Por Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa
En la mayoría de las organizaciones, el compliance ya no es un tema de diseño de políticas sino de la forma en que estas se ejecutan en el día a día.
Las empresas han invertido en la creación de códigos de conducta, políticas y programas formales. Sin embargo, los principales riesgos (regulatorios, penales y reputacionales) no se generan por la falta de estos documentos, sino por la falta de capacidad para demostrar que efectivamente operan en la práctica.
Este reto ha redefinido el rol del compliance officer y del director legal. Hoy, su responsabilidad no se limita a estructurar los marcos normativos internos, sino a asegurarse que estos marcos se integren en la operación, influyan en la toma de decisiones y generen evidencia verificable.
En este contexto, el compliance debe funcionar como un sistema operativo de control, evolucionando y superando el enfoque tradicional de contar con un programa en papel.
Los nuevos estándares
Existen diversas fuentes y autoridades que han desarrollado principios de compliance que se atienen a las necesidades actuales de esta función. Por ejemplo, el Departamento de Justicia de los Estados Unidos (DOJ) establece tres preguntas fundamentales que hoy reflejan uno de los estándares de evaluación de los programas de compliance:
Is the program well designed?
Is the program being applied earnestly and in good faith?
Does the program work in practice?
La tercera pregunta que hace el DOJ es la que está redefiniendo el análisis de los programas de compliance y, en la práctica, esta pregunta es la que suele determinar si un programa es considerado efectivo o meramente formal en caso de una investigación.
Por lo anterior, ya no es suficiente acreditar que el programa existe o que ha sido difundido a los colaboradores. Las autoridades esperan que las organizaciones puedan demostrar, con evidencia objetiva, que los controles establecidos en el programa se ejecutan en operaciones reales y que se generan resultados verificables.
La incapacidad de demostrar que un programa funciona en la práctica genera una pérdida sustancial del valor del programa como elemento de defensa frente a las autoridades.
Cuando el compliance se vuelve estratégico para la toma de decisiones
El compliance no debe verse como una carga administrativa o un obstáculo para la generación de negocio. Puede ser una herramienta para generar valor cuando se convierte en un elemento estructural para la toma de decisiones. Un programa que no funciona como elemento determinante en la toma decisiones estratégicas es irrelevante desde una perspectiva de gestión de riesgos.
Un programa de compliance efectivo debe responder con soporte y evidencia:
- ¿Qué controles operaron en un periodo determinado?: las empresas deben contar con registros verificables (logs, aprobaciones, sistemas) que acrediten su aplicación consistente. Esto permite demostrar que el sistema no solo existe, sino que se ejecuta de manera sistemática.
- ¿Qué transacciones fueron bloqueadas o escaladas?: se debe demostrar que el sistema de compliance tiene capacidad real de intervención para detener, validar o escalar decisiones que pueden generar riesgos. Un sistema que no bloquea o condiciona operaciones carece de efectividad práctica.
- ¿Qué riesgos se detectaron y cómo se atendieron?: debe existir trazabilidad completa desde la identificación del problema hasta su remediación y seguimiento, a efecto de demostrar control real de riesgos.
Estas respuestas constituyen, en la práctica, la diferencia entre un programa de papel y un programa real con ejecución concreta.
Integración de compliance en los procesos del negocio
Para que un programa de compliance cumpla debidamente con su función, debe operar bajo tres condiciones esenciales:
- Integrado en los procesos de negocio: los controles deben integrarse como parte del flujo operativo de la empresa como procesos necesarios, que deben llevarse a cabo como parte de los negocios de la empresa. Un proceso que no forma parte integral de las operaciones de la empresa puede ser eludido fácilmente.
- Alineación con la gestión de riesgos: una política robusta y elaborada de acuerdo con los más altos estándares internacionales no será efectiva si no está ajustada a los riesgos materiales de la empresa y pierde valor si no se cuenta con una correcta priorización de riesgos, diluyendo el valor y efectividad del programa y generando desperdicio de recursos.
- Operando como parte de la actividad diaria: el compliance debe permearse desde la alta dirección a los equipos que llevan a cabo la ejecución de las actividades que pueden generar riesgos, como parte de la cultura de la empresa y no como un elemento independiente a las actividades del día a día. El compliance visto como elemento aislado tiene eficacia limitada.
Aplicación concreta
A continuación, se enlistan sugerencias específicas para la integración del compliance:
Contratación
Todos los proveedores, sin importar el tamaño o la materialidad de sus productos y servicios, deben seguir el proceso de validación previa como requisito indispensable para su contratación.
Implicación: la empresa debe establecer procesos obligatorios para impedir la contratación sin un due diligence.
Finanzas
Los pagos deben estar sujetos a controles automatizados que se adecúen a las necesidades y tiempos de respuesta de la empresa, con roles claros y definidos.
Implicación: el sistema debe impedir operaciones que no cumplan con las políticas o el proceso de pago implementado.
Recursos Humanos
Las evaluaciones para contratación deben —además de verificar capacidades— incorporar validaciones legales y éticas.
Implicación: no deben llevarse a cabo contrataciones sin que exista el expediente completo y verificable.
Cadena de suministro
Siempre que se cumplan con los procesos de contratación antes descritos, las obligaciones de cumplimiento de proveedores y prestadores de servicios deben estar debidamente documentadas en los contratos que se firmen, estableciendo de manera clara las obligaciones de los proveedores/prestadores, incluyendo sanciones y derechos de rescisión.
Implicación: la empresa debe poder auditar y, en su caso, terminar relaciones por incumplimiento.
Criterio de materialidad
Si un proceso puede ejecutarse sin activar un control de compliance, ese control se vuelve irrelevante y no cuenta con funcionalidad, por lo que debe revisarse y adecuarse.
Controles preventivos: expectativa regulatoria y estándar mínimo
Las empresas pueden utilizar criterios existentes como base para determinar la eficacia de sus programas y que estos realmente puedan generar valor. Por ejemplo, en México, la Comisión Nacional Bancaria y de Valores establece que los sistemas de control deben:
- Prevenir riesgos: los controles deben impedir la ejecución de conductas de riesgo, no limitarse a detectarlas y sancionarlas posteriormente.
- Estar claramente documentados: cada control debe estar claramente definido, incluyendo responsables y forma de ejecución.
- Ser verificables y auditables: debe existir evidencia suficiente para acreditar que el control operó correctamente.
Evidencia de aplicación y efectividad
Como se comentó, el DOJ establece que las empresas deben tener la capacidad de demostrar que sus programas funcionan mediante evidencia basada en datos concretos.
Esto implica que la organización debe acreditar el nivel o porcentaje de ejecución, qué tan efectiva es la implementación, qué incumplimientos se identificaron y qué acciones correctivas se implementaron.
Este enfoque transforma el compliance en un sistema medible, auditable y defendible.
Dinamismo del programa de compliance
Para que un programa de compliance sea efectivo, debe ser dinámico y flexible, para ajustarse conforme evolucionan los riesgos de la empresa, las leyes y su regulación y el modelo de negocio de la empresa. Los programas que no siguen los cambios internos y externos de las empresas se vuelven obsoletos.
Compliance como herramienta estratégica
Más que una carga administrativa, el estado y evolución actual del compliance tiene el potencial de generar beneficios directos a las empresas mediante la detección y reducción de exposición a riesgos, mejoras en los procesos operativos mediante la asignación clara de funciones, responsabilidades y roles, y como una ventaja competitiva ante clientes e inversores, quienes ven a las empresas con un sistema de compliance actualizado y avanzado como mejores socios comerciales frente a empresas que no cuenten con estos sistemas.
Por dónde empezar
Si bien cada empresa tiene necesidades y riesgos diferentes, existen pasos básicos que pueden aplicarse para empezar con la evolución de su programa de compliance mediante un diagnóstico de brechas operativas entre sus políticas y las operaciones reales de las empresas, determinando de tal forma los riesgos más relevantes para diseñar los controles preventivos necesarios y determinar roles y funciones que pueden tener mayor injerencia en eventos de riesgo, enfocando así la capacitación en estos funcionarios. Lo anterior permite de igual forma establecer desde el diseño las métricas que deben utilizarse para medir y estar listos para reportar o defender el valor de cada programa.
Conclusión
En la práctica, la diferencia entre un programa de compliance formal y uno efectivo es la capacidad de demostrar que opera en la realidad, genera evidencia y resiste escrutinio regulatorio.
Hoy, las organizaciones que no pueden demostrar la ejecución efectiva de su programa enfrentan una exposición significativa en escenarios de revisión o investigación y, por otro lado, las organizaciones que logran esta transición no solo mitigan riesgos, sino que fortalecen su operación, mejoran su posición frente a reguladores y se convierten en contrapartes confiables en un entorno cada vez más exigente.
Este cambio implica un rediseño estructural del sistema de compliance que, en la mayoría de los casos, requiere un enfoque especializado para su correcta implementación.
Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa
Si deseas obtener más información, comunícate con nosotros a través de contacto@compliancelatam.legal.
