Los Compliance Officers no solo lidian con las políticas, la capacitación, los ejecutivos y los demás problemas del día a día. Además, tienen que poder probar la efectividad del programa de compliance. Y esto cada vez resulta más difícil.
La Guía actualizada del Departamento de Justicia de los EEUU de junio 2020 (ver aquí) pide que las compañías establezcan “políticas y procedimientos que incorporan la cultura de compliance en su negocio del día a día”. Este punto convierte el tema de la Cultura de Compliance en una de las tendencias más importantes para los Compliance Officers.
Cultura por definición es “cómo se hacen las cosas por acá”. Y este “cómo se hacen las cosas por acá”, hoy se puede medir con gran exactitud. La tecnología con la enorme cantidad de datos de todos los índoles lo hace posible. El aspecto cultural de compliance se convierte de un aspecto “soft”en uno duro y medible.
Los Reguladores lo vieron y la Guía del Depto. De Justicia de los EEUU en su versión actualizada ahora pone mucho énfasis en el uso de datos para los fines de Compliance. Pregunta expresamente si el Área de Compliance tiene suficiente acceso directo o indirecto a las fuentes relevantes de datos que permiten un monitoreo y/o testeo efectivo de políticas, controles y transacciones.
Antes, los Reguladores preguntaron por la documentación de un Programa de Compliance, básicamente normas y regulaciones. Después, agregaron entre sus requerimientos la importancia de la ética y la efectividad, pero sin prescribir cómo medirla. Ahora esto está cambiando. La utilización de los datos que provee el monitoreo de empleados y sus comunicaciones, de transacciones, el uso de las herramientas de Compliance como las políticas y líneas de reporte hacen visible “como se hacen las cosas”. Se pueden (y deben) detectar puntos débiles y remediarlos. En el caso de una investigación, los investigadores no solo preguntarán si el Compliance Officer tiene acceso a los datos sino también si los ha utilizado y con qué fines.
Las fuentes de datos son incontables y todos los días se agregan nuevas. La posibilidad de ver cuáles de las políticas publicadas en la intranet de la compañía fueron las más consultadas (y por quienes), permite detectar temas que requieren más atención de Compliance y/o mejor capacitación.
Se podrá saber si la nueva versión del Código de Ética de la empresa fue solo firmada y archivada o realmente leída y si es una fuente de consultación. Los resultados permiten conclusiones sobre su importancia para el comportamiento de los empleados y si es un reflejo de la cultura o solo un texto sin importancia para como realmente se hacen las cosas.
Las estadísticas del uso de las diferentes canales para reportar denuncias pueden dar indicios sobre la confianza (o su ausencia) en la confidencialidad, el clima de transparencia y el medio a represalias. Se puede saber si las capacitaciones son exitosas, qué preguntas de los tests online suelen contestarse con errores y sacar conclusiones para su mejora.
El monitoreo de empleados, de sus actividades online, sus emails, sus mensajes y otras formas de interacción abren un nuevo frente de discusión sobre su legalidad y conveniencia. Pero se hace. Y la mayoría de las discusiones se limita solo a la pregunta si la empresa necesita la conformidad del empleado para realizar el monitoreo y no, si el monitoreo en sí es admisible. En algunos bancos ya hace tiempo se monitorean las actividades de los traders en sus redes sociales, sus emails y demás comunicaciones para determinar a través de algoritmos si pueden constituir un riesgo frente a determinadas operaciones. En estos casos el sistema les envía automáticamente antes de estas operaciones una advertencia y el texto de la política correspondiente.
La lista se puede alargar con muchos más ejemplos y crece con la digitalización de los procesos.
Para muchos Compliance Officers el uso de datos es todavía un terreno nuevo. Requiere una visión y métodos diferentes a la tradicional. Vale la pena dedicar tiempo y recursos al tema. No solo porque los reguladores lo exigen para poder probar la efectividad del Programa de Compliance. Son la herramienta para conocer la situación real de la efectividad de las diferentes herramientas del Programa de Compliance y de adelantarse a lo que piden los Reguladores.