Políticas y Procedimientos son la parte esencial y más visible de cualquier programa de compliance. Bien hechas aseguran que empleados entienden como realizar ciertas actividades y que comportamiento la organización espera de ellos.
En 2017, el Departamento de Justicia de los EEUU publicó su cuestionario de evaluación de Programas de Compliance con unas fuertes sugerencias para las políticas y procedimientos para un Programa de Compliance “efectivo” (ver acá). No es la primera vez que un regulador se ocupa del tema y probablemente, la guía que complementa la Ley 27.401 contemplará “sugerencias” parecidas.
Para empezar, ya no alcanza con documentar la existencia de políticas y procedimientos para convencer a los reguladores que la compañía posee un Programa de Compliance efectivo. Se debe poder demostrar un razonable proceso de su diseño, la participación de las divisiones de negocio en su redacción y su efectiva implementación. En otras palabras, que los empleados las conocen y entienden y que alguien es responsable de la supervisión de su aplicación, su fácil acceso y su revisión periódica. Estos requisitos (en si lógicos y esenciales) pueden generar un fuerte dolor de cabeza para los Compliance Officers que a menudo se encuentran en la responsabilidad por este tema y también sus complejidades administrativas.
En su “2018 Ethics & Compliance Policy & Procedure management Benchmark Report” Navex Global (ver acá) muestra como empresas a nivel global gestionan sus políticas y procedimientos de compliance.
Códigos de Conducta y Políticas salen en este reporte cómo los elementos de los Programas de Compliance de mayor prioridad. Seguridad y Privacidad de Datos salieron como 2da prioridad, superando en importancia a Corrupción y Acoso Laboral.
La responsabilidad por las Políticas y Procedimientos de Compliance suele ser compartida entre varios departamentos. RRHH, Legales, Gestión de Riesgos y Compliance se encuentran entre los más nombrados. En general, son dos los departamentos que toman las decisiones sobre las políticas y tres los departamentos que intervienen con consejos y recomendaciones. Cuanto más avanzado es el Programa de Compliance, más departamentos intervienen en la definición de sus políticas y procedimientos.
Compliance y Gestión de Riesgos son los más nombrados para tomar las decisiones definiendo las Políticas y Procedimientos, seguidos por RRHH, el Directorio y Legales. Llama la atención que los Directorios intervengan tan activamente en la decisión sobre Políticas y Procedimientos. Su rol en el tema Compliance es el de supervisar el programa, no definir y gestionar sus políticas.
Los tres desafíos más grandes en la gestión de Políticas de compliance son: el entrenamiento de los empleados en las políticas, la adecuación de políticas a los (frecuentes) cambios regulatorios y el control de sus diferentes versiones para reducir redundancias y confusiones. No sorprende que el entrenamiento sea un desafío importante. Tiempo y disposición para sentarse en entrenamientos es notoriamente escaso. Habrá que preguntarse si la razón es solo falta de tiempo o también el muchas veces no óptimo “delivery” del entrenamiento.
La gestión de Políticas y Procedimientos de Compliance es una de las áreas más proclives para la utilización de herramientas digitales. Sorprende que el uso de software de gestión automatizada de políticas no sea muy común ni siquiera en las empresas internacionales (33%).
En cambio para el control de distribución y aceptación de políticas, la gran mayoría de empresas de la encuesta (81% a 92% según tamaño de la empresa y grado de regulación del sector) usan alguna herramienta tecnológica. SharePoint, email, procesamiento de texto, hoja de cálculo y archivos de la organización son las “tecnologías” más utilizadas.
El escaso uso de tecnologías más avanzadas puede ser una de las razones de la permanente lucha con la complejidad y las falencias de la gestión de políticas y procedimientos. Cómo los reguladores ponen sus ojos en el tema, esta situación constituye un considerable riesgo para las compañías. En resumen: Es aconsejable poner atención en los procesos de definición de las Políticas y Procedimientos de Compliance y en la modernización de su gestión. Hay espacio (e incentivos) para mejoras, especialmente tecnológicas.