En el artículo anterior, exploramos las novedades tecnológicas que trajo la actualización de la Guía del Departamento de Justicia (DOJ) para evaluar programas de cumplimiento: la “Evaluation of Corporate Compliance Programs”ECCP. En esta entrega, analizamos el resto de las reformas que impactan directamente en los programas de compliance, destacando la relevancia de áreas clave como el acceso a datos, los recursos, la protección al whistleblower, la mejora continua y la rendición de cuentas. Estas modificaciones refuerzan el rol del Compliance Officer dentro de la estructura corporativa, evidenciando un mayor compromiso con la legalidad y exigiendo una estrategia de negocios alineada con las nuevas directrices. Sin ser una revolución, esta reforma impulsa el corazón del compliance hacia una evolución constante, consolidando al ECCP como la guía de referencia para diseñary evaluar programas de cumplimiento a nivel global.

Por Gianfranco Barchiesi y Raúl Saccani.

Copilot Generated.

Resumen

En el ARTÍCULO ANTERIOR abordamos las novedades tecnológicas incorporadas en la actualización de la Guía, en particular respecto a la Inteligencia Artificial. Ahora nos encargamos del resto de las modificaciones que introdujo el DOJ para la evaluación de programas de compliance, que no son pocas; y ofrecemos un análisis para entender las implicancias de esta reforma. Primero les dejamos los títulos, ordenados siguiendo nuestro criterio subjetivo sobre la relevancia de lo actualizado:

• ACCESO A DATOS: el CCO debe tener acceso a los datos e información de las diferentes áreas de la compañía, con excepción de aquellos ámbitos notablemente ajenos.
• RECURSOS: Compliance debe contar con los recursos económicos y tecnológicos para analizar estos datos. La compañía debe medir el valor comercial de las inversiones en cumplimiento y gestionar el acceso a los datos de manera oportuna, utilizando herramientas de análisis para crear eficiencias. Debe evitarse el desequilibrio en la asignación de recursos tecnológicos entre las funciones comerciales y las de mitigación de riesgos.
• PROTECCIÓN AL WHISTLEBLOWER: El programa debe fomentar e incentivarla presentación de denuncias y garantizar una protección al whistleblowerante represalias, incluyendo “pretaliation”, y capacitando para ello. Se debe además entrenar para denunciar ante las autoridades del Estado.
• MEJORA CONTINUA y ESTUDIO DE CASOS: Se dispone que el programa debe estudiar infracciones pasadas propias y también ajenas, de empresas con riesgos similares, en proceso de mejora continua del programa.
• RENDICIÓN DE CUENTAS: El departamento de cumplimiento debe generar datos de desempeñodel programa y ponerlos a disposición de la Dirección, quien debe a su vez ejercer su rol de supervisión en base a ellos.Se pregunta si existe un desequilibrio entre los recursos tecnológicos y financieros dedicados a las actividades comerciales, como la captura de oportunidades de mercado, y aquellos dedicados a la identificación y mitigación de riesgos, sugiriendo la necesidad de una asignación proporcional de los recursos entre estas áreas.
• M&A: Se enfatiza el plan de integración del programa de compliance en las empresas adquiridas.
• GESTIÓN DE TERCEROS: El proceso de gestión de terceros debe integrarse con los procesos de adquisición y gestión de proveedores, permitiendo la evaluación oportuna de los riesgos de los proveedores mediante el uso de datos disponibles, durante el curso de la relación comercial.
• POLITICAS Y PROCEDIMIENTOS: El proceso de actualización de políticas debe reflejar las lecciones aprendidas tanto de problemas internos como de otras compañías del mismo sector o región, y debe abordar los riesgos emergentes, incluidos los relacionados con nuevas tecnologías. Asimismo, la compañía debe asegurarse de que los empleados sepan cómo acceder a las políticas relevantes, evaluando su comprensión de los canales de acceso.
• CAPACITACIÓN Y COMUNICACIONES: Las capacitaciones y comunicaciones deben estar adaptadas a las necesidades, intereses y valores de los empleados relevantes, basándose en lecciones aprendidas de otras empresas de la industria. Es importante medir la participación y el aprendizaje de los empleados a través de evaluaciones.

Estas reformas han sido de enorme relevancia institucional, colocando al departamento de cumplimiento en un lugar cada vez más relevante en la estructura de gobierno corporativo y debiendo considerárselo en el diseño de la estrategia de negocio. Se trata de cambios que ponen más skin in the game, evidenciando quién se la juega por la legalidad.

¿Por qué estudiar la Guideline del DOJ?

A partir de la sanción de la FCPA y especialmente desde la década del 90, distintos países han ido sancionando normas que condenan la corrupción. Junto a ellas se han sancionado guidelines para guiar el desarrollo de programas de cumplimiento y para evaluarlos. Diversos organismos pueden desarrollar diferentes lineamientos según el tema a evaluar o el criterio de la autoridad que llevará a cabo la evaluación. También el sector privado, por ejemplo, a través de institutos de estandarización (las normas ISO, por ejemplo), han desarrollado pautas para la implementación de programas de cumplimiento que pueden servir para su estandarización. Ante esta multiplicidad de documentos que regulan lo mismo de manera similar ¿qué tiene de especial el ECCP (Evaluation of Corporate Compliance Program) del Department of Justice, (DOJ, Fiscalía de Estados Unidos)?

La respuesta es sencilla y hasta cierto punto obvia. Explicado en términos de compliance, si el Enfoque Basado en Riesgos (EBR) nos lleva a poner la atención y priorizar los recursos donde hay un mayor riesgo, la mayoría de las sanciones se pactan con el DOJ en los Estados Unidos1 y si este evalúa el programa siguiendo esta guideline, debe por tanto priorizarse este documento.

Es lógico preguntarse hasta qué punto otros organismos de los Estados Unidos como la SEC, la OFAC y la CFTC consideran esta normativa de manera indirecta a la hora de evaluar programas de cumplimiento. Esto puede incluso extrapolarse de manera internacional, considerando que muchos de estos parámetros no están contemplados en regulaciones locales. Podría darse el caso entonces que, informalmente, otros países se inspiren en esta norma para evaluar programas. Yendo a lo concreto, si ni las leyes, como la 27.4012 argentina, ni las guidelines locales, como las emitidas por la Oficina Anticorrupción,3 contemplan un determinado tema, podría quizás buscarse inspiración en esta norma para complementar la evaluación del programa o paraactualizar las normas locales.

La atención que merece esta guideline habla más de las falencias propias que de las virtudes del DOJ. Es preocupante que el enforcement de las normas anticorrupción esté tan concentrado en los Estados Unidos. Está claro que el temor a sanciones no debe ser el móvil principal que empuje a obedecer la ley y a un comportamiento ético, pero sin duda será un importante aliciente4 y es necesario para evitar una desventaja competitiva.5 Es importante que diferentes jurisdicciones desarrollen el andamiaje institucional necesario para darle un mayor enforcement, vigorosa aplicación a estas normas, fundamental para construir economías más limpias, gobiernos más sanos, una sociedad más prospera y para que compliance se siga arraigando.

El Discurso del DOJ PDDAG. Nicole M. Argentieri: Introducción a las Modificaciones

Esta no es la primera modificación que se le hace al ECCP.6 Desde el 2017, año en que se sancionó la primera versión de la guía, ésta ha sufrido múltiples modificaciones. En resumen, luego de que se hubiese publicado mucho tiempo atrás el Chapter Eight de las USSGs,7 se refuerza elenforcement de la FCPA,8 el cual tiene en la mayoría de los casos la forma de un acuerdo entre el fiscal o la SEC y la empresa, sin intervención activa de la Justicia. Dadas así las cosas, las USSGs tienen algunas insuficiencias. En primer lugar, aunque sirven de referencia, no se aplican de manera directa en el acuerdo entre fiscal y empresa. En segundo lugar,se advierte que este documento no es suficiente para abarcar la variedad de aristas que se tienen en consideración durante la evaluación del programa ni es lo suficientemente específico. Por último, se trata de un documento poco flexible que no expresa la política de la fiscalía. Es así como, aunque el Chapter Eight también se ha ido actualizando, el DOJ opta por contar con un documento propio que aclare el criterio de evaluación de los programas de cumplimiento, sancionando el ECCP en 2017.

Estas últimas modificaciones anunciadas al ECCP son muy importantes porque, aunque no implican una reestructuración total, incursionan en la esencia misma de lo que es el programa y su rol dentro de la empresa. Se trata de pequeños cambios que lo apuntalan fuertemente, reestructurando el esquema de incentivos, poniendo skin in the game en el compliance, aumentando su relevancia institucional como herramienta de gobierno corporativo e incorporándolo en la estrategia empresaria

Últimamente, todas las reformas al ECCP han sido anunciadas en un discurso en algún evento, donde algún referente del DOJ expone los motivos, los objetivos y las características de la reforma y es por ello que se recomienda su lectura.9 En el artículo anterior10 se abordaron los aspectos tecnológicos de esta reforma. Cómo el programa debe analizar y mitigar los riesgos que la Inteligencia Artificial le presenta a la empresa, ya sea a la hora de su implementación o como herramienta en contra de la empresa. En este artículo profundizaremos sobre todos los demás cambios al programa.

Como punto de partida para ir siguiendo las modificaciones pueden tomar referencia este documento que hace un seguimiento de las reformas introducidas en septiembre 2024.11

Copilot Generated. Acceso a los datos.

Acceso a Datos y Actualización del Análisis de Riesgos

La novedad, a nuestro criterio, más importante y de mayor trascendencia de esta modificación del ECCP es la consolidación del acceso a los datos como característica esencial del departamento de cumplimiento. Esto implica que la empresa le debe concederle al Compliance Officer acceso a los datos e información de la empresa, en cooperación con otras áreas de la organización.

El acceso a la información tiene por un lado el propósito de posibilitarle al CCO la realización del análisis de riesgos en base a información fidedigna de la propia compañía. Estos datos son un insumo insustituible para identificar y evaluar los riesgos correctamente y para diseñar medidas de mitigación a medida. Contar con esta información le permite además identificar cambios en el entorno de riesgos y mantener actualizado el mapa de riesgos de manera ágil.

En segundo lugar, el acceso a los datos le da la posibilidad de detectar ilegalidades y red flags, dificultando que se lo mantenga ajeno a estos hechos y excluido de la información. Este acceso a los datos obliga al departamento de cumplimiento a tomar una actitud más proactiva en la detección de estas ilegalidades y preventivamente deberá explorar sectores de riesgo en busca de red flags. Igualmente importante es garantizar el acceso a los datos como materia prima necesaria para la realización de investigaciones internas.

Si bien este aspecto no es una novedad y ya formaba parte del documento, las modificaciones introducidas, su reiteración a lo largo del documento, el hincapié evidente en este punto y el discurso de Argentieri dejan claro qué se espera.12

Este acceso a la información no implica que el departamento de cumplimiento deba poder verlo todo en todo momento. Aquellas áreas que no importen un riesgo de cumplimiento ni sean relevantes para el análisis de riesgo o una investigación permanecerán fuera de su alcance. Justificadamente se podría excluir al CCO de muchos ámbitos, como por ejemplo secretos industriales o comunicaciones privadas que, en principio, no entrañan un riesgo. De todos modos, esta modificación posiciona al departamento de compliance como una oficina que, en líneas generales, debe tener acceso a la información.

Adosado a este acceso a los datos del CCO hay un nuevo deber adicional de proveerlo de los recursos necesarios para su interpretación. Esto incluye no solo los recursos económicos sino sobre todo informáticos, necesarios para acceder y analizar los datos con velocidad y eficacia, y para extraer información relevante de los mismos. Esto nos recuerda algo que se ha dicho mucho en este tiempo de exceso de datos, y es que una pila de datos no sirve de nada si no hay una manera de extraer la información relevante de los mismos.

Varias empresas priorizaron el crecimiento sin considerar el área de cumplimiento, quedando esta subdimensionada para el tamaño de la organización e incapaz de afrontar los riesgos de cumplimiento.13 Esto también debe ser tenido en cuenta y si bien no todo crecimiento implica una expansión del departamento de cumplimiento, este aspecto será tenido en cuenta por las autoridades. Se pregunta si existe un desequilibrio entre los recursos tecnológicos y financieros dedicados a las actividades comerciales, como la captura de oportunidades de mercado, y aquellos dedicados a la identificación y mitigación de riesgos, sugiriendo la necesidad de una asignación proporcional de los recursos entre estas áreas.

Copilot Generated. Todas las áreas y sus presupuestos crecen, menos 1.

Estrategia

Aunque sólo se mencione de manera explícita en operaciones M&A,14 un requisito que se infiere a lo largo del documento y que gana en solidez con cada actualización es la incorporación del cumplimiento normativo a la estrategia del negocio.15 De manera explícita sólo se menciona en el tema de M&A, cuando se habla de incorporar a Compliance en la estrategia de integración de nuevas empresas adquiridas.16 Sin embargo, en otras áreas queda indirectamente señalado, por ejemplo cuando se menciona que se debe mantener un análisis de riesgo proactivo y no reactivo.

Incorporar compliance en la estrategia de negocio se puede entender de diversas maneras.17 Principalmente, significa considerar aspectos de cumplimiento en las preguntas macro que fijan las directrices de la empresa. En lugar decidir primero y encargarle al departamento de cumplimiento que cumpla, se trata de considerar las implicancias de compliance que puede tener una decisión antes de tomarla. Esto no debe ser restrictivo, sino que, por el contrario, una empresa con un programa de cumplimiento sólido podría decidir llevar a cabo un negocio de riesgo por contar con un sólido sistema de cumplimiento que la protege y del que carece la competencia. En otras palabras, el programa de cumplimiento devine aquí en ventaja competitiva.18

Este es un rasgo del cumplimiento normativo cuya evolución hay que vigilar de cerca. Si bien la consideración de compliance en la estrategia de la empresa no es una novedad y es, desde luego, una buena práctica empresaria, su incorporación como criterio para la evaluación del programa le da un nuevo peso. Aunque, sin lugar a dudas, lo óptimo es que las empresas consideren a compliance en su estrategia, cabe preguntarse si es lo óptimo que se vuelva obligatorio convirtiéndose en un criterio para evaluar el programa en sí. Quizás sea un aspecto que debería quedar al abitrio de cada empresa.

Copilot Generated. Compliance en la estrategia de la empresa.

Protección al Whistleblower y Pretaliation

La ley yaprohibía tomar represalias contra un whistleblower,19 pero en este caso la norma avanza un paso más y el nuevo texto incorpora un tema que recibe escasa atención pero que ha dado lugar a más de una sanción: “PRE-taliation”20 es un neologismo que refiere a las amenazas de represalias (retaliation) a un empleado en caso de que decida acudir a las autoridades. No se trata por tanto de las represalias en sí mismas, es decir, de las medidas que toma el empleador contra quien acude a las autoridades a denunciar un acto ilegal, sino de las meras amenazas de tomar represalias eventualmente llegado el caso. Pretaliation no debe confundirse con un NDA, Non Disclosure Agreement o pacto de confidencialidad, en la medida que estos últimos son legales, comprometen asuntos privados, secretos, y no tratan de silenciar de forma genérica actos criminales de la compañía.

La ley norteamericana prohíbe tanto las represalias como sus amenazas o “pretaliation”21 y los órganos de enforcement, especialmente la SEC,22 han tomado una interpretación sumamente amplia de la normativa, considerando amparados por la norma todo tipo de comunicación y todo tipo de stakeholders,23 más allá de los propios empleados.24 También considera incluido todo medio de comunicación y toda insinuación de represalias. Por último, quedan alcanzadas comunicaciones pasadas, incluso cuando la empresa haya detectado el error y cambiado el documento. Es decir, si en una capacitación, un contrato de desvinculación, un mail o cualquier otro medio se le comunica a un empleado o a un tercero que la empresa demandaría civilmente en caso de que este acuda a las autoridades, la empresa podría recibir una sanción. Esto no es hipotético y hay numerosos casos.25

Por tanto, para evitar sanciones las empresas deberían revisar en busca de dichas cláusulas todo documento y todo acto de comunicación, desde un contrato a una capacitación destinada a un proveedor. Detectada la infracción, la empresa debería enmendarla emitiendo un nuevo documento,aclarar que no tomará represalias y que el sujeto es libre de acudir a las autoridades. La inmensa extensión de la obligación se desprende con claridad de las sanciones impuestas por la SEC.

Esta nueva versión del ECCP enfatiza el deber de fomentar e incentivar las denuncias, y de evitar todo aquello que pueda generar temor a represalias. La predisposición a reportar debe ser luego evaluada por la empresa. Con el ánimo de prevenir toda clase de represalias, la guideline plantea la introducción de políticas que las prevengan y capacitaciones para evitarlas tanto interna como externamente. También será evaluado si la empresa dispensa un trato diferenciado en perjuicio de los whistleblowers, considerando esto como una forma de represalia. Sedisponeademás que las empresas deberían capacitar al personal para denunciar no solo interna sino también externamente.

Recordemos aquí por un momento que hay un conflicto de intereses entre las agencias de enforcement como el DOJ y la SEC y las empresas, quienes compiten por recibir la denuncia antes que el otro.26 El gobierno necesita esta información para tomar cartas en el asunto, detener la infracción y sancionar al culpable, mientras que las empresas buscan “ganarle de mano” a la justicia para reducir posibles sanciones remediando el caso. Cuando la justicia entra en conocimiento de las ilegalidades a espaldas de la empresa, esta no puede hacer más que esperar que le llegue la sanción. Hay por lo tanto un interés de la empresa por que las denuncias se canalicen internamente.

A este panorama debe incorporarse el nuevo programa de recompensas del DOJ,27 el cual fue lanzado hace unos meses y ya está recibiendo un flujo de denuncias.28 Este programa tiene el propósito de recompensar denuncias por inconductas que no estén cubiertas en otro programa de recompensa, por ejemplo, en el caso de empresas que no estén bajo el alcance de la SEC.

Copilot Generated. Firmando las amenazas de represalias: PRE-taliation.

Recompensa al Whistleblower

El whistleblower es un empleado que, enfrentando un riesgo personal, se atreve a denunciar internamente una inconducta para que la empresa entre en conocimiento y sea capaz de detenerla y reparar el perjuicio. Dadas las circunstancias del caso, la concesión de una recompensa al empleado parece no solo justificada sino además poco susceptible a arbitrariedades, volviéndola legítima ante los demás empleados y enviando un fuerte mensaje a terceros del compromiso de la empresa con la legalidad. Fijar una recompensa, sin embargo, no es tarea fácil.Una recompensa monetaria no es recomendable porque puede derivar en consecuencias indeseadas. En cambio, recompensas intangibles pueden ser aún más valiosas, como un reconocimiento por su aporte. Por último, no toda denuncia debe dar lugar a recompensa, sino que su envergadura debe también tenerse en cuenta.

Esta clase de conducta debe ser considerada a la hora de decidir un ascenso, pero éste no puede ser la consecuencia directa de la denuncia. Esto podría generar una expectativa de ascenso en quien hace la denuncia o podría generar que los empleados denuncien para escalar en su plan de carrera. Otros inconvenientes son, por ejemplo, el caso de que el empleado no sea apto para el cargo o que no haya una vacante.

Debe prevenirse también la estigmatización del empleado al señalarlo como denunciante, incluso si es con la buena intención de recompensarlo, y este debe estar de acuerdo. En la mayoría de los casos puede ser más recomendable recompensarlo de manera anónima y luego anunciar de manera genérica que hay maneras de recompensar al denunciante.

Copilot Generated. Una recompensa para el whistleblower.

Estudio de Casos Propios y Ajenos

Otra incorporación al ECCP es la inclusión expresa del deber de tomar en consideración en la elaboración del programainconductas del pasado, tanto de la propia empresa como de otras que estén expuestas a riesgos similares por pertenecer a la misma industria o zona geográfica. Esto implica en la práctica llevar un relevamiento de las infracciones, propias o ajenas, que puedan ser de relevancia para la propia empresa, exigiéndose así en la práctica un estudio y seguimiento permanente de los casos y las sanciones.29 Ya la SEC se había expresado en esta dirección en más de una ocasión30 y se ha contemplado este deber, paradójicamente, en enforcement actions contra empresas.31

Esta nueva indicación del ECCP refuerza una tendencia actual a regular mediante enforcement actions.32 En un contexto de inflación regulatoria y con las facultades regulatorias de los órganos de contralor en tela de juicio, ganan en relevancia la aplicación concreta de la ley como brújula que orienta el programa de cumplimiento.

Estas lecciones del pasado deben incorporarse a las capacitaciones de cumplimiento que lleva adelante la empresa, adaptándolas a las necesidades y características del personal y evaluando sus conocimientos del tema.

Evaluación y Mejora Continua

En línea con el punto anterior, las modificaciones enfatizan el proceso de mejora continua del programa, debiendo evaluar cómo respondió a problemas de inconducta del pasado. Para ello, la modificación también subraya la incorporación de métricas de medición del desempeño del programa y mecanismos de evaluación de estas métricas. En base a estas métricas, el departamento de cumplimiento debería generar datos de desempeño del programa, datos que deberían ser analizados con herramientas de data analytics y el software adecuado, en línea con lo planteado en el punto respectivo. Esta autoevaluación debe llevarse a cabo con una cierta frecuencia. También subraya el acceso a estas métricas por parte de otras áreas para evaluar el área de cumplimiento, posiblemente el directorio. De este modo se busca evidentemente una mayor transparencia del departamento de cumplimiento y que el directorio pueda ejercer una supervisión más efectiva del mismo.33

Relevancia Institucional

Es válido y útil detenerse un momento a observar la relevancia institucional de las reformas introducidas. Con este término institucional, hacemos referencia a compliance anticorrupción como dispositivo de gobierno corporativo que, aunque es opcional, se vuelve día a día más obligatorio y con características cada vez más definidas. Aspectos que,hasta aquí, eran recomendaciones a las empresas o expresiones de deseo de los expertos en cumplimiento normativo, medidas que de algún modo eran puestas en tela de juicio, son ahora indispensables para obtener un dictamen favorable de la autoridad en la evaluación del programa.

En esta ocasión en particular hay varias reformas con importante impacto institucional, en particular sobre la gobernanza de la empresa. La primera es el refuerzo a la protección al whistleblower. Empresas comprometidas con el cumplimiento normativo hace tiempo que ven a quien se anima a denunciar como un activo de valor en la organización (sobre todo si lo hace internamente, sin ir a las autoridades). Sin embargo, no faltan organizaciones que percibirán al canal de denuncias como una obligación y al acceso a este canal como una facultad que se le concede a los empleados. Con esta modificación queda consolidado que las empresas deben no sólo tolerar las denuncias y responder a ellas, sino que además deben fomentarlas, proteger y valorar a quien las presenta. Falta aún que seexija a la empresa alguna clase de reconocimiento al whistleblower (como sí lo hacen las autoridades).

Otra reforma institucionalatañe al acceso a la información del Compliance Officer. En la medida que la nueva guideline manifiesta que, como regla general, el CCO debe tener acceso a los datos e información de la empresa, debemos preguntarnos ¿por qué? ¿con qué motivo crea la Justicia esta expectativa sobre la empresa? Pues este acceso irrestricto deriva de una expectativa que hay sobre el CCO de que explore la información de la empresa, siguiendo un enfoque basado en riesgos, detecte riesgos e inconductas y tome cartas en el asunto. Se trata entonces de una herramienta que se le concede al CCO para que cumpla un rol no solo reactivo sino proactivo de defensa de la legalidad en la organización. Lógicamente, no se le confiere al CCO la facultad de obstruir los actos de la compañía, ya que la dirección de la empresa le corresponde a otro órgano, pero queda consolidado como un sujeto con acceso general a información de la empresa y con el deber de comunicarle a la jerarquía inconductas e ilegalidades. Omitir esta función podría acarrear responsabilidad individual del CCO.34

Cuando se llama al departamento de cumplimiento a considerar casos propios y ajenos en la elaboración del programa se está incorporando una nueva fuente al programa. Queda así la empresa obligada a atender a todo un nuevo espectro de fuentes de buenas prácticas. Desde un punto de vista institucional, la empresa queda así obligada, hasta cierto punto, a obedecer no solo las reglamentaciones generales sino también atender las consideraciones del regulador en procesos y resolucionesdirigidos a otras empresas.

Otra importantísima capa de institucionalidad se incorpora en dos aspectos:

• El texto pregunta si la compañía cuenta con un mecanismo para medir el valor comercial de las inversiones en Compliance y gestión de riesgos. Aquel pregón que „Compliance es buen negocio“ ahora hay que medirlo. Esto sugiere la importancia de evaluar no solo el costo de implementar programas de cumplimiento, sino también el beneficio o el retorno comercial que dichas inversiones pueden generar en términos de reducción de riesgos, eficiencia operativa o protección frente a posibles sanciones y multas. Esperemos que calcular el ROI del programa no sea tan dificil como calcular el beneficio indebido, una de las condiciones para la eximisión de la pena según la ley argentina.
• La guideline actualizada indaga sobre la capacidad del management de acceder a datos de rendimiento del programa de cumplimiento. La guideline llega a consultar si hay mecanismos de abordaje temprano de problemas con el programa. El ECCP está aquí evaluando no sólo al departamento de cumplimiento, que debe generar y aportar estas métricas, sino también al CEO y alDirectorio, que debenmantener una supervisión regular del departamento y reaccionar ante una red flag.35 Institucionalmente implica definir un mecanismo de rendición de cuentas del CCO y de revisión del CEO y el Directorio.

Todos estos pequeños cambios cambian la morfología institucional del departamento de compliance, confiriéndole un rol cada vez más relevante en el gobierno de la compañía, con nuevos deberes corporativos y facultades. Muchos de ellos van en línea con lo que se consideraban “buenas prácticas”, pero incorporarlos a la guideline oficial del DOJ implica consolidarlos como un requisito cada vez más obligatorio.

Copilot Generated. Compliance y su creciente rol institucional.

Skin in the Game

En el quinto libro de la saga Incerto36  de Nicholas Nassim Taleb se acuña un principio que él denomina “Skin in the Game”, traducido habitualmente al español como “Jugarse la Piel”. Este principio llama a evaluar qué ponemos en juego con nuestros actos, decisiones y opiniones, afirmando que, cuando tenemos algo en juego, algo que ganar o perder, actuamos diferente y estos actos cobran, en esencia, un mayor valor. A modo de ejemplo sencillo, la diferencia entre jugar al póker de manera simbólica con fichas o con dinero de verdad. Es la diferencia entre invertir con tu dinero o dar una opinión de inversión a otro o la diferencia entre viajar con dinero propio o ajeno.En criollo, el principio habla de “jugársela”. De poco vale una opinión donde no me juego nada y es, por lo tanto, en esencia diferente a una opinión donde me la juego.

En términos de cumplimiento, se trata de alinear los incentivos. Son múltiples las decisiones en materia de cumplimiento que está tomando el DOJ alineando los incentivos de las empresas y sus agentes con la legalidad. Esta alineación hace que haya algo en juego cuando se desarrolla e implementa el programa y cada uno de los diferentes elementos de este. Por ejemplo, si es posible desarrollar una línea de denuncias y recibir beneficios por ello y, a la vez, neutralizar las denuncias que ingresan o al denunciante, entonces no hay nada en juego con su introducción. Si es posible nombrar un CCO pero luego puedo excluirlo de áreas donde se concentra la corrupción o se evidencia el pago de sobornos, entonces no tengo nada que perder con el nombramiento del CCO.

El DOJ está poniendo el énfasis allí donde importa, evaluando los programas en sus resultados e incorporando en el ECCP aspectos que hacen cada vez más difícil desarrollarlossin poner nada en juego. El DOJ pone la lupa con cada vez mayor rigor donde se evidencia un verdadero compromiso con el cumplimiento, habilitando canales de responsabilidad individual para que los agentes tengan algo en juego con el desarrollo del compliance, construyendo skin in the game en el tema. En resumen, dificultando la estructuración de programas de papel, de algún modo eliminando posibles “válvulas de escape”capaces de neutralizar el programa.

Si el directorio debe demandar datos de cumplimiento y supervisarlos, dicha omisión puede acarrear responsabilidad personal: skin in the game en la introducción del programa. Si le tengo que dar acceso a los datos al CCO, al nombrarlo ya no puedo neutralizarlo dejándolo tácitamente excluido: skin in the game en el nombramiento. Si se deben fomentar las denuncias sin represalias y quedarse de brazos cruzados en una denuncia acarrea responsabilidad: skin in the game en la introducción de la línea de denuncias.

El texto actualizado señala que, si un programa de cumplimiento identifica una conducta indebida y permite la remediación oportuna y la autodenuncia, un fiscal debería considerar esto como un fuerte indicador de que el programa de cumplimiento está funcionando de manera efectiva. Skin in the game en las investigaciones internas que llegan a la raíz del problema. Además, los fiscales deben evaluar si el programa de cumplimiento de la compañía tiene un historial de  deteccióny reacción ante la inconducta y no solo si la empresa ha ejercido la debida diligencia para prevenirlas . Esto es evaluarSkin in the game, la idea de que un programa de cumplimiento demuestra su compromiso en estadetección y respuesta adecuada, jugándose la piel por el cumplimiento, y no solo en los esfuerzos de prevención.

Todas estas nuevas medidas introducidas en el ECCP llevan a que los diferentes agentes tengan algo que ganar o perder con el programa. Dicho alineamiento de incentivos no está presente de igual medidas en otras guidelines, convirtiendo al ECCP en un modelo a seguir.

Copilot Generated. Jugarse la piel al decidir o decidir sin jugársela.

M&A: Una Pequeña Mención

Un par de ediciones atrás se trató el tema de M&A compliance.37 Entre las modificaciones al ECCP se incluye el proceso de integración de compliance a lo largo de las unidades de negocio adquiridas. Esta última fase del proceso de debida diligencia de compliance en un proceso de fusión o adquisición ha acarreado importantes dificultades en numerosas empresas que han sido sancionadas por este motivo.38 Es por ello que se incorpora este aspecto de manera específica en la guideline, con la intención de que los departamentos de cumplimiento se enfoquen con más cuidado en el proceso de integración de los programas y no se desentiendan luego de concretada la operación. En la publicación anterior hay más detalles sobre este proceso.39

Copilot Generated. Integrando el programa en la empresa adquirida.

Una Pequeña Crítica

En un contexto de severo exceso regulatorio, donde proliferan regulaciones de difícil lectura y aún más difícil interpretación, el nuevo ECCP se enfoca mayoritariamente en lo que importa; y lo hace de un modo claro, directo y lo suficientemente general para guiar sin quitarle capacidad de maniobra al CCO.

Ahora bien, sin opacar la brillante tarea del Departamento de Justicia, que sigue empujando criterios relevantes para la evaluación del programa, es importante señalar una incipiente falencia. No puede pasarse por alto que el documento original publicado en 2017 tenía una extensión de ocho páginas, mientras que el actual ya acumula 25, triplicando su longitud en siete años. ¿Es justo protestar por un documento de apenas 25 páginas, cuando otras más nuevas se extienden a lo largo de 885 hojas?40 La directiva deprotección de Whistleblower de la UE tiene 40 páginas,41 a lo que se le debe sumar la ley que dicte cada Congreso Nacional para cumplir con la Directiva,42 sin mencionar eventuales guidelines que dicten diferentes organismos. Pues no se trata de su longitud sino de la tendencia, que de seguirse así, la ECCP tendría 75 páginas en 2031 y 225 en 2038. Esta premonición, adrede exagerada, intenta prevenir en un tiempo donde esta clase de documentos son moneda corriente. Si esta guideline se desnaturalizara, el daño al andamiaje institucional del compliance sería tangible, pero el ECCP está todavía muy lejos de eso.

Otro motivo que anima a la simplificación es la pérdida de flexibilidad que sufren los programas en la medida que se ensanchan las guidelines. Cada una de las preguntas que el DOJ plasma por escrito en su documento es leída como un deber, una nueva obligación que debe cumplir el departamento de cumplimiento. Con cada pregunta se va fijando así, poco a poco, la forma que debe tener el programa de compliance, pasando por alto que el cumplimiento normativo debe seguir un sistema de autorregulación regulada donde cada programa toma características singulares que se adaptan a la organización y su entorno.43 Esto es especialmente importante en jurisdicciones como la latinoamericana, donde las condiciones locales obligan a adoptar soluciones sui generis, originales, que pueden ir en contramano de lo que generalmente se entiende como óptimo.

Igualmente valioso seríaque, en el futuro, el DOJ proponga una simplificación de las preguntas y de la guía, eliminando aquellas que sean redundantes, demasiado específicas, no esenciales, etc. Para evitar interpretaciones en el sentido de “si se eliminó de la guideline es porque ya no es importante para el organismo”, el DOJ podría simplemente aclarar el motivo que llevó a la eliminación de cada pregunta.

Conclusión

Hablar de un antes y un después de esta reforma sería exagerado. Pero,sin lugar a duda, la misma acelera las pulsaciones en el corazón del Compliance. No es la primera vez que esto sucede y, anteriormente, se han realizado cambios igualmente relevantes. Cada una de estas modificaciones, junto a las incorporadas anteriormente, merecen mucho estudio. Lo más relevante es que, de manera paulatina, se van delineando contornos cada vez más definidos del cumplimiento normativo, que sigue siendo una materia nueva que se encuentra en permanente evolución y descubrimiento de su esencia.

El ECCP se va consolidando como la guideline de referencia para la evaluación, y por tanto también para la elaboración de un programa de cumplimiento, por dos motivos:

En primer lugar, porque es la guideline más empleada en la práctica, ya que la mayoría de las sanciones (y las más importantes) se están imponiendo hoy en día por el DOJ luego de evaluar el programa en base a esta guía.

En segundo lugar, porque los principios que la inspiran y los criterios seguidos en su elaboración son acertados. Sería bueno que sirva de modelo a seguir enotras jurisdicciones, sobre todo orientando un enforcement más dinámico.

Disclaimer

Los puntos de vista, las opiniones y las posiciones expresadas en todas las publicaciones pertenecen únicamente a los autores y no representan las de la Universidad Austral, el IAE Business School o las empresas o instituciones que las apoyan. No se garantiza la exactitud, integridad y validez de las expresiones hechas en este artículo. No aceptamos ninguna responsabilidad por errores, omisiones o representaciones. Los derechos de autor de este contenido pertenecen a los autores y cualquier responsabilidad con respecto a la infracción de los derechos de propiedad intelectual recae en ellos. En ningún caso podrá ni deberá considerarse la información, análisis y opiniones brindadas en todo o en parte de este artículo como asesoramiento, recomendaciones u opiniones profesionales o legales. El lector que necesite tomar decisiones sobre los temas aquí tratados deberá asesorarse específicamente con profesionales capacitados que evalúen las características, normas legales y conceptos aplicables a su caso específico.

Referencias

1 https://www.gobernabilidadytransparencia.com/2023/12/05/el-motor-que-empuja-al-compliance-todas-las-democracias-liberales-debemos-compartir-esta-responsabilidad/.

2 Ley 27.401, República Argentina https://www.argentina.gob.ar/normativa/nacional/ley-27401-296846/texto.

3 Lineamientos para la implementación de programas de Integridad, https://www.argentina.gob.ar/sites/default/files/lineamientos_para_la_implementacion.pdf.

4 Becker, The Economic Approach to Human Behavior, p. 39 et seq.

5 Koehler, The Story of the Foreign Corrupt Practices Act, p. 975.

6 https://www.justice.gov/opa/speech/acting-assistant-attorney-general-nicole-m-argentieri-delivers-keynote-address-40th; https://www.linkedin.com/posts/gianfranco-barchiesi_compliance-fcpa-doj-activity-7140679269793320961-24va.

7 https://www.ussc.gov/guidelines/guidelines-archive/2015-chapter-8.

8 https://fcpa.stanford.edu/statistics-analytics.html.

9 https://www.justice.gov/opa/speech/principal-deputy-assistant-attorney-general-nicole-m-argentieri-delivers-remarks-society.

10 https://www.gobernabilidadytransparencia.com/2024/10/09/compliance-en-la-era-de-la-ia-nuevos-estandares-y-expectativas-del-doj/.

11 https://ethisphere.com/2024-eccp-comparison-sheet/.

12 https://www.justice.gov/opa/speech/principal-deputy-assistant-attorney-general-nicole-m-argentieri-delivers-remarks-society.

13 https://www.justice.gov/opa/pr/td-bank-pleads-guilty-bank-secrecy-act-and-money-laundering-conspiracy-violations-18b.

14 Compliance M&A fue abordado hace un par de ediciones en este mismo Newsletter: https://www.gobernabilidadytransparencia.com/2024/09/26/compliance-ma-y-la-parabola-del-auto-usado/.

15 https://www.radicalcompliance.com/2024/09/23/revamped-compliance-program-guidance/.

16 https://www.justice.gov/criminal/criminal-fraud/page/file/937501/dl, p. 10.

17 Fox, The Compliance Handbook, p. 396.

18 Peterson, Compliance and Ethics programs,p. 1030.

19 https://www.sec.gov/enforcement-litigation/whistleblower-program/whistleblower-protections.

20 https://www.linkedin.com/posts/gianfranco-barchiesi_compliance-sec-doddfrank-activity-7130147372382236672-Sa8W.

21 Dodd-Frank Act, Sec. 922, https://www.sec.gov/files/dodd-frank-sec-922.pdf.

22 https://www.sec.gov/enforcement-litigation/whistleblower-program/whistleblower-protections.

23 Caso donde se sancionan amenazas de represalias a clientes, https://www.sec.gov/newsroom/press-releases/2024-7.

24 SEC, Securities Whistleblower Incentives and Protections, https://www.sec.gov/files/amended-whistleblower-rules-2022.pdf.

25 https://www.sec.gov/newsroom/press-releases/2016-157; https://www.sec.gov/newsroom/press-releases/2016-270, https://www.sec.gov/newsroom/press-releases/2016-268, https://www.sec.gov/files/litigation/admin/2021/34-92237.pdf; https://www.sec.gov/files/litigation/admin/2023/34-98322.pdf; https://www.sec.gov/files/litigation/admin/2023/34-98429.pdf; https://www.sec.gov/files/litigation/admin/2022/34-95138.pdf.

26 https://www.gobernabilidadytransparencia.com/2024/03/27/whistleblower-mayores-precisiones-respecto-de-quien-esta-protegido/.

27 https://www.justice.gov/criminal/criminal-division-corporate-whistleblower-awards-pilot-program.

28 https://www.wsj.com/articles/doj-sees-tips-flow-in-over-first-month-of-pilot-whistleblower-program-d2915104.

29 https://www.linkedin.com/posts/gianfranco-barchiesi_compliance-case-doj-activity-7213504162070749184-hJhu.

30 Grewal, SEC Speech, https://www.sec.gov/newsroom/speeches-statements/grewal-remarks-securities-enforcement-forum-west-052324.

31 BIS, Seagate Enforcement Actions, https://www.bis.doc.gov/index.php/documents/about-bis/newsroom/press-releases/3264-2023-04-19-bis-press-release-seagate-settlement/file.

32 Philips, What’s Left but Enforcement Actions?, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4892950.

33 https://www.gobernabilidadytransparencia.com/2024/07/03/reportes-y-supervision-dos-caras-de-la-moneda-del-compliance-efectivo/.

34 https://www.gobernabilidadytransparencia.com/2024/04/24/responsabilidad-penal-individual-y-compliance/.

35 https://www.gobernabilidadytransparencia.com/2024/07/03/reportes-y-supervision-dos-caras-de-la-moneda-del-compliance-efectivo/; https://www.gobernabilidadytransparencia.com/2024/04/24/responsabilidad-penal-individual-y-compliance/.

36 Taleb, Incerto Saga:“Fooled by Randomness”, “The Black Swan”, “The Bed of Procrustes”, “Antifragile”, “Skin in the Game”.

37 https://www.gobernabilidadytransparencia.com/2024/09/26/compliance-ma-y-la-parabola-del-auto-usado/.

38 https://www.sec.gov/newsroom/press-releases/2024-124; https://www.radicalcompliance.com/2024/07/16/unitedhealths-big-cyber-compliance-mess/;https://www.state.gov/u-s-department-of-state-concludes-200-million-settlement-resolving-export-violations-by-rtx-corporation/; https://www.wsj.com/livecoverage/stock-market-today-dow-sp500-nasdaq-live-07-10-2024/card/citigroup-fined-about-136-million-by-fed-occ-over-internal-controls-mAmntMxIWRnvoaPkBtmo.

39 https://www.gobernabilidadytransparencia.com/2024/09/26/compliance-ma-y-la-parabola-del-auto-usado/.

40 https://www.sec.gov/files/rules/final/2024/33-11275.pdf.

41 https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019L1937.

42 Ej. Alemania https://www.gesetze-im-internet.de/hinschg/BJNR08C0B0023.html; Ej. España https://www.boe.es/buscar/pdf/2023/BOE-A-2023-4513-consolidado.pdf.

43 Bermejo/Montiel, ¿Compliance Officers “Tras las Rejas”?, en Saccani/Morales Oliver, Tratado de Compliance; Bermejo/Montiel, Teoría y Praxis del Criminal Compliance, p. 15-23; Braithwaite, Enforced Self-Regulation;