EL OFICIAL DE CUMPLIMIENTO EN ESPAÑA Y COLOMBIA 12.05.2023.docx

Transcript

EL OFICIAL DE CUMPLIMIENTO EN ESPAÑA
PARTE I: COMPLIANCE GENERAL.
INTRODUCCIÓN.
Las empresas han incumplido las leyes y regulaciones. Ello ha impactado a consumidores, proveedores, empleados y otros grupos de interés. No han prevenido los incumplimientos ni los han detectado. Los Estados han impuesto más leyes y regulaciones. En varias, se ha previsto la función de Cumplimiento.
Una regulación especialmente importante para España es la que prevé que las personas jurídicas pueden ser penalmente responsables de cometer delitos. La regulación ha contemplado que las personas jurídicas pueden ser absueltas (“exoneradas”) o recibir una pena menor (“atenuación”) si demuestran que tenían un sistema adecuado para prevenir incumplimientos de la ley penal, es decir, un buen programa de Cumplimiento o Compliance.
La eficacia de los programas de Cumplimiento depende en parte de que se integren a la operación diaria de las empresas. La integración a la operación depende del interés de los administradores (Dirección1, Consejos de Administración2) de las empresas en que así ocurra. Hay varios métodos que pueden seguirse en los programas de Cumplimiento.
Otra condición para la eficacia de los programas de Cumplimiento es que se orienten a promover la cultura de legalidad o “cultura ética empresarial” en la empresa, y no únicamente la exoneración de responsabilidad penal o la atenuación de la pena3. Desde la perspectiva funcional, la función de Cumplimiento hace parte la función de gestión de riesgos. La función de gestión de riesgos hace parte de la estructura de Gobernanza4, Gestión de Riesgos5 y Compliance6 (GRC). El GRC regula la dirección y control de la empresa para lograr que funcione éticamente -Gobernanza-, respete su apetito de riesgo -Gestión de Riegos- y cumpla la normativa externa e interna -Compliance-. GRC debe intervenir en la estrategia, la cultura y los valores de la organización.
Un eficaz marco de GRC debe alinear la estrategia, los procesos, la tecnología y las personas. También requiere una comunicación fluida entre los involucrados con el GRC. La comunicación fluida depende de una adecuada distribución de funciones y claros canales de comunicación, como también de la cercanía de personas con función de control a aquellas que deciden, lo que facilita el reporte y la legitimación interna de las primeras.
Historia.

1830: imposición a empresas en Estados Unidos de evitar el uso de mano de obra infantil y condiciones de trabajo insalubres a través de adoptar estándares.
1906: promulgación de Pure Food and Drug Act7, Estados Unidos.
1914: creación de Commoddity Futures Trading Commission (CFTC)8, Estados Unidos, para evitar prácticas empresariales injustas.
1933: creación de la Securities and Exchange Commission (SEC)9, Estados Unidos, para proteger inversionistas ante manipulaciones del mercado.
1976: promulgación de las OECD Guidelines for Multinational Enterprises. Con actualización de 2011.
1977: escándalo Lockheed. Se trató del soborno de funcionarios públicos en el extranjero -sobornos a funcionarios públicos japoneses, a la realeza holandesa y a militares españoles- para hacerse a contratos por parte de una empresa de Estados Unidos.
1977: promulgación de Foreign Corruption Practices Act (FCPA), Estados Unidos. La ley exige a las empresas tener controles internos para prevenir sobornos a funcionarios públicos extranjeros.
1986: escándalo de contratistas del sector defensa, en Estados Unidos. Contratistas crearon el órgano de autorregulación Defense Industry Initiative (DII), que a su vez creó un modelo de programa de ética y cumplimiento para detectar fraudes, una mala gestión y otras conductas en empresas.
1991: publicación de US Federal Sentencing Guidelines (USFSG). Son instrucciones para que los jueces federales que deciden sobre delitos federales cometidos por empresas, atenúen penas ante programas de prevención de delitos eficaces. Con revisiones de 2004, 2010 y 2016.
1997: adopción de OECD Convention on Combating Bribery of Foreign Public Officials in International Business Transactions.
1999: publicación de OECD Principles on Corporate Governance. Con actualización de 2015.
2002: adopción de la U.S. Sarbanes- Oxley Act (SOX), Estados Unidos. La ley busca monitorizar empresas que cotizan en la bolsa de valores para evitar que la valorización de sus acciones sea alterada, y por tanto, fraudes y riesgos de bancarrota. Respondió a los escándalos de Enron, Tyco Internacional, WorldCom y Peregrine Systems.
2005: publicación de OECD Guidelines on Corporate Governance of State-Owned Enterprises. Con actualización de 2015.
2009: publicación de OECD Reccomendation on Further Combating Bribery of Foreign Public Officials in International Business Transactions.
2010: Dodd Frank Act (Wall Street Reform and Consumer Protection), Estados Unidos. La ley revisó la regulación financiera, creó nuevos supervisores, y restringió algunas operaciones especulativas. Eliminó excepciones para swaps y exigió controles a ellas. Reguló temas de buen gobierno corporativo, contratos 1256 y agencias de calificación crediticia.
2010: Foreign Account Tax Compliance Act (FATCA), Estados Unidos. Ley que busca controlar la evasión de impuestos de residentes americanos con inversiones fuera de Estados Unidos. Regula la obtención de información que proviene de entidades financieras por fuera de Estados Unidos.
2010: UK Bribery Act.
2010: OECD Good Practice Guidance on Internal Controls, Ethics and Compliance.
2017: US Department of Justice, Evaluation of Corporate Compliance Programs. Con actualización de 2019.
2017: OECD Recommendation on public integrity.

Concepto de Compliance.
Definición de Función de Compliance: Se encarga de asegurar que la organización cumple con las regulaciones y leyes que les resultan de aplicación, pero también con políticas, compromisos y valores internos. Incluye normas de obligatorio acatamiento, y normas adoptadas como obligatorias voluntariamente. El cumplimiento es respecto de la letra, pero también del “espíritu” de las normas. El Compliance es una función. Tiene como tareas, la prevención, detección y gestión de riesgos de cumplimiento, del marco legal y regulatorio, y de las obligaciones autoimpuestas (principio, valores éticos, códigos éticos y/o de conducta)10111213.
¿Quién cumple la función de Compliance? Tiene un máximo responsable, que es el Head, director, responsable o Chief de Compliance. Puede haber un departamento dedicado solo a Compliance. Pero Compliance es una responsabilidad compartida por todos los miembros de la organización, aunque tengan también otras responsabilidades y deber de rendir cuentas sobre ellas.
Definición de programa de Cumplimiento: marco a través del cual se planifica y desarrolla la función de Compliance. Contiene elementos formales: procedimientos y protocolos para identificar, evaluar y actualizar riesgos, establecer normas de conducta, revisar controles, poner en funcionamiento canales de denuncias, entre otros. Contiene elementos informales: la cultura corporativa y el liderazgo ético. Una organización puede tener varios programas de cumplimiento, siempre y cuando exista un responsable de cada uno. Puede haber un encargado de supervisar y coordinar todos los programas de cumplimiento y a todos los responsables.
Definición de sistema de gestión de Compliance (ISO 37201 de 2021): conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograr los objetivos de Compliance. Incluye mecanismos y estructuras y la incorporación de un marco de GRC.
Hay una tendencia actual de incluir dentro de la función de Compliance la de promover la cultura ética o de integridad. Son conceptos originalmente atados al de Responsabilidad Social Empresarial -RSE-, pero ha migrado a Compliance dado que ésta no se limita a alcanzar un cumplimiento normativo, sino a promover una debida conducta desde la perspectiva ética. Un marco conceptual sobe la ética en las empresas lo ofrecen los 10 principios del Pacto Mundial (UN Global Compact) y los 17 objetivos de desarrollo sostenible de la ONU. Incluye la responsabilidad moral de luchar contra la corrupción, la falta de integridad y de transparencia, para lograr instituciones más sólidas y sostenibles.
Tareas de la función de Compliance.

Identificar riesgos: identificar las obligaciones de cumplimiento, y las causas de la conducta de las personas de la organización frente a normas y controles. Los riesgos no identificados se terminan aceptando.
Analizar riesgos: permite establecer controles necesarios y suficientes para prevenir o detectar la materialización de riesgos.
Evaluar riesgos: permite establecer controles necesarios y suficientes para prevenir o detectar la materialización de riesgos.
Responder a la materialización de riesgos: Los tipos de riesgo, su nivel de impacto y probabilidad, determinar los controles preventivos. Un tipo de riesgo es el riego de conducta14, cuya medición debe incluir su impacto sobre grupos de interés distintos de la empresa como tal. Ante la materialización de riesgos, debe haber mecanismos de tratamiento lo antes posible. Para crearlos, se debe asesorar a cada unidad de negocio, incluyendo la concientización de directivos y profesionales. Para ello, es necesario interactuar con cada unidad, y “sentarse” con ellos, entre otros, en comités y foros de discusión.
Monitorizar- detectar la materialización de riesgos: El monitoreo se hace (i) con actividades de supervisión a los controles y conductas, basado en el nivel de riesgo ya existente para priorizar a más riesgo más control y monitoreo. También, (ii) con canales de comunicación interna que permita denunciar sin miedo a represalias gracias a la confidencialidad.
Reportar la materialización de riesgos: El reporte debe ser (i) suficiente, (ii) correcto, (iv) adecuado y (v) puntual. El reporte se hace a las más altas instancias, como Consejos de Administración, las comisiones que determine, los comités de dirección y riesgos entre otros.

Presupuestos para poder cumplir eficazmente una función de Compliance.

Forma de identificar “hot topics”, significado e implicaciones para el Compliance.
Marco de GRC que permita aplicar y supervisar los mecanismos de control, e.g., claras “líneas de reporte” -de quién a quién-, distribución de funciones, rendición de cuentas, toma de decisiones y seguimiento.
Comprensión de comportamiento de individuos dentro de la organización.

Compliance como costo: Compliance no es un centro de coste -una unidad de la empresa que implica costos y evita otros costos-. Verlo así dificulta la asignación de recursos suficientes para su adecuado desarrollo. La “paradoja de Compliance” es que si las empresas ven el programa de Compliance como un seguro ante penas y sanciones, adoptan menos diligencia en la real prevención y más en “cuestiones formales y cautelares legales”, lo que desde la cultura corporativa y a nivel organizativo puede ser peor que no tener programa de Compliance. Compliance puede ser una inversión en la integridad corporativa, que a su vez causa un mantenimiento y fortalecimiento de la reputación de la empresa, porque se prevendrán escándalos, y permitirá demostrar que si un riesgo ocurre hay un compromiso real con la ética y el cumplimiento legal. Otro beneficio es que una buena reputación a su turno permite retener mejor talento, y mantener y atraer nuevos clientes y proveedores con valores similares. Por último, un buen programa de Cumplimiento lucha contra la corrupción y contribuye a desarrollar instituciones sólidas, como lo pide el Pacto Mundial y los objetivos de desarrollo sostenible de la ONU.
Elementos formales e informales para poder cumplir eficazmente una función de Compliance (US DoJ, Evaluation of Corporate Compliance Programs)15.

Liderazgo y compromiso de la Dirección: Necesidad del “tone at the top”, es decir, importancia al Compliance dada desde la administración y dirección de la empresa, y su comunicación a los demás. Se evidencia en la disposición de recursos a los encargados del Compliance. El “tone at the middle”, es decir, la importancia dada al Compliance por mandos medios, también es relevante porque ellos determinan los objetivos diarios de trabajo y tienen trato más directo con los empleados.
Cultura corporativa, ética y de Compliance: parte de los objetivos del programa de Compliance debe ser promover una cultura corporativa ética. Se demuestra con el compromiso de cumplir normas imperativas, pero también normas voluntariamente consideradas obligatorias. Se demuestra también vinculando la cultura ética en la toma de decisiones. La adopción de un Código Ético (declaración de valores éticos) ayuda. Se logra al alinear exigencias a directivos y mandos medios.
Identificación, análisis y evaluación de riesgos: es esencial.
Existencia de un Compliance Officer: debe ser el líder en la supervisión del sistema de Compliance. Su equipo debe ser compuesto por especialistas capacitados para cumplir su función. Debe dinamizar la cultura corporativa, asesorar a quienes operan el negocio, educar y concientizar.
Políticas, procedimientos e instrucciones: son la respuesta a la identificación de riesgos. Deben estar por escrito, ser claros, prácticos, accesibles a los miembros de la empresa y tener un “Risk-Based Aproche” -RBA-.
Comunicación, formación y concienciación: del compromiso de la dirección de la empresa, y del programa de Compliance. Debe tener en cuenta los roles y características de los destinatarios.
Sistemas de monitorización y detección: periódico. Sobre controles y riesgos.
Canales de información: foco en el diseño y contenido de informes, así como de las estructuras para pasarlos de un lado a otro (Gobernanza).
Sistemas de incentivos y evaluación del desempeño: Es necesario establecer causales de mala conducta de directivos y empleados alineados con el código ético y/o de conducta, y el programa de cumplimiento. Los incentivos y la evaluación de desempeño deben estar alineados con los objetivos del Compliance y sus criterios. Por ejemplo, se puede medir los perfiles de riesgo de los miembros de la empresa y otros grupos de interés, a partir de conductas positivas cometidas, como detectar y reportar riesgos, ayudar con la prevención, gestionar y mitigar sus efectos, entregar información al órgano competente, cumplir y entregar una declaración de conformidad con las normas, asistir a la formación en Compliance, difundir las políticas de Compliance, y tener o no sanciones internas. También, como conductas negativas cometidas, haber contribuido a un riesgo de incumplimiento, no entregar información al competente o hacerlo tarde, no haber entregado o hacerlo tardíamente la información de cumplimiento, no asistir a la formación en Compliance, no haber comprendido la información en la capacitación según un examen, comportarse en contra de las políticas de Compliance, y haber tenido una investigación interna en contra.
Mecanismos de reacción ante los incumplimientos: régimen disciplinario: la reacción es para remediar la situación y prevenir futuros incumplimientos. La reacción debe incluir sanciones disciplinarias, aplicables por igual a todos, que en todo caso respeten la legislación (derecho laboral, convenios colectivos).

Mención de estándares y marcos de referencia de sistemas de Compliance.

Industria financiera.

Comité de Supervisión Bancaria de Basilea (1975):

Historia: foro mundial de supervisión bancaria compuesto por presidentes de Bancos Centrales del G-1016. En 2005, adoptó el principio de “tone from the top”, y 10 principios. Luego, en 2015 adoptó el Guidelines Corporate Governance Principles for Banks.

European Securities Markets Authority -ESMA- (2013):

Directiva MiFID -Markets in Financial Instruments Directive-Compliance function requirements. MiFID II (Resolución 2014/65/EU, vigente desde enero 3 de 2018). MiFIR.

Reglamento delegado UE 2017/565 de abril 25 de 2016 de la Unión Europea. Complementa Directiva 2014/65/UE del Parlamento Europeo y del Consejo, sobre requisitos y condiciones de funcionamiento de empresas de servicios de inversión:

Obliga a tener (i) líneas de rendición de cuentas y asignación de funciones y responsabilidades en una documentación clara con una estructura organizativa y procedimientos de toma de decisiones, (ii) difusión sobre procedimientos de cumplimiento de responsabilidades, (iii) tener mecanismos adecuados de control interno para cumplir decisiones y procedimientos, (iv) tener empleados con conocimientos y experiencia necesarios para cumplir responsabilidades, (v) tener un sistema interno efectivo de rendición de cuentas y comunicación, (vi) tener un registro de negocios y organización interna, (vii) garantizar que las varias funciones de mismas personas no impidan cumplir adecuadamente con ellas, (viii) contar con una función permanente y efectiva de verificación del cumplimiento que actúe con independencia y cumpla supervisión de medidas, de información a la dirección y supervisión, y (ix) tener recursos y atribuciones necesarias, información e independencia.

COSO (Committee of Sponsoring Organizations of the Treadway): sus estándares son acogidos como válidos para empresas vigiladas por la SEC, EEUU. Los dos estándares COSO son complementarios.

COSO Control Interno17 (1992, 2013):

Tiene tres aristas:

categorías de objetivos: (1) Operativos, (2) información (3) Cumplimiento.
Componentes: (1) Entorno de control18, (2) Evaluación de riesgos19, (3) Actividades de control20, (4) Información y comunicación21, (5) Actividades de supervisión22.
Estructuras de organización encargadas (niveles organizacionales): (1) Entidad, (2) División, (3) Unidad operativa, (4) Función.

COSO Riesgos Empresariales (2004, 2017)23:

Contiene 20 principios, organizados en cinco componentes.

Gobierno y cultura: El esquema y funcionamiento del gobierno empresarial determina la importancia y distribución de funciones de la gestión de riesgos. La cultura, compuesta por valores éticos, comportamientos esperados y comprensión del riesgo, determina la conducta de los miembros de la organización.
Estrategia y establecimiento de objetivos: en la planificación de la estrategia interviene también la gestión de riesgos y el establecimiento de objetivos. La estrategia debe ir alineada con el “apetito al riesgo”. Los objetivos ponen en práctica de la estrategia, y son base para identificar, evaluar y responder a los riesgos.
Desempeño (performance): Los riesgos se identifican y evalúan según afecten los objetivos. Los riesgos se priorizan según su gravedad y el apetito al riesgo. Las respuestas (controles) se comunican a los interesados en el riesgo.
Revisión y monitorización: Los miembros de la organización deben conocer el sistema de gestión de riesgos, y los aspectos que se pueden revisar y cambiar.
Información, comunicación y reporte: Es necesario obtener e intercambiar información con fuentes internas y externas, para gestionar riesgos.

AS 3806-2006 (Australia):

12 principios agrupados en 4 categorías. Cada categoría desarrolla los 12 principios e incluye indicadores de nivel de cumplimiento:

Compromiso
Desarrollo
Monitorización
Mejora continua.

IDW (Instituto de Auditores Públicos de Alemania) AssS 980 o PS 980 (2011):

Se basa en las directices del International Auditing and Assurance Board -IAAB-, para trabajar en control de calidad, metodologías de trabajo y documentación de procesos.

Normas ISO

ISO 37001 – Sistema de gestión anti soborno (2015)
ISO 19600 – Sistema de gestión de compliance (2015)
ISO 37301 – Sistema de gestión de compliance (2021). Incluye guía anexo.
ISO 37002 – Sistema de gestión de denuncias de irregularidades (2021)
ISO 37000 – Guía para la gobernanza en las organizaciones (2021)

LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE.

Definición de ética:

La influencia del programa de Compliance en las personas depende del apoyo a la ética que ofrece el sistema cultural de la empresa. La cultura ética es un “sistema informal”, a diferencia de los programas o sistemas de gestión de ética y compliance que son “sistemas formales”. La ética empresarial no la compone solo los documentos con valores y principios, ni se limita a la Responsabilidad Social Corporativa -RSE- (“hacer cosas éticas”).
Def. ética empresarial: “forma en que una organización lleva a cabo sus actividades para obtener ganancias o alcanzar otra metas u objetivos”.
El rol del Compliance Officer -CO- en la cultura corporativa es dinamizarla, promoviendo el cumplimiento no literal sino teleológico de normas, sólo posible con la ayuda de los órganos de administración y dirección (“tone at the top”).
La ética es un saber práctico que permite decisiones sobre hábitos y valores. La ética no hace juicios morales sobre lo bueno o malo, sino que trata sobre principios universales o referencias objetivas que dan pie a un modelo “racional” para evaluar la moralidad de una conducta.

Definición de ética empresarial:

En los negocios hay relaciones entre personas. Las relaciones se pueden evaluar moralmente. La ética empresarial es una rama de la ética aplicada que estudia lo moralmente correcto o incorrecto en los negocios. Presupone que la ética no es solo personal (privada de cada individuo), sino también organizacional, por lo que en los negocios el único valor no es sólo el económico, ni generar un beneficio económico es una actividad moralmente neutra.

Características de la ética empresarial:

La ética empresarial es la aplicación de normas morales personales a actividades y metas de las empresas (con un contexto diferente al individual). Contribuye a mejorar las empresas y a la sostenibilidad económica, social y medioambiental de la empresa y de las comunidades. La ética empresarial tiene sub-áreas:

Ética empresarial individual: estudia acciones individuales de individuos dentro de organizaciones, e.g. toma de decisiones, responsabilidad personal de miembro organizacional, conciencia ética individual.

Ética de dirección/gestión de empresas: estudia acciones de la dirección/liderazgo de empresas, e.g. influencias entre directivos, intermedios, subordinados, liderazgo ético.

Ética organizacional: estudia acciones de la empresa como un todo, e.g., estrategias, objetivos, estructuras, normas, procedimientos, cultura organizacional, planes de incentivos.

Ética empresarial social: estudia relaciones entre la empresa como un todo y la sociedad (terceros) en general, e.g. responsabilidad medioambiental, desarrollo sostenible.

Historia de la ética empresarial

Historia de la ética en los negocios:

La ética de los negocios toma relevancia reciente con las crisis financieras y escándalos empresariales, pero era estudiada desde la filosofía griega antigua:
(i) Aristóteles cuestionaba la avaricia y la usura en las relaciones comerciales, así como criticaba el intercambio con ánimo de lucro opuesto al necesario para el funcionamiento social. También consideraba justo el intercambio de igual por igual.
(ii) Santo Tomás preguntó si el vendedor debía contar los defectos de la cosa vendida y si debía poder vender a un mayor precio frente al que pagó inicialmente.
(iii) Lutero, Calvino y John Wesley desarrollaron la ética protestante del trabajo –“trabajar duro y ser frugal garantiza la salvación divina”-.
(iv) Adam Smith consideraba que la economía generaba mayor libertad y felicidad.
(v) Kant, Hegel y Stuart Mill discutieron la forma de determinar una actividad comercial y productiva moralmente correcta.
(vi) Marx dijo que el capitalismo explotaba a los trabajadores, aunque el valor económico de las cosas lo representa el valor humano trabajado, y aunque el empleador es quien gana la diferencia del valor de las cosas y lo pagado.
(vii) El Papa León XIII justificaba la propiedad privada pero preguntaba por el salario justo. El Papa Pio XI criticó al socialismo soviético al capitalismo liberal. El Papa Juan Pablo II hizo lo mismo.
(viii) El protestante Reinhold Niebuhr también ha participado en la discusión filosófica sobre la temática.

Historia de la ética empresarial como disciplina académica:

La ética empresarial como disciplina académica nace en los años 1970s en Estados Unidos. Hubo un foco en los derechos de los consumidores, y la Guerra en Vietnam, el asesinato de Martin Luther King, el escándalo de Watergate y el caso de corrupción Lockheed -sobornos a funcionarios públicos japoneses, a la realeza holandesa y a militares españoles para hacerse a contratos- pusieron el foco en la ética de las empresas. La primera respuesta fue la responsabilidad social corporativa -RSC- que involucraba principalmente requisitos legales y a las direcciones de las empresas. Luego se extendió a empleados, consumidores y al público. El foco de la RSC eran las demandas sociales y la reputación de la empresa.
La primera conferencia sobre ética empresarial, en 1974 en la Universidad de Kansas, se concentró en el análisis de casos y problemas concretos, y la respuesta desde la teoría ética empírica. En los años 80s la disciplina ya era interdisciplinar, una mezcla de filosofía e investigación empresarial. En los años 90s la ética empresarial ya era un campo de estudio sólido.

Historia de la ética empresarial como movimiento corporativo:

El movimiento empresarial que procuró la ética empresarial arrojó modelos que incluyen: (i) líneas claras de responsabilidad, (ii) códigos de ética corporativos, (iii) programas de formación en ética, (iv) líneas internas -canales- de dudas o denuncias, y (v) el nombramiento de un oficial de ética corporativa.
En los años 1980s se adopta el concepto de “stakeholders” -no limitado a accionistas- y se enfoca en los intereses y necesidades de cada grupo de interés. Se desestima que la única responsabilidad de las empresas sea maximizar beneficios.
En los años 1990s se concibe que las empresas tienen responsabilidades económicas -ser rentable-, pero también legales -cumplir la ley-, éticas y filantrópicas -ser “buenos ciudadanos”-. Igualmente en esa década se enfoca en las buenas prácticas del gobierno corporativo24, y por tanto en el rol de los consejos de administración frente a la diligencia, rendición de cuentas, transparencia y responsabilidad social, así como su interacción con los directivos, accionistas y otros “stakeholders”. De ahí, que se desarrollaran diversos estudios sobre la independencia y los conflictos de intereses.
En los años 2000 hubo nuevos escándalos empresariales -Enron, Worldcom, Tyco, Parmalat entre otros-. La respuesta estatal fue un aumento en la regulación. Sin embargo, desde 1986 en Estados Unidos había iniciado la autorregulación de sectores, como la Iniciativa de la Industria de Defensa -DII- que dio nacimiento a un modelo de ética interna y programas de Compliance para detectar y prevenir el mal uso de fondos, los fraudes y otras irregularidades. Algunas empresas comenzaron a ver un valor agregado reputacional en eso. Comenzó también a adoptarse conceptos de la Sostenibilidad, que se refiere al rol de las empresas frente a futuras generaciones y al entorno económico, social y ambiental, y de la Ciudadanía Corporativa -deber de las empresas de no limitarse a contribuciones exigidas por la ley-. Por ejemplo, en 2018, el CEO de Black Rock dio un discurso sobre el propósito social de las empresas de contribuir positivamente a la sociedad -a todos los “stakeholders”- y no solo generar rendimientos financieros.
Un caso de éxito fue Johnson y Johnson. Al verificarse el envenenamiento de un lote de producción de Tylenol, suspendieron las ventas, y aunque perdieron dinero, cumplieron su documento “Nuestro Credo”, que establecía que la empresa era responsable ante el consumidor, empleados, comunidad y accionistas. También colaboraron activamente con las autoridades de Estados Unidos -en concreto, FDA y FBI-.

Historia de la regulación legal de la ética empresarial:

La regulación incrementó porque las empresas no se auto-regularon. De hecho, hay dudas sobre la eficacia de la regulación para impulsar la ética. Pero la regulación sí ayuda a fomentar el enfoque ético de las empresas. Los reguladores deben promover la responsabilidad legal de las empresas, pero también que éstas excedan la expectativa legal a partir de buscar mejorar su reputación, la de su industria, y dar mejores resultados a clientes. Los reguladores no pueden excederse en las obligaciones regulatorias a imponer porque pueden convertir el programa de ética en un “check list”.
En 1964 se adoptó el US Civil Rights Act, que prohibió la discriminación en los establecimientos públicos relacionados con comercio entre estados de Estados Unidos, y en lugares de alojamiento público y entretenimiento. Como consecuencia, las empresas crearon “oficinas de igualdad” en Recursos Humanos.
En 1977, luego del escándalo Lockheed, Estados Unidos adoptó el Foreign Corruption Practices Act -FCPA-, que declaró ilegal sobornar a funcionarios extranjeros y estableció penas para quienes lo hicieran.
En 1991 se publicó el US Federal Sentencing Guidelines -USFSG-, que dio directrices a los jueces federales para atenuar las penas a imponer a empresas responsables de delitos federales, si demostraban tener un programa efectivo de prevención de delitos. En 2004 las USFSG se revisaron, y se incluyó el deber de las empresas de promover una cultura organizacional ética y de cumplimiento legal.
En 2002 se adoptó la Ley Sarbanes- Oxley en Estados Unidos, como respuesta al escándalo de Enron y Arthur Andersen. La primera empresa tenía un código ético que no se puso en práctica, porque fingió buenos resultados para mantener el precio de las acciones, a través de manipular la contabilidad de las ganancias con meras proyecciones sobre el precio de la energía y la consolidación de deudas a través de “Special Purpose Entities”25 supuestamente alejadas de la matriz. En adelante, las empresas debían mejorar su responsabilidad, la divulgación de información financiera y de controles internos, y debían combatir el fraude corporativo y contable. También se creó el Public Company Accounting Oversight Board -PCAOB- para supervisar a las auditoras.
En 2010, el Reino Unido adoptó el UK Bribery Act, que por primera vez establecía deberes de prevención de delitos de soborno en cuyo incumplimiento se activaban estructuran de responsabilidad penal.
En 2010, España modificó el Código Penal para reconocer la responsabilidad penal de las personas jurídicas. En 2015 la Fiscalía General del Estado expidió la Circular 1/2016, en la que estableció que el objetivo de los programas de Compliance no solo es evitar sanciones penales sino promover la “cultura ética empresarial”.
En 2017, Francia adoptó la Loi Sapin II, que obliga a adoptar los estándares internacionales de la FCPA y el UK Bribery Act en empresas de su jurisdicción.

Ética empresarial y cumplimiento

La eficacia de un programa de cumplimiento requiere de una mejora en la cultura corporativa, que no se logra con la sola adopción de documentos. Requiere reflexión ética durante el diseño y ejecución del programa de cumplimiento. La eficacia del programa no se mide en obtener una exención de responsabilidad o atenuación de la pena, sino en el fomento de la cultura ética. Limitar la tarea de cumplimiento a cumplir la literalidad de la regulación termina en programas de cumplimiento limitados, que lo ven como una carga burocrática a cumplir para eludir responsabilidades; es “la paradoja del Compliance”. La regulación no evita por sí sola las actividades ilegales; el foco debe estar en los resultados para los clientes y el impacto en el mercado. La Financial Conduct Authority -FCA- del Reino Unido en 2005 estudió el “riesgo de conducta”: “el riesgo de causar un mal resultado para los clientes, daños a la integridad del mercado o una generar una competencia inefectiva en mercados financieros”. Ahora la FCA exige preguntarse si un producto financiero se adecúa al perfil del cliente, a sus necesidades, si se está protegiendo la información privilegiada y una competencia justa; le subyace una lógica ética.

Teorías de la ética empresarial

Se propone la combinación de las diferentes teorías éticas, como mejor estrategia.

Relativismo y absolutismo ético

Mientras que el relativismo afirma que no hay principios éticos universales, para determinar si las acciones son buenas o malas, el absolutismo dice que sí los hay, e.g. la ética deontológica de Kant.

Consecuencialismo, enfoque deontológico y la ética de la virtud

Egoísmo ético y utilitarismo

El Consecuencialismo dice que una acción es buena o mala según sus consecuencias. El egoísmo ético dice que la acción es buena o mala según las consecuencias que cause para quien lleva a cabo la acción, e.g. Hoffman y Moore. El utilitarismo dice que la acción es buena o mala según las consecuencias que cause tanto para quien lleva a cabo la acción como para las demás personas, e.g. John Stuart Mill y Jeremy Bentham. El Consecuencialismo ignora los derechos de los individuos y el sentido de justicia.

Enfoque deontológico

La deontología dice que una acción es buena o mala si cumple o no normas. Kant dice que esas normas son obligaciones incondicionales morales y universales llamadas “imperativos categóricos”. La deontología ignora las dificultades de resolver conflictos entre derechos o deberes.

Ética de la virtud

El neo- aristotelismo dice que una acción es buena o no si permite alcanzar la “buena vida”, es decir, la satisfacción que produce ser honesto, servicial y consciente de la contribución propia al bienestar ajeno. El concepto de “buena vida” puede terminar llevando a un relativismo.

Pasos para tomar decisiones éticas

Identificar hechos:

Implica distinguir hechos de suposiciones. Identificar también las fuentes de información, su calidad y fiabilidad.

Identificar y reconocer el problema ético:

Supone analizar el problema desde los niveles personal, organizativo, institucional, social y sistémico, a partir del concepto de daño o perjuicio. Igualmente, exige determinar si el problema lo prevé la ley y si se limita a un tema legal o no.

Identificar afectados:

Se debe priorizar entre los afectados, individuales o colectivos.

Identificar opciones:

La comparación de opciones de solución es un método de resolución de dilemas éticos de suma utilidad. De ahí que la actividad requiera una reflexión crítica y no automatizada.

Evaluar la ética de las opciones:

Es necesario priorizar las opciones según la dimensión del daño que puede producir cada opción, la consecución del respeto a D.D.H.H., de la justicia y del bien común.

Deliberación y toma de decisiones:

Se debe determinar la necesidad de pedir opiniones adicionales, o, de ser imposible, imaginarlas. Se recomienda evitar la precipitación.

Actuación, evaluación y seguimiento de resultados:

Es necesario “complicarse la vida” con la aplicación práctica de la ética. Esto quiere decir, asumir el costo energético, de tiempo y demás recursos, que implica parar a pensar qué es lo que se está haciendo y por qué.

Valor añadido de la gestión ética:

La ética debe hacer parte de la estrategia, que determina los objetivos, y debe impactar el funcionamiento del Consejo de Administración. Requiere liderazgo (“tone at the top”) y no se limita a códigos éticos o RSC. La ética promueve el éxito a largo plazo porque (i) favorece la toma de decisiones, (ii) genera confianza y fidelidad de clientes, (iii) refuerza los valores corporativos y crea una buena cultura corporativa, (iv) evita la corrupción y falta de integridad, y (v) establece un desarrollo personal de los individuos, que contribuye a un ambiente laboral positivo.
NORMAS ISO 37301 (2021)- SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO.

Introducción

Su antecedente, ISO 19600, es la norma incorporada en España con la denominación UNE-ISO 19600. En abril 16 de 2021, con la ISO 37301, el contenido del estándar internacional ISO 19600 se adoptó como conjunto de requisitos y ya no meras recomendaciones, por lo cual, contrario al antecedente de la UNE-ISO 1960026, su adopción es certificable.

Estructura

Estructura de alto nivel de los modelos de gestión ISO

ISO es una entidad privada que no crea normas sino estándares, que las legislaciones y regulaciones pueden adoptar para ser compatibles. Los estándares son flexibles, por lo que las organizaciones los pueden cumplir y a la vez modificar o adaptar.

Estructura de alto nivel aplicada a la ISO 37301

Los pasos del sistema son, en ciclo, (i) desarrollar, (ii) implementar, (iii) evaluar y (iv) mantener. Se conoce como “estructura de mejora continua”, “círculo de control de Deming”, o “PDCA”: “Plan-Do-Check-Act”. Tiene como principio la integración de la cultura de cumplimiento en el día a día -en los procedimientos o procesos de negocios- de las organizaciones, sin perder la independencia de la función de cumplimiento.

Objeto y campo de aplicación

ISO27 37301 dice cómo “establecer, desarrollar, implementar, evaluar, mantener y mejorar” un sistema de gestión de Compliance, para organizaciones de cualquier tamaño y sector.

Definiciones de ISO 37301

Organización: “persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para el logro de sus objetivos”.
Parte interesada: “persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad”.
Alta dirección: “persona o grupo de personas que dirigen y controlan una organización al más alto nivel”.
Órgano de Gobierno: “persona o grupo de personas que gobiernan una organización, establecen las direcciones y a quienes la alta dirección… rinde cuentas”.
Empleado: “individuo con una relación que está reconocida como relación laboral en la legislación nacional o en la práctica”.
Función de Compliance: “persona(s) con responsabilidad para la gestión de Compliance”.
Sistema de gestión: “conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograr estos objetivos”.
Política: “intenciones y dirección de una organización, como las expresas formalmente por su alta dirección”.
Objetivo: “resultado a lograr”.
Proceso: “conjunto de actividades interrelacionadas o que interactúan, que transforma elementos de entrada en elementos de salida”.
Procedimiento: “forma específica de llevar a cabo una actividad o proceso”.
Riesgo de Compliance: “efecto de la incertidumbre en los objetivos de Compliance”.
Requisito de Compliance: “requerimiento que una organización tiene que cumplir”.
Compromiso de Compliance: “compromiso que una organización elige cumplir”.
Obligación de Compliance: “requisito de Compliance o compromiso de Compliance”.
Incumplimiento: “no cumplir con una obligación de Compliance”.
No conformidad: “incumplimiento de un requisito”.
Cultura de Compliance: “valores, ética y creencias que existen en una organización y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen a resultados de Compliance”.
Seguimiento: “determinación del estado de un sistema, un proceso o una actividad”.
Acción correctiva: “acción para eliminar la causa de una no conformidad o un incumplimiento de Compliance y evitar que vuelvan a ocurrir”.

Contexto de la organización

Comprensión de la organización y su contexto

Se deben identificar factores relevantes para el fin de la organización y que afectan su capacidad de obtener resultados, e.g., modelo de negocio, contexto legal y regulatorio, políticas, procedimiento y recursos internos, cultura de compliance, entorno.

Comprensión de las necesidades y expectativas de las partes interesadas

Se debe identificar a las partes interesadas en el sistema de Compliance, los requisitos aplicables a ellas y cuales de éstos se tratarán en el sistema de Compliance.
Ejemplos de partes interesadas son: propietarios y fundadores; en el sector privado, internos es decir, administradores, directivos y empleados; en el sector privado, externos es decir, proveedores, clientes y prospectos, competidores, ONGs; en el sector público, legisladores, reguladores, sindicatos, grupos de especial interés y medios de comunicación.

Determinación del alcance del sistema de gestión de Compliance

Se debe delimitar la materia -temas y actividades a tratar, partes interesadas-, y el territorio sobre el que el sistema de Compliance funcionará. Ello, a partir de las obligaciones de Compliance de las partes interesadas, sus expectativas, y los factores internos y externos.

Sistema de gestión de Compliance

Se deben establecer (i) valores, (ii) objetivos, (iii) estrategia y (iv) riesgos de Compliance de la organización. Se requiere un mantenimiento y mejoría continuo del sistema.
Las medidas de buen gobierno corporativo -BGC- son formas de alinear el sistema de Compliance, por ejemplo, (a) el acceso directo de la función de Compliance al órgano de gobierno, (b) la independencia de la función de Compliance, a través de canales de comunicación directos entre ella y el órgano de gobierno o una comisión como por ejemplo de auditoría y control, y (c) la asignación de la función de Compliance con autoridad suficiente y recursos financieros, humanos y técnicos adecuados y necesarios.

Obligaciones de Compliance

Hay voluntarias -compromisos-, e involuntarias -requisitos-. Se deben identificar, así como la forma en la que afectan las actividades, servicios y/o productos. La identificación debe mantenerse actualizada.

Evaluación de los riesgos de Compliance

La evaluación determina la asignación de recursos y el diseño de procesos de gestión de riesgos. Los riesgos se califican entre inherentes -sin controles- y residuales -los que quedan luego de implementados los controles-.
Se debe identificar las causas de los riesgos -normativas-.
Se deben identificar las causas de los incumplimientos de las obligaciones de Compliance -conductas de riesgo asociadas a normativas, conforme a los factores internos (estructura, actividad) como externos (sector, legislación, contexto económico y sociocultural)-. De igual forma, se deben identificar a las posibles personas expuestas a esos riesgos.
Se deben identificar las consecuencias del incumplimiento de las obligaciones de Compliance -e.g. daños personales y ambientales, pérdidas económicas, daños reputacionales y responsabilidades administrativas, civiles y penales-.
Se debe identificar los controles que pueden disminuir la probabilidad del incumplimiento de Compliance, e.g. políticas, procesos y procedimientos.
Se deben revaluar los riesgos periódicamente, o cuando se justifique -e.g. cambios en actividades, productos y servicios; en la estructura o estrategia; en factores externos (circunstancias económicas-financieras, condiciones de mercado, pasivos y relaciones con clientes); en obligaciones de Compliance; fusiones y adquisiciones; incumplimientos de Compliance-.
Se debe priorizar el tratamiento de riesgos según un enfoque basado en el riesgo -RBA-.

Liderazgo

Liderazgo y compromiso

Órgano de gobierno y alta dirección

La eficacia del sistema de Compliance requiere que el órgano de gobierno y la alta dirección demuestren su compromiso con él, y su importancia estratégica.
Para eso, deben asignar y comunicar las responsabilidades y autoridades de los roles de Compliance. Son ejemplos de ello, que: el órgano de gobierno (i) apruebe la política de Compliance; (ii) comunique a las partes interesadas, con claridad, convicción y ejemplo práctico el compromiso con el Compliance, (iii) cumple con el sistema de Compliance.
Igualmente, que la alta dirección: (i) deba asegurar la eficacia del compromiso con el Compliance en la organización, (ii) trasmita al personal clara y consistentemente al personal que la organización cumplirá el Compliance, (iii) comunique a las partes interesadas, con claridad, convicción y ejemplo práctico el compromiso con el Compliance (iv) tenga responsabilidades de compliance en todos sus niveles, (v) cumple con el sistema de Compliance.
Además, se prueba cuando las personas que cumplen la función de Compliance (i) son competentes, con autoridad e independencia adecuada, (ii) tiene acceso directo al órgano de gobierno, (iii) reciben recursos adecuados para promover la cultura de Compliance con actividades de concienciación y formación de las partes interesadas,
También, se prueba cuando la organización (i) tiene políticas, procesos y procedimientos que cumplen requisitos legales pero también códigos voluntarios y valores de la organización, (ii) hace revisiones periódicas del sistema -mínimo una al año-. (iii) mejora continuamente el desempeño del sistema, (iv) toma acciones correctivas puntuales.

Cultura de Compliance

El órgano de gobierno y la dirección deben demostrar compromiso con la cultura de Compliance, de forma activa, visible, consistente y constante.
Frente a la cultura de Compliance, la organización debe: (i) medir su cultura, (ii) determinar si los empleados perciben el compromiso del órgano de gobierno y la dirección con la cultura de Compliance, (iii) responder ante indicadores de la cultura de Compliance con planes de acción.
ISO 37301 enlista promotores de la cultura de Compliance: (i) publicación de los valores organizacionales, (ii) compromiso de la dirección con el respeto a los valores organizacionales, (iii) trato igual a todos los incumplimientos de Compliance, sin importar la posición de los involucrados, (iv) debida diligencia y adecuada evaluación a empleados con funciones importantes antes de su vinculación, (v) formación en Compliance a nuevos empleados que incluya valores organizacionales, (vi) formación continuada en Compliance a las partes interesadas relevantes, (vii) comunicación continuada sobre Compliance, (viii) sistemas de evaluación sobre el comportamiento ante el Compliance, y sistemas de retribución con base en el logro de objetivos del Compliance, (ix) imposición de medidas disciplinarias “rápidas y proporcionadas” ante infracciones -intencionadas o negligentes- de Compliance.
ISO 37301 dice que para medir la cultura de Compliance se toma en cuenta los factores promotores de Compliance arriba mencionados, como también si las partes interesadas saben de su implementación, si los empleados entienden la relevancia de sus actividades y obligaciones de Compliance y los de su unidad, si los sancionadores se apropian de su función y la ejercen adecuadamente, si el papel del Compliance es adecuado, y si se permite y anima el uso de los canales de denuncias con destino a la alta dirección y el órgano de gobierno.

Gobierno de Compliance

ISO 37301 tiene como principios fundamentales del Compliance: (i) el acceso de la función de Compliance al órgano de gobierno y a la alta dirección, e.g. línea directa al CEO e indirecta al comité de auditoría, presidente u órgano de administración, (ii) la independencia de la función de Compliance, es decir, la ausencia de conflictos de interés y la habilidad para actuar sin interferencia, (iii) la autoridad de la función de Compliance, suficiente para emitir órdenes a empleados y sin posibilidad de que nadie modifique sus informes, (iv) recursos necesarios para que la función de Compliance actúe sin restricciones.

Política de Compliance

Este documento contiene principios generales, una declaración de compromiso con los objetivos de Compliance, la distribución de responsabilidades, índices de desempeño y de evaluación frente a los objetivos de Compliance.
Los requisitos generales de la política son: (i) ser adecuada frente al fin organizacional, (ii) contener un marco de referencia para establecer los objetivos de Compliance, (iii) incluir el compromiso de cumplir requisitos (obligaciones legales y regulatorias), (iv) incluir el compromiso de mejora continua.
Los requisitos específicos de la política son regular: (i) la aplicación y el contexto del sistema frente al tamaño, naturaleza y complejidad de la organización y de su entorno, (ii) el grado de integración del Compliance con otras funciones como gobernanza, riesgos, auditoría y jurídica, y (iii) principios de las relaciones con las partes interesadas.
La política no es un único documento. Lo integran políticas específicas, procedimientos y procesos operacionales entre otros. Debe estar en el idioma pertinente.
Para elaborar la política, se debe tener en cuenta: (i) las obligaciones de Compliance, (ii) la estrategia, objetivos, cultura y enfoque de gobernanza de la organización, (iii) la estructura de la organización, (iv) la naturaleza y el nivel de riesgo asociados a incumplimiento del Compliance, (v) las normas, códigos, políticas internas y procedimientos adoptados, y (vi) los estándares de la industria.
El contenido específico de la política debe ser: (i) una declaración de la misión, (ii) una declaración de política general, (iii) estrategia de gestión y asignación de responsabilidades y recursos, (iv) procedimientos estándar de Compliance, y (v) auditoría, debida diligencia y Compliance.

Roles, responsabilidades y autoridades en la organización

Dependen de la estructura de la organización. Los principios generales pueden ser los siguientes.

Órgano de gobierno y alta dirección

Distribuyen responsabilidades de Compliance -y lo comunican-. Reciben información del cumplimiento de responsabilidades de Compliance.
La Alta Dirección es responsable de la operación del sistema de Compliance -logro de objetivos-, y el Órgano de Gobierno supervisa a la Alta Dirección. Por eso, la Alta Dirección debe: (i) asignar recursos necesarios, (ii) asegurar la adopción de procedimientos y su ejecución eficaz, (iii) asegurar el “alineamiento” entre la estrategia y la operación del Compliance con las obligaciones de Compliance, (iv) tener mecanismos de responsabilidad, e.g. medidas disciplinarias ante incumplimientos, (v) asegurar que los empleados también son evaluados según su rol en Compliance, (vi) revisar cada tanto el sistema de Compliance, según KPIs y otros, y ver si cumple objetivos.

Función de Compliance

El encargado principal del Compliance puede ser un individuo o un grupo.
En cualquier caso, el encargado –“la función del Compliance”, según las definiciones de ISO 37301-, debe (i) acceder al alto nivel organizacional, (ii) participar en las decisiones desde el principio, (iii) acceder a cualquier nivel y empleado, (iv) acceder a cualquier información organizacional necesaria, (v) ser asesorado por expertos en normas y estándares.
Como tareas propias principales, la función del Compliance debe: (i) identificar las obligaciones de Compliance, (ii) documentar la evaluación de riesgos de Compliance, (iii) alinear el sistema de Compliance con los objetivos de Compliance, (iv) monitorear y medir el desempeño en Compliance, (v) evaluar el desempeño del sistema de Compliance para determinar si se necesitan acciones correctivas. (vi) establecer un sistema de información y documentación de Compliance. (vii) establecer un canal de denuncias y asegurarse de que se usa adecuadamente. (viii) dar a empleados acceso a información de Compliance, e.g. políticas, procedimientos y procesos. (ix) asesorar a la organización en Compliance.
Como tareas de supervisión frente a tareas ajenas, la función de Compliance debe supervisar: (i) la asignación de responsables sobre obligaciones de Compliance, (ii) la integración de las obligaciones de Compliance con las políticas, procesos y procedimientos. (iii) la formación adecuada del personal. (iv) la adopción de indicadores de desempeño en consideración al Compliance.

La dirección

La dirección y la alta dirección son distintos. Como es obvio, la dirección tiene menor nivel. Frente al Compliance, la dirección debe: (i) cooperar con la función de Compliance y promover la cooperación de los empleados. (ii) asegurar que los empleados cumplen las obligaciones, políticas, procedimientos y procesos de Compliance. (iii) identificar y comunicar los riesgos de Compliance en sus actividades. (iv) integrar las obligaciones de Compliance en la operación. (v) asistir y cooperar con la formación de Compliance. (vi) concientizar al personal sobre las obligaciones de Compliance y verificar su formación. (vii) animar el uso de canales de denuncia e impedir represalias (viii) participar en la solución de incidentes relacionados con Compliance. (ix) garantizar la implementación de acciones correctivas una vez se consideren necesarias.

Los empleados

Los empleados deben cumplir las obligaciones, políticas, procedimientos y procesos de Compliance; informar inquietudes, incidentes o fallas sobre Compliance; y participar en la formación de Compliance.

Planificación

Acciones para abordar los riesgos y oportunidades

En esta etapa, es necesario estudiar: (i) el contexto de la organización, (ii) las expectativas de las partes interesadas, (iii) las obligaciones de Compliance, y (iv) los resultados de la evaluación de riesgos de Compliance.
Así, podrá (i) asegurar que el sistema pueda alcanzar los objetivos, (ii) reducir los efectos indeseados, (iii) mejorar continuamente, (iv) considerar los objetivos de Compliance. (v) integrar e implementar acciones en el sistema, (vi) evaluar la eficacia de sus acciones.

Objetivos de Compliance y planificación para lograrlos

Los objetivos deben: (i) ser coherentes con la política de Compliance, (ii) ser medibles, (iii) cumplir los requisitos de Compliance, (iv) ser monitoreables, (v) ser comunicados, (vi) ser actualizables, y (vii) ser accequibles.
Para determinar la forma como se alcanzarán los objetivos de Compliance, es necesario identificar: (i) qué se hará, (ii) que recursos se usarán, (iii) quién deberá hacerlo, (iv) cuándo lo hará, y (v) cómo se evaluará lo hecho.

Planificación de los cambios

Todo cambio debe ser planificado.

Apoyo

Recursos

Se refiere a los financieros, humanos y técnicos, internos y externos. Se debe identificar cuáles son los necesarios para el sistema de Compliance.

Competencia

Se refiere a la capacidad de las personas con roles de Compliance.
La organización debe: (i) identificar las competencias necesarias de las personas para cumplir esas funciones, (ii) determinar si quienes ya tienen funciones de Compliance cuentan con formación y experiencia suficiente, (iii) promover que las personas adquieran las competencias necesarias y evaluar si esa promoción funciona, (iv) hacer una debida diligencia sobre antecedentes y referencias de candidatos.
Sobre la formación que debe garantizar la organización, ISO 37301 existe que sea: (i) adecuada al rol y riesgo de Compliance de cada uno, (ii) evaluable en su eficacia, (iii) revisada regularmente (iv) adaptable a la falta de conocimiento o competencias, (v) flexible frente a las necesidades de la organización, (vi) proveída por personal experimentado y cualificado, (vii) proveída en el idioma pertinente, (viii) evaluada periódicamente, (ix) enfocada frente a malas prácticas del pasado, (x) impartida ante cambios de posición, responsabilidades, políticas, procesos, procedimientos, estructura organizativa, obligaciones de Compliance, actividades, productos y servicios, y ante reclamaciones, auditorías e incumplimientos de partes interesadas.

Toma de conciencia

De empleados, sobre: (i) política de Compliance -que deben ser disponibles y comprensibles para ellos-, (ii) contribución esperada al sistema de Compliance, (iii) consecuencias ante incumplimientos, (iv) canales de denuncias internas, (v) relevancia de obligaciones de Compliance y política de Compliance para su cargo, (vi) la importancia de la cultura Compliance.
Para eso, la organización debe hacer uso de: (i) formación, (ii) comunicación de la Alta Dirección, (iii) materiales disponibles y comprensibles, (iv) actualizaciones.

Comunicación

Se debe planear, respecto de las comunicaciones: (i) contenido, (ii) cuándo comunicar, (iii) a quién comunicar, (iv) cómo comunicar.
Puede ser cualquier forma, virtual o análoga.
La comunicación debe siempre ser transparente, adecuada, creíble, con “capacidad de respuesta”, accequible y clara.

Información documentada

Se debe documentar: (i) la política de Compliance, (ii) el sistema de Compliance -objetivos, metas, estructura y contenido-, y (iii) la ejecución del sistema de Compliance. También, (iv) procedimiento de Compliance, (v) asignación de roles y responsabilidades, (vi) las obligaciones de Compliance, (vii) los riesgos de Compliance, (viii) la priorización del tratamiento de riesgos, (ix) los incumplimientos, conatos e investigaciones, (x) los planes anuales de Compliance, (xi) los registros personales incluyendo los de formación, (xii) los procesos, calendario y registros asociados de auditoría, (xiii) los requisitos de información regulatorios.
La documentación puede ser digital o análoga, y se debe controlar su disponibilidad y cofidencialidad para proteger el uso inadecuado o pérdida de integridad.

Operación

Planificación y control operacional

Aunque se pueden contrarar a terceros para las actividades de Compliance, la organización debe verificar y controlar la calidad de la actividad -se debe respetar la confidencialidad del aspecto financiero del tercero-. El control incluye una debida diligencia, y la formalización de acuerdos de nivel de servicio o SLAs.

Establecimiento de controles y procedimientos

Ejemplos de controles: (i) políticas operativas, procesos, procedimientos e instrucciones de trabajo documentados, claros, prácticos y fáciles de seguir. (ii) sistemas e informes de excepciones. (iii) autorizaciones. (iv) segregación de roles y responsabilidades incompatibles. (v) procesos automatizados. (vi) planes anuales de Compliance. (vii) planes de desempeño de empleados. (viii) evaluaciones de Compliance y auditorías. (ix) compromiso demostrado de la dirección y comportamiento esperado de los empleados. (x) comunicación acitva, abierta y frecuente sobre el comportamiento esperado de los empleados. (xi) integración de las obligaciones de Compliance en procedimientos -operación-e.g. sistemas informáticos, formularios, sistemas de información, contratos y documentación legal-., (xii) consistencia con otras funciones de revisión y control, (xiii) monitoreo y medición continua, (xiv) evaluación y reporte sobre cumplimiento de procedimientos por empleados, (xv) formas de identificar, informar y comunicar a niveles superiores casos de incumplimiento y riesgos.

Canales de denuncias

A través de ellas se informan infracciones potenciales, sospechosas o reales de la política de Compliance o de obligaciones de Compliance.
Deben ser: (i) visibles, (ii) accequibles, (iii) el reporte debe ser confidencial, (iv) debe aceptar denuncias