La nueva Guía para la evaluación de Programas de Compliance del Depto. de Justicia de los EEUU

 

El 1 de Junio, el Departamento de Justicia de los EEUU publicó su actualizada Guía para la evaluación de Programas de Compliance Corporativos  (ver acá).

Esta nueva versión ratifica las guías anteriores de febrero 2017 y de Abril 2019 (ver los comentarios acá y acá). Mantiene los 12 sub-temas y se basa en los tres conceptos básicos para la evaluación de los programas:

  1. Diseño
  2. Aplicación seria y de buena fe
  3. Funcionamiento en la práctica

Aclara que no es una fórmula ni una checklist para Programas de Compliance.

En su contenido es la misma Guía de 2019 poniendo foco en:

la mejora permanente,

la autoridad y los recursos de Compliance en la organización

la utilización de Datos

La Guía lo aclara expresamente: No es una fórmula, ni un checklist. Cada organización y cada sector son diferentes y requieren de programas de compliance adecuados para sus diferentes tamaños y riesgos específicos. La Guía ayuda en identificar los temas y las peguntas que el programa debe poder contestar.

Para que se pueda demostrar la “buena fe en la aplicación del Programa de Compliance”, se necesita un área de Compliance con suficiente autoridad y recursos. (“no hay buena fe sin adecuados recursos y empoderamiento para funcionar efectivamente”). Un Compliance Officer que no tiene acceso directo al Directorio/Comité de Auditoría, cuya posición no tiene el mismo rango (y sueldo) de otras posiciones estratégicas y/o que no tiene los adecuados recursos tecnológicos, financieros y humanos no califica para esta demostración. Un tema que muchas empresas deberán considerar en la actual tendencia de recorte de gastos.

Nuevamente, el Departamento de Justicia pone énfasis en que todo Programa de Compliance se debe basar en un adecuado mapeo de riesgos de ética y compliance (Vea acá cómo hacerlo). Solo así se puede poner la atención dónde más se necesita: en las áreas de mayor riesgo de comportamiento inadecuado. Como los riesgos cambian con el entorno y con cambios internos de la organización, los programas deben ser dinámicos y capaces de ajustarse a los cambios en el perfil de riesgo.

El énfasis en la utilización de Datos refleja el avance de la digitalización. Las empresas pueden y deben apalancarse cada vez más en Datos para la mejora continua del programa incorporando aprendizajes de la vida real, de los incidentes propios y ajenos y del benchmarking con programas de empresas del mismo sector. Por eso, la Guía exige que Compliance tenga acceso a los Datos relevantes de la empresa para un “efectivo monitoreo y testeo de políticas, controles y transacciones”. Los resultados después terminan en adaptaciones del Programa de Compliance.  Esto incluye la trazabilidad de los accesos a las políticas para poder analizar qué políticas atraen la atención de los empleados relevantes. Llama la atención esta exigencia que puede infringir la privacidad de datos. Al final permitirá analizar quien accedió a determinadas políticas, y sobre todo, quién no lo hizo (y quizás lo debería haber hecho).

También los demás focos de la Guía se relacionan con Datos y con el proceso de mejora continua:

Las políticas y procedimientos deben ser de fácil acceso y contar con una función de búsqueda por tema. La accesibilidad a las políticas es por un lado una cuestión técnica (dónde y cómo encontrar la política relevante), pero también tiene otro aspecto de accesibilidad: comprensibilidad. Muchas políticas pueden ser mejoradas para ser de fácil comprensión por los empleados y ejecutivos que no son abogados (ver acá sobre cómo escribir políticas efectivas).

Algo similar vale para las líneas de reporte que deben ser conocidas y las empresas deben testear si los empleados se sienten cómodos usándolas y si son efectivos.

Los entrenamientos deben proveer foros para los empleados para formular preguntas y las empresas deben evaluar la efectividad de los entrenamientos “identificando la medida en la que (el entrenamiento) tiene impacto en el comportamiento del empleado”. No se aclara cómo se podrá medir este impacto. Como la medición de todo impacto de capacitaciones va a resultar difícil y tema de debates.

Mirando a los Programas de Compliance no como una foto sino como una película, no podían faltar los terceros. La Guía aclara que no alcanza con mapear y evaluar los riesgos de terceras partes al principio de la relación comercial. Hay que hacerlo en forma permanente durante todo el ciclo de la relación.

En resumen: La nueva Guía no trae ninguna sorpresa y no le agrega nada a las empresas que ya están trabajando bien el tema.

Poniendo el foco en cómo se vive el programa y como evoluciona en el tiempo, demuestra otra vez que los Programas de Compliance de papel no sirven y es mejor eliminarlos. No sirven para mitigar los múltiples riesgos de compliance ni como mitigante en caso de in incidente. Todo lo contrario, crean cinismo entre los empleados y resultan peor que no tener ningún programa.