Los reguladores lo exigen, y el sentido común lo aconseja: hasta el mejor Programa de Integridad después de un tiempo queda desactualizado. El entorno cambia, las regulaciones cambian y el modelo de negocio también. Además, las experiencias acumuladas con el Programa hacen aconsejable rediseñar ciertos aspectos. Pero: ¿Cómo se hace?
El Departamento de Justicia de los EEUU en su famoso cuestionario de Febrero 2017 (ver acá ) da algunas pistas: En investigaciones, los fiscales preguntarán a las empresas:
- ¿Cuántas veces la compañía ha actualizado su mapeo de riesgos y revisado sus políticas, procedimientos y prácticas de Compliance?
- ¿Qué pasos ha dado para determinar si las políticas, procedimientos y prácticas son adecuadas para ciertos negocios?
Esa es la parte más conceptual, se puede resumir en responder si el Programa de Integridad/Compliance acompañó los cambios en el entorno y en el modelo de negocio y si sigue siendo válido para los negocios actuales de la compañía.
La otra parte de las preguntas se refiere a los controles:
- ¿Se ha auditado el Programa de Integridad/Compliance en el área del tema de la investigación?
- ¿Se han testeado los controles relevantes? ¿Se ha realizado una recolección y análisis de datos de compliance, así como entrevistas a empleados y terceros?
- ¿Cómo se reportaron los resultados de la evaluación y se dio seguimiento a las medidas de remediación?
- ¿Qué testeos de los controles se han realizado en general?
Estas preguntas del cuestionario indican qué preguntas deben hacerse en la empresa y qué trabajos no deben faltar en la lista de los “To Do” de cualquier Compliance Officer. Se basan todos en los pilares para programas de compliance efectivos establecidos en los FSGO (Federal Sentencing Guidelines for Organizations). Ver acá.
Un cuestionario para un self assessment (es para empresas del sector salud pero aplica ampliamente a todos los sectores) se encuentra aquí.
El borrador de la Oficina Anticorrupción para la evaluación de programas de integridad en Argentina (ver aquí ) sugiere preguntas muy parecidas.
Cada pregunta, de los reguladores, es una pista, una invitación a la acción.
Una guía básica para realizar la evaluación del Programa puede darla el seguimiento de estos pasos:
Lo más importante de una evaluación del Programa de Integridad/Compliance es no postergarla hasta que sea tarde: Es mucho mejor antes que después de un incidente.
El primer paso es necesariamente la revisación/repetición del mapeo de riesgos de ética & compliance para asegurar el foco del programa en los riesgos actuales. Es la base del programa y si algunos de los riesgos cambiaron lo debe hacer el programa también. Un actualizado mapeo de riesgos ayuda a enfocarse en los riesgos más relevantes y no dispersar recursos escasos en áreas que no los requieren.
Basado en los resultados del mapeo de riesgo hay que revisar al código, las políticas y los procedimientos. Deben reflejar adecuadamente los riesgos más relevantes y proveer los mitigantes. Es un trabajo extenso que incluye la revisación de los métodos y herramientas utilizados y su actualización tecnológica.
En un siguiente paso habrá que revisar la organización del área de Compliance en la organización (líneas de reporte, recursos y aptitud de los integrantes del área).
En un capítulo de monitoreo y controles habrá que comprobar si los controles son adecuados en cuanto a scope y profundidad y si las herramientas de monitoreo y control son actualizados. Una pregunta clave en este contexto es si los resultados de los controles se utilizaron como información en el proceso del mapeo de riesgo, si existe un proceso que asegura que estos resultados se consideran para la mejora del programa y si se reportaron al Directorio.
Un último aspecto es la percepción del programa entre los Empleados (y eventualmente Terceros). Al final es exactamente esta percepción entre los miembros de la organización que hace que el Programa de Integridad/Compliance sea efectivo, o no. Si es percibido como un programa auténtico para guiar a todos en la organización y para apoyarlos en sus esfuerzos de hacer las cosas bien va a ser exitoso independientemente de los detalles de las políticas, procedimientos y controles; si en cambio es percibido como un programa de papel que se implementó solo para proteger a “los de arriba” no surtirá efectos positivos por más que el código de conducta, las políticas y muchos procedimientos se lean fantásticos en papel. La mejor manera de evaluar esta percepción es a través de encuestas periódicas y el análisis de los datos de auditorías, la línea de denuncias y otros datos.