos del sector, riesgos transaccionales y riesgos relacionados con socios en el negocio o la cadena de valor.
Muchos enfoques para la evaluación de riesgos en E&C, nacieron desde las Federal Sentencing Guidelines for Organizations (FSGO por sus siglas en ingles) y en consecuencia, poseen un fuerte componente de riesgos por actos de corrupción. En la evaluación de riesgos de É&C, es fundamental no perder de vista una gran cantidad de riesgos no necesariamente vinculados a corrupción, tales como seguridad de datos, medioambientales o la prohibición de la discriminación por género, raza y condición social, política o religiosa.
Existen muchas formas para conducir un proceso de mapeo y evaluación de riesgos de E&C. Sin embargo, conviene tener en mente algunos conceptos básicos:
La evaluación de riesgos nunca es un ejercicio único: Se recomienda (y el Art. 23 de la ley lo exige) repetirlo periódicamente, bien en forma anual o bi-anual. Los riesgos cambian con el tiempo y nuevos riesgos aparecen.
La evaluación de riesgos de E&C es una herramienta vital para hacer decisiones sobre el diseño y la implementación de los diferentes elementos del programa de integridad. Más allá de este objetivo, el mapeo y análisis de estos riesgos ayuda a concentrar los escasos recursos en las áreas donde más son necesitados y contribuye a aumentar la sensibilidad para estos temas en la organización y constituye una importante parte del Tone at the Top.
El mapeo y análisis de los riesgos de E&C tiene algunos aspectos particularmente desafiantes para el proceso mismo: incluye valores y ética, conceptos blandos de difícil acceso para su reconocimiento, definición y evaluación. Su inclusión es de suma importancia no solo porque son los determinantes para un programa de integridad efectivo. Algo similar vale para los riesgos basados en la cultura organizacional, como por ejemplo: la presión por los resultados, la alineación de valores e incentivos, lealtad de empleados, justicia interna, clima de transparencia, posibilidad de formular críticas, etc.
La evaluación de riesgos de E&C no constituye un silo. Pero como típicamente es el único proceso que busca identificar riesgos legales y regulatorios y éticos/culturales precisa un enfoque más focalizado que el más amplio de la Gestión de Riesgos Empresariales (o ERM, por sus siglas en inglés). El dueño es el Compliance Officer.
Los determinantes de los riesgos de É&C se encontrarán mejor utilizando grupos interdisciplinarios y con la intervención de individuos de todos los niveles de la organización. Los “operativos” ven muchos riesgos más de cerca y con mayor claridad que los ejecutivos altos. Además, con la activa intervención de los dueños de los riesgos, los resultados del proceso y las mitigaciones tendrán mayor credibilidad.
El análisis de datos como estadísticas de la línea de denuncia, reportes de compliance, acumulaciones de ciertas transacciones sospechosas, tendencias y menciones en medios sociales, etc. proveen una buena base para el mapeo de riesgos.
Los resultados deben integrarse en el mapeo y análisis de riesgos de la organización.
Al final debe haber resultados prácticos: Visibilidad de los determinantes de riesgo, la probabilidad de materialización de los riesgos y la gravedad de los impactos. Ayuda a priorizar los riesgos, designar responsables en asumirlos o mitigarlos, así como asignar recursos para su mitigación.
Para que los resultados sean prácticos, deben ser operacionables, es decir permitir tomar decisiones sobre el programa de E&C, como nuevas políticas o la adecuación de políticas existentes, fijación de objetivos de educación y entrenamiento, su contenido, periodicidad y formatos y audiencias específicas; adecuación, ampliación o eliminación de monitoreos y controles, formas de mitigación de los riesgos culturales y éticos.
En resumen: Un proceso complejo que conviene realizar con un objetivo claro en mente: Poder operativizar sus resultados en los elementos del programa de E&C con foco en los determinantes culturales que suelen ser los más poderosos.
- El “Tone at the Top” , el apoyo visible e inequívoco al programa de integridad por parte de la alta dirección y gerencia (Art. 23 c II). No alcanzan las declaraciones para evidenciar la implementación de un programa de integridad robusto, hay que mostrar una conducta consecuente con el mismo. En este sentido, se trata de acciones de la Alta Dirección con el fin de desalentar actos ilegales y acciones “concretas” demostrando liderazgo y compromiso en temas de integridad así como influencia positiva en el comportamiento de sus subordinados. El Directorio debe involucrarse activamente en temas de integridad y esto requiere al menos un director con experticia en temas de compliance y un proceso de monitoreo de la conducta de la Alta Dirección. Un Directorio que no cuente con estos requisitos y que no mantiene reuniones periódicas con la gente de compliance, no cumple con los requerimientos de un programa de compliance efectivo.
- El Compliance Officer (El responsable interno a cargo del desarrollo, coordinación y supervisión del Programa de Integridad, Art 23, c IX). El texto de la ley no establece requerimientos respecto a la capacitación, la independencia y el nivel jerárquico de la función. Es de esperar que la reglamentación se expida al respecto. Pero aun cuando no lo haga, para que el Programa de Integridad sea bien desarrollado y conducido, se sobreentiende que el responsable debe contar con los requisitos de independencia y jerarquía que exigen las regulaciones internacionales para esta función. El Departamento de Justicia de los EEUU fortalece la posición del Compliance Officer: debe compararse en status, compensación, rango y título, recursos y línea de reporte con otras funciones consideradas estratégicas de la compañía. Es una clara señal de que la función de compliance como “sub-función” de Legales o Auditoría, no es más aceptable. Compliance debe llegar al Directorio sin filtros. Es una función de nivel estratégico, que debe ocupar un lugar estratégico que le da autonomía en la compañía con compensación y recursos correspondientes. Una línea de reporte directa a un miembro del Directorio es tan importante como reuniones con el Directorio.
Analizando job descriptions para compliance officers llama la atención su gran diversidad y, en muchos casos, su ambigüedad. La transversalidad de la posición en la organización y el gran abanico de actividades que incluyen desde el ejercicio de influencias, la cooperación, el monitoreo, la responsabilidad directa hasta la supervisión, convierten la redacción de una descripción concreta de la posición, en un trabajo complejo. Vale la pena tomarse tiempo en revisar este punto: el resultado es importante para determinar y deslindar responsabilidades entre esta y otras posiciones que intervienen en temas relacionadas (RRHH, Legales, Auditoría Interna y las unidades de negocio). No hay un estándar general, válido para todas las organizaciones. Cada sector y cada tamaño y cultura organizacional requieren de una posición de compliance officer con diferentes atribuciones. Los riesgos de ética y compliance varían de sector en sector y de modelo de negocio a modelo de negocio. Todos requieren de una adaptación del programa de ética y compliance y en consecuencia de las atribuciones del que lo lidera. Hay que tener claro (y aclarar) los objetivos de la función y dedicar consideraciones a la ubicación y jerarquía de la función en la organización. Siguiendo las recientes aclaraciones del Departamento de Justicia de los EEUU sobre la evaluación de un programa de compliance efectivo (ver ACÁ) habrá que explicitar que tiene línea de reporte directo a un miembro del Directorio, y que se trata de una posición estratégica, con recursos, rango, título y recompensación adecuados para este nivel. Habrá que aclarar que es una posición que tiene independencia del negocio y autonomía en sus acciones y que reporta regularmente sobre la situación del programa de compliance y eventuales incidentes etc., al directorio. Para demostrar el grado de independencia necesario es conveniente aclarar que es el Directorio quien tiene la facultad de seleccionar, emplear, despedir, fijar el sueldo y evaluar su trabajo.
- Entrenamiento (Art. 23 c): Contenido y frecuencia de entrenamientos deben customizarse a las necesidades de los ejecutivos y empleados a ser entrenados, especialmente aquellos en áreas de alto riesgo. Entrenamiento con “regadera”o igual para todos, no es lo más adecuado. Los entrenamientos en E&C han evolucionado mucho en los últimos años. Hoy, ya no son sesiones con lecciones de las políticas y procesos de compliance sino sesiones participativas en las que se discuten dilemas en áreas grises para ejercer el “músculo” de buenas decisiones. Además, habrá que medir la efectividad de dichas sesiones de adiestramiento. Solo midiendo la cantidad de sesiones y la asistencia no basta. Es preciso el alineamiento de su diseño y “delivery” con los resultados del mapeo de riesgo, cantidad y calidad de denuncias e investigaciones así cómo encuestas internas y externas pueden ayudar.
- Terceras partes (Art. 23 c, VI): El comportamiento de terceras partes es uno de los riesgos, si no el riesgo de compliance más grande. Prácticamente todas las empresas trabajan y deben trabajar con terceros en sus múltiples cadenas de valor. Pero la subcontratación de productos y servicios no conlleva la tercerización de los riesgos legales y reputacionales. Es fundamental efectuar due diligence: procedimientos iniciales y monitoreos periódicos detallados respecto al análisis de la relación con los terceros, como de la necesidad de contratación, la descripción acertada de los servicios contratados, el monitoreo del cumplimiento y la proporcionalidad de los pagos frente a los servicios contratados. Incluso se deberá analizar el sistema de incentivos de terceras partes y sus riesgos de compliance. Otros temas relevantes en este punto son: el entrenamiento customizado del ejecutivo a cargo del relacionamiento con terceros, y sensibilización de compliance y comportamiento ético de terceros.
La lista de temas a tener en cuenta en el momento de diseñar o actualizar el Programa de Integridad es larga. Estas líneas pueden solo dar una primera impresión de algunos de los temas a tener en cuenta. La ley y su futura reglamentación constituyen una excelente oportunidad para las personas jurídicas para implementar modernos programas de integridad que contribuyen no solo a una mitigación de riesgos de ética y compliance, sino que van a ayudar a enderezar la cancha para que las empresas puedan competir en base a sus ventajas competitivas.
Este texto se publicó originalmente en la publicación online de Thomson Reuters “News fiscal” Nro. 3447
