03-06-2026 | Albagli Zaliasnik, Opinión
Por Claudia Avendaño, vicepresidente corporativo de Cumplimiento y Riesgo en Molymet, Chile.
¿Cuántas veces has revisado un reporte de riesgos con muchos indicadores que mostraba que todo estaba bien, y días o semanas después la crisis estalló en tu cara?
Imagina esto: un lunes por la mañana, el directorio de tu empresa quiere revisar la matriz de riesgos actualizada y todo se ve dentro de control. Pero el miércoles, una filtración realizada en redes sociales por un cliente descontento desencadena una crisis reputacional.
Por otro lado, el jueves en la tarde un proveedor clave de tu principal actividad, ubicado en otro continente, interrumpe sus operaciones sin claridad de cuánto podría durar. Con todo, el viernes el equipo de ejecutivos se reúne para analizar todo lo acontecido, todavía tratando de entender qué paso.
La matriz de riesgos revisada el lunes no lo vio venir. Los controles existían, pero el riesgo fue más rápido.
Esto ya no es un escenario hipotético, es el patrón que se repite en organizaciones de toda la región y del mundo.
Y no es que la gente haga mal su trabajo, el problema es el modelo que seguimos aplicando. La matriz de riesgos estaba ahí, los controles se testeaban, los comités existían y se reunían cada cierto tiempo, los reportes circulaban cada cierre de mes y alguien los firmaba conforme. Todo en regla y, aun así, la crisis llegó sin que nadie la viera venir para poder desactivarla.
Esto tampoco podemos tomarlo sólo como mala suerte o una excepción, es simplemente un fallo de diseño de nuestro modelo de control. Seguimos gestionando los riesgos al ritmo lento de los procesos internos, mientras el mundo real se mueve a mil por hora.
El mundo cambió; los modelos, no siempre
Durante décadas diseñamos sistemas de control asumiendo que siempre tendríamos margen de maniobra. Había tiempo para auditar, luego analizar y reaccionar. Las matrices anuales funcionaban porque los riesgos también se movían a paso lento.
Ese entorno ya no existe.
En junio de 2025, la llamada Guerra de los 12 días entre Israel e Irán sacudió los mercados globales de energía. Meses después, en febrero de 2026, Estados Unidos e Israel relanzaron operaciones militares contra Irán. El estrecho de Ormuz, por donde transita cerca del 20% del petróleo que mueve la economía global, quedó bajo amenaza directa. Los costos de transporte se dispararon y los tiempos de tránsito se extendieron. Las compañías aseguradoras cancelaron coberturas de guerra con sólo 72 horas de aviso.
Empresas de América Latina que no tenían ninguna operación en Medio Oriente sintieron el impacto en sus cadenas de suministro en cosa de días. Ninguna de ellas lo tenía mapeado en su matriz de riesgo y menos reflejado en un KPI.
Y en simultáneo, grupos cibernéticos alineados con el conflicto desplegaron ataques a cadenas de suministro digital, afectando a organizaciones sin conexión directa con la guerra. El riesgo cibernético y el riesgo geopolítico dejaron de ser riesgos separados.
Entonces el desafío ya no es sólo tener controles, es tener alertas tempranas que respondan en tiempo real. Y eso exige una transformación de fondo que necesariamente requiere de apoyo tecnológico, para pasar de modelos reactivos a capacidades reales de anticipación. Monitoreos continuos, análisis de alertas tempranas, modelos predictores, estructuras capaces de conectar puntos dispersos antes de que se conviertan en crisis.
No todos los riesgos emergentes se resuelven con más controles
Sin duda, enfrentamos tiempos desafiantes, donde no sólo con más y mejor tecnología podremos reemplazar el criterio humano.
Porque mientras más rápido avanza la tecnología, más importante se vuelve la capacidad de cuestionar. De hecho, cuanto más rápido avanza la tecnología, más falta nos hace el sentido común.
Otra consideración importante es saber que algunos riesgos requieren manejarse con una cultura sólida, con liderazgo y ética, que permitan tomar decisiones correctas en tiempos de alta presión.
De hecho, los algoritmos hoy en día pueden amplificar contenidos —incluyendo desinformación y campañas negativas— con una rapidez que supera la velocidad de respuesta humana. Tenemos mucho en que trabajar en Latinoamérica, donde pocas empresas vinculan la gestión de riesgos reputacionales con indicadores clave que se revisan en las reuniones ejecutivas.
En ese sentido, hoy el verdadero desafío de la gestión de riesgos NO es identificar amenazas conocidas; es desarrollar organizaciones capaces de adaptarse, cuestionar y responder rápido en entornos donde la incertidumbre evoluciona más rápido que cualquier modelo de supervisión.
Porque en el mundo actual, el riesgo no espera a la próxima auditoría.
Claudia Avendaño, vicepresidente corporativo de Cumplimiento y Riesgo en Molymet, Chile.
Escríbenos a contacto@compliancelatam.legal si necesitas más información.
22-05-2026 | Bartolome & Briones, Opinión
Por Antoni Faixó, Socio de Bartolome & Briones, España.
El expediente sancionador es un procedimiento administrativo en el que una Administración analiza si se ha cometido una infracción legal por una persona o empresa por unos determinados hechos, y en caso de existir la infracción cuál es la sanción a la que se le debe condenar.
En dicho procedimiento, el afectado debe ser notificado del inicio del expediente, y tiene derecho a presentar alegaciones, a presentar y solicitar la práctica de pruebas, y a recurrir la resolución sancionadora que pueda dictarse.
Aparte de dicha norma general, hay varias leyes sectoriales y leyes autonómicas que regulan las concretas infracciones y las sanciones que cabe imponer por cometer una infracción.
A nivel general, los expedientes sancionadores más notorios son en materia de derecho laboral y de derecho fiscal, porque son materias que afectan a todas las empresas, sea cual sea su sector de negocio.
No obstante, existen actividades que tienen sus propias sanciones y expedientes sancionadores, entre las que podemos destacar:
Consumo: sanciones por incumplir la normativa protectora de consumidores, como por ejemplo, la garantía de los productos, deficiencias en su instalación, falta de recambios o incumplimientos en la aplicación de ofertas.
Energía: incumplimiento de obligaciones de facturación o información al consumidor, infracciones en autoconsumo o energías renovables, instalaciones sin autorización o sin cumplir requisitos técnicos.
Transporte: exceso de tiempos de conducción, sobrecarga de vehículos, deficiencias técnicas, transporte sin autorización administrativa o con licencia caducada o incumplimiento de normativa de transporte de mercancías peligrosas.
Hostelería y restauración: incumplimientos en materia de higiene y seguridad alimentaria, falta de licencias o incumplimiento de condiciones de la actividad, irregularidades en terrazas (ocupación de vía pública), exceso de aforo o incumplimiento de horarios.
Urbanismo: ejecución de obras sin licencia o contraviniendo la concedida, uso indebido del suelo (por ejemplo, uso residencial en suelo no autorizado), incumplimiento de órdenes de paralización o demolición.
Comercio: publicidad engañosa o desleal, venta sin información adecuada al consumidor.
Prácticamente todos los sectores tienen normas propias sobre el derecho sancionador y, además, es habitual que existan normas estatales y normas autonómicas sobre un determinado sector, en ocasiones con diferencias importantes en las obligaciones, en las infracciones y en las sanciones.
Respecto a todos los expedientes sancionadores, hay que indicar que el afectado siempre tiene la posibilidad de acabar recurriendo la sanción en vía judicial, a fin de que sea un juez quien revise lo actuado por la Administración y decida si la decisión sancionadora era correcta o no.
Ello es importante porque es habitual que el órgano administrativo que tramita y resuelve un expediente sancionador no actúe con la suficiente fundamentación jurídica, y por lo tanto las sanciones pueden judicialmente ser revocadas o reducidas en su importe, lo cual es beneficioso para el afectado porque el importe de las sanciones puede ser elevado.
Ante el inicio de un expediente sancionador —o una vez dictada una resolución—, resulta clave adoptar un enfoque estratégico desde el primer momento.
Conocer el funcionamiento del procedimiento permite aprovechar adecuadamente las herramientas disponibles (prueba, recursos, plazos de caducidad, prescripción o posibles defectos formales), mientras que un buen entendimiento de la normativa sectorial facilita construir alegaciones sólidas sobre el fondo del asunto. Todo ello puede marcar una diferencia significativa en el resultado final del expediente.
En este contexto, una gestión proactiva del expediente puede suponer un ahorro económico relevante y, en muchos casos, evitar que la sanción llegue a consolidarse. No se trata únicamente de reaccionar ante una posible infracción, sino de identificar oportunidades dentro del propio procedimiento para defender los intereses del afectado con eficacia y rigor. Además, conviene tener en cuenta que, más allá del impacto económico, determinadas sanciones pueden hacerse públicas y generar un efecto reputacional negativo.
Asimismo, la experiencia demuestra que una actuación bien planteada desde las primeras fases del expediente no solo incrementa las probabilidades de éxito, sino que también aporta tranquilidad y control en un escenario que, por su naturaleza, suele generar incertidumbre. Anticiparse, analizar cada detalle y actuar con criterio permite transformar una situación potencialmente perjudicial en una resolución mucho más favorable.
Antoni Faixó, Socio de Bartolome & Briones, España.
Si necesitas información, escríbenos a contacto@compliancelatam.legal.
15-05-2026 | Albagli Zaliasnik, Opinión
El fallo contra Meta y YouTube abre una nueva discusión sobre la responsabilidad de las plataformas digitales en el diseño de sus algoritmos. Esta columna analiza cómo esta decisión judicial se conecta con la futura regulación de la inteligencia artificial en Chile y con el avance hacia mayores exigencias de transparencia, gestión de riesgos y control sobre sistemas capaces de influir en la conducta de las personas.
Por Antonia Nudman, Asociada Senior de az Tech – Albagli Zaliasnik
El reciente fallo que declaró negligentes a Meta y a YouTube marca un punto de inflexión en la forma en que entendemos nuestra relación con las plataformas digitales. Por primera vez, un tribunal reconoce que el diseño de estos servicios, caracterizado por algoritmos de recomendación, scroll infinito y mecanismos de refuerzo conductual, no es neutral, sino que puede generar efectos nocivos, particularmente en menores de edad.
Este cambio no es aislado. Como ha ocurrido en otras industrias —como el alcohol, el tabaco o los alimentos—, la discusión comienza a desplazarse desde la responsabilidad individual del consumidor hacia la responsabilidad de quienes diseñan y operan estos sistemas. Ya no se trata únicamente de cómo usamos la tecnología, sino de cómo está concebida para influir en nuestro comportamiento.
En este contexto, resulta especialmente relevante observar el avance del proyecto de ley que regula los sistemas de inteligencia artificial en Chile. Aunque aún en tramitación, su lógica se alinea con esta nueva mirada: no basta con regular el uso de la tecnología, sino que es necesario intervenir en su diseño, imponiendo estándares de transparencia, evaluaciones de riesgo y prohibiciones respecto de ciertos usos considerados inaceptables.
En particular, los requisitos de transparencia que buscan que los usuarios comprendan cuándo interactúan con sistemas automatizados y bajo qué lógica operan, adquieren una dimensión distinta a la luz de este tipo de fallos. Si los algoritmos son capaces de influir en decisiones emocionales y conductas, entonces la opacidad deja de ser una cuestión técnica para convertirse en un problema jurídico.
Asimismo, la discusión sobre usos prohibidos de la inteligencia artificial —como aquellos que puedan manipular el comportamiento de las personas o explotar vulnerabilidades— conecta directamente con lo que hoy se cuestiona en redes sociales. La línea entre recomendación y manipulación se vuelve cada vez más difusa, y precisamente ahí es donde el derecho comienza a intervenir.
A nivel comparado, el Reglamento de Inteligencia Artificial de la Unión Europea ofrece una referencia relevante. Si bien su implementación efectiva aún es progresiva, su enfoque basado en riesgos, junto con la identificación de usos prohibidos y obligaciones reforzadas para sistemas de alto riesgo, permite anticipar hacia dónde se dirige la regulación internacional. En ese sentido, observar cómo este marco impacta a las plataformas tecnológicas en Europa será clave para proyectar sus efectos en otras jurisdicciones, incluido Chile.
De ello se sigue que el proyecto de ley chileno no solo impactará a quienes desarrollan sistemas de inteligencia artificial en sentido estricto, sino también a plataformas digitales cuyo funcionamiento descansa en sistemas algorítmicos intensivos. En otras palabras, la regulación de la IA podría terminar redefiniendo indirectamente la forma en que interactuamos con redes sociales.
Así las cosas, el fallo contra Meta y YouTube no es un caso aislado, sino parte de un cambio más profundo: el tránsito hacia un modelo de responsabilidad tecnológica, en el cual el diseño de los sistemas digitales deja de ser un espacio ajeno al derecho para convertirse en uno de sus principales focos de intervención.
Antonia Nudman, Asociada Senior de az Tech – Albagli Zaliasnik
Fuente: Revista Gerencia – abril 2026.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
14-05-2026 | Opinión, Posse Herrera Ruiz
Por Cynthia Hernández, coordinadora de Cumplimiento en Promigas, Colombia.
¿Alguna vez te has preguntado si realmente estás gestionando el riesgo de soborno que representan esos proveedores que interactúan con entidades públicas en nombre de tu empresa?
Si la respuesta es no, o no con la profundidad suficiente, este es el momento de detenerse y reflexionar.
En la mayoría de las organizaciones contamos con proveedores de servicios legales, asesores, gestores, agencias de aduana o tramitadores que, para cumplir su labor, deben relacionarse con autoridades públicas, y los tratamos como cualquier otro tipo de proveedor o de contratista. Sin embargo, con frecuencia desconocemos cómo actúan, qué prácticas emplean o si comparten los valores éticos de la empresa. Esta omisión puede convertirse en un riesgo reputacional grave y, en muchos casos, devastador.
¿Qué pasaría si uno de ellos, por agilizar el trámite o la gestión que le encomendaste, le ofrece una dádiva al funcionario público con el que está realizando el trámite y luego tu empresa resulta implicada en un proceso judicial, administrativo y aparece en notas de prensa desprestigiándola?
¿Tendrías cómo defender la gestión de la empresa y demostrar que ese proveedor no actuó bajo tu consentimiento y fue a espaldas de la empresa?
Solo cuando pasan este tipo de situaciones es cuando muchas veces evidenciamos que nos faltó algo en nuestro programa de transparencia, y podría ser demasiado tarde.
Entonces, ¿qué podemos hacer? ¿Por dónde empezar?
El primer paso es identificarlos. Saber quiénes son esos terceros y cuáles interactúan con entidades públicas es esencial para poder evaluarlos. A partir de allí, resulta posible diseñar un plan que permita identificar los riesgos específicos que cada proveedor representa. No es lo mismo contratar a un abogado para emitir un concepto que encomendarle la representación ante una autoridad administrativa o judicial; el nivel de exposición y riesgo es claramente distinto, incluso si el mismo abogado está ejecutando ambos servicios.
Por ello, una debida diligencia proporcional al nivel de riesgo es clave. Conocer la trayectoria del proveedor, su reputación y si cuenta o no con programas de transparencia y ética empresarial, nos permite tomar decisiones más informadas. En la práctica, gestionar estos terceros implica crear una especie de “microprograma de cumplimiento” que permita monitoreo y evaluación constante, sin perder de vista los límites legales de la relación contractual.
Ahora bien, tendemos a subestimar a las grandes empresas o con trayectoria o, al revés, a las pequeñas o que están iniciando. Tendemos también a pensar que aplicar este tipo de medidas es costoso, pero no lo es; realmente solo requiere organización y un esquema claro.
Aquí surge una inquietud válida: ¿cómo supervisar a un proveedor sin vulnerar su independencia ni generar riesgos laborales para la empresa? La respuesta está en un diseño cuidadoso de las medidas de control, recordando siempre el principio de la primacía de la realidad. Mitigar el riesgo de soborno no puede traducirse en la creación inadvertida de otro riesgo legal, como lo es el riesgo de simulación laboral o contrato realidad.
Una herramienta que recomiendo de manera transversal es la formación. Capacitar a proveedores y contratistas es una vía efectiva para mitigar el riesgo sin vulnerar la autonomía ni generar otro tipo de riesgos. Esto nos permite:
- sensibilizar sobre el riesgo de soborno y corrupción.
- reforzar la postura ética de la empresa.
- dejar evidencia de la gestión preventiva.
- generar confianza.
Estos espacios permiten algo aún más valioso: desnormalizar prácticas indebidas que, en muchos contextos, han sido asumidas como parte del día a día.
He sido testigo de cómo, a través de ejemplos y casos reales, muchos proveedores reconocen situaciones que habían vivido o conductas que habían normalizado sin ser plenamente conscientes de su impacto. Abrir esos espacios es aportar a una cultura de transparencia que trasciende a la empresa y se proyecta a la sociedad, ya que no debemos olvidar que a través de un programa de transparencia efectivo también estamos transformando la sociedad.
En síntesis, identificar, evaluar, capacitar y acompañar a los proveedores que hablan en nuestro nombre no solo protege la reputación empresarial, sino que contribuye a construir entornos más íntegros y confiables.
La prevención del soborno no es solo una obligación normativa; es una responsabilidad ética con el país y con el futuro que queremos construir.
Cynthia Hernández, coordinadora de Cumplimiento en Promigas, Colombia.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
27-04-2026 | Albagli Zaliasnik, Opinión
La entrada en vigencia de la nueva Ley de Protección de Datos Personales en Chile marcará un cambio relevante en la forma en que las empresas gestionan la información. Sin embargo, más allá de los ajustes regulatorios que introduce la norma, el verdadero desafío para las organizaciones durante 2026 será otro: lograr que el cumplimiento legal y la implementación tecnológica avancen de manera coordinada.
Por Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitrán, Director del Grupo Compliance de Albagli Zaliasnik
En muchas compañías, los proyectos de cumplimiento normativo suelen abordarse principalmente desde las áreas legales o de compliance. Esto es comprensible: son estas áreas las que interpretan la normativa, definen obligaciones y elaboran políticas internas. Sin embargo, en materia de protección de datos, ese enfoque resulta incompleto si no se articula de forma estrecha con las áreas tecnológicas.
La razón es simple. Mientras el área legal define qué exige la ley —por ejemplo, principios de tratamiento, bases de licitud, deberes de información o medidas de seguridad—, son las áreas de tecnología las que deben traducir esas exigencias en prácticas concretas dentro de los sistemas, plataformas y procesos de la organización. En otras palabras, el cumplimiento jurídico requiere necesariamente una implementación técnica para hacerse efectivo.
Esto se vuelve particularmente evidente en aspectos como la gestión de accesos a bases de datos, la trazabilidad de los tratamientos, la implementación de medidas de seguridad, la gestión de incidentes o la eliminación segura de información. Todos estos elementos forman parte del cumplimiento normativo, pero su ejecución depende en gran medida de la arquitectura tecnológica de la empresa.
Por ello, uno de los principales desafíos para las organizaciones en este nuevo escenario será construir puentes entre ambos mundos. El cumplimiento en protección de datos no puede ser únicamente un ejercicio documental ni tampoco exclusivamente tecnológico: requiere una coordinación permanente entre quienes interpretan la norma y quienes diseñan e implementan los sistemas.
En este contexto, el rol del asesor también evoluciona. Ya no basta con entregar una interpretación jurídica de la ley o con elaborar políticas y documentos de cumplimiento. La implementación efectiva exige abordar el proceso desde ambas dimensiones: la normativa y la técnica. En ese sentido, el asesor debe contar con una sólida mirada legal y, deseablemente, también con conocimientos en seguridad de la información que le permitan dialogar con los equipos tecnológicos de la organización. Solo así es posible acompañar adecuadamente el proceso de implementación, abordándolo tanto desde la lógica normativa (la teoría) como desde la realidad operativa de los sistemas (la práctica).
Precisamente por lo anterior, es cada vez más común que los equipos de asesoría externa incorporen perfiles interdisciplinarios, sumando ingenieros o especialistas en seguridad de la información que permitan abordar la implementación desde una perspectiva integral y faciliten la coordinación entre las áreas legales y tecnológicas de las organizaciones.
En definitiva, la nueva regulación plantea un desafío que es tanto organizacional como técnico. Aquellas empresas que logren integrar adecuadamente el trabajo de sus áreas legales y tecnológicas no solo estarán mejor preparadas para cumplir con la ley, sino también para gestionar de manera responsable uno de los recursos más sensibles de la economía digital: la información personal de las personas.
Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitran, Director del Grupo Compliance en Albagli Zaliasnik
Fuente: Revista Gerencia – marzo 2026.
Si tienes consultas, escríbenos a contacto@compliancelatam.legal.com.
23-04-2026 | Basham, Opinión
Por Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa
En la mayoría de las organizaciones, el compliance ya no es un tema de diseño de políticas sino de la forma en que estas se ejecutan en el día a día.
Las empresas han invertido en la creación de códigos de conducta, políticas y programas formales. Sin embargo, los principales riesgos (regulatorios, penales y reputacionales) no se generan por la falta de estos documentos, sino por la falta de capacidad para demostrar que efectivamente operan en la práctica.
Este reto ha redefinido el rol del compliance officer y del director legal. Hoy, su responsabilidad no se limita a estructurar los marcos normativos internos, sino a asegurarse que estos marcos se integren en la operación, influyan en la toma de decisiones y generen evidencia verificable.
En este contexto, el compliance debe funcionar como un sistema operativo de control, evolucionando y superando el enfoque tradicional de contar con un programa en papel.
Los nuevos estándares
Existen diversas fuentes y autoridades que han desarrollado principios de compliance que se atienen a las necesidades actuales de esta función. Por ejemplo, el Departamento de Justicia de los Estados Unidos (DOJ) establece tres preguntas fundamentales que hoy reflejan uno de los estándares de evaluación de los programas de compliance:
Is the program well designed?
Is the program being applied earnestly and in good faith?
Does the program work in practice?
La tercera pregunta que hace el DOJ es la que está redefiniendo el análisis de los programas de compliance y, en la práctica, esta pregunta es la que suele determinar si un programa es considerado efectivo o meramente formal en caso de una investigación.
Por lo anterior, ya no es suficiente acreditar que el programa existe o que ha sido difundido a los colaboradores. Las autoridades esperan que las organizaciones puedan demostrar, con evidencia objetiva, que los controles establecidos en el programa se ejecutan en operaciones reales y que se generan resultados verificables.
La incapacidad de demostrar que un programa funciona en la práctica genera una pérdida sustancial del valor del programa como elemento de defensa frente a las autoridades.
Cuando el compliance se vuelve estratégico para la toma de decisiones
El compliance no debe verse como una carga administrativa o un obstáculo para la generación de negocio. Puede ser una herramienta para generar valor cuando se convierte en un elemento estructural para la toma de decisiones. Un programa que no funciona como elemento determinante en la toma decisiones estratégicas es irrelevante desde una perspectiva de gestión de riesgos.
Un programa de compliance efectivo debe responder con soporte y evidencia:
- ¿Qué controles operaron en un periodo determinado?: las empresas deben contar con registros verificables (logs, aprobaciones, sistemas) que acrediten su aplicación consistente. Esto permite demostrar que el sistema no solo existe, sino que se ejecuta de manera sistemática.
- ¿Qué transacciones fueron bloqueadas o escaladas?: se debe demostrar que el sistema de compliance tiene capacidad real de intervención para detener, validar o escalar decisiones que pueden generar riesgos. Un sistema que no bloquea o condiciona operaciones carece de efectividad práctica.
- ¿Qué riesgos se detectaron y cómo se atendieron?: debe existir trazabilidad completa desde la identificación del problema hasta su remediación y seguimiento, a efecto de demostrar control real de riesgos.
Estas respuestas constituyen, en la práctica, la diferencia entre un programa de papel y un programa real con ejecución concreta.
Integración de compliance en los procesos del negocio
Para que un programa de compliance cumpla debidamente con su función, debe operar bajo tres condiciones esenciales:
- Integrado en los procesos de negocio: los controles deben integrarse como parte del flujo operativo de la empresa como procesos necesarios, que deben llevarse a cabo como parte de los negocios de la empresa. Un proceso que no forma parte integral de las operaciones de la empresa puede ser eludido fácilmente.
- Alineación con la gestión de riesgos: una política robusta y elaborada de acuerdo con los más altos estándares internacionales no será efectiva si no está ajustada a los riesgos materiales de la empresa y pierde valor si no se cuenta con una correcta priorización de riesgos, diluyendo el valor y efectividad del programa y generando desperdicio de recursos.
- Operando como parte de la actividad diaria: el compliance debe permearse desde la alta dirección a los equipos que llevan a cabo la ejecución de las actividades que pueden generar riesgos, como parte de la cultura de la empresa y no como un elemento independiente a las actividades del día a día. El compliance visto como elemento aislado tiene eficacia limitada.
Aplicación concreta
A continuación, se enlistan sugerencias específicas para la integración del compliance:
Contratación
Todos los proveedores, sin importar el tamaño o la materialidad de sus productos y servicios, deben seguir el proceso de validación previa como requisito indispensable para su contratación.
Implicación: la empresa debe establecer procesos obligatorios para impedir la contratación sin un due diligence.
Finanzas
Los pagos deben estar sujetos a controles automatizados que se adecúen a las necesidades y tiempos de respuesta de la empresa, con roles claros y definidos.
Implicación: el sistema debe impedir operaciones que no cumplan con las políticas o el proceso de pago implementado.
Recursos Humanos
Las evaluaciones para contratación deben —además de verificar capacidades— incorporar validaciones legales y éticas.
Implicación: no deben llevarse a cabo contrataciones sin que exista el expediente completo y verificable.
Cadena de suministro
Siempre que se cumplan con los procesos de contratación antes descritos, las obligaciones de cumplimiento de proveedores y prestadores de servicios deben estar debidamente documentadas en los contratos que se firmen, estableciendo de manera clara las obligaciones de los proveedores/prestadores, incluyendo sanciones y derechos de rescisión.
Implicación: la empresa debe poder auditar y, en su caso, terminar relaciones por incumplimiento.
Criterio de materialidad
Si un proceso puede ejecutarse sin activar un control de compliance, ese control se vuelve irrelevante y no cuenta con funcionalidad, por lo que debe revisarse y adecuarse.
Controles preventivos: expectativa regulatoria y estándar mínimo
Las empresas pueden utilizar criterios existentes como base para determinar la eficacia de sus programas y que estos realmente puedan generar valor. Por ejemplo, en México, la Comisión Nacional Bancaria y de Valores establece que los sistemas de control deben:
- Prevenir riesgos: los controles deben impedir la ejecución de conductas de riesgo, no limitarse a detectarlas y sancionarlas posteriormente.
- Estar claramente documentados: cada control debe estar claramente definido, incluyendo responsables y forma de ejecución.
- Ser verificables y auditables: debe existir evidencia suficiente para acreditar que el control operó correctamente.
Evidencia de aplicación y efectividad
Como se comentó, el DOJ establece que las empresas deben tener la capacidad de demostrar que sus programas funcionan mediante evidencia basada en datos concretos.
Esto implica que la organización debe acreditar el nivel o porcentaje de ejecución, qué tan efectiva es la implementación, qué incumplimientos se identificaron y qué acciones correctivas se implementaron.
Este enfoque transforma el compliance en un sistema medible, auditable y defendible.
Dinamismo del programa de compliance
Para que un programa de compliance sea efectivo, debe ser dinámico y flexible, para ajustarse conforme evolucionan los riesgos de la empresa, las leyes y su regulación y el modelo de negocio de la empresa. Los programas que no siguen los cambios internos y externos de las empresas se vuelven obsoletos.
Compliance como herramienta estratégica
Más que una carga administrativa, el estado y evolución actual del compliance tiene el potencial de generar beneficios directos a las empresas mediante la detección y reducción de exposición a riesgos, mejoras en los procesos operativos mediante la asignación clara de funciones, responsabilidades y roles, y como una ventaja competitiva ante clientes e inversores, quienes ven a las empresas con un sistema de compliance actualizado y avanzado como mejores socios comerciales frente a empresas que no cuenten con estos sistemas.
Por dónde empezar
Si bien cada empresa tiene necesidades y riesgos diferentes, existen pasos básicos que pueden aplicarse para empezar con la evolución de su programa de compliance mediante un diagnóstico de brechas operativas entre sus políticas y las operaciones reales de las empresas, determinando de tal forma los riesgos más relevantes para diseñar los controles preventivos necesarios y determinar roles y funciones que pueden tener mayor injerencia en eventos de riesgo, enfocando así la capacitación en estos funcionarios. Lo anterior permite de igual forma establecer desde el diseño las métricas que deben utilizarse para medir y estar listos para reportar o defender el valor de cada programa.
Conclusión
En la práctica, la diferencia entre un programa de compliance formal y uno efectivo es la capacidad de demostrar que opera en la realidad, genera evidencia y resiste escrutinio regulatorio.
Hoy, las organizaciones que no pueden demostrar la ejecución efectiva de su programa enfrentan una exposición significativa en escenarios de revisión o investigación y, por otro lado, las organizaciones que logran esta transición no solo mitigan riesgos, sino que fortalecen su operación, mejoran su posición frente a reguladores y se convierten en contrapartes confiables en un entorno cada vez más exigente.
Este cambio implica un rediseño estructural del sistema de compliance que, en la mayoría de los casos, requiere un enfoque especializado para su correcta implementación.
Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa
Si deseas obtener más información, comunícate con nosotros a través de contacto@compliancelatam.legal.
