¿Cuándo y cómo evaluaron la última vez la efectividad de su Programa de Compliance/Integridad? Si tienen un incidente, lo hace el Regulador o la Justicia. Y uno de los puntos que evalúa para establecer si el programa es “efectivo” (y con esto un mitigante) es si la compañía lo evalúa periódicamente (Ley 27.401, Art 23 VIII ver aquí y aquí ). Si esto no es un buen incentivo para hacerlo, está el interés propio de tener un programa efectivo: ¿Si no hacen el esfuerzo de la auto-evaluación periódica, cómo saben si lo que diseñaron e implementaron funciona o se volvió obsoleto?
El monitoreo y la evaluación periódica de la efectividad son necesarios por dos razones:
- Para asegurar que los aprendizajes de la aplicación del Programa de Compliance lo realimentaron para mejorarlo y para evitar que incidentes se puedan repetir.
- Para reflejar los cambios que se dan permanentemente en el entorno de la compañía y en su manera de hacer negocios, su estrategia y su modelo de negocio y consecuentemente los riesgos de Compliance que enfrenta.
Qué puntos hay que analizar en las evaluaciones sale de los lineamientos para la implementación de programas de integridad de la Oficina Anticorrupción y de la guía para la evaluación de programas corporativos de Compliance del Departamento de Justicia de los EEUU (links arriba). Los dos documentos tienen el mismo espíritu y, tienen con más o menos detalles un mensaje muy similar: El acento se pone en la efectividad del programa. Programas formales, “de papel”, no son considerados efectivos y no sirven (más) como mitigantes. Más allá de este mensaje muy claro e importante se plantean algunas preguntas. Especialmente importantes son las que tratan sobre cómo se deben realizar estas evaluaciones, con qué frecuencia y quién debe ser el responsable de ejecutarlas.
- Cómo realizar las evaluaciones: El enfoque general de la evaluación debe ser la demostración de la efectividad del programa. Se puede medir contra las preguntas de testeo de los documentos del Departamento de Justicia de los EEUU y de la Oficina Anticorrupción de la Argentina, citados arriba. Se agrega la evaluación de la capacidad de mejora y evolución del programa y de mantenerlo adecuado para los riesgos, las estrategias y modelos de negocio de la compañía que están en permanente evolución.
Algunas sugerencias para la evaluación por ejemplo del entrenamiento y del sistema de denuncias están en los documentos citados arriba.
Toda evaluación incluye varios pasos. Empieza con una revisión de las políticas y procedimientos escritos, la revisión de los datos de las líneas de reporte, las investigaciones realizadas, las auditorías y las entrevistas de salida de personal. Más complejo es la evaluación de la cultura, del tone at the top y del éxito del programa de entrenamiento. Al respecto compañías utilizan entrevistas estructuradas, encuestas entre empleados y otros stakeholders así como focus groups. Otro tema complejo es la evaluación, si los recursos con los cuales cuenta el área de Compliance, es una cuestión de recursos financieros, de recursos humanos y sus calificaciones.
- Con qué frecuencia: No hay una regla general. La frecuencia depende del sector, de la estructura de riesgos y de la velocidad con la que cambia el entorno y el modelo de negocio de la compañía. La evaluación puede incluso combinarse o hacerse en función de los resultados del monitoreo continuo que debe realizar el Compliance Officer.
- Quién debe realizar la evaluación: La respuesta “natural” es: El Compliance Officer. Sin embargo, quedan dudas si es una buena idea encargarle la evaluación de la efectividad del programa al responsable de su diseño, implementación y gestión. Estará enfrentando varios conflictos de interés. Auditoría Interna probablemente no cuente con los conocimientos adecuados para realizar la evaluación del programa. Compliance es un campo todavía relativamente nuevo. Una evaluación de su efectividad no se puede realizar con los típicos cuestionarios de auditoría.
Por estas razones algunas compañías contratan para esta tarea a especialistas. Pero hay que tener cuidado definiendo el “scope” de la evaluación, la capacidad y experiencia práctica del experto y otros temas (una mirada desde el Directorio: acá ).
En resumen: Programas de Compliance, para poder ser efectivos no pueden ser estáticos. No solo para “cumplir” con los reguladores es importante su permanente monitoreo y la evaluación periódica para asegurar que acompañan al negocio y sus riesgos en su evolución.
