¿Qué es un programa de cumplimiento (compliance)? | por Francisco Ramos – Director de Compliance CBC
Ahora mismo me hago la pregunta que quizás muchas personas se hacen… ¿Por dónde comenzar? ¿Qué hacer primero? ¿Por donde empezar?
Es prácticamente imposible definir 100% la función de Compliance en una compañía y con frecuencia hasta genera dudas de las responsabilidades con áreas afines como Controles internos, Auditoría interna, Riesgos, o incluso Jurídico. Si partimos del hecho que Compliance es el cumplimiento de cualquier regulación o normativa, prácticamente todo sería Compliance, por lo que resulta necesario encontrar la definición exacta para tu compañía.
Por otra parte la definición puede ser tan extensa como el autor lo desee. Después de los temas clásicos de Compliance, tales como prácticas anticorrupción, políticas, cumplimiento del Código Ética, lavado de dinero e investigaciones, hay una gama bastante grande de temas, como son: antitrust, derechos humanos, data privacy, seguridad de la información, ambiental.
Como condición sine qua non debemos comenzar por obtener un conocimiento amplio del negocio, de nuestro negocio. Sin ese conocimiento estaremos perdiendo nuestro tiempo y recursos y el programa de Compliance nunca saldrá del papel y será ineficaz.
Es fundamental que el conocimiento de la empresa sea al detalle de las operaciones: clientes, proveedores, licencias requeridas, políticas, controles implementados sobre inventarios, donaciones, exportaciones, agentes o proveedores utilizados, temas específicos de cada país, analizar todas las formas en que es posible que salga dinero o bienes de la empresa, contratos más importantes, flujos internos de aprobaciones, programas, accesos, conocer las prioridades de cada área de negocio, y un largo etc.
Si quieres tener un programa efectivo de Compliance es obligatorio conocer los riesgos para implementar controles que resuelvan realmente tus necesidades. No existe una receta que funcione para todas las compañías por igual dejando de lado las particularidades de cada negocio, país donde opera o tipos de riesgo. Por todo lo anterior es que resulta fundamental iniciar por un Risk Assessment. De ahí saldrán los riesgos que debemos mitigar y servirá lógicamente para la mejor asignación de recursos, tanto de personas como económicos. Ahora debemos determinar hasta dónde queremos llegar.
En pocas palabras el Risk Assessment nos va a decir dónde estamos pero nosotros debemos hacer una análisis y definir a dónde queremos llegar, esto es: ¿quiero que mi compañía solamente evite problemas? ¿cumpla con la ley y no tener que pagar multas? (que ya es bastante para muchas de las empresas en nuestros países) ¿Qué tenga una buena reputación?, o quiero ser una referencia y un ejemplo de ética y cumplimiento del Código de Ética interno y las políticas de la empresa. Como punto de partida considero justo y aceptable para cualquiera que se debe cumplir con todas la leyes de los países donde se opera, y de todas ellas, las más exigentes.
Conociendo la empresa, realizado el Risk Assessment y definido hasta donde queremos llegar, habremos definido lo que es Compliance para tu compañía.
Un capítulo que vale la pena mencionar aunque sea brevemente es la Cultura. La Cultura de la compañía tiene que estar alineada con los objetivos de Compliance, desde su Presidente hasta el último de sus trabajadores. Parece obvio y nada original, pero en la práctica no lo es. Considero que mi antiguo jefe, Martim Della Valle, lo resumía muy bien en una simple pregunta: ¿la empresa está preparada para perder una ganancia inmediata (sea un contrato, una venta o el patrocinio de un evento, por ejemplo) a cambio de hacer lo correcto? Tiene que ser un convencimiento profundo. El profesional de Compliance debe saber que tendrá el apoyo de la alta dirección a la hora de tomar cualquier decisión difícil.
Sin el apoyo de la Cultura de la Compañía y de todo su cuerpo directivo los esfuerzos por implementar un programa de Compliance efectivo serían nulos o por lo menos se avanzaría muy lentamente y a un precio sumamente alto.
Si ya sabemos donde están los riesgos que debemos atacar y tenemos el apoyo de la Cultura de la Compañía: manos a la obra. Por una parte tenemos que aprovechar lo que ya se haya realizado y está implementado en la empresa, que seguramente requirió el esfuerzo y tiempo de muchas personas, así como las política ya existentes.
Ahora viene la parte donde los profesionales de Compliance tenemos más capacidad de acción y podemos agregar más valor a la empresa.
Un simple ejemplo de un pilar de cualquier programa de Compliance son los entrenamientos o capacitaciones.
¿Podríamos conformarnos con preparar un material y enviarlo a todos los empleados que tienen acceso a email corporativo? Tal vez… O ¿sería mejor pensar en un entrenamiento presencial y dirigido a públicos específicos y por temas de riesgo, claro está, sin detrimento de utilizar también las plataformas tecnológicas que multiplican el alcance de nuestras acciones? Algo que me funcionó muy bien dejando un resultado bastante positivo, especialmente por el interés y dudas de los participantes, fue una mesa para discutir un caso práctico, elegido cuidadosamente y de mucha aplicación en el día a día de las personas. Más del 90% de los participantes ya había sido capacitado varios años en el tema de Compliance anticorrupción… entonces en las capacitaciones el desafío para los profesionales de Compliance es variar y presentar los contenidos similares a públicos similares pero de una forma interesante y hasta atractiva.
Después de muchos años trabajando en empresas de consumo masivo no puedo pensar en un programa de Compliance sin que sea medible. Como reza el viejo dictado: lo que no se mide no se puede controlar. Al fin de cuentas tendremos que presentar los números, el tamaño de la brecha que queremos cerrar, medirlos constantemente, como cualquier otra área de la empresa. No es fácil medir la adherencia a la cultura o a la ética, pero hay muchas otras opciones de indicadores. Por citar sólo algunos: número de dudas sobre temas éticos, seguimiento a las consultas realizadas, investigaciones realizadas, tiempo y recursos de la investigación, procedencia o no de hechos denunciados, número de Due Diligence realizadas los proveedores de la empresa, sistemas utilizados en las Due Diligence, número de contratos revisados con cláusulas específicas de Compliance, comunicaciones realizadas, donaciones solicitadas, aprobadas y correctamente contabilizadas, número de capacitaciones, números de empleados capacitados, etc… En paralelo, es necesario idear la manera de medir y controlar periódicamente que todo se realice de la forma en que ha sido diseñado. El área de Auditoría Interna puede y debe ser un gran aliado en este aspecto.
Otro punto clave es revisar y actualizar por lo menos una vez al año los indicadores que queremos revisar para ir subiendo el estándar cada vez más en la búsqueda de la excelencia y de la efectividad del programa
Las métricas son de suma importancia, pero debemos tener cuidado también en no perder la esencia de lo que queremos, es decir, no buscamos el número por el número,
lo que queremos es diseñar un programa que mitigue los riesgos, establezca controles y que incentive a todos los trabajadores a hacer lo correcto en todas las situaciones de nuestro día a día.
