Principio 1. La ética y el cumplimiento es parte de la estrategia de negocio
En organizaciones con programas de ética y Compliance de alta calidad, la función de cumplimiento no es un agregado aislado, sino que está diseñado para complementar y ayudar a cumplir con los objetivos estratégicos. Si bien hay un departamento de Compliance en el organigrama, la función de cumplimiento está distribuida de todas las operaciones.
Es decir, los directores asignan objetivos y responsabilidades de cumplimiento claramente dentro de sus áreas. De esta forma, todos los empleados asumen la responsabilidad de cumplir con las regulaciones y entienden su rol integral en la prevención del fraude y la corrupción. De esta forma, la ética será una parte explícita de la misión y visión de la organización.
Al mismo tiempo, el programa de ética y Compliance tiene una voz independiente en la organización, y sus miembros, como el Compliance officer son visibles participantes de las discusiones de alto nivel sobre la estrategia de negocios, la gestión de crisis y las decisiones de la alta dirección. El acceso a la agenda de la alta dirección y sus órganos de dirección permite a la función de cumplimiento estar presente e integrada. La función de Compliance puede mantener informado al consejo y los comités con contactos regulares basados en reportes que incluyan el mapa de riesgos, las métricas de Compliance, las novedades y otras cuestiones emergentes, y los avances cualitativos del programa. Es aconsejable, para llamar la atención de la dirección, presentar cuestiones de interés y relevancia relacionadas a decisiones estratégicas y noticias de la industria para incluir un análisis desde el papel de Compliance.
A partir del monitoreo de los riesgos de incumplimientos, Compliance puede también ayudar a identificar necesidades de cambio, nuevas oportunidades e ideas de innovación. Es una fuerte ventaja competitiva poder adecuar, rápidamente, las prácticas operativas ante cambios por nuevos requerimientos legales. Por otro lado, Compliance, al integrarse a funciones relacionadas en la segunda línea de defensa, puede tener un enfoque global para identificar mejoras en conjunto e incentivar la innovación. De los programas de remediación de controles y por sus testeos de cumplimiento, pueden reforzarse procesos completos para hacerlos más eficientes y seguros.
La difusión fuera de la organización de métricas de cumplimiento y acciones del programa es un diferenciador de mercado, especialmente en industrias reguladas. Esta comunicación en informes anuales a inversores puede sostener los valores de la empresa en temas prácticos. Por ejemplo, la comunicación externa de las acciones de anti-corrupción, conflictos de interés, controles financieros, seguridad en los productos y cumplimiento de normas laborales.
Principio 2. Los riesgos de incumplimientos efectivamente se identifican y gestionan por un dueño
El análisis de riesgos es la brújula que dirige todas las acciones del sistema de gestión de cumplimiento. Este análisis cuenta la historia, nivel de madurez y objetivos de la organización. En los programas de cumplimiento de alta calidad, el análisis de los riesgos, efectivamente, permite evitar consecuencias severas, como sanciones mayores, inhabilitaciones y penales, así como proteger la reputación. Esto se logra cuando los planes de acción para mitigar riesgos se completan a través de un dueño del riesgo claramente identificado y que ha contado con la colaboración desde Compliance para adquirir los recursos necesarios para prevenir incumplimientos.
El dueño del riesgo de incumplimiento tendrá a cargo la coordinación de estas acciones, la medición de indicadores y su tratamiento. En un sistema de cumplimiento maduro, el dueño del riesgo recibe el soporte de Compliance para desarrollar medidas efectivas, como el desarrollo de políticas, recibir entrenamiento, diseñar controles y resolver disputas legales o regulatorias.
Una característica de los sistemas de Compliance de calidad es que el tratamiento de los riesgos de incumplimiento tiene el apoyo de líderes que asumen la responsabilidad de tratarlos en sus áreas de control. Al priorizar los riesgos de cumplimiento, Compliance puede ayudar, efectivamente, en los esfuerzos de los dueños de los riesgos en prevenir y desarrollar planes contingentes de defensa. Los buenos programas de cumplimiento también evalúan el estado de la cultura de la organización como un riesgo.
Luego de priorizados los riesgos de incumplimiento a través de su criticidad, las organizaciones con programas de Compliance de alta calidad dan visibilidad de los riesgos mayores para preparar a la organización. Esta visibilidad se asegura al elevar a la alta dirección las debilidades identificadas para que se debata en este nivel como ayudar a las áreas impactadas. La aprobación de políticas desde la alta dirección y su entrenamiento permiten cambiar prácticas y difundir información sobre cómo controlar los riesgos de incumplimiento.
Las organizaciones con estándares de calidad en Compliance no limitan sus análisis de riesgos internamente. Confinar los esfuerzos de cumplimiento dentro de la organización no permite identificar riesgos en forma predictiva. Por ejemplo, detectar riesgos a través de la cadena de suministro o de socios comerciales permite actuar antes en la gestión y ahorrar costes. En un sistema de Compliance de calidad, las relaciones con terceras partes tienen un rol relevante para identificar riesgos, y continuamente se monitorean las operaciones con agentes, proveedores y socios para que rindan cuenta del tratamiento de sus riesgos.
La selección de terceras partes, a partir de efectuar revisiones de due diligence rigurosas y mantener compromisos de estándares éticos en común, permiten prevenir fallos y ahorrar costes antes que remediar los incumplimientos internamente en la organización.
Principio 3. Los líderes de la organización en todos los niveles construyen una cultura ética
La identificación de riesgos de incumplimiento no construye por si sola una cultura ética ni de cumplimiento. La minimización de riesgos de Compliance no genera organizaciones íntegras. La cultura necesita líderes que puedan influenciar en las decisiones de negocios para lograr un crecimiento sustentable y proteger la reputación. Las organizaciones con sistemas de cumplimiento de calidad reconocen el papel de los líderes en la gestión del cambio cultural para garantizar decisiones sostenibles a largo plazo.
En las organizaciones con sistemas de Compliance de calidad, el tono ético está dado por los líderes y directores que demuestran en forma personal, y a través del ejemplo, el compromiso por la integridad y el cumplimiento de la legalidad. La función de Compliance es medida y es parte de las evaluaciones de desempeño para que sea un elemento central de la estrategia. Sin embargo, para evolucionar en la calidad de la función, las organizaciones avanzadas acompañaron el tono de los superiores por los mandos medios, supervisores y todos los empleados con un papel de liderazgo para que impacte sustancialmente en la cultura. Los empleados que califican a sus supervisores como íntegros y éticos tienden a actuar de la misma manera. Los líderes que mantienen la responsabilidad y la rendición de cuenta sobre sus acciones de cumplimiento inspiran a otros en su trabajo.
Estos líderes deben demostrar la importancia de la conducta ética y referenciar a los valores de la organización con el marco de sus decisiones. Son ellos quienes en los sistemas de calidad mantienen a sus subordinados responsables de sus acciones y los influyen a través del ejemplo. Las conductas correctas son, así, reconocidas y tienen un impacto directo sobre los beneficios de empleo y ascensos.
En los sistemas de calidad, la función de Compliance alcanza a todos los empleados, aunque aquellos no tengan acciones gerenciales. Si bien las políticas son muy importantes en fomentar el cumplimiento, es el compromiso de todos los niveles en sostener una cultura organizacional alineada a valores que previene el fraude, los delitos y los incumplimientos de la forma más efectiva. En esta misión de mejorar la calidad, se requieren acciones amplias de entrenamiento y campañas de concientización ajustadas a cada nivel, rol e, incluso, involucrando a terceras partes.
Principio 4. La organización promueve y valora el reporte de sospechas de malas conductas
Uno de los mayores riesgos de la función de cumplimiento es fracasar en construir la cultura de transparencia, comunicación de puertas abiertas y del reporte de situaciones ilícitas conocidas o sospechadas. El miedo y el desinterés erosionan la cultura de cumplimiento y aumentan el costo de los fallos de Compliance porque las alarmas se encienden ya cuando hay riesgos materializados y ante situaciones difíciles de reencauzar.
Las organizaciones con sistemas de Compliance de calidad mitigan este riesgo creando un ambiente propicio para el diálogo y el escalamiento de cuestiones de preocupación. Una cultura abierta a la comunicación sin reservas requiere líderes con habilidades interpersonales. Una atmósfera de colaboración y visibilidad de la función de Compliance permite tratar cuestiones de riesgos antes de que originen conductas indeseadas.
El canal de reporte de denuncias y consultas de Compliance funcionará si genera resultados y resguarda la confidencialidad. No hay nada más desmotivador para un denunciante que no perciba avances de investigación ni la toma de decisiones firmes de la alta dirección a partir de su reclamación. También será preocupante que no se garantice en la práctica un nivel adecuado de confidencialidad durante las acciones de investigación. Para esto, la función de Compliance debe tener la infraestructura adecuada para enviar un mensaje consistente y regular a toda la organización para monitorear la eficiencia de este canal. Los sistemas de cumplimiento de alta calidad mantienen informado al denunciante de los avances de la investigación y de los resultados, permitiendo aportar más datos y evidencias para corroborar o desestimar hechos. Por ejemplo, se otorga un número de denuncia al reportante para que pueda acceder a un sitio web para seguir el estado de la investigación y qué resolución se adopta.
Otro factor importante en las organizaciones con sistemas de alta calidad es que monitorean por un extenso periodo que efectivamente no se produzcan medidas de represalias contra un denunciante de buena fe. La función de Compliance debe verificar por varios canales el correcto soporte de un denunciante a través de entrevistas e investigaciones luego de cerrar una reclamación.
Principio 5. La organización toma acciones efectivas sobre las malas conductas (y aprende a evitarlas)
Integrado en todo el sistema de cumplimiento con alta calidad, el principio de responsabilidad y de rendición de cuentas es la base del tratamiento de riesgos y la ejecución de controles. Aún en empresas maduras en temas de Compliance, las malas conductas existen y no es razonable pensar que la cultura y los controles son infalibles. Sin embargo, las empresas con estándares de Compliance de calidad logran reducir la frecuencia de las malas conductas más allá que erradicarlas y aprenden de sus fallos para evitarlos en el futuro.
Tanto en el código de conducta como durante las campañas de concientización, las empresas con sistemas maduros comunican, claramente, a todos los niveles que quien viole un estándar interno, la legalidad o la ética sufrirá acciones disciplinarias que no solamente incluyen la desvinculación, sino la persecución judicial. Estas acciones son escaladas de acuerdo a la gravedad de los hechos, pero siempre aplicadas en forma consistente.
En los buenos sistemas de Compliance, las investigaciones de inconductas se reportan en base a hechos, y son todas tratadas con un enfoque, un alcance y una rigurosidad consistente. Para producir resultados justos, las investigaciones deben ser neutrales a cuestiones políticas internas o, presumiblemente, sobre quién recae la responsabilidad. Cuando se confirma una violación, las acciones sancionatorias y correctivas deben aplicase sin excepciones y reforzar el principio de responsabilidad.
Las empresas maduras tienen protocolos de investigación que incluyen una clara asignación de roles y responsabilidades durante las etapas del proceso, tiempos máximos, calidad de la investigación, posibilidad de acceder a especialistas externos en temas forenses, garantizan que se evitan conflictos de interés dentro del grupo de investigación y que se prioriza la confidencialidad. Estas investigaciones se centran en validar o descartar presuntos hechos, y no en defender a la organización contra cierta reclamación.
Esto también requiere, si corresponde de ser escalado, comunicar las malas conductas y violaciones legales a los reguladores y agentes de control de una forma transparente. También, la resolución de las violaciones puede necesitar que sea comunicada a los inversores y otros grupos de interés. No dar una respuesta rápida y contundente ante fallos de cumplimiento puede afectar el riesgo reputacional.