NORMATIVA INTERNA DE LAS ORGANIZACIONES.docx

Full Transcript

NORMATIVA INTERNA DE LAS ORGANIZACIONES

Código de conducta, políticas y procedimientos

Las normas internas y procedimientos asociados deben estructurarse como normas jurídicas.

Estructura de la normativa interna

A modo de pirámide normativa -validez determinada por la coherencia con la norma superior- (Kelsen), sería:

Código de conducta
Política de alto nivel
Política específica
Procedimiento
Instrucción

Arbol de políticas

La norma interna superior debe contener pilares de BGC y Compliance. Debe mezclar valores de la organización y BGC.
El diseño piramidal de normas es estructurado, y se denomina “gestión de políticas”. No hay adecuada gestión de políticas sin una adecuada norma interna superior.
El sistema debe tener un procedimiento de creación, aprobación, difusión y archivo de normas.

La Norma Cero como base para la elaboración de políticas internas

Debe regularse quién y cómo puede producir y aprobar normas internas; quién está a cargo de velar por su cumplimiento y revisar su contenido; quién y cómo puede modificarlas; y quién y cómo debe organizarlas. Lo anterior se conoce como “Norma Cero” o “Norma de Normas”.
Contenido de la Norma Cero: (i) quién puede impulsar la creación de una norma o su revisión, (ii) quién debe valorar la idoneidad de la norma, (iii) quién debe participar en la creación de la norma; (iv) categorías y formatos de normas, (v) quién puede aprobar normas, (vi) quién debe difundir normas -formación y sensibilización-, (vii) quién asegurará el archivo y acceso a las normas, (viii) quién supervisará todo el proceso.

Gestión interna de las políticas

Documentación

Se refiere a la documentación de normas, la forma como interactúan y se complementan -Norma Cero-, su ejecución, difusión y formación y medidas resultantes.

Lenguaje

Las políticas deben ser entendibles para todos. Incluye tipo de lenguaje e idioma.

Comunicación

La alta dirección debe promover la difusión de las normas internas, con campañas formativas y de sensibilización.

Archivo y accesibilidad

El fácil acceso y ubicación de normas internas es importante. Se suelen usar repositorios, pero deben estar presentes en la operación del negocio. La organización en carpetas y subcarpetas respetando la jerarquía entre normas es recomendable y ayuda a detectar lagunas. La búsqueda debe permitir filtros según el perfil del interesado, quien podrá encontrar lo pertinente a él. No debe haber varias versiones de un mismo documento.

Actualización

Las politicas de Compliance deben contener las obligaciones de Compliance -requisitos y compromisos de Compliance-. Deben estar actualizadas. También, los registros sobre otras actividades de Compliance como la formación.

Integración en los procesos de negocio

Las políticas de Compliance deben integrarse a la operación de la empresa, para obligar la reflexión sobre ellas –“activación cognitiva”-. La tecnología facilita incluir mensajes de activación cognitiva en los repositorios, medir las consultas -tiempos, materias- que pueden sustentar acciones. Se debe evitar cargas burocráticas innecesarias que causan incomprensión y fatiga normativa.

Políticas de Alto Nivel

Características

Código Ético o de Conducta: recoge los principios y valores éticos de la organización. Es la principal norma, de la que emanan las demás.
Políticas de alto nivel: establecen medidas para mejorar la cultura de cumplimiento corporativa y para evitar conductas contrarias. Son usuales las políticas (i) de compliance, (ii) de evaluación y aceptación de proveedores y socios -con criterios técnicos y éticos de selección-, (iii) políticas de segregación de funciones -con criterios para tomar decisiones-, (iv) de funcionamiento de los canales de denuncia.
El acceso a las políticas de alto nivel es fundamental, así como las tareas de comunicación, formación y sensibilización.

La Política de Compliance

Contiene: (i) objetivos de Compliance, (ii) personal involucrado, y (iii) estructuras de Compliance. Debe ser aprobada y difundida por el órgano de administración. Desarrolla los valores y principios del Código Ético/de Conducta.

Políticas específicas

Características

Pretender reducir la probabilidad de conductas específicas. Se dirigen a una parte del personal a veces, y son más limitadas que la política de Compliance, porque lidian con riesgos concretos identificados. Son comunes la política de prevención penal, y la de usos informáticos.

Algunas políticas específicas (no exhaustivo)

Política de prevención penal

Se refiere a la prevención de delitos imputables a la persona jurídica. Deriva del Código Ético/de Conducta y de la política de Compliance. Está relacionada con el “mapa de riesgos penales”.

Política de usos informáticos

Regula el uso de recursos y dispositivos electrónicos de la organización. Busca proteger la información de la obtención de información confidencial sin autorización, riesgo que ha aumentado.

Política anticorrupción

Previene y castiga los sobornos con funcionarios públicos y privados. Deriva de la política de prevención penal. El ISO 37001 Anti-bribery Management Systems regula este tipo de políticas. Es aplicable en todas las jurisdicciones donde opera la empresa directa o indirectamente. Incluye la designación de un encargado de supervisar su cumplimiento. De contener una declaración de tolerancia cero.
Como mínimo, debe contener:

Pagos relacionados con el soborno: regalos, entretenimiento y hospitalidades; donaciones a partidos políticos; viajes a clientes y funcionarios; gatos de promoción; patrocinios; pagos en beneficio de la comunidad; costes de formación; membresía a clubes; favores personales.
Medidas de vigilancia y control, preventivas y detectivas, financieras y no financieras.
Programas de formación y sensibilización al personal acerca de los riesgos y las consecuencias del soborno.

El Código de conducta

Contiene estándares morales de la empresa. Comenzaron a adoptarse en los años 1980s.

Diferencias entre el código ético y código de conducta

Código Ético: establece aspiraciones morales, -valores y principios éticos-, incluído el cumplimiento normativo. Es un documento general, y reducido. Orienta las decisiones ante dilemas éticos, normativa y moralmente.
Código de Conducta: regula en detalle y normativamente coductas específicas, con obligaciones y prohibiciones. Es un documento específico, y más extenso.

Aspectos relevantes del código de conducta

El Código Ético y el Código de Conducta dan identidad ética a la organización, y fundamento a las demás normas internas. Se publica formalmente, lo aprueba el consejo de adminsitración y en ocasiones también la junta general de accionistas. Los deben cumplir los empleados y directivos, y puede hacerse exigible a terceros y representantes -e.g. a través de la adopción de políticas específicas para proveedores-. Todos deben confirmar 1 vez al año que lo leyeron y comprendieron, por lo que el lenguaje utilizado debe ser sencillo. La formación en Compliance debe incluir formación sobre el Código Ético y el Código de Conducta. Constituye un compromiso de la empresa de cara a los demás, sobre el cual arriesga su reputación de no cumplirlo.

Recomendaciones para que los códigos de conducta cumplan con su finalidad

Fines del Código Ético y el Código de Conducta: (i) declarar valores y estándares éticos (herramienta interna de gestión), (ii) influenciar prácticas de socios y negocios globales, e (iii) informar a clientes y proveedores de los principios seguidos.
Eficacia del Código Ético y el Código de Conducta: (i) sensibilizar sobre la importancia de cumplirlo, (ii) informar sobre las medidas disciplinarias en caso de incumplimiento, e.g. resolución de contratos, (iii) dejar constancia de la condena a comportamientos ilegales o antiéticos. (iv) adopción de medidas de reacción ante la materialización de riesgos de Compliance, (v) establecimiento de canales de denuncia y cultura de comunicación abierta con protección a comunicadores -indemnidad- (vi) establecimiento de mecanismos de supervisión y control, (vii) actualización de políticas y procedimientos ante cambios normativos y mejores prácticas, (viii) definición de un órgano de seguimiento y supervisión a su cumplimiento.
Principios del Código Ético y el Código de Conducta: (i) compromiso: con su adopción, integración y difusión, (ii) capacidad: de cumplirlo con recursos necesarios, (iii) visibilidad: difusión adecuada ante grupos de interés, (iv) accesibilidad: fácil acceso a él y a quejas, notificaciones de incumplimientos, (v) exactitud: evitar interpretaciones erróneas.

Contenido y alcance del código de conducta

Secciones del Código Ético y el Código de Conducta: (i) Confidencialidad de información, (ii) conflicto de intereses, (iii) conducta interna, (iv) cumplimiento normativo y estándares de industria, (v) regalos e invitaciones para actividades de entretenimiento (vi) contratación de familiares, (vii) riesgos IT, (viii) sobornos, (ix) información recibida de terceros, (x) comunicación externa, (xi) seguridad e higiene en el lugar de trabajo y medidas de prevención de riesgos laborales. También (xii) sanciones en caso de incumplimiento.
Nunca puede estar en conflicto con la legislación, porque es una norma interna. E.g. no tienen validez normas internas que exigen comunicación previa a recursos humanos para realizar o participar en ponencias o seminarios; obtener autorización previa para hablar con periodistas o medios de comunicación o para divulgar información de cualquier tipo sobre la entidad; o autorización de recursos humanos para intervenir en actividades académicas y sectoriales (Sentencia marzo 6 de 2018, Audiencia Nacional). Pero los compromisos adquiridos en virtud del Código Ético y el Código de Conducta son vinculantes al trabajador (Tribunal Superior de Justicia de Andalucía, sentencia No. 1511/2017).

Políticas y procedimientos

Son los documentos escritos visibles el programa de Compliance. El programa no se limita a ellos. Se deben aprobar y difundir entre los grupos de interés, y particularmente los empleados, por lo que deben ser claros y accequibles.
Def. política: declaración de normas. Responden cuestiones operacionales de alto nivel. No se suelen modificar. Son declaraciones -qué, por qué-
Def. procedimiento: métodos para dar cumplimiento a políticas. Tienen cambios frecuentes y continuos. Son declaraciones -cómo, cuándo, quién-.
Las regulaciones determinan su contenido. Algunos reguladores sancionan la ausencia de políticas y procedimientos.
Ejemplos de políticas: (i) abuso de mercado, (ii) política de formación, (iii) canal de denuncias, (iv) protección de datos, (v) prevención de blanqueo de capitales, (vi) conflictos de intereses.
Buenas prácticas para políticas y procedimientos: (i) concentrar la responsabilidad de la gestión de políticas, (ii) difundir los documentos vigentes en varios medios, (iii) no tener políticas desactualizadas, (iv) tener responsables de las políticas que tengan conocimientos y experiencia en las temásticas, (v) debe haber un plan de monitorización para controlar el cumplimiento de ellos, (vi) deben responder a la regulación y estándares aplicables, (vii) se debe exigir a los empleados confirmar el conocimiento de esos documentos, y de ser necesario certificarlo, (viii) se pueden ordenar alfabéticamente o con otro sistema, (ix) debe haber un sistema de reporte periódico sobre su desarrollo, (x) debe haber un sistema y calendario de revisión y aprobación, (xi) debe haber un sistema de delegación de aprobaciones, (xii) deben ser claros y conscisos (xiii) las modificaciones y cambios deben quedar registrados, junto con los motivos, (xiv) revisiones periódicas, (xv) comunicaciones sobre actualizaciones, (xvi) formación y comunicación interna, (xvii) animar a empleados a dar feedback.
Criterios del DoJ de EEUU sobre efectividad de programas de Compliance:

Diseño: si es comprensible, si hay mensaje de tolerancia cero ante incumplimientos, si las políticas y procedimientos están integrados a la operación, si son conocidas por los empleados, si el código de conducta compromete al cumplimiento normativo, si es accequible y aplicable a todos los empleados, si promueven la cultura de compliance, si hay formación y comunicación del programa para empleados.
Implementación efectiva: papel de la alta dirección, autonomía de Compliance, recursos de Compliance, medidas disciplinarias ante incumplimientos, incentivos ante cumplimientos.
Funcionamiento real: mejora continua, chequeos periódicos y revisiones, gestión de incumplimientos.
Insuficiencia en la mera documentación.
Apropiación de políticas de Compliance por los directivos es fundamental.
Son desafíos: (i) la formación, (ii) la adecuación ante cambios regulatorios, (iii) el control de las diferentes versiones de la política de Compliance.

Autorregulación y Compliance

Introducción

Def. riesgo de Compliance: “riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdidas en su reputación como resultado del incumplimiento de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad” (Basel Committee on Banking Supervisión, Compliance and the Compliance function in Banks, 2005).
Def. Compliance: “capacidad que una organización tiene, a través de los procedimientos implementados, de demostrar la intencionalidad de la actividad previa a su ejecución cumpliendo con toda la normativa vigente- leyes, sistemas de autorregulación y códigos de conducta”. Por normativa vigente se debe entender tanto “Hard Law” como “Soft Law”.

Hard Law: legislación de órganos legislativos, obligatoria para todos, con poder de coerción y control judicial.
Soft Law: normas por las que las empresas e instituciones voluntariamente se rigen, individualmente e.g. Código Ético y Código de Conducta, o por pertenecer a un sector, e.g. sistema de autorregulación, como el Código de la International Federation Pharmaceutical Manufacturers & Associations -IFPMA-, que contiene un sistema de denuncias, regulación sobre obsequios, y un marco de comportamiento.

Qué es la autorregulación

Def. autorregulación: “La capacidad que posee una entidad o institución -en adelante, una organización- para regularse a sí misma”.
La autorregulación conviene para buscar la sostenibilidad de la organización y su reputación.

Tipos de autorregulación y cómo se ponen en práctica

La autorregulación individual

Código Ético: contiene principios y valores de la organización.
Código de Conducta: contiene normas que desarrollan principios y valores de la organización. Es luego desarrollado en las políticas y procedimientos.
Tener Códigos es necesario pero no suficiente para alcanzaar objetivos. Es un agravante el que se tengan Códigos que no se cumplen, porque permiten inferir la intención de engañar.
Requisitos: (i) definición clara de principios y valores, (ii) aprobación de máximo órgano de gobierno, (iii) aplicación por igual a todos los miembros de la organización, tener mecanismos de verificación de lectura y comprensión -e.g. firma-, extensión de códigos a teceros -e.g. vía contratos-, formación y conscienciación a miembros del consejo de adminsitración, directivos y empleados, (iv) lenguaje claro y sencillo.

La autorregulación colectiva o sectorial

A mayor regulación de un sector, mayor autorregulación, e.g. Asociación para la Autorregulación de la Comunicación Comercial -Autocontrol-, encargada de promover la publicidad responsable, por lo que cuentan con un código de conducta publicitaria y códigos de conducta sectoriales -confianza online, promoción de medicamentos de prescripción, publicidad de cerveza, publicidad de bebidas espirituosas, publicidad de juguetes, defensa de la marca, publicidad de alimentos y bebidas para niños, publicidad de videojuegos, etc.-.
La autorregulación tiene como ventajas: (i) fomentar la competitivdad: en condiciones iguales y legales, (ii) generar credibilidad y confianza en la imagen del sector (iii) colaborar con autoridades competentes en la verificación del cumplimiento de la legislacón, (iv) evitar mayor regulación, con el aumento en la confianza y credibilidad de la autorregulación, (v) dar herramientas a las organizaciones para resolver problemas específicos no expresamente regulados, (vi) gestionar denuncias por incumplimientos, (vii) prevenir deterioro en la imagen del sector y organización.
E.g. Código de la European Federation of Pharmaceutical Industries and Associations -EFPIA-, que exige la documentación y publicación de transferencia de valor a profesionales y organizaciones sanitarios -médicos-, y de pacientes a los cuales entregan ayudas. E.g. Consejo ICAS, que promueve la creación de organizaciones de autorregulación de la publicidad en mercados emergentes.
La estandarización a través de la autorregulación promueve el comercio nacional e internacional. Se beneficia la competividad, la eficiencia y la seguridad en las relaciones comerciales.
Características de los sistemas de autorregulación (OCDE, 2015): (i) objetivos bien definidos y delimitados: potencia la participación del sector y facilita evaluaciones, (ii) concordancia de los sistemas de autorregulación con las políticas gubernamentales: fortalece relaciones con autoridades regulatorias, (iii) bases legales: permiten implementar leyes y políticas, (iv) liderazgo: aumenta la credibilidad y efectividad de la autorregulación. Debe haber órganos independientes de control y un procedimiento de gestión de denuncias, con un sistema de resolución de controversias eficaz, rguroso y transparente. e.g. la unidad de supervisión deontológica, la comisión deontológica y el jurado de autocontrol, del Código de Buenas Prácticas de la Industria Farmacéutica (v) potenciar el conocimiento normativo del sector. (vi) supervisión, transparencia y responsablidad pública, (vii) aplicación de sanciones, (viii) resolución de conflictos e indemnización, (ix) participación de grupos de interés, (x) conscienciación pública: sobre el sistema de autorregulación.
Algunos reguladores exigen adoptar sistemas de autorregulación para otorgar licencias.

Prevención de conflictos de intereses

Qué es un conflicto de intereses y por qué es importante gestionarlo

Def. Conflicto de interés:”cuando un interés interifere o puede interferir con la capacidad de una persona, organización o institución para actuar de acuerdo con el interés de otra parte, siempre que aquella persona, organización o institución tenga una obligación legal, convencional, fiduciaria o ética, de actuar con el interés de la otra parte”.
Existe un sesgo de creer que pocas personas tienen conflictos de intereses, dado lo común de los sesgos involuntarios. Los varios roles de una misma persona pueden causar el conflicto. Los incentivos para recomendar una acción hacen más probable que se determine esa y no otra, incluso bajo la creencia de haber actuado objetivamente. En ocasiones la única forma de eliminar conflictos de intereses es acabar filiaciones o vinculaciones. A veces, el conflicto sólo es aparente, pero la apariencia puede deteriorar la confianza en la persona. El conflicto de intereses no es en sí mismo censurable o sancionable.
Un conflicto de interés no gestionado puede generar los riesgos de: (i) mala venta, (ii) fraude, (iii) sobornos y corrupción, (iv) blanqueo de capitales, (v) abuso de mercado (mercado de valores)

Tipología de conflictos de intereses

Reales

Una persona tiene interés particular en un juicio que debe ofrecer.

Potenciales

Una persona que aún no debe ofrecer un juicio tiene interés en él.

Aparentes

Cuando alguien puede concluir razonablemente que una persona tiene un conflicto de interés aunque no lo tiene. Son importantes respecto del riesgo reputacional, mas no frente al riesgo de corrupción. Se gestionan con la información necesaria para aclarar la apariencia.

Identificación de los conflictos de intereses

Identificado el conflicto de interés, en seguimiento del protocolo de identificación que se adopte, el involucrado debe ser alejado de la toma de decisiones. El impacto del riesgo es mayor cuando la persona se encuentra en la dirección o consejo de administración de la empresa, o cuando afecta trabajadores con tareas comerciales o de negocio. Se debe aplicar el RBA en los procedimientos de identificación y gestión de conflictos de intereses.

Factores vinculados a situación de conflictos de intereses en una organización

Factores externos: en contextos de vinculación de personas.

Relaciones familiares
Relaciones económicas
Relaciones de otro tipo -e.g. antiguas relaciones laborales, amitad, litigios, recepción de regalos e invitaciones-.

Factores internos:

Dependencia jerárquica inadecuada
Tener roles en conflicto
Sistemas de remuneración y promoción interna basado solo en objetivos financieros
Objetivos comerciales excesivamente exigentes

Ámbitos o tipos de conflicto de intereses en las organizaciones

El riesgo inherente a los conflictos de intereses varía.

Conflitos de intereses que afectan al buen gobieno de la empresa (miembros de los consejos de administración)

Algunos arriesgan el BGC. Existen distintas regulaciones sobre el tema.

Conflictos de intereses que afectan la prestación del servicio (protección del cliente). El ejemplo de las empresas del sector financiero.

Algunos arriesgan los intereses de clientes. En concreto, el interés de recibir un buen servicio. Se contraponen los intereses de los clientes con el de la empresa o grupo empresarial, sus directivos, empleados, agentes o vinculados, y otros clientes.

Conflictos de intereses que afectan a la relación empresa-empleado

Algunos arriesgan los intereses protegidos por los contratos laborales, e.g. los deberes de fidelidad y lealtad del empleado con la empresa, o el desempeño de sus labores. Ocurre, e.g., cuando empleados tienen vínculos con directivos que arriegan su imparcialidad y honestidad. Algunos riesgos de Compliance son corrupción e indebido uso de información.

Conflictos de intereses que afectan a las actividades desarrolladas por el sector público

Las relaciones con Estados suponen riesgos de corrupción.

Cómo gestionar adecuadamente los conflictos de intereses

Los conflictos de intereses se gestionan con una política de gestión de ellos. En ella debe haber medidas para identificarlos y gestionarlos. Sus elementos son: (i) comunicación y registro: según el RBA, sobre vínculos que arriesguen la imparcialidad, e.g. formularios, política de regalos e invitaciones, declaración de conflicto de intereses obligatoria antes de iniciar un proyecto -activación conductual-. Debe ser aplicable por igual a todos y según el RBA, (ii) obligación de abstención: necesaria, pero no es una medida suficiente, (iii) mecanismos de gestión de conflictos identificados: previenen el impacto negativo del conflicto de interés, e.g. impedir intercambio de información entre personas en conflicto de interés, segregación de funciones y apoderamiento con doble firma en algunos eventos, apartar persona en conflicto de la toma de decisión, limitación funcional en casos de previsible conflicto de interés, intervención de Compliance en el plan de incentivos -para evitar casos como el de Wells Fargo en 2016, donde comerciales abrieron productos a clientes sin su autorización para causar comisiones y obtener remuneraciones mejores, a pesar de tener un Código Ético. ESMA tiene directrices de 2013 al respecto que desarrollan MiFID I, igual la FSA de Reino Unido-; (iv) prevención: con formación y conscienciación, sobre implicaciones personales del conflicto de intereses, consecuencias negativas de conflictos de intereses, tipología de conflictos de intereses (Ethics & Compliance Initiative, 2016).

Los conflictos de intereses en la función del Compliance Officer

El mismo CO puede estar en conflicto de intereses. Es un control de ello que Compliance esté a cargo de un órgano colegiado, para que el conflicto de un miembro lo gestionen los otros. El conflicto lo puede causar el tener varios roles contrapuestos, e.g. Legal y Compliance, Auditoría Interna y Compliance.

Procedimiento de diligencia debida

Hay tensión en las empresas entre acceder a oportunidades de negocio y gestionar riesgos, entre ellos riesgos de Compliance. La diligencia debida es un mecanismo de gestión de riesgos.

Concepto de diligencia debida

Def. Debida Diligencia -DD-: “proceso operativo que pretende obtener y evaluar la información para contribuir a la evaluación del riesgo” (UNE 19601:2017, Sistemas de gestión de compliance penal. Requisitos con orientación para su uso).
La DD aplica en procesos de selección y el mantenimiento de relaciones de vinculación. Se analiza si la contraparte está comprometida con los valores empresariales, leyes y ética. UNE 19601:2017 lo exige cuando el riesgo es mayor de “bajo”. El alcance depende de la capacidad para obtener la información, su costo y el nivel de riesgo penal asociado. A mayor riesgo mayor profundidad en el análisis.

Fases de la diligencia debida

Fase de selección y/o evaluación

Es la DD antes de vincular personas -naturales o jurídicas- a la empresa. “Upstream” son clientes y patrocinadores, “Downstream” son proveedores y subcontratistas, “Lateral” son asociados por acuerdos de colaboración, joint ventures, agentes, distribuidores, y consultores. En conjunto, algunos estándares les conocen como “associated person”, “business associate” o “business partner”. Es más fácil hacer un buen DD downstream que upstream. Lo adecuado es usar procedimientos ya existentes para el DD y evitar crear adicionales.
Las fuentes e información son antecedentes, información o referencias públicas, trayectoria comprobada, y alineación con valores y objetivos de Compliance. Registros oficiales, buscadores de internet, bases de datos especializadas de terceros -con datos oficiales-, investigadores ad hoc. Aplica el RBA.
El apetito de riesgo de la empresa es determinante. Un apetito cero impedirá vinculaciones con personas frente a las que haya “sospechas razonables” de indebida conducta pasada.

Fase de formalización y/o contratación

Superada la fase de selección y evaluación, se incluyen contractualmente controles, e.g. obligaciones de cumplir derechos humanos y prevenir corrupción. No es una fase suficiente por sí sola. Aplica el RBA.
UNE 19601:2017 recomienda las cláusulas de: (i) derecho a realizar auditorías a la contraparte o evaluar el impedimento en la propia evaluación de riesgo, (ii) prohibición expresa de cometer delitos, (iii) exigencia de tener sistema de Compliance, (iv) derecho a resolver la relación contractual en caso de incumplimiento de las anteriores. La ausencia de esas cláusulas en los contratos es un factor de riesgo a tener en cuenta en la evaluación de riesgo, así como la reticencia de proveedores a incluirlas.

Fase de reevaluación y seguimiento

Se debe determinar la periodicidad del seguimiento. Se requiere especialmente ante alteraciones de las circunstancias en que se dio la vinculación, e.g. cambio en la estructura de la empresa, de su dirección, accionariado, en la cultura o forma de hacer engocios.
Se suelen usar KRI y KPI, así como confirmaciones periódicas, como parte del monitoreo. El monitoreo debe contar con (i) mecanismos de medición del perfil de riesgo, (ii) programa o plan de remuneración de empleados con incentivos adecuados, (iii) mecanismos para aplicar acciones de corrección, (iv) mecanismos de reacción, e.g. régimen disciplinario proporcional.

Proyección interna: Diligencia debida en la selección y promoción de personal

Se debe aplicar la DD a vinculaciones laborales -primera, segunda y tercera línea de defensa por igual-, especialmente cuando se delegará autoridad (US Federal Sentencing Guidelines; UNE 19601:2017). Supone incluir dentro de competencias requeridas para cargos aquellas relacionadas con Compliance. Se debe aplicar el RBA.
La DD incluirá la revisión de antecedentes -su acceso dependerá de la jurisdicción aplicable y su regulación-. Para la promoción, se deberá tener en cuenta indicadores positivos -e.g. formación y gestión de riesgos- y negativos frente a riesgos de Compliance.
Puede derivar en la firma de un compromiso con el Código Ético o Código de Conducta.

Protección externa: Diligencia debida en las relaciones comerciales o de negocio

Es común acudir a terceros para cometer soborno, trabajo inapropiado, trabajo infantil o esclavitud, cohechos. Por eso, la regulación se enfoca en la prevención de la “comisión indirecta” con business partners (US FCPA), associated parties (UK Bribery Act), business associates (ISO 37001) o partes asociadas (PNE 307101).
Def. Riesgo de contagio: cuando una organización pierde económica o reputacionalmente por la conducta de terceros con quien tiene vínculos.
La DD previene el riesgo de contagio.
Normalmente recursos humanos es la encargada de aplicar la DD.

Diligencia debida upstream: clientes

A esta DD se le conoce también como Know Your Customer -KYC-. Es importante no solo para quienes lo exige la normativa, e.g. normas sobre prevención de blanqueo de capitales y financiación, del terrorismo.
El KYC debe tener 3 etapas: (i) aceptación de clientes: en uso de información pública, no solo financiera, y antecedentes de relación con autoridades y escándalos, (ii) proceso de contratación: inclusión de cláusulas sobre veracidad de información y legalidad de actividades o productos contratados, (iii) seguimiento: periódico y sobre la información aportada para la aceptación de cliente.

Diligencia debida downstream: proveedores

Por la posición de la empresa en la negociación del vínculo, permite mayor exhaustividad. En este tipo de DD es muy importante los riesgos derivados de las jurisdicciones de alto riesgo, porque se refiere a la cadena de suministro.
Debe tener las mismas 3 etapas: (i) aceptación de proveedores: en uso de información pública, no solo financiera, y antecedentes de relación con autoridades y escándalos, (ii) proceso de contratación: en ocasiones de usan códigos éticos especiales para proveedores, y se les exige formación en Compliance, (iii) seguimiento: periódico y sobre la información aportada para la aceptación de cliente.

Diligencia debida lateral: socios de negocio

Las medidas de control en este evento son más difíciles por el flujo de información y la independencia de la contraparte especto de la empresa. Es más intenso cuando la contraparte “domina” la alianza.
Debe tener las mismas 3 etapas.

Procedimientos de medición y segmentación del perfil de riesgo

Según el resultado de la DD, en ocasiones es necesario suspender la relación contractual hasta que se mitigue el riesgo (OCDE, Líneas Directrices para Empresas Multinacionales, 2011). La reacción debe seguir el RBA.
Los planes de acción derivados de la DD se deben documentar. Su contenido incluirá: (i) naturaleza de la incidencia, (ii) descripción de la inciencia, (iii) forma o cana de conocimiento de la incidencia, (iv) entidad jurídica donde se produjo la incidencia, (v) departamento o área que generó la incidencia, (vi) personas relacionadas con la incidencia, (vii) plan de acción para mitigar la incidencia, (viii) hitos del plan de acción, (ix) encargados de ejecutar el plan de acción, etapas y pasos, (x) documentos asociados con el plan, (xi) valoración del nivel de efectividad del plan.

Medición del perfil de riesgo interno

Herramientas para perfilar: (i) confirmación de la formación, (ii) ausencia de sanciones disciplinarias, (iii) comunicación de sospechas en el canal de denuncias.

Medición del perdil de riesgo externo

Herramientas para perfilar: (i) confirmación periódica de la información entregada por la contraparte (para riesgo bajo), (ii) autoevaluación periódica de la contraparte con un cuestionario (para riesgo bajo), (iii) verificación periódica de cualidades de contraparte por tercero, e.g. auditoría autorizada vía el contrato (para riesgo medio o alto).

Segmentación por perfiles de riesgo

Se aplica el RBA.