La nueva Guía del Departamento de Justicia de los EEUU, publicada en Abril 2019 (ver aquí) actualiza la guía para la evaluación de Programas de Compliance de Febrero 2017 (ver aquí). La nueva guía va más allá del cuestionario que la versión original de 2017 sugiere a los fiscales para determinar si un programa de Compliance se puede considerar “efectivo” y por ende tener efectos mitigantes en el caso de un incidente. El nuevo documento reestructura y detalla con mayor profundidad los requerimientos, agrega razonamientos para mayor comprensión de las preguntas, y sobre todo pone énfasis en la necesidad que el programa debe basarse en mapeos de riesgo, debe ser dinámico y que se debe vivir en la práctica.
Este foco en riesgo y efectividad de lo implementado lo convierte en una lectura obligatoria para los que quieren evaluar y/o actualizar su Programa de Compliance.
La Guía está estructurada alrededor de tres preguntas fundamentales:
- ¿Es el Programa de Compliance bien diseñado?
- ¿Se implementó en forma efectiva?
- ¿Funciona en la práctica?
Las tres preguntas reflejan las tres fases de un Programa de Compliance: su diseño, su implementación y su aplicación en la vida diaria. Para cada una de estas preguntas la Guía provee una serie de consideraciones explicativas y preguntas, ordenada en 12 subtítulos. Muchas de las consideraciones y preguntas del documento vienen del cuestionario de 2017 (ver los comentarios en los newsletters del Centro de Gobernabilidad & Transparencia acá, acá y acá). Sin embargo, hay algunos aspectos de los Programas de Compliance en general y de temas particulares que valen la pena mirar más de cerca porque proveen una clara visión de lo que se requiere de un Programa de Compliance considerado efectivo. Como la visión del Departamento de Justicia de los EEUU determina la de otros reguladores en el mundo, muy probablemente estos requerimientos se van a ver reflejados pronto en lineamientos muy parecidos en la Argentina. Las empresas hacen bien en prestarles atención.
Entre los temas generales más importantes, se encuentra la exigencia que un Programa de Compliance debe responder al perfil de riesgo de la compañía concreta y su historial de incidentes; debe ser “dinámico”. El documento pide a los fiscales expresamente fijarse si la compañía actualizó su Programa de Compliance en base a los aprendizajes hechos y si el Programa evolucionó para dar respuestas a los riesgos de Ética y Compliance existentes, en transformación y cambio.
Los mapeos de riesgo de É&C son considerados expresamente como el punto de partida para la evaluación del Programa de Compliance bajo evaluación. Cómo la organización ha identificado, evaluado y definido su perfil de riesgo y en qué medida el Programa de Compliance dedica recursos y esfuerzos a este espectro de riesgos son la base para la evaluación de todo el Programa de Compliance. Los mapeos de riesgo de Ética & Compliance se deberán hacer con diligencia y con cierta frecuencia para cumplir con estas exigencias.Deben considerar los 10 riesgos (“entre otros” como aclara el documento) nombrados en la Guía: riesgo del país, del sector, de la competitividad del mercado, las regulaciones, los clientes potenciales y socios del negocio, transacciones con gobiernos, pagos a funcionarios públicos, uso de terceras partes, regalos, viajes y gastos de representación así como donaciones políticas y de beneficencia. Este listado no es precisamente una sorpresa. Es otro paso más en la especificación de cómo mapeos de riesgo de Ética & Compliance se deben hacer. Es de esperar que la próxima actualización de la guía siga agregando especificaciones al respecto.
Los Programas de Compliance deben ser diseñados para detectar los riesgos de mayor probabilidad de ocurrencia y se deberán adecuar a los cambios en el perfil de riesgo de É&C que ocurren con el paso del tiempo e incorporar los aprendizajes de problemas ocurridos. Para estar preparados para una eventual revisación de su Programa de Compliance por la Justicia hay que documentar la mejora continua, basada en revisiones y adecuaciones permanentes (ver acá).
Otro punto entre las consideraciones generales está relacionado con la creciente digitalización. La Guía actualizada pide que los fiscales se fijen en cómo el Programa de Compliance utiliza datos y métricas para optimizar sus entrenamientos, sus controles internos, para descubrir actos inadecuados, adecuar investigaciones y evaluar el impacto de sistemas de incentivos para promover el comportamiento deseado. En otras palabras, este énfasis obliga a las organizaciones a utilizar datos y métricas para optimizar su Programa de Compliance y a documentar bien lo hecho.
En resumen, la nueva Guía resulta una llamada de atención para algunas organizaciones, en dos sentidos:
- los programas “de papel” que no se viven, no sirven. No sirven para alcanzar sus objetivos declamados (esto ya se sabía) y tampoco sirven para mitigar consecuencias legales y financieras de eventuales incidentes (esto algunas organizaciones no lo tenían muy presente).
- Los programas en su momento bien implementados pero no actualizados permanentemente tampoco sirven. La “mejora continua” ha llegado a Compliance y debe ser demostrable.
La Guía actualizada es una excelente noticia para las organizaciones que quieren hacer las cosas bien y una invitación a un replanteo profundo para las que creían que se podían limitar a cumplir con formalidades. Sus aspectos generales son aplicables también a las otras áreas de los Programas de Compliance, más allá de Anticorrupción.
En los próximos Newsletters habrá comentarios sobre temas específicos de la Guía actualizada, como Compliance en la Cadena de Valor.