Reportes y supervisión: dos caras de la moneda del Compliance efectivo

Hemos repetido como mantra que el apoyo de la Alta Dirección y su involucramiento en la supervisión son esenciales para el éxito del programa de Compliance. Será relevante para la construcción de una cultura adecuada, al mismo tiempo que protegerá a los miembros del Órgano de Administración (Directorio u otras formas similares según el tipo de persona jurídica) de eventuales sanciones, ya que una parte importante de su rol será evaluar la gestión del área de Compliance, asegurando que tenga los recursos necesarios, autonomía e independencia para trabajar. Ahora bien, para ejercer la supervisión, el Directorio debe recibir información adecuada, suficiente y oportuna: se trata del concepto de “reporte” del Oficial de Cumplimiento en sentido amplio, es decir, todo el material que por escrito éste produce y eleva para que el Directorio revise y dé seguimiento. Por supuesto, no se limita a un informe anual de gestión. Puede decirse, entonces, que supervisión y reporte son dos caras de una moneda muy importante para el Compliance, cuyo brillo hablará de la efectividad del programa. ¿A quién reportar? ¿Cuándo y cómo? ¿Qué KPIs deben incluirse? ¿Cómo documentar el feedback? ¿Qué cuestiones conviene que queden plasmadas en Actas y cuáles no?Les ofrecemos una perspectiva práctica de las comunicaciones del departamento de cumplimiento, su relación con el Directorio y el rol de este último.

Por Gianfranco Barchiesi y Raúl Saccani

Copilot Generated. Compliance Reporting Storyline.

Reportes y supervisión: dos caras de la moneda del Compliance efectivo

Por Gianfranco Barchiesi y Raúl Saccani

¿A quién reporta compliance?

Lo ideal, por supuesto, sería una función de cumplimiento independiente de la legal, en la que el Compliance Officer reporte directamente al Órgano de Administración (algunas normas, como las de PLA/FT incluso exigen que sea miembro de éste).Aunque muchas las empresas manifiestan que Compliance reporta al Directorio (el 67%)del mismo estudio surge que el tercio restante sigue reportando al CEO, a legales o a otro departamento dentro de la organización1. Más allá de estas divergencias, se advierte una evolución notable en su línea de reporte,2 aunque las cifras difieran sustancialmente según el informe que se tome de referencia.3

Como reporte entendemos aquí ante quién rinde cuentas el CCO, a quien está al menos formalmente subordinado y quién esperará una comunicación de su actividad. Esta obsesión con la comunicación del departamento de cumplimiento deriva de que, precisamente, una de las características esenciales del CCO es la de ser canal de comunicación dentro de la organización. Saber a quién reporta es saber quién está del otro lado del teléfono rojo. La ubicación de compliance dentro del organigrama y sus líneas de comunicación no son una cuestión puramente administrativa. Es un aspecto que hace a la jerarquía que se le confiere al cumplimiento normativo, la cual se representa también por otros medios.4 La correcta selección de un CCO, jerarquización del rol y entrega de recursos y autoridad adecuados hacen a la correcta confección del área de cumplimiento.5

En resumen, saber a quién reporta el CCO es saber ante quién rinde cuentas, quién está esperando su comunicación, quién debe reaccionar a lo que informe el CCO y por tanto expresa la relevancia institucional de compliance en una empresa.

Copilot Generated. El Directorio

Propósito del Reporte

El punto de partida de la cuestión es qué objetivo tiene el informe. ¿Se trata acaso de un reporte de avance? ¿Se trata de demostrar que soy eficiente? ¿Debe asegurar que la empresa no cometió delitos últimamente? Saber el objetivo nos habla de su esencia, su relevancia y nos ofrece criterios para determinar qué incluir y cómo presentar la información.

En principio, esto dependerá de cada empresa y su concepción de compliance. Cada organización podrá darle al reporte el rol que estime conveniente. Algunas pondrán el foco en la evaluación del desempeño, y el compliance officer buscará la manera de lucir los avances del programa. En otra se buscará subrayar las métricas y poner allí el énfasis.

Otra posibilidad es buscar un “certificado de buena conducta” en el informe, y que el CCO “garantice” que no hay incumplimientos. No se debe perder de vista que elCCO no controla el comportamiento individual ni puede garantizar que no se estén violando las reglas tras las sombras. Cada quien es individualmente responsable de cumplir la ley y de velar por el cumplimiento en su ámbito de control.6

El informe anual es en esencia el documento oficial por excelencia de comunicación entre el CCO y su superior, y la oportunidad para expresar todo aquello que, sin carácter de urgente, está obligado a reportar. El CCO ocupa un rol institucional muy relevante y el informe es un modo de rendición de cuentas de ese rol. Es a la vez un medio de notificación, donde aquello que se comunica en el informe se da por conocido por el superior.

En su oportunidad aportamos lista de recomendaciones para confeccionar el informe anual al Directorio.7 Entre ellas destacamos que hay que definir el contenido, estructura y periodicidad del reporte. Al menos una vez al año se debería confeccionar un reporte de cumplimiento para el Directorio.8 En la medida de lo posible se deben aportar estadísticas y métricas tangibles sobre el programa.

Se recomienda también a su vez, seguir un enfoque basado en riesgos (EBR) en la confección del reporte, recibiendo más atención aspectos más riesgosos. El reporte debe también tratar de guardar una continuidad año a año, presentándose de manera similar, respondiendo a los hilos abiertos el período anterior y dando pie para el desarrollo del siguiente reporte el año siguiente.9

Algunas preguntas para hacerse respecto al contenido del informe son:

  • ¿El reporte incluye una conclusión sobre la evaluación exhaustiva de los riesgos de cumplimiento actuales y emergentes?
  • ¿Se detalla en el reporte el estado de implementación del programa de cumplimiento y sus políticas?
  • ¿Se proporcionan estadísticas y análisis sobre las denuncias recibidas y su resolución?
  • ¿El reporte incluye una evaluación de la eficacia de las capacitaciones en cumplimiento?
  • ¿Se identifican áreas de mejora y se proponen acciones correctivas en el reporte?
  • ¿Se informan las medidas disciplinarias aplicadas por violaciones al programa de cumplimiento?
  • ¿El reporte refleja la participación de la alta dirección en el programa de cumplimiento?
  • ¿Se detalla en el reporte el estado de las auditorías internas y externas relacionadas con el cumplimiento?
  • ¿El reporte incluye información sobre la comunicación y promoción del programa de cumplimiento dentro de la organización?
  • ¿Se presenta en el reporte un análisis de la cultura de cumplimiento dentro de la organización?
  • ¿El Compliance Officer tiene acceso directo e independiente al Directorio para presentar sus hallazgos?
  • ¿Se incluyen en el reporte recomendaciones específicas para mejorar el programa de cumplimiento?
  • ¿El reporte es claro, conciso y proporciona suficiente detalle para la toma de decisiones informadas por parte del Directorio?
  • ¿Se destacan en el reporte los logros y las áreas de éxito del programa de cumplimiento?
  • ¿El reporte incluye un plan de acción para abordar los riesgos y las deficiencias identificadas?

Igualmente importante es que los reportes suelen estar únicamente enfocados en el trabajo pasado, omitiendo un espacio a su proyección futura. Se deben incluir aspectos estratégicos, planes, cambios esperados y dedicarle atención a aquello que puede venir.10

Esta descripción del informe anual, nos obliga a reflexionar sobre el trabajo que se debe hacer a conciencia durante todo el año para recabar esta información. Las diferentes actividades de compliance deben documentarse ya no solo para enfrentar una potencial exposición del programa ante las autoridades, sino también para rendir cuenta internamente y llevar un seguimiento tangible y mesurable de su evolución.

Los aspectos negativos, crisis y riesgos inminentes ocupan un rol destacado dentro del informe. Para un procesamiento más eficiente por el Directorio, es aconsejable acompañar estos puntos de un plan de acción recomendada o sugerida.11

Es esencial sin embargo señalar, que la actividad de reporte no se agota en el informe anual. Toda comunicación con la jerarquía anoticiando aspectos institucionales o rindiendo cuentas de la tarea puede entenderse como un reporte. En este sentido, la actividad de reporte puede verse desde una perspectiva abstracta, institucionalmente más relevante, independientemente de su forma o periodicidad.

Es así que los reportes del Compliance Officer al Directorio suelen tener una recurrencia más frecuente que sólo una vez al año. La frecuencia ideal puede variar según la organización, sus riesgos, tamaño y su sector, generalmente ocurre lo siguiente:

  • Reportes Trimestrales: Es común que los Compliance Officers presenten reportes trimestrales al Directorio. Estos reportes permiten una supervisión más continua y la posibilidad de reaccionar rápidamente a cualquier problema que surja.
  • Reportes Mensuales: En algunas organizaciones, especialmente aquellas con un alto nivel de riesgo o que están en industrias fuertemente reguladas, los reportes pueden ser mensuales. Esto asegura que el Directorio esté siempre informado y pueda tomar decisiones rápidas cuando sea necesario.
  • Reportes Ad-hoc: Además de los reportes regulares, es importante que el Compliance Officer tenga la capacidad de presentar reportes ad-hoc en respuesta a incidentes significativos o cambios importantes en el entorno regulatorio.
  • Reporte Anual: Además de los reportes más frecuentes, un reporte anual puede proporcionar una revisión completa y detallada del estado del programa de cumplimiento, incluyendo una evaluación de su efectividad, logros y áreas de mejora a lo largo del año.

Esta combinación de reportes periódicos y ad-hoc asegura una supervisión efectiva y continua del programa de cumplimiento por parte del Directorio.

Escalación de la Información y Rol de Garante

El papel institucional que desempeña el CCO dentro de la empresa deriva de su rol de garante, desarrollado en profundidad en este newsletter unas semanas atrás.12 En resumidas cuentas, la posición de garantía en general que ocupa el empresario,13 se delega en cabeza del CCO con el alcance específico de actuar como garante del cumplimiento normativo.14 Como dijimos, esto no implica garantizar que nadie va a violar la ley,15 pero sí la de actuar en todo momento como guardián de la legalidad, desarrollando y administrado diligentemente el programa de cumplimiento.16 Este rol de garante incluye específicamente el desarrollo de vías de comunicación desde las bases hasta la jerarquía. Una vía de comunicación alternativa que asegure el flujo de información de relevancia institucional a la cúspide en casos en que esta no pueda seguir su cauce ordinario.17

El CCO viola este rol de garantía, no cuando la empresa incurre en inconducta de algún tipo, sino cuando esta deriva de una severa negligencia en el desarrollo del programa.18 En este sentido, una omisión negligente en la transmisión de información de relevancia institucional que deba ponerse en conocimiento del Directorio puede constituir una violación de su rol de garante. En la tarea cotidiana de cumplimiento se produce mucha información, que ocasionalmente puede ser de relevancia institucional. Un ejemplo puede ser un análisis de riesgo que descubre una vulnerabilidad importante y que exige medidas de mitigación a ser aprobadas por el Directorio

Esta información institucionalmente relevante estará muchas veces en manos de subordinados que consideren que no pueden comunicarlo mediante los canales normales habituales de la compañía. Los motivos pueden ir del miedo a represalias, por ser contraria a los intereses de su superior o sencillamente porque su superior no cumple con su función debidamente. En estos casos, el departamento de cumplimiento tiene el deber de servir como canal de comunicación alternativo, generalmente habilitando una línea de denuncias, garantizando el flujo de información institucionalmente relevante.

Debemos tener presente que la actividad de cumplimiento se reparte en toda la empresa, cada quien es responsable de la legalidad de sus actos desde la primera línea de defensa.19 Dentro de esta estructura no todos conocen qué aspectos son urgentes o institucionalmente relevantes y fallan en identificar qué información deben escalar. Este aspecto es aún más crucial cuando se trata de asuntos urgentes, por ejemplo, cuando deben ser de inmediato comunicados al órgano de contralor. Un caso habitual son los reportes de ataque informático que deben reportarse a la SEC en un plazo perentorio, un tema que se desarrolló en hace unos meses.20 Sobran casos de cómo la primera línea desconocía que debía escalar cierta información, derivando en sanciones, por ejemplo, cuando hay que rectificar libros contables o se advierte la gravedad de un ataque informático, hechos que deben ser comunicados al órgano regulador.21

En primer lugar, está el deber de habilitar canales de comunicación para recibir la información. Esto no es ningún misterio y la constitución de canales de denuncia es un tema muy desarrollado. El seguimiento de estos canales también es fundamental y ha sido incluso objeto de acuerdos con los entes regulatorios en el marco de sanciones.22

En segundo lugar, está la responsabilidad de capacitar al resto de la empresa sobre aquellos casos que involucran información con impacto sobre el cumplimiento normativo. Esto incluye instruir respecto de qué casos se deben reportar, qué información sobre el caso, que documentación y prueba recabar, a quién reportar y también por qué. Especialmente importantes son los casos de transmisión urgente cuando está corriendo un plazo, generalmente a los fines de anoticiar al órgano regulador, caso contrario se aplica una sanción.

Por último y de mayor relevancia para este artículo, el desarrollo de canales de comunicación incluye el destinatario final de la misma. Una vez que se asegura la recepción de la información y esta se procesa dentro del departamento de cumplimiento, hay que desarrollar criterios para identificar qué información debe retransmitirse, a quién y cómo. Lo más fundamental es identificar la información urgente y para quién es relevante. También debe distinguirse aquella información que requiere transmitirse directamente al Directorio de aquella que se puede transmitir a nuestro superior inmediato. En definitiva, se trata de elaborar procedimientos internos que aseguren que la información recibida sea reportada oportunamente al destinatario correcto, en debido tiempo y forma.

Si omite transmitir esta información y por tanto no se toman medidas de mitigación, hay una violación al deber de garante, pudiendo surgir responsabilidad personal por los daños derivados de estos casos. En esta dirección, hay casos concretos que ilustran omisiones de este deber de informar, especialmente el caso de una empresa de software que no informó al Directorio de una sistemática inconducta sexual entre los empleados de la compañía,23 o un banco que le escondía el Directorio prácticas corruptas difundidas en la compañía en su estructura de ventas.24

CopilotGenerated. Teléfono rojo, desconectado.

Teniendo en cuenta esto, podemos clasificar la información que recopila el CCO y su retransmisión en categorías:

Información propia o recibida de terceros. Sin Relevancia Institucional Puede o no ir en el informe anual de compliance.
De relevancia

Institucional

No urgente: Si no ha sido comunicado, debe incluirse en el informe anual, salvo que sea información confidencial o sensible.
Urgente: Debe comunicarse de inmediato
Si además es contraria a los intereses el management: Debe reportarse a la más alta jerarquía del Directorio con celeridad y prudencia.

Duplicación de Funciones

Como vemos, el reporte a Directorio no es una mera formalidad o un simple informe. No se reporta por obligación legal, porque todos los demás lo hacen o para mantener ocupado al CCO. El reporte es un acto jurídico institucional de relevancia dentro de la organización, con el cual tanto el departamento de cumplimiento como el Directorio cumplen además un rol institucional.

Surge entonces una suerte de paradoja, presente en todas las funciones de supervisión del Directorio, consistente en la de la duplicación de funciones. Cuando el Directorio recibe el informe anual o una comunicación extraordinaria queda primero que nada anoticiado de su contenido. En términos jurídicos, “se lo da por notificado”. Surge así en cabeza de él un deber de actuar, de reaccionar.

El rol de garante del CCO fue delegado en su cabeza por el propio Directorio, quien conserva un rol subsidiario de garante.25 El concepto que coloquialmente viene en mente en razón de esta posición de garante subsidiaria es la de “revisión”, en el sentido de que el Directorio debe “revisar” o “controlar” los actos del CCO.

La palabra “revisión” nos remite inmediatamente a la palabra “corrección” y nos trae al ámbito educativo. Si el departamento de compliance reporta al Directorio sería entonces con la finalidad de que el Directorio “corrija” los errores e indique cómo actuar correctamente. Es por ello que, cuando el departamento de compliance comete un error, habitualmente se carga contra el Directorio por no haber intervenido. El Directorio habría fallado en “corregir” los errores del CCO. Esta perspectiva no es del todo acertada. Una corrección del Directorio implicaría revisar todos los actos del departamento de compliance, estudiar si fueron adecuados y ordenar un cambio de criterio en todo aquello que el Directorio tiene una perspectiva diferente. En última instancia, esta dinámica acabaría duplicando los esfuerzos y las tareas de compliance.

El Rol de Revisión

Revisar no es corregir y el rol de garante subsidiario no es equivalente a ser el responsable directo. El responsable directo de que el programa funcione correctamente es el CCO. El rol de garantía del Directorio es subsidiario y su deber de revisión consiste en controlar a grandes rasgos el programa desde un punto de vista general macro, comprobando su funcionamiento efectivo y, sobre todo, poniendo el énfasis en las redflags. En su momento, este Newsletter aportó algunos consejos para mediar la relación entre compliance y el Directorio que es oportuno traer a colación.26

En primer lugar, el director debe corroborar que el CCO está realizando su trabajo, llevando a cabo las tareas esenciales. Verificar por ejemplo si se impartieron las capacitaciones planeadas o en qué quedaron las denuncias recibidas. Deberá a su vez responder a los requerimientos de recursos o decisorios que se le hagan, aunque esto no hace al Directorio responsable ante cualquier negativa.27 Luego deberá buscar cualquier señal de negligencia o falencia grave o cualquier indicio que señale en dicha dirección. Así como el CCO tiene el deber de escalar información de relevancia institucional, debe ser prioridad del Directorio identificarlos y darles respuesta. Por ejemplo, si en el informe se expresan preocupaciones por una estructura de incentivos propensa a la corrupción o políticas de reclutamiento proclives a la discriminación, y el CCO subraya peligrosas consecuencias, se trata de temas que no pueden tomarse a la ligera. Una vez más, esto no significa necesariamente que el Directorio deba seguir las indicaciones de cumplimiento. Lo importante es abordar a conciencia los temas, dedicándoles su debida atención conforme a su relevancia.

Si el programa tiene errores que no son evidentes o se desinforma al Directorio sin que este incurra en omisiones negligentes o ignorancia deliberada, el Directorio no debería ser responsable. No es por tanto función del Directorio dar instrucciones específicas y particulares al CCO sobre el programa, aunque puede hacerlo, ni es su deber buscar errores en el reporte para que el CCO corrija su tarea.

Copilot Generated. El reporte ignorado. La red flag cajoneada.

Algunos ejemplos pueden ilustrar esto:

  • Graves denuncias a miembros del management se encuentran desproporcionalmente irresueltas.
  • Múltiples denuncias contra empleados de un mismo equipo, algunas con documentación. Algunas graves. No hay avances desde hace tiempo.
  • No hay capacitaciones de compliance a los nuevos candidatos ni debida diligencia de los postulantes.
  • Una nueva ley trae aparejado un nuevo riesgo. Su mitigación requiere muchos recursos. Se le hace saber al Directorio en el reporte anual.
  • Se informan avances a lo largo y a lo ancho del programa, sin respaldo documental o métricas

Un aspecto no menor del rol de revisión es que la responsabilidad que entraña es tan alta y en ocasiones el trabajo tan extenuante, que hay directores que contratan abogados o contadores para asistirles. Esto incluye por ejemplo controlar los documentos que se firman por un abogado o los informes contables que se aprueban por un contador.28

Para ir más a fondo, el Directorio podría someter la actividad del departamento a auditoría. En primer lugar, el programa puede auditarse internamente, como toda otra actividad empresaria. Podría verificarse por ejemplo que el contenido de los reportes refleje la realidad, la presencia de respaldo documental o que la revisión del canal de denuncias esté al día.

El programa también se puede auditar externamente, con la misma finalidad o incluso ir más allá e intentar certificarlo. Siempre es oportuno subrayar que certificar normas de compliance, como por ejemplo 37.301, demuestra que el programa está funcionando correctamente; pero no demuestra que la empresa sea ética ni que está realizando todos los esfuerzos de cumplimiento que corresponde. Es posible que, a la vez que la empresa se certifica, se estén llevando a cabo negocios espurios con la complicidad de la alta dirección e incluso del CCO.

¿Cuáles son las métricas más habituales?

Número y Tipo de Denuncias Recibidas:

  • Total de denuncias recibidas.
  • Tipos de denuncias (fraude, acoso, corrupción, etc.).
  • Canales de denuncia utilizados (línea telefónica, correo electrónico, web, presencial).

Tiempo de Respuesta y Resolución:

  • Tiempo promedio para responder a una denuncia.
  • Tiempo promedio para resolver una denuncia.
  • Porcentaje de denuncias resueltas en un tiempo específico (por ejemplo, dentro de 30 días).

Resultados de las Investigaciones:

  • Número de denuncias confirmadas versus no confirmadas.
  • Acciones correctivas tomadas (despidos, sanciones, cambios en políticas).
  • Resultados de las investigaciones (porcentaje de denuncias que resultaron en acción disciplinaria).

Capacitaciones y Sensibilización:

  • Número de empleados capacitados.
  • Temas de las capacitaciones.
  • Evaluación de la efectividad de las capacitaciones (por ejemplo, puntuaciones de evaluaciones post-capacitación).
  • Porcentaje de empleados que completaron las capacitaciones obligatorias.

Evaluaciones de Riesgos:

  • Número de evaluaciones de riesgos realizadas.
  • Principales riesgos identificados.
  • Acciones tomadas para mitigar los riesgos.

Auditorías y Monitoreo:

  • Número de auditorías internas y externas realizadas.
  • Hallazgos de auditoría (porcentaje de hallazgos significativos).
  • Acciones correctivas implementadas como resultado de las auditorías.

Cumplimiento de Políticas y Procedimientos:

  • Porcentaje de áreas de la organización que cumplen con las políticas de cumplimiento.
  • Número de excepciones o desviaciones reportadas y corregidas.

Participación de la Alta Dirección:

  • Número de reuniones de la alta dirección en las que se discutió el cumplimiento.
  • Acciones tomadas por la alta dirección en respuesta a los informes de cumplimiento.

Medidas Disciplinarias:

  • Número de empleados sancionados por violaciones de cumplimiento.
  • Tipos de sanciones aplicadas (advertencias, suspensiones, despidos).

Indicadores de Cultura de Cumplimiento:

  • Resultados de encuestas de percepción sobre la cultura de cumplimiento.
  • Participación en programas de integridad y ética.

Recursos y Presupuesto:

  • Recursos asignados al programa de cumplimiento.
  • Uso del presupuesto de cumplimiento (gastos en capacitación, auditorías, etc.).

Formación en Compliance del Directorio

Una de las recomendaciones más habituales es que el Directorio de la compañía cuente con conocimientos suficientes en materia de cumplimiento. El Directorio tiene múltiples responsabilidades y puede ser difícil conformar y remunerar adecuadamente un cuerpo de ejecutivos de confianza de los accionistas que además cuenten con conocimiento y expertise en ámbitos que se extienden desde las finanzas hasta el compliance, pasando por política económica y tecnología. Esta necesidad de un board con mayores conocimientos técnicos se observa desde hace tiempo y no es una novedad.29

El DOJ explícitamente señala la importancia de que el Directorio tenga algún expertise en la materia y que le dedique tiempo y atención a la cuestión compliance, como sesiones dedicadas exclusivamente a temas de auditoría y compliance, como así también examinar los reportes que presenta compliance. Estos aspectos serán explícitamente considerados por el DOJ a la hora de evaluar el programa de cumplimiento.30 En múltiples ocasiones el DOJ ha considerados decisiones del Directorio para una pena menor. Ejemplos de esto son autodenuncias prematuras, incluso sin seguridad del resultado final de la investigación y posible sanción31 o la inclusión de expertos en compliance en el Directorio.32

Los especialistas en cumplimiento tienen en este sentido la experiencia requerida para incorporar al Directorio estos conocimientos y construir valor empresario.33 De parte de las empresas, hasta hace un par de años demostraban escaso o nulo interés por incorporar profesionales con experiencia como CCOs en el Directorio de sus compañías. Rara vez las reclutadoras reciben estas instrucciones.34

Hasta aquí hemos puesto todo el énfasis en la revisión y supervisión del Directorio sobre la actividad del departamento de cumplimiento, detección de red flags, comprensión del reporte, etc. Esta perspectiva pasa por alto el valioso aporte que puede hacer el CCO para la dirección de la empresa en materia ética y de cumplimiento. La perspectiva de compliance puede ser sumamente valiosa en múltiples áreas de la compañía y hasta desde un punto de vista estratégico. Puede ayudar a la empresa a detectar puntos ciegos o identificar tendencias que pasan desapercibidas, cuestiones que exceden el programa propiamente dicho. Desde este punto de vista, el CCO es una suerte de consultor para el Directorio y su intervención debe ser valorada especialmente en estos ámbitos.35 Este aspecto es tan relevante, que en acuerdos con el órgano regulador se ha contemplado expresamente la intervención del área de cumplimiento previo a embarcarse en nuevos proyectos.36

Resulta a su vez desafiante la puja por la incorporación de expertos en cumplimiento, en un momento en que los requisitos sobre el Directorio se han ensanchado, incluyendo aspectos tanto técnicos como ciberseguridad como también demográficos y de justicia social.37 En un reporte de 2023, solo 55% de las empresas a nivel internacional manifiestan contar con conocimientos de cumplimiento a nivel del Directorio.38

Hoy por hoy, es muy recomendable darle un espacio genuino dentro del Directorio, en un ámbito que no sea testimonial. La inclusión de compliance en las charlas de Directorio no puede ser cosa de cinco minutos para reafirmar que “todo va bien”. El comité de auditoría está muchas veces enfocado en aspectos financieros y compliance queda desplazado.39 Es por ello que algunas empresas lo incluyen por ejemplo dentro de un comité de gobierno corporativo y compliance. La decisión de formar un comité específico dependerá en última instancia de las características específicas de la empresa, con ventajas y desventajas en cada modelo.40 Para cumplir con el rol de revisión, es bueno que el CCO mantenga sesiones privadas con el Directorio o el comité correspondiente, una práctica extendida en el 55% de las empresas.41

Visto desde un punto de vista pragmático, independientemente del posicionamiento del departamento de cumplimiento desde un punto de vista formal, el comité de auditoría habitualmente no tiene la capacidad de atender los asuntos de compliance con el detenimiento que merecen. Es por ello que, en definitiva, ocupa un rol central que el comité de auditoría o el Directorio atienda al responsable de cumplimiento en situaciones clave, cuando es realmente importante. Se recomienda para ello la construcción de un vínculo de confianza para que, llegado el momento, se cuente con su atención cuando sea crucial.42 En definitiva, la clave no está en la estructura sino en que la ética corporativa y el cumplimiento legal sean prioritarios y reciban la atención que merecen.43

Estas cuestiones no son puramente abstractas o teóricas. Estructurar correctamente el departamento de cumplimiento, las líneas de reporte y contar con la formación adecuada tiene un impacto tangible. En 2021 un whistleblower envió una denuncia a la FDA sobre un alimento para bebés que podría ser peligrosa. Por errores de diseño en las líneas internas de reporte y por falta de formación es aspectos alimenticios del destinatario, pasaron cuatro meses hasta que la persona correcta tuviese el reporte en sus manos. Para entonces ya se contaban dos víctimas fatales.44

CopilotGenerated. Exponiendo el informe anual de Compliance.

¿Qué cuestiones pueden/deben documentarse mediante actas u otros instrumentos formales del Órgano de Administración?

Por supuesto, no hay consenso sobre la profundidad y conveniencia de los documentos a producir. En general, se espera una variedad de actas para asegurar una supervisión efectiva del programa de cumplimiento y para documentar las decisiones y acciones tomadas. Sin que se presente como una lista exhaustiva, a continuación algunos de los temas y documentos que el Directorio podría incorporar en la generación de evidencia de su involucramiento/supervisión:

Actas de Reuniones del Directorio:

  • Detalles de las reuniones periódicas del Directorio.
  • Decisiones y resoluciones adoptadas en relación con el programa de cumplimiento.
  • Participación y opiniones de los miembros del Directorio sobre temas de cumplimiento.

Resoluciones del Directorio:

  • Aprobación del Código de Ética y Conducta.
  • Aprobación de políticas de cumplimiento y procedimientos internos.
  • Designación y evaluación del Compliance Officer.

Informes de Auditoría:

  • Informes de auditorías internas y externas sobre el programa de cumplimiento.
  • Hallazgos y recomendaciones de los auditores.
  • Planes de acción para abordar las deficiencias identificadas.

Reportes de Evaluación de Riesgos:

  • Resultados de las evaluaciones de riesgos realizadas.
  • Planes de mitigación de riesgos aprobados por el Directorio.
  • Actualizaciones periódicas sobre la gestión de riesgos.

Actas de Comités de Cumplimiento:

  • Actas de reuniones de comités específicos dedicados al cumplimiento y la ética.
  • Decisiones y acciones tomadas por estos comités.
  • Informes presentados al Directorio principal.

Documentos de Política y Procedimientos:

  • Aprobación y revisión de políticas de cumplimiento.
  • Procedimientos operativos estándares para la implementación de políticas de cumplimiento.
  • Actualizaciones y modificaciones de las políticas existentes.

Informes de Cumplimiento:

  • Informes periódicos del Compliance Officer al Directorio.
  • Análisis de tendencias y estadísticas sobre denuncias y medidas disciplinarias.
  • Evaluación de la efectividad del programa de cumplimiento.

Actas de Sesiones de Capacitación:

  • Documentación de la participación del Directorio en sesiones de capacitación sobre cumplimiento y ética.
  • Temas y contenido de las capacitaciones recibidas por el Directorio.

Planes Estratégicos de Cumplimiento:

  • Planes estratégicos a largo plazo para el programa de cumplimiento.
  • Metas y objetivos establecidos para mejorar el cumplimiento en la organización.

Comunicaciones Formales:

  • Mensajes y comunicados formales del Directorio a la organización sobre la importancia del cumplimiento y la ética.
  • Declaraciones de apoyo al programa de cumplimiento.

Evaluaciones de Desempeño del Programa de Cumplimiento:

  • Evaluaciones periódicas del desempeño del programa de cumplimiento.
  • Indicadores clave de rendimiento y métricas de éxito.
  • Recomendaciones para mejorar la efectividad del programa.

Estos temas/documentos son típicamente el estándar para proporcionar una base sólida de gobernanza y supervisión, y para demostrar el compromiso del Directorio con la ética y el cumplimiento dentro de la organización.

Disclaimer

Los puntos de vista, las opiniones y las posiciones expresadas en todas las publicaciones pertenecen únicamente a los autores y no representan las de la Universidad Austral, el IAE Business School o las empresas o instituciones que las apoyan. No se garantiza la exactitud, integridad y validez de las expresiones hechas en este artículo. No aceptamos ninguna responsabilidad por errores, omisiones o representaciones. Los derechos de autor de este contenido pertenecen a los autores y cualquier responsabilidad con respecto a la infracción de los derechos de propiedad intelectual recae en ellos. En ningún caso podrá ni deberá considerarse la información, análisis y opiniones brindadas en todo o en parte de este artículo como asesoramiento, recomendaciones u opiniones profesionales o legales. El lector que necesite tomar decisiones sobre los temas aquí tratados deberá asesorarse específicamente con profesionales capacitados que evalúen las características, normas legales y conceptos aplicables a su caso específico.

Notas

1 Destacan entre ellos el departamento de informática, que aloja nada más y nada menos que el 18% de los departamentos de cumplimiento. Cfr. Navex, State of Risk & Compliance Report, 2023, https://www.navex.com/en-us/resources/benchmarking-reports/state-risk-compliance/.

2 https://www.radicalcompliance.com/2019/05/16/news-on-ccos-titles-reporting-structure/; https://info.ethisphere.com/hubfs/WME/2019-wme-insights-report-volume3.pdf.

3 https://www.barkergilmore.com/research-report/the-reporting-structure-of-legal-compliance-risk-and-privacy-leadership/.

4 DOJ, Evaluation of Corporate Compliance Programs, 03/2023, https://www.justice.gov/opa/speech/file/1571911/dl, p. 11.

5 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/CorcoyBidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 310 ss.; Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 527.

6 García Cavero, “Criminal Compliance”, p. 105.

7 https://www.gobernabilidadytransparencia.com/2020/04/20/los-reportes-de-compliance-al-Directorio-una-pequena-guia/.

8 https://www.radicalcompliance.com/2019/05/30/boards-need-compliance-committees/.

9 https://www.gobernabilidadytransparencia.com/2020/04/20/los-reportes-de-compliance-al-Directorio-una-pequena-guia/.

10 https://www.radicalcompliance.com/2019/07/28/podcast-ccos-serving-boards/.

11 https://www.gobernabilidadytransparencia.com/2020/04/20/los-reportes-de-compliance-al-Directorio-una-pequena-guia/.

12 https://www.gobernabilidadytransparencia.com/2024/04/24/responsabilidad-penal-individual-y-compliance/#52.

13 Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 523-524; Bermejo/Montiel, “Compliance Officers “tras las rejas”?”, en Saccani/Morales Oliver, “Tratado de Compliance”, p. 210.

14 Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en Mir Puig/CorcoyBidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 344 ss.

15 García Cavero, “Criminal Compliance”, p. 105.

16 García Cavero, “Criminal Compliance”, p. 109; Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en en Mir Puig/CorcoyBidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 340-341.

17 Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 530.

18 Ciertas omisiones son difícilmente vinculables al acaecimiento de un delito, fundamentalmente aquellas vinculadas a la prevención. En cambio aquellas relacionadas a la detección y reacción pueden vincularse más fácilmente a un delito. Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en en Mir Puig/CorcoyBidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 350-351.; A su vez, la responsabilidad varía según el estadío del programa en que se encuentre Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 531-534.

19 https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-spanish.pdf.

20 https://www.gobernabilidadytransparencia.com/2024/02/14/it-nuevo-epicentro-del-compliance/.

21 https://www.sec.gov/news/press-release/2021-102, https://www.sec.gov/files/litigation/complaints/2019/comp-pr2019-194.pdf.

22 https://www.occ.gov/news-issuances/news-releases/2020/nr-occ-2020-132.html; https://www.radicalcompliance.com/2020/10/18/citigroup-part-iii-better-board-oversight/.

23 https://www.wsj.com/articles/activision-videogames-bobby-kotick-sexual-misconduct-allegations-11637075680; https://www.gobernabilidadytransparencia.com/2024/04/24/responsabilidad-penal-individual-y-compliance/#_edn19.

24 https://www.justice.gov/opa/press-release/file/1251346/download, p A-11.

25 Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 525; Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en en Mir Puig/CorcoyBidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 344 ss.

26 https://www.gobernabilidadytransparencia.com/2019/11/19/el-Directorio-y-su-supervision-de-compliance/.

27 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/CorcoyBidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 307 ss.

28 https://www.radicalcompliance.com/2019/11/15/ccos-serving-corporate-boards/.

29 https://www.radicalcompliance.com/2016/01/29/toward-better-boards-and-more-diverse-boards/.

30 DOJ, Evaluation of Corporate Compliance Programs, 03/2023, https://www.justice.gov/opa/speech/file/1571911/dl, p. 10.

31 https://www.sec.gov/files/litigation/admin/2019/34-85149.pdf.

32 https://www.justice.gov/opa/pr/princess-cruise-lines-and-its-parent-company-plead-guilty-environmental-probation-violations; https://www.radicalcompliance.com/2019/12/30/board-cco-relationship-podcast/.

33 https://www.radicalcompliance.com/2019/11/15/ccos-serving-corporate-boards/.

34 https://www.radicalcompliance.com/2019/11/15/ccos-serving-corporate-boards/.

35 Más sobre este aspecto en la siguiente edición del newsletter: https://www.gobernabilidadytransparencia.com/2019/11/19/el-Directorio-y-su-supervision-de-compliance/.

36 https://www.occ.gov/news-issuances/news-releases/2020/nr-occ-2020-132.html; https://www.radicalcompliance.com/2020/10/18/citigroup-part-iii-better-board-oversight/.

37 https://www.radicalcompliance.com/2019/07/28/podcast-ccos-serving-boards/.

38 Navex, State of Risk & Compliance Report, 2023, https://www.navex.com/en-us/resources/benchmarking-reports/state-risk-compliance/.

39 https://www.radicalcompliance.com/2019/12/30/board-cco-relationship-podcast/.

40 https://www.radicalcompliance.com/2019/05/30/boards-need-compliance-committees/.

41 Navex, State of Risk & Compliance Report, 2023, https://www.navex.com/en-us/resources/benchmarking-reports/state-risk-compliance/.

42 https://www.radicalcompliance.com/2019/12/30/board-cco-relationship-podcast/.

43 https://www.radicalcompliance.com/2019/07/28/podcast-ccos-serving-boards/.

44 https://www.radicalcompliance.com/2022/05/27/fdas-lessons-on-internal-reporting/; https://www.washingtonpost.com/politics/2022/05/25/whistleblower-fda-yiannas-report-abbott-baby-formula/.