Por Abg. Gianfranco Barchiesi. Se multiplican las estructuras de control como calidad y IT obligadas a abrirle la puerta a Compliance ¿cuál es el límite? ¿El Chief Compliance Officer debe intervenir en todo? Sacando a la luz la penetración de compliance en toda la empresa con sus claroscuros. Un llamado a descubrir los principios que rigen esta dinámica de expansión.
Gianfranco Barchiesi es abogado de la Universidad de Mendoza y ex alumno del IAE, especialista en cumplimiento normativo y temas a fin. Como becario del DAAD se encuentra actualmente realizando una investigación doctoral en Alemania sobre la “adaptación de los programas de compliance de multinacionales a la realidad local en terceros países”. LinkedIn: https://www.linkedin.com/in/gianfranco-barchiesi/
Resumen
Hablando con precisión: ¿Qué son los controles? Toda empresa está repleta de ellos y compliance se construyó en torno a los llamados “controles internos”, orientados a garantizar el control sobre los activos y la calidad de la información financiera. Assurance es justamente la construcción de seguridad en estos informes.
Desde ya que sin controles no hay ni empresa ni compliance, pero los controles internos son además obligatorios en sí mismos: La omisión de controles por sí misma es sancionable. Encima de esto, compliance debe reforzar los controles internos desde su perspectiva, para cumplir nuevos objetivos.
EL PLOT TWIST nos lo ofrece el nuevo acuerdo del DOJ con Boeing, el cual manda la intervención de compliance en los controles de calidad y producción. Inesperado, lo dejamos pasar, pero vemos que mandatos similares se repiten en otras áreas como en ciberseguridad, donde la SEC manda una vez más al CCO a intervenir en los controles de otra área, a pesar de que la justicia no comparta este criterio.
Ponemos la lupa y vemos que otras áreas como el de los Derechos Humanos e incluso ambiental ya tienen a compliance encima. ¿Por qué no ir más allá? ¿Y los informes técnicos? ¿Y el R&D?
¿Es lógica esta expansión? ¿Cuál es el criterio que determina la ampliación de compliance? ¿Cómo se debe proceder? ¿Cuáles son los límites?
Todos estos temas desarrollados en el siguiente artículo que les invito a leer.
Controles
Antes de hablar de “controles internos”, una aproximación al tema de los controles. Controles son toda medida que se introduce en una organización con el propósito de asegurar que los agentes involucrados en la actividad operen dentro del marco de lo previsto. Son intervenciones tendientes a que el curso de los hechos siga un cauce prestablecido, dentro de un determinado ámbito de acción. El control es lo que trae a la norma al mundo de lo real buscando que se cumpla y es así un mecanismo de enforcement normativo ex-ante previo a cualquier infracción. Por ejemplo, si una norma ordena que “no se puede utilizar la sala de reuniones después de las 15:00” un control es ponerle llave a la puerta a las 15:00. Si alguien manda que no se puede comprar combustible con la tarjeta corporativa, un control es rechazar los pagos a estaciones de servicios o fiscalizar los resúmenes en busca de transacciones a estaciones de servicio. La RAE define control como “comprobación, inspección, fiscalización, intervención”1 y se trata de un concepto asociable a diferentes ámbitos de la empresa. Por ejemplo, en el ámbito de control de calidad, refiere a las medidas tendientes a garantizar que los productos cumplan con un determinado estándar. Hay control también en lo que hace a la seguridad laboral y prevención de accidentes, controlando que los empleados eviten y mitiguen riesgos a su salud en su tarea. No hay área de la empresa que carezca de ellos.
Organización es, por definición, orden, estructura, sistema, todo lo cual demanda control. En el descontrol, más que organización hay desorganización. La necesidad de controles no debe entenderse como una opresión, sino como un equilibrio. El desafío está justamente allí, en establecer un orden mediante normas y controles que garantice un marco de acción de lo permitido lo más amplio posible, que dé lugar a la creatividad y al descubrimiento de mejores alternativas, sin devenir en un descontrol anárquico.
Visto así, controles son una herramienta de gobierno corporativo y pueden entenderse aquí como un modo de resolver el problema de agencia,2 es decir, de que el subordinado actúe en interés de quien lo puso en ese puesto y no en interés propio. Los seres humanos tenemos un impulso natural a actuar en interés propio y allí radica muchas veces el origen del incumplimiento. Los controles previenen este accionar contrario a los intereses del principal y pueden entenderse entonces como un costo de agencia.
Como vemos, los controles definen a la organización como tal. Sin ellos no hay orden y toda organización es por definición un cierto grado de orden, el cual requiere necesariamente de controles. Toda empresa hasta la más pequeña requiere normas que la ordenen, la diferencia está en que, en las grandes organizaciones, estos controles alcanzan un alto grado de formalización, son supervisados y obligatorios.
Compliance, Auditoría y Controles Internos
Dentro de este gran género que es el de los controles, más específicamente en el ámbito de la auditoría y prevención del fraude corporativo, se entiende como “control interno” a las normas tendientes a garantizar la integridad y fidelidad de los reportes financieros y a proteger el patrimonio de la empresa, tanto el acceso a los fondos como a los demás activos. Quedan incluidas aquí por ejemplo las normas que facultan a la disposición de fondos, controlan el uso de activos, su inventario, su conservación y contribuyen a su correcta contabilización para un reporte fidedigno. Se monta así una estructura de reglas, responsabilidades, facultades, controles, registros, monitoreos, etc. tendientes a controlar el accionar de los agentes de la organización, impidiendo que los individuos puedan actuar fuera de este marco, de manera encubierta, desviando activos o manipulando datos contables con objetivos individuales.
Con la difusión de los departamentos de auditoría, la actividad de control interno quedó íntimamente ligada a este. Sin embargo, como es sabido, el departamento de cumplimiento se sirve de muchos de los mismos controles que supervisa el departamento de auditoría interna. Históricamente, el compliance corporativo tal y como lo conocemos hoy, emerge en grandes empresas que ya contaban con robustos controles y programas de auditoría. Compliance quedó definido por la novedad que aportaba y por este motivo controles internos es un aspecto muchas veces pasado por alto en el mundo del cumplimiento. No se puede sin embargo hablar de un programa de cumplimiento en una organización carente de los controles internos más elementales para la toma de decisiones, documentación, gestión de recursos y supervisión financiera.3 Es por ello que podríamos decir que contar con un cierto grado de desarrollo de controles internos es un verdadero prerrequisito para el desarrollo del cumplimiento normativo.4
Especialmente en el caso de las PyMEs,5 se observa muchas veces en empresas sencillas que un fuerte compromiso con la ética corporativa hace desembarcar compliance previo al desarrollo de controles. En estas circunstancias, será esta una de las primeras tareas del departamento de cumplimiento para prevenir inconductas, ya que tal y como se dijo, una estructura mínima de controles es un prerrequisito para montar un programa de cumplimiento.
Sobre los controles internos tradicionales, compliance corporativo también promueve el desarrollo de controles a los cuales también se denomina usualmente controles internos, pero en este caso son medidas que intentan garantizar el cumplimiento normativo.6 Claro está que prácticamente todos los controles de la organización son técnicamente “controles internos”, pero esta denominación no se emplea en todos los casos, por ejemplo, en los controles de seguridad, sino más bien a aquellos que hacen al orden contable/financiero y a la conformidad con las normas. De este modo, el término “controles internos” se torna equívoco, ya que con un mismo nombre se hace referencia a controles diferentes, aunque se superpongan en múltiples momentos. Puede decirse entonces que, si bien muchas medidas de compliance son controles, no todas las medidas de compliance son controles, ni todos los controles internos son controles de compliance; pero sí todos los controles de compliance son controles internos. Esto en principio, porque a partir del fallo Boeing se requiere la intervención de compliance en los controles de otras áreas y mantener la denominación de “controles internos” puede llevar a mayores equívocos. De esto más adelante.
El triángulo de Cressey aborda directamente esta necesidad de controles de cumplimiento cuando hace referencia a una oportunidad para cometer el fraude, donde la ausencia de controles pone al agente frente a más oportunidades de defraudar.7 En definitiva, un ambiente de control laxo es propenso al fraude y la inconducta.
Surge de aquí una cooperación permanente entre ambos departamentos que se puede observar con claridad en el Framework de la Triple Línea De Defensa, donde cumplimiento está en la segunda línea y auditoría en la tercera.8 Auditoría se ocupa principalmente del diseño e introducción de los controles y en el control de su observancia, revisando periódicamente que estén operando como es debido. Luego compliance refuerza la observancia de los controles y el compromiso con el cumplimiento normativo y colabora con el diseño de controles que pueden contribuir al cumplimiento de las normas. También vale mencionar que los controles son a su modo necesarios en todos los niveles de la organización, inclusive para el CEO, para quien la falta de controles puede ser un importante aliciente a incurrir en inconductas con fines de lucro.9
Del mismo modo que un exceso de controles es capaz de coartar la creatividad y el flujo normal de la actividad dentro de la empresa, el desarrollo de controles de compliance excesivos también puede tener un efecto negativo. Controles de cumplimiento excesivos y sobre todo mal diseñados pueden entorpecer la actividad productiva. También debemos considerar que pueden generar resistencia dentro de la organización y es por ello recomendable proceder con prudencia.10 Un factor fundamental es legitimar los controles y adaptarlos a medida de las necesidades de la primera línea.11 Para estos fines es imprescindible la participación de la primera línea de defensa y de los managers, de modo tal que cuando los controles entran en vigor estos no se presentan como algo impuesto desde arriba sino una medida consensuada.12
Obligatoriedad de los Controles Internos
Está claro hasta aquí que el buen gobierno corporativo demanda la introducción de controles internos y que, por lo tanto, su omisión podría implicar una violación al deber de cuidado, de cómo actuaría el buen hombre de negocios y acarrear responsabilidad individual. También es evidente que sin controles internos la empresa incurriría más tarde o más temprano en violaciones a sus deberes legales, lo cual podría acarrear multas y sanciones. Además, es deber de la empresa que los informes contables sean fidedignos, lo cual requiere robustos controles internos. Resulta evidente desde estos diversos puntos de vista que el desarrollo de controles internos es indirectamente obligatorio. La pregunta es hasta qué punto el desarrollo de controles internos es directamente obligatorio, es decir, si hay normas que mandan su desarrollo de manera inmediata.
La FCPA es de especial relevancia para quienes se dedican al cumplimiento normativo y una de sus columnas centrales es el desarrollo de controles internos. Esta norma, que prohíbe el pago de sobornos a funcionarios extranjeros, también manda al desarrollo de controles internos que aseguren un control sobre los activos de la compañía y precisión de los registros financieros, proveyendo información financiera contable suficiente para la prevención y detección de fraudes. La omisión de este deber puede resultar en sanciones para la empresa, más allá del pago o no de sobornos.13
La ley Sarbanes-Oxley Act (SOX),14 sancionada luego de los escándalos de Enron y WorldCom, tiene precisamente este propósito de prevenir nuevos fraudes financieros y contables como los que incubaron estas dos empresas. Es con este propósito que la norma incorpora normas de cumplimiento, destacándose el canal de denuncias obligatorio que posibilita la denuncia de fraude por cualquiera que lo advierta. En verdad, el núcleo de la norma es el refuerzo de los controles internos en su sección 404, que manda a su vez la evaluación externa de los controles internos. A los fines de la conformación de una estructura de controles internos, el framework integral de control interno (ICSR) de COSO (Committee of Sponsoring Organizations of the Treadway Commission),15 es una metodología muy difundida.
Las reformas introducidas por la SOX están íntimamente vinculadas a la idea de assurance. Assurance es el proceso de construcción de seguridad y confianza en la información provista en los informes financieros. Esto se logra mediante los controles internos, que deben ser evaluados y auditados interna y externamente para que gocen de la seguridad necesaria para brindar información confiable, información que a su nutre los informes financieros y que si es confiable hay assurance.
Por último, la SEC manda también al desarrollo de controles y procedimientos internos con el mismo propósito de asegurar la verosimilitud de la información financiera en la norma § 240.13a-15 de la Securities and Exchange Act de 1934.16 Por ejemplo, cuando una empresa manipula la información contable sobra la cual se confeccionan los libros para proyectar una situación financiera más robusta, la SEC lo considerará una violación a los controles internos.17
La obligación de desarrollar controles internos habitualmente excede la mera prevención de infracciones, ya que se ha convertido en un deber en sí mismo. Si se analizan de cerca muchas de las sanciones impuestas por la SEC, advertiremos que en una porción importante de los casos no hay inconducta propiamente dicha en un sentido tradicional, sino que la ilegalidad consiste meramente en la omisión de los controles.18
Estos controles internos que manda la ley, generalmente útiles para compliance, no se ajustan ni satisfacen todas las necesidades del departamento de cumplimiento. El mejor ejemplo es el de “materialidad”, que hace referencia principalmente a la magnitud de los montos involucrados en un error. Especialmente en empresas de gran envergadura que manejan millones de dólares, una suma de varios miles de dólares puede no representar un error material para los reportes financieros y escaparse en los controles internos. Esa misma suma, un error marginal desde el punto de vista contable, puede ser muy representativo desde la perspectiva del cumplimiento. Es por eso que compliance debe verificar si estos controles satisfacen sus necesidades y adaptarlos cuando sea necesario.19
Otro factor a considerar es el rol que juegan las nuevas tecnologías en esta dinámica. Hoy por hoy, el sistema informático activa los controles automáticamente y la intervención humana consiste muchas veces en administrar excepciones. En esta tarea es necesario desarrollar una sensibilidad que permita separar los casos sospechosos de las excepciones necesarias. Desde un punto de vista procedimental, también es necesario recabar la documentación que justifique dichas excepciones.20
Boeing Plea Agreement
El mundo del cumplimiento normativo mira con atención el caso Boeing, en el marco del cual se ha producido una importante novedad, en tanto la empresa ha llegado a un acuerdo con el DOJ para declararse culpable.21 No es necesario profundizar demasiado en las fallas técnicas y accidentes que ha sufrido la compañía.22 Los términos del acuerdo dejan una profunda enseñanza en lo que hace al cumplimiento normativo y su relación con los controles internos.
En primer lugar, el acuerdo compromete a la compañía a involucrar compliance en los controles de calidad y seguridad de Boeing.23 Esta que sería en principio una cuestión técnica ajena al cumplimiento, se incorpora como un tema a considerar, aunque aún no esté del todo claro el cómo.24 Vemos aquí una vez más la integración de compliance en áreas técnicas, similar a su participación en la confección de informes técnicos de ingeniería, tema que desarrollamos el mes pasado.25 En gran medida, los cambios consisten en reforzar la inspección y procedimientos de fabricación. Hasta el momento los mecánicos debían inspeccionar gran parte de su propio trabajo y hay otro evidente conflicto de intereses en los inspectores del órgano de contralor estatal, quienes son pagados directamente por la compañía, a pesar de trabajar para el órgano de contralor. En palabras del CFO, la prioridad en la línea de producción era el avance del producto avión a lo largo de la línea de producción. Los atrasos o las imperfecciones podían corregirse luego.26 El propósito de la intervención de compliance es tratar de corregir estas inconsistencias.
El incidente de la pérdida de la puerta y la ausencia del tornillo está relacionado con el proceso de tercerización de la producción en empresas proveedoras.27 Este riesgo del proceso de tercerización fue señalado ya en 200128 y 10 años atrás ya se podían observar problemas derivados de este riesgo.29 La obtención de ganancias es el primer objetivo, el más importante y fundamental para toda compañía, pero no debe obtenerse en desmedro de otros activos y valores. La tercerización es sin duda una estrategia válida, pero si se ponen riesgo intereses superiores debe revisarse la decisión.30 Juega un rol especial aquí Spirit, una empresa que formaba parte de Boeing, que participa en el proceso de fabricación de la aeronave. Una de las medidas de mitigación de Boeing es recomprar este proveedor para tener un mayor control de la cadena productiva.31
Para reforzar la cultura corporativa, el nuevo acuerdo compromete a la compañía a reforzar el tone from the top. Más llamativo aún es el rol preponderante que se le da a los mandos medios de la compañía, gerentes y managers, en reforzar la cultura corporativa. El acuerdo compromete a la empresa a asegurar que estos actores promuevan una cultura corporativa saludable. Uno de los whistleblowers era un manager de calidad que señala que la empresa desincentivaba que se señalen fallas en la producción,32 actitud contraria al “speak up”. No queda del todo claro de qué modo debe fomentarse el compromiso de estos mandos medios.33
El acuerdo también obliga a la contratación de un monitor que vigilará la evolución del programa por el plazo estándar de tres años. El acuerdo fija además un monto de inversión en el programa de cumplimiento normativo que es incluso mayor que la multa.34 El monto del acuerdo es tema de estudio aparte, por demás interesante.35
Otra nota importante del caso es que se obliga a los miembros del board a reunirse con las familias de las víctimas. Este “deber de empatía” de escuchar resulta sumamente interesante y nos deja un importante precedente para la gestión de stakeholders.36
Queda entonces establecido con el caso Boeing, que en ciertas ocasiones puede ser no solo positiva sino además obligatoria la participación de compliance en los controles de otras áreas.
Ciberseguridad y Controles Internos
Los controles de calidad no son el único espacio hacia donde el órgano regulador ha extendido la influencia del departamento de cumplimiento. En 2023 la SEC sancionó un reglamento que obliga a las empresas que sufren un ciberataque a reportarlo a la brevedad en caso de que el mismo fuese material.37 Antes y después de esta reglamentación, numerosas sanciones de los órganos reguladores apuntan a expandir compliance hacia el ámbito de ciberseguridad.38 En uno de los casos se sanciona a una empresa por no reportar a tiempo un ataque informático.39 En el caso en cuestión, a pesar de que el ataque informático no afectó los activos de la empresa, se la sancionó porque el ataque representa una violación al deber de controles interno, considerando que no se pueden mantener controles internos efectivos sin una robusta infraestructura de ciberseguridad.40
En este mismo sentido y en un caso similar, la corte suprema norteamericana le da la razón a la empresa y dictamina que el solo hecho de que un ataque informático pueda poner en peligro los controles internos de los activos y de los registros contables no equipara a unos con otros. Dicho de otro modo, que debilidades en los controles de ciberseguridad, a pesar de tener un potencial impacto sobre los libros y los activos, no pueden dar lugar a sanciones porque no forman parte de los controles internos.41 Se observa así una clara contradicción con la sanción anterior impuesta por la procuraduría y que no se judicializó.42
Por otro lado, una empresa intermediaria del mercado accionario fue sancionada esta semana por dos ataques cibernéticos.43 En estos casos sí se afectaron los activos de la empresa, ya que llevó al intermediario a emitir acciones de clientes, venderlas y transferir el dinero a los atacantes, sumado a que después del segundo ataque la empresa quedó sin sistema, operando de manera analógica por teléfono 4 meses. En ambos ataques salieron a relucir pobres controles de acceso y aunque la empresa trató de tomar medidas de remediación luego del primer caso, no se hizo un correcto seguimiento de los controles. El caso nos enseña el valor de hacer un enforcement interno de los controles para que tengan efectividad.44
Compliance fuera de Control e Inseguridad Jurídica
Siempre el área de cumplimiento fue más allá de su deber legal y la pregunta del límite de compliance no es nueva. El alcance del área de compliance estaba originalmente fijada por consenso. Áreas como anticorrupción, la prevención de lavado de activos y la defensa de la competencia entre otras se consideraban incluidas. De a poco se expandió para abarcar otras áreas tales como el acoso laboral e inclusive cuestiones ambientales, normalmente superpuestas con otros departamentos. Nada impide que esta tendencia expansionista continúe, especialmente si la justicia la promueve en un contexto de inflación regulatoria. La pregunta del millón es ¿dónde está el límite? ¿Debería continuar esta expansión a otras áreas?
El primer problema es la creciente inseguridad jurídica respecto de hasta dónde llega estedeber de involucrar compliance en los demás controles de la compañía y las consecuencias de esta omisión. Más allá del claro mandato a involucrar compliance en los controles internos que garantizan la integridad del patrimonio de la empresa y de los libros contables, aflora un amplio margen de incertidumbre respecto del deber de inocular el compliance en otros sistemas de control. Los órganos de enforcement han decidido ex post, más de una vez, que compliance debió haberse involucrado en los controles de otras áreas. ¿Cuál es el criterio de este mandato? Hasta aquí al menos, no se observan casos de responsabilización personal del CCO o de otro individuo por esta omisión, pero nada impediría que este asunto aflore en el futuro.
La buena noticia en este sentido es que, una vez interpuesta la sanción, los órganos regulatorios son bastante claros respecto de sus expectativas y qué clase de actos consideran violatorios de esa regulación y cuáles no. Esto se ve reflejado en los casos aquí expuestos. Es importante por ello prestar atención a sus declaraciones, y sobre todo a los precedentes de enforcement. Estudiar estas manifestaciones de los órganos públicos se vuelve fundamental porque es el único espacio donde se señala con nitidez la dirección de su actividad. Los propios órganos de contralor declaran que esta es la manera de identificar sus obligaciones y saber a qué atenerse.45
Luego puede suceder que el criterio de los fiscales del DOJ o del órgano regulatorio estén desalineados con la perspectiva seguida por la justicia. Hay en este sentido un importantísimo reacomodamiento, donde la justicia está poniendo nuevos límites a las facultades regulatorias de los órganos gubernamentales. Aun así, este retiro de facultades regulatorias reforzaría el fenómeno antes descripto de “regulación mediante enforcement”. Es decir, ya que no es posible sancionar una regulación de manera formal, será a través del ejercicio de las facultades sancionatorias, las enforcement actions, discursos o comunicados de prensa que se hará saber qué se espera de las empresas, subrayando doblemente el rol central del estudio de casos.46
Criterio de Proyección a otras áreas
En el caso Boeing vimos que compliance debe involucrarse en el proceso de producción y control de calidad, seguridad de producto, y luego se presentaron casos donde se espera su participación en ciberseguridad. Nada impide ir más allá. Anteriormente vimos la potencial intervención de compliance en la construcción de seguridad de los informes técnicos para infraestructura.47 Se puede pensar por ejemplo en una empresa farmacéutica que lleva adelante estudios clínicos sobre la viabilidad de un nuevo fármaco. El fraude en análisis clínicos es un gran problema48 con consecuencias de amplio alcance.49 Compliance puede probablemente colaborar con estos riesgos.Sin duda, este nuevo paradigma le abre la puerta a compliance hacia todos los controles de la compañía en las diferentes áreas y debemos preguntarnos entonces cuál es el criterio que rige esta expansión y cuál es el límite.
Para fijar nuevamente un límite al alcance del compliance debemos considerar que este solo interviene cuando
- Involucra algún aspecto legal, regulatorio o al menos ético. No intervendría entonces cuando los controles no intentan prevenir una infracción ética o legal. Imaginemos un control que tiene como propósito asegurar que un producto alimenticio tenga precisamente el sabor esperado y no otro, donde compliance no tendría nada que hacer.
- Las herramientas de compliance pueden aportaralguna solución. La mayoría de los departamentos tendrán controles que cumplan con estos primeros dos criterios.
- El criterio más importante a tener en cuenta es considerar cuáles son los bienes jurídicos en juego, es decir, cuáles serían las consecuencias de una potencial violación de dichos controles. En particular, si hay un riesgo para la vida o integridad física de las personas, la integridad pública o la competencia de los mercados, puede haber una expectativa de intervención. En cambio, si una falla en los controles daría lugar simplemente a daños menores, no se ve justificada la intervención de compliance.
Para poner a prueba este principio pensemos por ejemplo una situación hipotética donde se disparan los accidentes laborales en una empresa, un ámbito no tradicional del cumplimiento normativo. En contraste, otras empresas similares son capaces de operar con mayor seguridad y se observa que esta disparada de accidentes sería evitable. En este contexto podemos imaginar una multa del ministerio de trabajo y quién sabe, quizás también una demanda penal. En cualquiera de estas instancias es posible que un organismo acabe ordenando la intervención del área de cumplimiento en los controles del área de higiene y seguridad. Se trata claro de un área legalmente regulada, donde compliance puede dar un aporte positivo y donde está en juego la integridad física.
En estos casos, lo que se espera de compliance es que desde la segunda línea de defensa asista a la primera en sus controles, asegurando que estos sean suficientes, que se implementen con compromiso, que este compromiso se refleje en la alta dirección, abrirse a reportes sobre sus fallos, etc. En definitiva, aplicar un manual conocido sobre controles de otras áreas y sumar el apoyo de este tercero.
Un aspecto central en cualquiera de los casos es asegurar el efectivo funcionamiento de la línea de denuncias para fallas en cualquier control, ya que los canales de comunicación han sido el eje en torno del cual hay mayor riesgo de responsabilización.50 Se está consolidando un rol institucional del área de cumplimiento normativo consistente en asegurar una vía de comunicación alternativa, paralela a la línea jerárquica tradicional, que asegure que aquella información de relevancia institucional alcance a la jerarquía y no pueda ser bloqueada por el resto de la estructura.En un acuerdo con el departamento de justicia que hace escasa mención a compliance, se menciona la ausencia de mecanismos de reportes y controles en la prescripción de los opiáceos.51 Resulta verosímil imaginarse el mismo acuerdo en 2024 incluyendo alguna referencia al desarrollo de medidas de compliance en los mecanismos de control de comercialización del medicamento para prevenir daños en la salud de la población.
De todos modos, la intervención de compliance debe ser prudente. Debemos recordar que compliance no es el responsable de supervisar o controlar cada arista de la empresa y esta tendencia puede fácilmente desembocar en duplicación de tareas, trabas y burocratización de la actividad. Como se ilustró anteriormente, excesos de controles resulta en opresión. La intervención de compliance debe ser subsidiaria y limitada, solo cuando se observen falencias que justifiquen su intervención. En la medida que la primera línea pueda subsanar estas falencias por sí misma, compliance debe mantenerse al margen. En ningún caso debe compliance acabar tácitamente reemplazando a los responsables directos de los controles.
Conclusión
Luego de ubicar a compliance en el universo de controles empresarios y especialmente en relación a los controles internos de auditoría, descubrimos que, en primer lugar, el desarrollo de un programa de cumplimiento depende de una infraestructura de controles preexistentes para la introducción de controles de compliance. Caso contrario, el responsable de cumplimiento deberá montar una estructura mínima de controles sobre el cual operará el programa. Vemos a su vez que múltiples normas mandan de uno u otro modo la introducción de estos controles, desde la FCPA, SOX o la reglamentación de la SEC. Además, vale decir que esto no es letra muerta: los órganos de contralor hacen efectivo este mandato mediante investigaciones y multas.
Sin embargo y a poco de andar, advertimos que las responsabilidades legales del programa exceden las relacionadas al fraude corporativo, la manipulación de los reportes financieros y los crímenes corporativos más clásicos. Múltiples sanciones y reglamentaciones revelan una expectativa sobre el programa de cumplimiento de que intervenga en los controles de otras áreas. Se vuelve central el estudio de estos casos para descubrir las expectativas de estos órganos y el alcance de compliance.
Una de las principales conclusiones es entonces el necesario involucramiento del aparato de compliance en los controles de otras actividades. Ya no hay barreras que encasillan a compliance en algunos temas, sino que todo aquello que sea relevante a nivel normativo y regulatorio y que pueda acarrear consigo el daño a determinados bienes jurídicos protegidos demanda la intervención, al menos indirecta, del departamento de cumplimiento.
Dicho de otro modo, al estudiar la relación de compliance y controles internos, particularmente a la luz de las últimas resoluciones judiciales, descubrimos un avance de compliance sobre otras áreas de la empresa. Se trata de un avance justificado, que es una evolución para el departamento de cumplimiento, pero también un avance que debe concretarse con prudencia, de manera subsidiaria y excepcional, respetando las facultades de otras áreas y empoderando a la primera línea.
Disclaimer
Los puntos de vista, las opiniones y las posiciones expresadas en todas las publicaciones pertenecen únicamente a los autores y no representan las de la Universidad Austral, el IAE Business School o las empresas o instituciones que las apoyan. No se garantiza la exactitud, integridad y validez de las expresiones hechas en este artículo. No aceptamos ninguna responsabilidad por errores, omisiones o representaciones. Los derechos de autor de este contenido pertenecen a los autores y cualquier responsabilidad con respecto a la infracción de los derechos de propiedad intelectual recae en ellos. En ningún caso podrá ni deberá considerarse la información, análisis y opiniones brindadas en todo o en parte de este artículo como asesoramiento, recomendaciones u opiniones profesionales o legales. El lector que necesite tomar decisiones sobre los temas aquí tratados deberá asesorarse específicamente con profesionales capacitados que evalúen las características, normas legales y conceptos aplicables a su caso específico.
Referencias
2 Jensen/Meckling, “Theory of the Firm: Managerial Behavior, Agency Costs and Ownership Structure”, Journal of Financial Economics, Vol. 3, Nº 4, p. 305-360, https://doi.org/10.1016/0304-405X(76)90026-X.
3 Fox, The Compliance Handbook, p. 34.
4 Davidson/Day/Smith, Executives' “off-the-job” behavior, corporate culture, and financial reporting risk, Journal of Financial Economics, Vol. 117, Nº 1, 5-28.
5 https://www.argentina.gob.ar/sites/default/files/guia_pymes.pdf
6 https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0378#mainText.
7 Cressey,Other People's Money: a Study in the Social Psychology of Embezzlement.
8 https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-english.pdf.
9 Gwirtzman, Is Bribery Defensible?, New York Times Magazine, 05/10/1975, p. 245.
10 Ashforth/Anand,The Normalization of Corruption in Organizations, Research in Organizational Behavior, Vol. 25, p. 1-52.
11 Sobre la legitimidad de las normas, Tyler, Why people Obey the Law.
12 https://www.radicalcompliance.com/2024/06/04/notes-on-effective-internal-controls/.
13 DOJ/SEC, FCPA Resource Guide 2020, p. 38 et seq.
14 https://pcaobus.org/About/History/Documents/PDFs/Sarbanes_Oxley_Act_of_2002.pdf.
15 https://www.coso.org/guidance-on-ic; https://www.coso.org/_files/ugd/3059fc_1df7d5dd38074006bce8fdf621a942cf.pdf.
16 https://www.law.cornell.edu/cfr/text/17/240.13a-15.
17 https://www.sec.gov/files/litigation/admin/2018/33-10601.pdf; https://www.sec.gov/newsroom/press-releases/2020-226;https://www.radicalcompliance.com/2020/09/29/sec-dings-two-firms-on-internal-control/.
18 Woody, No Smoke and No Fire: The Rise of Internal Controls Absent Anti-Bribery Violations in FCPA Enforcement, Cardozo Law Review, Vol. 38, p. 1727-1768.
19 https://www.radicalcompliance.com/2024/06/04/notes-on-effective-internal-controls/.
20 https://www.radicalcompliance.com/2024/06/04/notes-on-effective-internal-controls/.
21 https://www.economist.com/business/2024/07/08/once-high-flying-boeing-is-now-a-corporate-criminal.
22 https://www.linkedin.com/posts/gianfranco-barchiesi_downfall-the-case-against-boeing-official-activity-6947576950815129600-qghE/; https://www.bbc.com/news/business-68220627.
23 Boeing Plea Agreement, https://www.justice.gov/criminal/media/1361546/dl?inline, p. C-1.
24 https://www.radicalcompliance.com/2024/07/29/a-look-at-boeings-plea-agreement/.
25 https://www.gobernabilidadytransparencia.com/2024/07/31/rol-del-compliance-en-la-construccion-de-seguridad-en-obras-de-infraestructura/.
26 https://www.wsj.com/video/series/in-depth-features/why-boeings-quality-controls-and-plane-safety-checks-still-miss-mistakes/2C8969BD-4AD8-4B38-A0A2-9893088B51D0.
27 https://www.wsj.com/business/airlines/boeing-manufacturing-737-max-alaska-door-plug-spirit-18f7e233.
28 https://www.documentcloud.org/documents/69746-hart-smith-on-outsourcing.
29 https://www.economist.com/business/2011/07/30/the-trouble-with-outsourcing.
30 https://www.economist.com/business/2024/07/08/once-high-flying-boeing-is-now-a-corporate-criminal.
31 https://investors.boeing.com/investors/news/press-release-details/2024/Boeing-to-Acquire-Spirit-AeroSystems/default.aspx; https://www.wsj.com/business/airlines/boeing-calls-time-on-the-great-american-outsourcing-e5391563.
32 https://www.wsj.com/business/airlines/boeings-quality-complaints-mount-as-another-whistleblower-comes-forward-396db79b; https://www.wsj.com/business/airlines/boeing-engineer-says-company-used-shortcuts-to-fix-787-jets-f1b97dbc.
33 https://www.radicalcompliance.com/2024/07/29/a-look-at-boeings-plea-agreement/.
34 https://www.wsj.com/business/airlines/boeing-guilty-justice-department-9dcf07d4.
35 https://www.radicalcompliance.com/2024/07/31/boeing-part-ii-the-new-spending/.
36 Boeing Plea Agreement, https://www.justice.gov/criminal/media/1361546/dl?inline, p. 4.
37 https://www.sec.gov/files/33-11216-fact-sheet.pdf.
38 https://www.wsj.com/articles/data-breaches-highlight-lack-of-basic-cyber-controls-a071ec06.
39 https://www.sec.gov/files/litigation/admin/2024/34-100365.pdf.
40 https://www.radicalcompliance.com/2024/06/24/an-example-of-cyber-disclosure-challenges/.
41 https://s3.documentcloud.org/documents/24851956/solarwinds-dismissal-opinion.pdf.
42 https://www.radicalcompliance.com/2024/07/18/sec-lawsuit-against-solarwinds-gutted/.
43 https://www.sec.gov/newsroom/press-releases/2024-101.
44 https://www.radicalcompliance.com/2024/08/21/more-lessons-on-cyber-control-failures/
45 https://www.sec.gov/news/speech/grewal-financial-times-cyber-resilience-summit-06222023.
46 Philips,What's Left but Enforcement Actions?, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4892950; https://www.radicalcompliance.com/2024/07/15/is-regulation-by-enforcement-coming-next/.
47 https://www.gobernabilidadytransparencia.com/2024/07/31/rol-del-compliance-en-la-construccion-de-seguridad-en-obras-de-infraestructura/.
48 https://www.economist.com/science-and-technology/2023/02/22/there-is-a-worrying-amount-of-fraud-in-medical-research; George/Buyse/Piantadosi, Fraud in Clinical Trials, pp 2319–2337, https://link.springer.com/referenceworkentry/10.1007/978-3-319-52636-2_163; https://link.springer.com/article/10.1007/s10147-015-0922-4.
49 Stavrakas/Tsetsos/Poutoglidis/Tsentemeidou/Fyrmpas/Karkos, Fraud and Deceit in Medical Research, Voices in Bioethics, Vol. 8, https://doi.org/10.52214/vib.v8i.8940 .
50 https://www.linkedin.com/posts/gianfranco-barchiesi_compliance-cco-directorio-activity-7190657513292275714-RHWo?utm_source=share.
51 https://www.justice.gov/opa/press-release/file/1329576/dl.