Políticas y Procedimientos son una parte esencial y la más visible de cualquier programa de compliance. Bien hechas, aseguran que empleados entiendan como realizar ciertas actividades y que comportamiento la organización espera de ellos.
En 2019, el Departamento de Justicia de los EEUU publicó su guía de Evaluación de Programas de Compliance con unas fuertes sugerencias para las políticas y procedimientos para un Programa de Compliance “efectivo” (ver acá). No es la primera vez que se ocupa del tema y otros reguladores publicaron textos similares. Los excelentes Lineamientos de la Oficina Anticorrupción de la Argentina que complementa la Ley 27.401 (ver aquí) contempla “sugerencias” en la misma línea.
Para empezar, ya no alcanza con documentar la existencia de políticas y procedimientos para convencer a los reguladores que la compañía posee un Programa de Compliance efectivo. Se debe poder demostrar un razonable proceso de su diseño, la participación de las divisiones de negocio en su redacción y su efectiva implementación. En otras palabras, que los empleados las conocen y entienden. Para que los empleados las puedan entender deben estar redactados en un lenguaje de fácil comprensión. Una guía para escribir políticas se encuentra acá
Además, alguien debe ser responsable de la supervisión de su aplicación, su fácil acceso y su revisión periódica.
En el caso de una investigación, las empresas deberán demostrar que el código y las políticas se viven en la realidad. Los Programas de Compliance de papel, muchas veces copiados, firmados y archivados, no sirven.
Estos requisitos (en si lógicos y esenciales) pueden generar un fuerte dolor de cabeza para los Compliance Officers que a menudo se encuentran en la responsabilidad por este tema. Deben al menos supervisar:
- la existencia de las políticas adecuadas para el perfil de riesgo de la empresa,
- la adecuada forma de redacción y las actualizaciones de las políticas
- su comunicación y el entrenamiento de los empleados
Siempre participan varios departamentos de la empresa lo que requiere un trabajo de coordinación y supervisión. Se agrega la administración de las políticas y sus procedimientos que por su diversidad y volumen también trae sus complejidades.
En su “2018 Ethics & Compliance Policy & Procedure management Benchmark Report” Navex Global (ver acá) muestra como empresas a nivel global gestionan sus políticas y procedimientos de compliance.
La responsabilidad por las Políticas y Procedimientos de Compliance suele ser compartida entre varios departamentos. RRHH, Legales, Gestión de Riesgos y Compliance se encuentran entre los más nombrados. En general, son dos los departamentos que toman las decisiones sobre las políticas y tres los departamentos que intervienen con consejos y recomendaciones. Cuanto más avanzado es el Programa de Compliance, más departamentos intervienen en la definición de sus políticas y procedimientos.
Compliance y Gestión de Riesgos son los más nombrados para tomar las decisiones definiendo las Políticas y Procedimientos, seguidos por RRHH, el Directorio y Legales. Llama la atención que los Directorios intervengan tan activamente en la decisión sobre Políticas y Procedimientos. Su rol en el tema Compliance es el de supervisar el programa, no definir y gestionar sus políticas.
Los tres desafíos más grandes en la gestión de políticas de compliance son: el entrenamiento de los empleados en las políticas, la adecuación de políticas a los (frecuentes) cambios regulatorios y el control de sus diferentes versiones para reducir redundancias y confusiones.
La gestión de Políticas y Procedimientos de Compliance es una de las áreas más proclives para la utilización de herramientas digitales. Sorprende que el uso de software de gestión automatizada de políticas no sea muy común ni siquiera en las empresas internacionales (33%). Casi todos (85% buscan un archivo centralizado con acceso fácil a las versiones actualizadas. El control de las versiones parece ser un tema para eliminar redundancias y mejorar la claridad de las políticas.
En cambio, para el control de distribución y aceptación de políticas, la gran mayoría de empresas de la encuesta (81% a 92% según tamaño de la empresa y grado de regulación del sector) usan alguna herramienta tecnológica. SharePoint, email, procesamiento de texto, hoja de cálculo y archivos de la organización son las “tecnologías” más utilizadas.
El escaso uso de tecnologías más avanzadas puede ser una de las razones de la permanente lucha con la complejidad y las falencias de la gestión de políticas y procedimientos. Cómo los reguladores ponen sus ojos en el tema, ésta situación constituye un considerable riesgo para las compañías. En resumen: Es aconsejable poner atención en los procesos de definición de las Políticas y Procedimientos de Compliance y en la modernización de su gestión. Hay espacio (e incentivos) para mejoras, especialmente tecnológicas.
