Ética, Moral y Derecho. Los tres conceptos constituyen sistemas normativos que regulan separadamente la conducta humana, aunque hay que reconocer que delimitarlos con precisión no es posible. Algunos opinan que los ámbitos de los tres podrían reflejarse en círculos concéntricos, donde el mayor sería el derecho, el medio, la ética y el más interno, la moral. Por ejemplo, el deber de no incurrir en conflictos de interés suele constituir a la vez un deber jurídico y un deber ético. El derecho es un sistema de normas imperativas y ejecutables para dirigir el comportamiento humano. Santo Tomás definía la ley como la "ordenación de la razón dirigida al bien común y promulgada por quien tiene el gobierno de la comunidad". Las características de esta rationis ordinatio son la generalidad, la permanencia, la promulgación formal y, sobre todo, la imperatividad, características que la distinguen de la moral y la ética. El derecho consiste en reglas reconocidas, con mayor o menor intensidad, por todos los sectores de una comunidad, distinguibles al ser expresadas formalmente por escrito, interrelacionadas subjetivamente y ejecutables a través de mecanismos coercitivos de la comunidad. El derecho constituye el mínimo nivel aceptable de conducta y convivencia. Muchos, incluidos políticos y hombres de negocio, piensan que hacen bastante con respetar la ley y que todo es correcto mientras no sea ilegal. La moral consiste en las nociones de bien o de mal que guían a cada uno individual y subjetivamente en nuestra existencia diaria. El término moral procede del latino mores, que significa costumbres y convicciones. Se refiere a los sentimientos subjetivos de lo que es bueno y malo en la mente de los miembros individuales de la comunidad. Se trata de los principios que animan y rigen la vida individual de cada persona y que no pueden comunicarse a los demás de forma plena. Nuestras convicciones subjetivas del bien y el mal son indescifrables desde el exterior y se difuminan en el interior. Sorprende la facilidad con que los políticos acusados de irregularidades invocan la presunción de inocencia como principio de derecho de que nadie es culpable hasta que no es condenado, sin tener en cuenta que, dada su elevada función, no basta que respeten las normas jurídicas como cualquier ciudadano, sino que constituyen referentes de conducta moral y ética, muy por encima del listón básico de la legalidad. Entre el derecho y la moral está la ética. La ética, que igualmente procede del griego ethos (costumbre), consiste en normas de acción y ejemplificación de valores dentro de una comunidad. Son normas que son entendidas y compartidas por un grupo humano sobre la base de un reconocimiento generalmente recíproco. La ética empieza donde termina el derecho. Sin duda la principal diferencia entre el derecho, la moral y la ética estriba en la coercibilidad y en la sanción a sus infracciones. La norma jurídica es coercitiva y su violación comporta sanciones civiles o penales. Esta misma coerción no existe en las normas morales y éticas. La violación de las normas éticas no comporta este tipo de sanciones y sólo la desaprobación por parte de los vecinos, colegas profesionales o la comunidad en general. La violación de los principios morales individuales conlleva como única sanción el remordimiento de la propia conciencia. El derecho a menudo encarna principios éticos. Por eso, un gran presidente del Tribunal Supremo de los EEUU, Earl Warren, exclamó en una ocasión que el derecho "flota sobre un mar de ética", a pesar de pertenecer a estratos distintos. Muchos actos, ampliamente condenados como poco éticos, no están prohibidos por la ley -mentir o traicionar la confianza de un amigo, por ejemplo-. Y lo contrario también es cierto. No sólo los tres conceptos no están rígidamente delimitados y muchas veces se traslapan, sino que existe una ósmosis entre los mismos. Normas morales concebidas subjetivamente por un individuo pueden, gracias a su ejemplo, convertirse en principios éticos para toda una comunidad. Pongo por ejemplo a Gandhi, cuya convicción en la ahimsa (no violencia), se transformó en una norma de conducta de todo un pueblo. No es infrecuente tampoco que normas éticas se conviertan en legales. Así, la tradicional práctica médica de informar al paciente, ha devenido una obligación jurídica y los deberes éticos sobre transparencia o no hacer negocios con las acciones de la propia empresa, tras graves escándalos (Enron, WorldCom, Tycon), fueron transformados por la Sarbanes-Oxley Act 2002 en reglas jurídicas imperativas. De ahí, pues, que el flujo del cambio normativo suele ser a partir de la moralidad subjetiva a una ética participada por un grupo y finalmente en ocasiones a una expresión de derecho. El hombre necesita reglas para poder vivir en sociedad, pero, sobre todo, para vivir de acuerdo con su conciencia. Ética en la empresa. La European Business Ethic NetWork (EBEN), define la ética como una reflexión sobre las prácticas de negocios en las que se implican las normas y valores de los individuos, de las empresas y de la sociedad. Las prácticas de ética empresarial más comunes son las siguientes:  Declaraciones o códigos de conducta o valores o etica, Acciones de buen gobierno, Programas de formación en valores, Informes de Responsabilidad Social Corporativa, Auditorías y certificaciones de ética empresarial, Proceso de toma de decisiones y Creación de comités de ética. Los valores son las creencias del individuo o del grupo acerca de lo que se considera importante en la vida, tanto en los aspectos éticos o morales como en los que no lo son. Dan el fundamento sobre el cual se formulan juicios y se realizan elecciones. Pueden derivarse del conocimiento, de consideraciones estéticas o de consideraciones morales. Se adquieren desde la más temprana edad, casi junto con el lenguaje y con los comportamientos de socialización, y se consolidan y amplían con la educación y el acceso a los medios culturales e informativos. Muchas veces permanecen implícitos y la persona no tiene claras sus prioridades valorativas. Debe enfatizarse el hecho de que los valores son el fundamento para un razonamiento moral sólido y la clave para la resolución de dilemas éticos. Así como los individuos adhieren a determinado conjunto de valores que deberían orientar su vida y sus acciones también lo hacen las instituciones y las organizaciones. Se han definido a los valores corporativos como “a corporation’s institutional standards of behavior”. Es importante intentar definir la forma en que se generan los valores corporativos. Y si los mismos serán el resultado de una decisión colectiva de los órganos de gobierno de la empresa o serán una consecuencia de la cultura organizacional vigente en la misma. A pesar de que en el presente es cosa común que las empresas exterioricen su “Misión, Visión y Valores”, en muchos casos los valores generados por la cultura organizacional permanecen implícitos, aunque en los hechos los mismos pueden resultar mucho más determinantes del comportamiento ético de una organización que aquello que pueda aparecer en los textos escritos. Y también es importante la presencia de un líder ético. A pesar de la eventual presencia de textos escritos, de videos alusivos a la ética e integridad de la corporación, el real comportamiento de sus integrantes puede ciertamente diferir de lo que marcan tales textos o imágenes. En un estudio se comprobó que varias empresas habían externalizado distintos valores y diferentes palabras para describir lo que se consideraba un comportamiento ideal de liderazgo. Pero todas esas diferencias en textos escritos no se traducían en absoluto en diferencias en el comportamiento de los líderes. La conclusión respecto del éxito o del fracaso en el desempeño de las empresas radica siempre en las personas y nunca en las palabras. Los valores corporativos son los siguientes: •             Satisfacción al cliente.  Implica tomar un enfoque proactivo hacia las necesidades y deseos del cliente, tratando de cumplir con sus expectativas. •             Integridad. Adherir a principios éticos y morales. Ser honestos y libres de influencias corruptas. •             Accountability. Ser responsable hacia alguien por alguna actividad y responder por sus resultados. •             Respeto por otros. Miramiento, consideración y deferencia hacia terceros. Ser educado y tolerante de las diferencias, con especial consideración a la dignidad, privacidad y libertad de otros. •             Comunicación abierta. Significa que cualquiera en igualdad de condiciones puede tener acceso y compartir los recursos de comunicación en la empresa, facilitando las relaciones interpersonales. •             Rentabilidad. Generar beneficios monetarios en la organización. •             Trabajo en equipo. Esfuerzo cooperativo y coordinado por parte de un grupo de personas que operan en conjunto como un equipo para alcanzar un objetivo común. •             Innovación/cambio. Introducción de nuevas cosas, productos o métodos. Transformar o modificar productos, procesos o métodos. •             Aprendizaje continuo. Proveer oportunidades de aprendizaje de conocimientos y habilidades para todas las edades, focalizado menos en el conocimiento y más en la forma de aprender. Proveer una estructura ágil para facilitar la adaptación a los cambios rápidos originados en la aceleración del progreso científico y tecnológico y también como respuesta a los cambios de roles y situación que se habrán de encontrar en el curso de la vida laboral. •             Medio de trabajo positivo. Ambiente laboral agradable con buenas relaciones interpersonales con estímulos positivos y reconocimiento del mérito en el desarrollo de las respectivas carreras laborales. •             Diversidad. Medio laboral no discriminatorio inclusivo de todas las minorías y géneros. •             Servicio comunitario. Servicios prestados en forma voluntaria por individuos o por organizaciones en beneficios de la comunidad y/o de sus instituciones. •             Confianza. Expectativa positiva respecto de la integridad, fuerza, habilidad, seguridad de una persona o cosa. Obligación o responsabilidad impuesta sobre una persona a la cual se le concede autoridad para desempeñar ciertas funciones. •             Responsabilidad social. Búsqueda del éxito comercial de modo que se respeten los valores éticos, la gente, las comunidades y el medio ambiente. Obligación de una empresa de maximizar su impacto positivo y minimizar su impacto negativo sobre los stakeholders. •             Seguridad/protección. Libertad respecto de daños o riesgos en el lugar de trabajo. Adopción de las medidas pertinentes para asegurar que no se sufran lesiones o daño. •             Empowerment. Proceso por el cual se incrementa la capacidad y habilidades de individuos o grupos para mejorar sus procesos de elección y decisión y facilitar la transformación de tales elecciones en acciones y resultados. •             Satisfacción del empleado con el empleo. Conformidad del empleado con las condiciones en que se desarrollan sus actividades y con la actitud de los dirigentes hacia los empleados y las oportunidades que se les ofrece para su desarrollo de carrera. •             Diversión/entretenimiento. Organización de las actividades de modo que no se vuelvan rutinarias y constituyan una ocupación agradable para la mente, que relajen, estimulen, den placer y no produzcan stress. •             Equidad (justicia con imparcialidad). Medio caracterizado por la justicia y la imparcialidad donde se procede de acuerdo con los criterios de la ética y del juego limpio más allá de lo que establezcan las leyes y las normas escritas. Disposición de dar a cada uno lo que merece de acuerdo con los principios del justo comportamiento. •             Veracidad. Observancia habitual de la verdad en el discurso y en los enunciados escritos. Actuar de acuerdo con la verdad, los hechos y la realidad con fidelidad, lealtad y sinceridad. Se establece que las personas, a lo largo de su vida, modifican gradualmente su razonamiento moral y, conforme lo hacen, moldean su manera de pensar hacia una forma más autónoma, la cual adquiere su máxima expresión cuando dicho perfil de pensamiento alcanza los niveles superiores, en los que las decisiones y acciones tomadas se acercan e, incluso, se identifican con la decisión/acción moralmente correcta. Sin embargo, pese a ser un proceso, no todos los individuos pueden llegar a ocupar tales estadios de desarrollo moral. Más bien, la gran mayoría de las personas no alcanzan tales niveles en su razonamiento moral y, éstas, con total seguridad, requieren de la aprobación de un grupo más amplio de personas que tomarán como referentes: familia, amigos, líderes espirituales y compañeros de trabajo, entre otros. Así, los factores organizacionales pueden desempeñar un papel importante en el comportamiento ético en dos cuestiones: el establecimiento de la intención moral y la participación en la conducta moral. En este sentido, las personas que conforman los entornos organizacionales son altamente influyentes respecto a la intención ética del empleado, en especial, aquellas personas que poseen cierto poder y autoridad en la empresa. Podemos, por tanto, inferir que la Alta Dirección tiene un poderoso poder de afectación sobre el grado de moralidad conductual que se sucede en la empresa la Alta Dirección para influir en el comportamiento ético/no ético del empleado. Puede suceder que, aún cuando la Alta Dirección sí tenga una dimensión moralmente buena, debido a la distancia existente entre ambos, ésta no sea percibida por el resto de miembros organizacionales. De esta forma, esta persona, moralmente buena en realidad y con comportamiento consecuente, es muy probable que sea considerada como amoral o éticamente neutral. Por tanto, no es suficiente con ser una persona moralmente buena, sino que se ha de transmitir dicha buena moralidad y la importancia de la misma a todos los niveles de la organización y esto se consigue mediante el desarrollo de la figura de directivo moralmente bueno, pilar básico sobre el que se sustenta un líder ético. De ahí la necesidad de trabajar los valores de las personas y alinearlos con las expectativas de cada organización, sin dar por hecho que se traen desde casa y que son todos iguales. Sin embargo, la formación en el ámbito del Compliance tiene también un objetivo que trasciende lo comentado hasta ahora: es un factor clave para que cada persona de la organización conozca las obligaciones de cumplimiento que le son propias. Es decir, constituye una herramienta esencial para adquirir conciencia de que las obligaciones de Compliance son inherentes a la actividad que cada individuo desarrolla y, por ello, tienen una dimensión personal inevitable. El hecho de que exista una función de Compliance no supone una traslación de esas responsabilidades individuales hacia un equipo de especialistas, sino tan solo que ciertas personas, por su perfil profesional y experiencia, prestan soporte a los propietarios reales de los riesgos de incumplimiento. Un error conceptual frecuente sobre Compliance, es pensar que dicha función asume los cometidos de cumplimiento que en verdad afectan a cada una de las personas de la organización, circunstancia que es materialmente imposible y, por lo tanto, también ingestionable. De ahí, que la ética tiene que ver con el êthos, con el carácter que se forjan las personas y las organizaciones, y con la justicia, que exige tener en consideración a todos los que se vean afectados por la actividad de la empresa. Desde esta perspectiva la ética empresarial enlaza directamente con la necesidad de que las empresas adopten una verdadera política de responsabilidad social corporativa, siendo esta quizás el medio más idóneo de demostrar el verdadero compromiso ético de cualquier organización. Una entidad socialmente responsable es una entidad no solo respetuosa con la normativa vigente, sino comprometida con sus empleados, con el cuidado del medioambiente y que contribuye proactivamente al desarrollo de la sociedad en la que opera, en especial al de los sectores más desfavorecidos. Es pues este «sentido ético compartido» el que nos permite afirmar que una entidad será éticamente responsable más allá de que cumpla la normativa vigente, cuando esté real y verdaderamente comprometida con los valores que acabamos de exponer: con tratar a los demás con la dignidad que como personas iguales merecen, con dar a cada uno (empleados, clientes, proveedores, competidores, comunidad) lo suyo, procurando el mejor estado de cosas para cada uno de ellos. El reto que ya han aceptado importantes empresas, pero que debe extenderse a todas las personas jurídicas que actúan en la sociedad, es integrar la responsabilidad social corporativa en la propia estrategia de la organización, ante el convencimiento de que una vez integrada en la misma, mejorará la gestión de los recursos humanos, se incrementará la lealtad de los empleados y su productividad, inspirará confianza a los clientes, inversores o asociados y añadirá en definitiva valor a la organización. Desde este punto de vista cabe considerar que, si bien los sistemas de prevención de delitos resultan el medio de defensa idóneo previsto en la ley para protegerse de la responsabilidad penal a modo de escudo, la implantación de programas de responsabilidad social corporativa son el medio útil para demostrar la existencia de una cultura ética en la organización, cuya ausencia conllevará su responsabilidad penal en caso de comisión en su ámbito de dominio de algún delito de los que la misma pueda ser declarada responsable. Reputación empresarial. Riesgo de Reputación produce en la empresa o marca y se puede manifestar como mala prensa o discusión de los medios de comunicación, pérdida de la confianza del cliente, disminución la moral del empleado, etc. Pero como los intereses, valores y culturas de clientes, proveedores, empleados y reguladores, solo para nombrar algunos, difieren entre sí. Habrá que definir cuáles son los más instrumentales para dar sostenibilidad a la estrategia de la compañía. Un proceso difícil porque por más que uno lo intente no podrá contentar a todos. Y para agregar complejidad, las expectativas evolucionan: lo que estaba bien visto hace unos años hoy ya no lo es y lo que hoy está aceptado quizás mañana ya no lo sea. Así un comportamiento puede ser evaluado pronto contra expectativas cambiadas y ya no alcanzarlas. No se objetará legalmente, pero igual daña la reputación. La consecuencia: clientes cambian su comportamiento y dejan de comprar, empleados se van y aparecen los medios reforzando la crisis de reputación. Al final, las crisis de reputación siempre son el resultado de experiencias. El riesgo reputacional es más difícil de gestionar que riesgos “normales” ya que tiene un carácter amorfo de percepciones y emociones que forman las expectativas más allá de la realidad, no es tangible y no se puede cuantificar. Para los Compliance Officers: para preservar la percepción positiva de la empresa entre sus stakeholders importantes no alcanza con una mirada legalista desde el entorno normativo actual. Tienen que ser trendspotters y guías para la Alta Dirección detectando hacia donde se dirige el tren de los comportamientos aceptados por la sociedad y los cambios regulatorios que los siguen. Adquiere mayor importancia su faceta de guardián del comportamiento debido y no solo del comportamiento permitido. La reputación corporativa es el reconocimiento que de una compañía hacen sus grupos de interés, a partir del grado de cumplimiento de ésta para con sus clientes, empleados, accionistas y comunidad en general. Son diversos los elementos que entran a formar parte de lo que denominamos Reputación corporativa: Políticas de medioambiente, Políticas de selección, formación e integración del personal, Políticas de ascenso, Políticas retributivas, Políticas de despidos, Calidad del producto, Políticas de precios, Campañas publicitarias y Campañas de comunicación institucional. El tener una buena reputación aumenta drásticamente las probabilidades de: (1) pedir prestado a un costo de capital menor y así mejorar las chances de una mayor rentabilidad ceteris paribus; (2) retener los mejores talentos corporativos con habilidades y tener así el mejor liderazgo corporativo visionario, para guiar a la organización en futuros territorios desconocidos; (3) ser inducido a cumplir con reglas y regulaciones para evitar cualquier posible responsabilidad legal; (4) asegurarse de que los clientes seguirán siendo leales a los productos y servicios de la organización, al servirlos bien; (5) asegurarse que a través de un comportamiento social corporativo responsable la organización obtiene un permiso para operar desde la sociedad en general en la cual se encuentra, y apelar así a la simpatía emocional; (6) garantizar un tratamiento igual a todas las partes interesadas (incluyendo los grupos minoritarios) al implementar reglas de  gobierno transparentes y responsables; y, finalmente, (7) tener sistemas instalados de control, monitoreo y comunicación adecuados para enfrentar posibles crisis. Para esto, las empresas deben asegurarse de que existan el liderazgo correcto y los correspondientes mejores principios de gobierno corporativo; garantizar que la transparencia y la integridad sean los principales factores directivos al manejar la información; enfatizar la importancia de la comunidad como una forma de legitimar el “permiso para operar”; reconocer al cliente y cuidar sus necesidades y deseos; valorar al trabajador de la organización como un valor humano genuino; mostrar respeto por el medio ambiente; sostener políticas que creen igualdad y diversidad; crear una conciencia de diferencias culturales que no deben ignorarse. Influencia en la propensión al cumplimiento. Como es sabido, los ciudadanos estamos todos bajo el imperio de la ley, la conozcamos o no. Sin embargo, entre el trabajo cotidiano que el profesional realiza en una empresa y el sistema de justicia que sanciona los comportamientos asociales, hay una distancia importante. A esta distancia podríamos caracterizarla como una “distancia psicológica”. Cada uno de nosotros puede advertir que –además de la propia conciencia- la influencia más importante en la identificación de lo que está bien y lo que está mal para la vida profesional es lo que uno aprende y ha aprendido en los lugares de trabajo. En la vida cotidiana de la empresa, rodean a la conciencia personal las percepciones de su realidad: la influencia de los jefes, los objetivos, la evaluación de desempeño, la necesidad de pertenencia, el desarrollo persona y sobre todo, la subjetiva estimación de la posibilidad de conservar el trabajo en ese contexto. Todas estas influencias son reforzadas -o debilitadas- por los ascensos, los pases, los bonus, los reconocimientos y los despidos. Esta influencia de la vida laboral en la distinción de lo bueno y lo malo es, a veces, superior a la de la vida familiar. No pocas veces, se vive bajo una dicotomía. Para la familia se suelen reservar las buenas aspiraciones, y para el trabajo se detenta “la ley de la selva”. Dicotomía que se sostiene en nombre de las aspiraciones familiares a una buena vida. Dentro de las organizaciones, no todo es atribuible al ejemplo de los directivos. Se actúa también a imagen de los modelos circulantes de éxito, a imagen de las opiniones de los pares e incluso, se actúa a imagen de aquello que queremos ser y (¿aún?) no somos. Al subrayar lo que llamo “distancia psicológica con la ley” del profesional de empresa, busco enfatizar que la influencia que ejerce el lugar de trabajo es superior a la influencia que ejerce el Estado. Es decir, el profesional es más receptivo a la norma intra-empresa y a los lineamientos de jefes que al poder de control y sanción del Estado, porque es en la empresa donde se juega el día a día de su supervivencia individual. Es más, casi me atrevería a afirmar que para el anónimo ciudadano, el Estado debería controlar solamente a las personas “con poder” y “dejar vivir” al resto. Sin la pretensión de una explicación excluyente y, mucho menos, de carácter normativo, describo en dos binomios un posible contenido del imaginario colectivo: (LA LEY “ESTÁ LEJOS”+ QUE EL ESTADO CONTROLE AL EMPRESARIO) Y (MI JEFE “ESTÁ CERCA” + YO CUIDO MI TRABAJO). Las funciones del compliance ilustran cómo una presión legal del entorno de la empresa se convierte en una cuestión de management intra-organizacional. Los cambios iniciados en la legislación, que incorporan de forma creciente los aspectos preventivos que antes quedaban en el terreno ético, podrán adquirir más fuerza y sostenibilidad si llegan a las costumbres cotidianas. Y un desafío de management, siempre consiste en la dirección de personas, no sólo en procesos burocráticos. En el caso de compliance, es un desafío complejo que demanda muchas cualidades de quienes lo conducen, porque se trata de influir en la mentalidad de los que trabajan en la empresa para lograr el cumplimiento normativo. Las herramientas de compliance en la empresa son capaces de acortar la distancia psicológica entre los profesionales de la empresa y la ley. Su punto fuerte es que se concientiza sobre las consecuencias de cierto tipo de decisiones. Con su claridad es más difícil aducir ‘obediencia debida’ en un incumplimiento. De este modo, compliance logra acortar la distancia psicológica con la ley y la hace parte de los criterios de trabajo cotidianos. Por tanto, la “cercanía psicológica” de la ley será eficaz, si el cumplimiento normativo se comprende cabalmente desde una visión integral de la conducta humana frente a lo prohibido y lo permitido, lo valioso, lo conveniente y lo normal, lo acostumbrado, lo deseable, lo bueno y lo posible. Si no adquiere perspectiva y profundidad, aumentará la distancia. Con compliance o sin compliance, el supremo riesgo ético es la disolución del yo, de la persona que decide, es el corrimiento del sujeto de su lugar. Este riesgo puede adquirir varias formas: una de ellas es que el yo se esconda en el cumplimiento burocrático y técnico de la norma, haciendo de compliance una coartada y no una oportunidad de desarrollar en la mentalidad compartida en la empresa la capacidad de anticiparse a actuar de forma ética y responsable.

Apetito por el riesgo. El apetito por el riesgo define el nivel de riesgo para toda la empresa que los líderes están dispuestos a tomar (o no tomar) con relación a acciones específicas, tales como adquisiciones, desarrollo de productos nuevos o ampliación del mercado. Cuando es práctico hacer la cuantificación, el apetito por el riesgo usualmente se expresa como una cifra monetaria o como un porcentaje de ingresos ordinarios, capital u otra medida financiera (tal como pérdidas en préstamos); sin embargo, nosotros recomendamos que cuando se establecen los niveles del apetito por el riesgo también se consideren las áreas de riesgo menos cuantificables, tal como el riesgo reputacional. Si bien es cierto que el gerente propone los niveles del apetito por el riesgo, la junta los debe aprobar – o retarlos y devolverlos al gerente para que los ajuste – haciéndolo con base en la evaluación de su alineación con la estrategia de negocios y las expectativas de los grupos de interés. Los apetitos por el riesgo pueden variar de acuerdo con el tipo del riesgo que se esté considerando. Usando el enfoque de la inteligencia frente al riesgo, las compañías buscan tener un apetito por los riesgos que se recompensan tales como los que están asociados con desarrollo de nuevos productos o ingreso a mercados nuevos, y un apetito mucho menor por los riesgos que no son recompensados tales como el no-cumplimiento o las fallas operacionales. Algunos riesgos están dentro del territorio. Si usted está en el negocio de extracción de petróleo, de manera inevitable habrá derrames ambientales e incidentes de seguridad. Si usted no tiene apetito por ese tipo de riesgo, entonces probablemente usted no debe estar en ese negocio. Una vez que usted ha aceptado esta realidad, usted debe hacer todo lo necesario para prevenir, detectar rápidamente, corregir, responder a, y recuperarse frente a cualquier incidente de ese tipo y definir su tolerancia (un derrame de petróleo cada 10 años de 10 mil barriles). Concepto de Compliance. El concepto de Compliance se puede traducir por “cumplimiento normativo”, aunque si leemos algún texto en inglés encontraremos numerosos casos en que se usan expresiones donde no podemos sustituir esta palabra por nuestra expresión elegida (cumplimiento normativo). La traducción por “cumplimiento normativo” que venimos usando los profesionales en esta materia quizá tenga mayor equivalencia con el concepto inglés de “regulatory compliance” (cumplimiento de la regulación). La función de Compliance dentro de una empresa asume las tareas de prevención, detección y gestión de riesgos de Compliance mediante la operación de uno o varios Programas de Compliance, contribuyendo a promover y desarrollar una cultura de cumplimiento en el seno de la organización. Compliance es un conjunto de herramientas de gestión intra-empresa que promueve el cumplimiento de normas, estándares y leyes aplicables a la industria. Para ello, se introducen en los procesos de decisión y comunicación criterios y pautas que intentan prevenir incumplimientos. De diversos modos, se busca concientizar a los integrantes de la empresa acerca de los riesgos que implica el incumplimiento. Ahora bien, la razón de negocio (business rationale) para prevenir el incumplimiento son los posibles daños que se siguen del mismo. Este rationale presupone algunas hipótesis: a) que cada integrante de la empresa es un representante (agente) de los intereses de los accionistas (principal). b) que los daños tienen un costo para la empresa (económico, legal, reputacional, ambiental, social). c) que el costo derivado del incumplimiento “se lo hace pagar” alguien externo a la empresa (Estado, público, consumidor, inversor). Si estos presupuestos son ciertos (de hecho o de derecho), prevenir incumplimientos forma parte deber moral (fiduciary duty) de proteger los intereses de quienes detentan la propiedad de la empresa, no sólo logrando resultados positivos, sino evitando los negativos. Por tanto, hay que tener presente que existen varios tipos programas de compliance que pueden tener alcances completamente diversos, y no limitarse únicamente a la dimensión penal (Tax Compliance, Labor Compliance, etc). Por lo que al momento de definir el alcance del compliance program tendremos que delimitar si vamos a implantar un programa de cumplimiento penal (modelo de prevención de delitos impuesto por la ley) dirigido a evitar o moderar la responsabilidad penal de la empresa, o si su contenido va destinado a regular o se extiende a otros aspectos como son laborales, ambientales, societarios, comerciales, impositivos, etc. De esta forma, el compliance officer de una empresa, podría desempeñar funciones de supervisión respecto al cumplimiento de las obligaciones tributarias o laborales, y no sólo del modelo de prevención de delitos. El compliance nace para asegurar que la empresa se ajusta y cumple con el ordenamiento jurídico. En las últimas décadas, esta función se ha generalizado entre las empresas para dar respuesta al aumento de normativa a nivel nacional e internacional –elaborada, en muchas ocasiones, por las instancias públicas para evitar nuevos abusos empresariales ante la falta de regulación–. El cometido de los programas de compliance es prevenir que tanto la compañía como sus empleados cometan delitos y, con ello, evitar las penas correspondientes. Además de asegurar el cumplimiento legal en un entorno cada vez más complejo, existen otros tres factores que han sido determinantes para consolidar esta función. El primero es el reconocimiento de la responsabilidad legal de las personas jurídicas, es decir, la posibilidad de que la compañía en sí y sus directivos, y no solo las personas que trabajan en ella, sean inculpadas y condenadas. El segundo ha sido el aumento del importe de las sanciones, que hace más «rentable» el cumplimiento de la ley que su violación. Y, el tercero, posiblemente el más importante, el hecho de que poder acreditar la vigencia de un programa de cumplimiento normativo efectivo cuando se cometió el delito permite que la empresa quede exenta o mitigada de responsabilidad penal. El Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las empresas líderes para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención y gestión, formación, detección, minimización y control de los mismos. El entorno legislativo en el que la empresa desarrolla sus actividades es cada vez más abundante y complejo. El nivel de beligerancia de las autoridades y organismos regulatorios es cada vez mayor y el impacto de la regulación es más intenso que nunca. Por ello, y por los recientes escándalos societarios y el innegable incremento de la sensibilidad social respecto de la “ética de los negocios”, un mayor número de organizaciones públicas y privadas internalizan estándares éticos y legales como protocolos de buen gobierno de obligado cumplimiento. Los riesgos a prevenir son aquellos que conllevan consecuencias como el daño reputacional, la imposición de multas y sanciones, las pérdidas de negocio por contratos no ejecutables o la exclusión de licitaciones o subvenciones públicas, entre otras. Un programa integral de Compliance se compone de múltiples elementos y su consecución depende en gran medida de la creación de una cultura corporativa de estricto cumplimiento de las normas y políticas éticas de la empresa. Por ello, es imprescindible que se establezcan mecanismos de control o medidas de respuesta ante posibles incumplimientos, incluyendo entre otros acciones de formación, una estrategia de comunicación interna y externa del programa y la adopción de buenas prácticas. Conclusiones erradas sobre compliance: •             La función de Compliance en la Empresa debe dedicarse exclusivamente a la prevención de delitos del código penal para evitar la responsabilidad penal de persona jurídica. Esta frase viene siendo un clásico. Para entender la finalidad que persigue el artículo 31 bis del Código Penal, sobre los supuestos en los que las personas jurídicas serán penalmente responsables. Lo primero que debemos tener claro es que tal responsabilidad se dará, siempre que concurran los requisitos del artículo y, únicamente, para la comisión de unos determinados delitos del Código penal, no todos. En segundo lugar, cuando en el artículo 31 bis del C.P. se dice "por cuenta y en beneficio directo o indirecto de las mismas", se refiere a que puede haber responsabilidad penal de la empresa si la acción o acto le genera provecho. Por otro lado puede producirse un delito por un empleado de la empresa dónde la empresa no reciba beneficio y, además, es víctima por los actos del trabajador. En tercer lugar, al referirse el artículo 31 bis del C.P. "en el ejercicio de actividades sociales"  deja claro que los actos que se lleven a cabo pueden no tener relación con actividades sociales de la empresa y, aunque se pueda haber cometido un presunto delito por el autor, no existirá responsabilidad penal de la persona jurídica. •             En el Compliance de lo que se trata es de que la empresa establezca controles para evitar que se cometa cualquier delito dentro de la misma. Es cierto que la prevención de delitos es una parte fundamental y decisiva de la función de Compliance así como de cualquier Modelo de Prevención y Control.  A pesar de ello, no debemos cometer el error de pensar que es la única responsabilidad del Compliance Officer o Departamento de Compliance en una empresa. Así pues, si enfocamos el Compliance desde el prisma del cumplimiento legal, sus funciones pueden tener competencia para velar por el cumplimiento de la normativa en materia de Protección de Datos, mercado y consumidores, competencia etc. Por otro lado, desde el prisma organizativo y de riesgos en la empresa hallamos funciones asociadas al buen gobierno corporativo, ética y responsabilidad social corporativa etc. Además, la reforma del Código Penal deja claro que la función del Compliance en la empresa va mucho más allá de un programa de prevención de delitos. •             Basta con enviar el Código Ético que la empresa ha elaborado a todos los empleados para cumplir con las obligaciones de Compliance. La comunicación a los trabajadores del Código Ético/Conducta es, sin lugar a dudas, uno de los elementos claves que la empresa debe realizar para  la implantación de un modelo de Compliance. De todos modos, no es el único elemento dentro del elenco de instrumentos que nos ayudarán a crear una efectiva cultura de cumplimiento en la empresa. A lo largo de un proyecto de Compliance se deben pasar varias fases. Desde la definición del alcance y ámbito de las materias que se abarcarán, la estructura organizativa, el nombramiento de la función de Compliance, establecimiento de los recursos destinados a Compliance, las competencias que tendrá Compliance en el seno de la empresa, establecimiento y aprobación del marco normativo, procedimientos, protocolos, políticas (ya sean para empleados, proveedores etc.), identificación de los riesgos, implantación de los debidos controles para evitar los riesgos, funciones de revisión y auditoría para comprobar la eficacia de las medidas de control, niveles de periodicidad y madurez de la empresa.  Como vemos el Compliance no es "pim pam pum" sino que va más allá de hacer un Código Ético y divulgarlo. La Circular de la Fiscalía insiste que lo fundamental no es tener un Código de autorregulación con toda la teoría incluida sino el acreditar que los gestores o los órganos de gobierno de la sociedad han ejercido (en la práctica) todas las medidas exigibles para prevenir, detectar y reaccionar ante un posible delito consiguiendo una verdadera cultura de cumplimiento en la empresa. De nada sirve un Make-Up Compliance basado en un modelo de Código de muchas páginas que lo regula todo sin que se centre en las particularidades de cada empresa. •             El Compliance es lo mismo que la Asesoría Jurídica de una empresa, al final se trata de cumplir Leyes El Compliance en cada empresa, a nivel organizativo, suele ser diferente atendiendo a razones de tamaño, actividad, sector, etc. de cada compañía. Si bien es cierto que, al final, se trata de hacer cumplir las leyes, no debemos quedarnos con este corto concepto ya que, dentro de la función de Compliance, encontramos funciones de control de las normativas internas, externas, sectoriales, códigos de conducta etc. Otro motivo por el que se suele confundirse es porqué, generalmente, la figura del Compliance Officer suele recaer en alguien que sea abogado o cualquier otro perfil que tenga formación jurídica. Como ya comentamos en el artículo La relación entre Compliance y otras áreas de la empresa, el Área de Compliance, a diferencia de Legal, tiene carácter autónomo e independiente con el fin de investigar cualquier conducta sin interrupciones y/o interferencias de otras áreas de la empresa. Por otro lado, un carácter más preventivo y asociado al análisis y gestión de los riesgos y, también, potestad para llevar a cabo una investigación interna, por denuncia o no, con el fin de aclarar los hechos y valorar si se ha vulnerado las normas o políticas de la empresa. Esto del Compliance en ésta empresa no puede funcionar. En los próximos años, aquellas empresas que no hayan dado importancia a tener un buen modelo de Compliance quedarán aisladas del mercado por no haber tomado las pertinentes medidas y esfuerzos en conseguir una cultura de cumplimiento en la empresa ya que, aunque sea de manera progresiva, en España, se irá consolidando una cultura centrada en la exigencia de cumplimiento por parte de los clientes y/o proveedores de la empresa, basado en la transparencia y la ética en el negocio. Entre otras cuestiones el Compliance sirve para evitar que la empresa cometa delitos y para evitar que la empresa sea víctima de delitos, entre otras, cuestiones. Orígenes y antecedentes de la función de compliance. Estados Unidos, mediados de los setenta. La SEC (Securities and Exchange Commission, agencia gubernamental encargada de hacer cumplir las leyes federales de valores y regular los mercados financieros nacionales) descubre que más de 400 compañías estadounidenses han participado en pagos ilegales a cargos públicos o partidos políticos en el extranjero. El caso de la compañía aeroespacial Lockheed es uno de los más escandalosos: habría pagado 22 millones de dólares a funcionarios del Gobierno japonés en el transcurso de una venta de aviones. Es en este momento cuando puede situarse la génesis del compliance. En un esfuerzo por devolver la confianza a las compañías americanas, en diciembre de 1977, el Senado aprobaba la Foreign Corrupt Practices Act (FCPA), ley que prohíbe los pagos ilegales a funcionarios extranjeros y exige a las compañías cotizadas registrar todas las transacciones y contar con sistemas de control interno adecuados. Más adelante, en el contexto de progresiva globalización de los años noventa, las políticas nacionales se muestran insuficientes para responder al nuevo contexto de libre circulación de capitales. Las diferencias de normativa entre los países redundaban en ventajas competitivas para aquellas compañías que continuaban realizando pagos ilegales. Se produce entonces un segundo avance del compliance, con el impulso de varias iniciativas internacionales de lucha contra la corrupción, entre las que destaca la firma de los miembros de la OCDE (a instancias de Estados Unidos) de la Convención Anticorrupción en 1997. Ratificada en la actualidad por un total de 41 países, los Gobiernos firmantes se comprometen a implementar una legislación que penalice el soborno de un funcionario público extranjero, similar a las regulaciones de la FCPA. Por otro lado, a partir de los años noventa se irán constituyendo los diferentes códigos e iniciativas que han permitido el desarrollo efectivo del compliance hasta su constitución actual. En 1991, la United States Sentencing Commission publicaba el Guidelines Manual, un marco pensado para evitar las disparidades en los juicios, para lo que codificó los criterios que pueden seguir los jueces a la hora de asignar penas a los crímenes corporativos. Entre las medidas, se incluía la existencia de un programa de cumplimiento normativo y de acciones para evitar la comisión de delitos como factores que pueden atenuar o evitar la condena de la compañía. El impacto de la medida fue enorme: a partir de entonces surge la figura del Chief Ethics & Compliance Officer (CECO, director de Ética y Cumplimiento) y muchas compañías adoptaron programas de cumplimiento (Murphy, 2002). Además, las guidelines han influido en la legislación de numerosos países en materia de anticorrupción e imposición del cumplimiento de la ley, a través del derecho comparado. Un año después, en 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO), comité formado por cinco asociaciones estadounidenses de auditoría y rendición de cuentas, publicaba Internal Control-Integrated Framework, una guía para el diseño, implementación, seguimiento y evaluación de controles internos. Se trata del manual más extendido en Estados Unidos, así como en la mayoría de las empresas de todo el mundo. El golpe de gracia final vendría a principios del nuevo milenio, cuando escándalos corporativos como el de Enron pusieron en evidencia la necesidad de fortalecer la regulación. Bajo la fuerte presión de los accionistas, en 2002 nacía en Estados Unidos la ley Sarbanes- Oxley, con el fin de evitar la falsificación del valor de las empresas en bolsa, los fraudes y los riesgos de bancarrota. Al mismo tiempo, los escándalos llevaron a la extensión de los programas de compliance entre las compañías cotizadas, deseosas de evitar que algo similar llegara a sucederles. Se demostró además que contar con documentos, códigos o manuales escritos no era suficiente –Enron tenía un código de conducta de 64 páginas–, redoblándose los esfuerzos por integrar el cumplimiento normativo en la cultura de la empresa y por monitorizar el desempeño. En los últimos años, la crisis financiera, junto con la aparición de nuevos escándalos, han provocado el aumento de la presión por parte de inversores,  ciudadanos y reguladores, lo que, en último término, ha conllevado la normalización de la función del cumplimiento normativo en los Consejos de Administración y en la empresa. Las grandes auditoras también han coadyuvado al impulso del compliance, en el que han encontrado un nicho de mercado debido a los requerimientos de auditoría independiente y de revisión fiscal. En todo caso, son los Gobiernos los que más han contribuido al desarrollo de la función, creando o adaptando la normativa que hace la existencia de programas de cumplimiento un imperativo para las empresas. Entre los ejemplos más notables de ello a nivel internacional, se encuentra la ley anticorrupción del Reino Unido (Bribery Act 2010), que atañe a los delitos cometidos tanto en territorio británico como fuera del mismo por empresas o ciudadanos originarios de este país. La ley, considerada una de las más severas y referente en el ámbito internacional, incluye los pagos de facilitación y el acto de recibir sobornos como delitos sancionables, algo que no incluye su homóloga estadounidense Foreign Corrupt Practices Act (McDermott Will & Emery, 2010). La función de compliance, o cumplimiento normativo en español, puede definirse como aquella que vela, dentro de la empresa, porque se desarrollen las actividades y negocios conforme a la normativa vigente y a las políticas y procedimientos internos establecidos, asegurando, de este modo, que la empresa opera con integridad. La función del compliance empresarial es la de reducir los espacios de riesgos tolerables en el marco de la actividad empresarial respecto a la actuación de la propia organización y de sus miembros individuales. Fuentes del Compliance (Hard Law y Soft Law). Frente a la presión regulatoria, se hace necesario que las organizaciones empresariales se “autorregulen” y creen sus propios programas de prevención, detección, reacción y corrección del cumplimiento normativo, es decir Programas de Compliance o Sistemas de Gestión del Cumplimiento. Por tanto, cuando hablamos de Compliance, estamos hablando de autorregulación regulada o regulated self-regulation. Es regulada porque la base de la autorregulación son las leyes, normas, contratos, estándares o incluso el Soft Law que han ido publicando varias organizaciones como la OCDE o el Banco Mundial. Las organizaciones empresariales necesitan de instrumentos de gestión para poder cumplir con todos estos requerimientos, y que mejor que la autorregulación por la propia empresa directamente afectada, que mejor que nadie conoce su propia organización interna, sus fortalezas y debilidades. La existencia de variaciones normativas que van desde lo no vinculante hasta lo vinculante, del "no derecho" al derecho, de lo soft a lo hard. Con la expresión soft law se trataba de describir la existencia de fenómenos jurídicos caracterizados por carecer de fuerza vinculante aunque no carentes de efectos jurídicos o al menos con cierta relevancia jurídica. Si bien es cierto que a la distinción entre soft law y hard law pudiera atribuirse algunos "beneficios", tales como, estimular una mayor "conciencia jurídica", contribuir a asegurar la presencia de valores éticos en el proceso de positivización del derecho internacional o reflejar la diversidad de la comunidad internacional Julio Barberis considera que son tres las principales acepciones del término soft law, a saber: a) las normas que se encuentran en proceso de formación y aún no han adquirido validez jurídica; b) las normas jurídicas de contenido difuso o vago en las que resulta difícil precisar si sus disposiciones han sido o no cumplidas debidamente; y c) las normas que se hallan en las resoluciones de la Asamblea General de las Naciones Unidas y de algunas organizaciones regionales, en los acuerdos políticos entre los gobiernos, en los "gentlemen´s agreements", en ciertos códigos de conducta, en declaraciones conjuntas de presidentes o de ministros de Relaciones Exteriores, en directivas adoptadas por consenso en conferencias internacionales, etc., que en conjunto formarían un "orden jurídico intermedio". El ámbito del soft law se analiza en oposición al denominado hard law, entendiendo éste como aquellos instrumentos o prácticas generales con carácter obligatorio cuyo incumplimiento puede ser exigido por las vías institucionales de solución de conflictos y derivar en la responsabilidad internacional del Estado. Este fenómeno envuelve una amplia gama de documentos internacionales: resoluciones de organizaciones internacionales, recomendaciones e informes adoptados por organismos internacionales o dentro de conferencias internacionales; programas de acción; textos de tratados que no han entrado en vigor, declaraciones interpretativas de determinados tratados o convenios; disposiciones programáticas o non-self-executing; acuerdos no normativos, acuerdos políticos o gentlemen´s agreement, códigos de conducta, directrices, estándares, etc. La diversidad de instrumentos internacionales que suelen enmarcarse dentro del denominado soft law hacen de él un concepto demasiado amplio para dotarlo de un sentido único en el discurso del derecho internacional. Tal parece que el dato unificador es aquel que se refiere a sus efectos no obligatorios y que lo define por contraposición al denominado hard law. El avance del soft law, mediante las recomendaciones, comunicaciones, programas, informes, dictámenes, otros documentos de trabajo no vinculantes, y muy especialmente a través de la jurisprudencia, sirven de parámetro de interpretación del hard law, y de atenuantes de la responsabilidad que pudiera derivarse de la infracción de éste, proviene conceptualmente del derecho anglosajón habiendo gravitado en el derecho convencional. Respecto a los criterios para determinar la existencia de un determinado instrumento del soft law, son los siguientes: i) que sean formulados en términos no obligatorios de acuerdo a los procesos tradicionales de creación de derechos (v. gr. tratado o costumbre); ii) contengan términos vagos e imprecisos; iii) procedan de órganos carentes de autoridad para crear normas internacionales; iv) estén dirigidos a actores no estatales, cuya práctica no pueda configurar una costumbre internacional; v) permanezcan ajenos a cualquier teoría de la responsabilidad internacional; vi) se basen exclusivamente en la adhesión voluntaria y no exista un mecanismo jurídico para su exigencia. Otro posible modelo de clasificación de los instrumentos del soft law se basa en la relación que guardan con los correspondientes del hard law. En este sentido se distingue entre soft law explicativo o interpretativo del hard law; hard law emergente en la forma de soft law; soft law como evidencia de obligaciones jurídicas, soft law paralelo al hard law; y soft law como fuente de obligaciones internacionales. Por ejemplo, pueden servir de inspiración a parlamentos para la adopción de legislación interna o a los jueces como pautas interpretativas de tratados internacionales, para determinar la existencia de una costumbre o un principio general de derecho internacional. En este sentido, es importante destacar la transformación del soft law en hard law, no sólo en el ámbito internacional a través de la celebración de tratados posteriores o de la configuración de una práctica consuetudinaria, sino también desde el punto de vista interno con la adopción de medidas legislativas o judiciales que incorporan los estándares del soft law a la normatividad interna reconociéndole carácter obligatorio. Sin perjuicio de que las Recomendaciones que emite el GAFI tienen carácter soft law, es decir, no obligan jurídicamente a los países que las suscriben, su impacto y relevancia en el desarrollo y diseño de los sistemas legales anti-lavado de cada jurisdicción resulta indudable. De hecho, los países miembros del GAFI (y los no miembros) que no ajusten su legislación interna a los estándares anti-lavado de las 40 Recomendaciones podrán ser tildados de países “con deficiencias en materia anti-lavado” (los que conforman las “listas grises”) o, peor aún, países “no cooperantes” (que conforman las “listas negras”); según el procedimiento estipulado en las Notas Interpretativas a la Recomendación 19 (países de riesgo) de las 40 Recomendaciones. Diferencias entre compliance y asesoramiento jurídico. Un compliance officer es el agente principal responsable de la supervisión y gestión de las cuestiones de cumplimiento de normas dentro de una organización. Puede ser miembro de la propia empresa o bien puede ser alguien externo que la empresa contrate. Pero por sus funciones, estamos hablando de una asesoría jurídica. ¿Qué diferencia hay? La confusión es lógica y normal, más si consideramos que la traducción que se da muchas veces en España al término anglosajón de Compliance es “Cumplimiento Normativo”. Si nos ceñimos a la lectura literal de esa traducción, se podría entender fácilmente que el responsable de Compliance en una empresa cualquiera es la persona que se asegura que se cumplen las normas legales y las leyes, y que por lo tanto, no se puede separar y diferenciar del asesor legal tradicional que existe en la mayoría de estas empresas. Pero esa interpretación de la función de origen inglés que estamos tratando es completamente errónea. El foco de atención de un responsable de Compliance no es simple y llanamente velar por el cumplimiento de las normas y de la legislación en el seno de la propia empresa, sino, de velar por los intereses de las terceras personas con las que la empresa se relaciona directa e indirectamente: los proveedores, los clientes, distribuidores, la sociedad. y hasta incluso los trabajadores internos. Y si tuviéramos que señalar la diferencia más clara entre ambas funciones, diríamos que, mientras que la función principal del asesor legal consiste en defender a la empresa, el responsable de Compliance debe centrarse en defender los intereses de estas terceras personas en el marco de la interacción que la empresa tiene con ellas. Y, aunque pueda resultar paradójico, la defensa de los intereses de los clientes, de los proveedores de los socios o de cualquier persona que esté relacionada con la empresa, siempre redunda en la mejora de la reputación de la propia empresa, en el aumento del valor de la propia marca, y en la fidelidad de los queridos clientes. Es por eso que a largo plazo es evidente que los efectos de una función de Compliance bien ejercida puede tener efectos muy beneficiosos para la propia empresa. Pero para poder ver estos efectos beneficiosos es necesario tener mirars más allá de lo que es inmediato y no fijarse sólo en el corto plazo. Por último, y aunque esto resulta algo menos frecuente, también me gustaría explicar las diferencias entre la función de Compliance y la de Asesoría Jurídica ya que en ocasiones las empresas tampoco tienen claro las funciones de una y otra. De manera bastante simple podríamos decir que la misión del Compliance viene a ser la de proteger los intereses de clientes, accionistas, proveedores y en general toda la sociedad desde dentro de la empresa, mientras que la asesoría jurídica lógicamente tendrá como su misión principal la defensa tanto de la empresa como de sus directivos y empleados. Se ha pasado de un concepto reactivo a un concepto preventivo del cumplimiento normativo. Esto ha llevado a la creación de protocolos específicos de Compliance que afectan a las diferentes áreas funcionales y que han creado la figura de Compliance Officer, figura establecida desde hace tiempo en las empresas americanas. En este sentido, no debe obviarse la posición de garante que incumbe de forma principal al empresario y cómo este generalmente actuará mediante delegación, mutando sus responsabilidades (que no desaparecen) a las de supervisión y vigilancia de los empleados subordinados que hubieran asumido las responsabilidades delegadas. Por tanto, el Responsable de Cumplimiento asume del empresario algunas funciones delegadas como son los deberes de control de la peligrosidad de la actividad empresarial y de supervisión y vigilancia de otras personas. Al hilo de ello, la persona jurídica es susceptible de incurrir en responsabilidad si hay delito. Los más relevantes en el ámbito de la empresa son los de corrupción, estafa y medio ambiente. Esta modificación ha provocado la proliferación de una figura no del todo conocida, la del Compliance Officer, la persona responsable de la supervisión y gestión de cuestiones relacionadas con el cumplimiento. Generalmente, entre sus funciones se encuentran: diseñar y aplicar controles, normativas y procedimientos internos que permitan garantizar el cumplimiento de la legislación y normativa aplicables, gestionar las auditorías e investigaciones sobre cumplimiento y normativas o responder a las solicitudes de información de los organismos reguladores, y supervisar el cumplimiento de los códigos de conducta voluntarios de las compañías.  Puede afirmarse que el Chief Compliance Officer (CCO) es el arquitecto y administrador de la estrategia de cumplimiento de la empresa, la estructura y los procesos. Como líder de las tareas relativas al cumplimiento y experto en la materia, el Director de Cumplimiento es responsable de establecer las normas y la aplicación de los procedimientos para asegurar que los programas relativos al mismo en toda la organización son eficaces y eficientes en la identificación, prevención, detección y corrección de las faltas de cumplimiento con las normas y reglamentos aplicables. Además, debe proporcionar una seguridad razonable a la Alta Dirección y el Consejo de Administración de que hay políticas y procedimientos eficaces y eficientes en el lugar, bien entendidas y respetadas por todos los empleados, y que la compañía está cumpliendo con todos los requisitos reglamentarios. Los principios que deben regir cualquier actuación de un Compliance Officer deben estar basados en la independencia de la función respecto del negocio, es imprescindible que exista una involucración seria, efectiva y real de la Alta Dirección de la Empresa. Del mismo modo, se hace precisa la existencia de una estructura organizativa que se encuentre adecuadamente definida a los fines que se pretendan, y con medios económicos suficientes como para posibilitar la realización de los objetivos que se intenten conseguir. En la realización de la actividad del Compliance Officer es determinante la existencia de políticas y procedimientos escritos que regulen la actuación y las pautas a seguir. Diferencias entre compliance, control interno y auditoría interna Resulta muy frecuente en una visita a una empresa que carece de la función Compliance que cuando se explica el funcionamiento del mismo te respondan que esas funciones ya las realiza su departamento de Auditoría Interna. Para poder entenderlo de manera más clara debemos partir del sistema de control interno está formado por una triple defensa: En una primera línea de defensa nos encontramos a los empleados que llevan a cabo las actividades propias de la empresa. En una segunda línea se encontraría el Compliance, que debe supervisar el correcto funcionamiento de los controles y controlar si la primera línea está aplicando dichos controles. Por último nos encontramos con la tercera línea de defensa en la que se encuadramos la Auditoría Interna, que supervisa a toda la organización (incluyendo el Compliance). De acuerdo a este esquema las principales diferencias que podemos destacar entre ambas funciones son las siguientes: A través del Compliance se controlan fundamentalmente los riesgos de Compliance, mientras que a través de la Auditoría se supervisan todas las áreas de la empresa. A través del Compliance se pueden identificar los problemas de manera mucho más inmediata que a través de Auditoría ya que esta suele detectar los problemas una vez que estos ya se han producido. El Compliance Officer, aun cuando debe ser independiente, debe participar en el diseño de las políticas, procedimientos y controles mientras que los auditores deben estar totalmente al margen del negocio. Las empresas ya han venido dotándose de órganos y funciones relacionadas con la gestión de riesgos (control interno y auditoría interna) que no pueden obviarse a la hora de impulsar un modelo de Compliance. De hecho, en no pocas ocasiones la función de Compliance es el resultado de un spin-off de las mismas, nutriéndose de sus recursos y soportándose en ellas cuando resulta posible. El Control Interno es el proceso llevado a cabo por el Consejo De Administración, la Gerencia y personal de la organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objeticos de la organización clasificados en: Efectividad y eficiencia de las operaciones. Confiabilidad de la información financiera. Cumplimiento de las leyes, reglamentos, normas y políticas. La Auditoría Interna es una actividad  independiente y objetiva   de  aseguramiento y  consulta  concebida para agregar valor y mejorar las operaciones de una organización.  Ayuda a una organización a alcanzar sus objetivos proporcionando un enfoque  sistemático y  disciplinado  para evaluar y mejorar la efectividad de los procesos de  gestión de riesgos,  control y gobierno. El Cumplimiento, de acuerdo con la definición que en su momento aplicó Basilea, debe entenderse aquella función que identifica, asesora, alerta y reporta los riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras o pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las regulaciones, los códigos de conducta y los estándares de buenas prácticas. Por todo ello, y para concluir con estas consideraciones, entendemos que la ubicación en el Organigrama de las empresas de una función de Cumplimiento es un objetivo muy deseable, pero que debe estar coordinada con la de Auditoría Interna, evitando duplicidades de actuaciones, y procurando evitar las dependencias jerárquicas entre una y otra, y que de no ser posible, que no sea de la de Auditoría respecto de la Cumplimiento, ya que empezaríamos mal, puesto que estaríamos incumpliendo una Norma básica del IIA, la 1100 relativa a independencia y objetividad del auditor. Pero existe una diferencia importante, la función de cumplimiento normativo está orientada a prevenir los riesgos futuros, a detectarlos y a conducir al sistema de prevención de delitos a la mejora continua. Se trata por tanto de hacer todo lo posible para que "funcione" el sistema. La función de auditoría, se centra sobre todo en controlar si se están gestionando los riesgos conforme a lo dispuesto en el propio sistema. Por tanto, consideramos que deben ser áreas distintas, pero que de manera conjunta forman una alianza perfecta. La auditoría constituye una línea adicional de defensa, de gran ayuda para el área de cumplimiento normativo penal. Sin embargo, existen diferencias mientras que la oficina de auditoría se encarga de la verificación objetiva e independiente de la adecuación y eficacia de las medidas de control interno, la de cumplimiento busca asegurar el apego a las leyes, reglamentos, regulaciones y compromisos contraídos tanto con terceros (contratos) como con internos (códigos de conducta, políticas y procedimientos). Otra diferencia está en que el área de auditoría considera para sus controles lo que ya sucedió, la de cumplimiento es preventiva, pues busca identificar los posibles riesgos y verificar que la empresa esté adherida a la regulación correspondiente para que no se exponga ante un incumplimiento legal. Por otro lado, la primera debe revisar a la segunda, como a cualquiera de las áreas de la empresa, pues así podrá comprobar su eficiencia y eficacia. A través de la oficina de cumplimiento se pueden identificar los riesgos y problemas de manera más inmediata que a través de la de auditoría, que suele detectarlos una vez que estos se han producido.

Regulaciones internacionales en las normativas locales. Convenciones de las Naciones Unidas y de la OCDE para la prevención del soborno y la corrupción. Directrices de la OCDE. Las normas OCDE contra la corrupción. Entre los instrumentos normativos más destacados formulados  para el combate de la corrupción, el fraude y el lavado de activos, debemos considerar a la Convención de las Naciones Unidas contra la Corrupción,  la Convención Interamericana contra la Corrupción, Convención de la Unión Europea contra la corrupción de funcionarios, el Convenio penal sobre corrupción del Consejo de Europa, el Convenio civil sobre corrupción del Consejo de Europa, la Convención de las Naciones Unidas contra el crimen organizado transnacional, el Convenio de la OCDE sobre la lucha contra la corrupción de los agentes públicos extranjeros en las transacciones comerciales internacionales,  la Declaración contra la corrupción y aseguramiento de la transparencia de la APEC, la Ley Patriota de los Estados Unidos, la Ley de prácticas corruptas en el extranjero (FCPA-USA), la Ley Antisoborno del Reino Unido (UK Bribery Act), la Directiva (EU) 2015/849 sobre prevención del uso del sistema financiero para el lavado de dinero y financiamiento del terrorismo, la Ley Sarbanes- Oxley, el marco COSO-ERM, los Acuerdos de Basilea, las Recomendaciones del GAFI, entre otros.  En la Argentina existen normas jurídicas que abordan el problema de la corrupción. La mayoría de ellas consisten en la ratificación de la entrada en vigencia de convenciones internacionales que nuestro país ha suscrito. La primera de ellas fue la Ley 24.759, del año 1996, que aprueba la Convención Interamericana contra la Corrupción, cuatro años después, la ley 25.319 aprobó la Convención sobre la Lucha contra el Cohecho de Funcionarios Públicos Extranjeros en las Transacciones Comerciales Internacionales impulsada por la OCDE, y en el año 2006 se aprobó la ley 26.097 que aprueba la Convención de las Naciones Unidas contra la Corrupción. En el medio, la ley 25.188, vigente desde el año 1999, regula la Ética en el Ejercicio de la Función Pública, estableciendo, entre otras cosas, la obligatoriedad de la presentación de declaraciones juradas de ingresos para los funcionarios electos o no, y la ley 25.233 del año 2000, modificatoria de los ministerios, creó la Oficina Anticorrupción en el ámbito del Ministerio de Justicia y Derechos Humanos. Hoy existen, además de la Oficina Anticorrupción, otros organismos encargados de tareas vinculadas con la corrupción: la Sindicatura General de la Nación, la Auditoría General de la Nación y la Fiscalía de Investigaciones Administrativas. Las tres desarrollan sus tareas en el ámbito de la Administración Nacional, estableciendo normas, controlándolas y realizando investigaciones de corrupción e irregularidades respectivamente.   Líneas Directrices de la OCDE para Empresas Multinacionales. En 1976, los países miembros de la OCDE, agrupados en el Comité de Inversiones  y  Empresas   Multinacionales, suscribieron  la  Declaración  sobre  Inversión  Internacional  y  Empresas Multinacionales , como expresión de un importante compromiso político con el fin   de   impulsar   la   cooperación   internacional   en   materia   de   transparencia   y   no discriminación  en las políticas de  inversión  extranjera.  Uno de los documentos que salieron de dicha declaración fueron  precisamente las  Líneas  Directrices  de  la  OCDE para  Empresas  Multinacionales, que  ha tenido  diversas  revisiones  a  lo  largo  del  tiempo siendo la de 2011 la última de ellas.   Principios para el gobierno corporativo. Elaborados en 1999  y  posteriormente  revisados en  2004,  estos  Principios buscan que  los  gobiernos  elaboren  marcos  eficaces  y  robustos  para  el  buen  gobierno  corporativo,  promoviendo la transparencia  y eficacia de los mercados  y salvaguardando  la confianza  y la sostenibilidad. El  documento  desarrolla  seis principios  fundamentales  de gobierno  corporativo,  a saber,  la  garantía  de  un  marco  eficaz  para  el  gobierno  corporativo,  los  derechos fundamentales  de  los  accionistas  y  cuestiones  vinculadas  con  la  propiedad  y  el  control, trato  equitativo  de  los  accionistas,  el  papel  de  las  partes  interesadas  en  el  gobierno corporativo,  transparencia  y  revelación  de  datos  y,  por  último  las  responsabilidades  del Consejo de Administración. Finalmente, hay  que  resaltar  que  estos  Principios  se  centran  en  las  sociedades  con cotización oficial, tanto financieras como no financieras.   Convenio de la Organización para la Cooperación y el Desarrollo Económico de  Lucha  contra  la  Corrupción  de  Agentes  Públicos  Extranjeros  en  las  Transacciones  Comerciales Internacionales. Adoptado  el  21  de  noviembre  de  1997,  el  objetivo  principal  de  este  Convenio  es penalizar a las empresas  e individuos que, en el  marco de sus transacciones económicas internacionales,  prometan  u  ofrezcan dádivas  u  otros  beneficios  a  agentes  públicos extranjeros, con el fin de beneficiarse en sus negocios comerciales. Así, esta Convención estipula obligaciones para los países firmantes en cuatro áreas: penal (art. 3), financiero y contable (art. 8), blanqueo de capitales (art. 7) y asistencia jurídica reciproca (art. 9). Con el fin de determinar el nivel de cumplimiento de los países firmantes, la OCDE está dirigiendo un  programa  de  seguimiento  y  monitoreo  basado  en  el  método  peer-to-peer review y hasta  ahora  los  resultados  reflejan  que  el  nivel  de  implementación  de  la Convención  difiere  enormemente  de  un  país  a  otro,  de  hecho, un  reciente estudio de  TI muestra  que  sólo  cuatro  países  firmantes  (Alemania,  Estados  Unidos,  Reino  Unido  y Suiza)  tienen  una  implementación  óptima  y  que  su legislación nacional refleja una  ejecución  adecuada  del  Convenio.   Organización Internacional del Trabajo Declaración  tripartita  de  principios  sobre  las  empresas  multinacionales  y  la  política social. Aprobada  en  1977  y  con  posteriores  enmiendas  en  el  año  2002,  esta  Declaración  ofrece orientaciones  y  principios  en  materia  de  empleo,  política  social,  formación,  condiciones  dignas   de   trabajo   y   relaciones   de   trabajo.   Está   dirigida   tanto   a   las   empresas multinacionales como a los gobiernos y trabajadores y es de aplicación voluntaria. Sus principios están agrupados en cinco grandes categorías: 1)  Política  general  (v.  gr.,  promover  prácticas  sociales  adecuadas  o  contribuir  a  hacer realidad los derechos fundamentales del trabajo) 2)  Empleo  (extender  la  igualdad  de  oportunidades  y  trato,  promoción  y  seguridad  del empleo, entro otras.) 3)  Formación  (por  ejemplo,  ofrecer  formación  a  sus  trabajadores  de  todos  los  niveles  y dar oportunidades para ampliar la experiencia del cuerpo directivo local) 4) Condiciones de trabajo y vida (ofrecer salarios, prestaciones y condiciones justas y no menos favorables para los trabajadores que los ofrecidos por otros empleadores similares, mantener estándares altos de seguridad e higiene, entre otras) 5)  Relaciones de trabajo  (v.  gr., pleno respeto a la libertad  sindical  y  la  negociación colectiva  y examinar  las  reclamaciones  de  los  trabajadores,  de  conformidad  a  un procedimiento adecuado) Finalmente, cabe destacar que la Declaración insiste mucho en la cooperación entre todas las partes, esto es, los gobiernos, las empresas y los trabajadores de todos los países.   Convención de las Naciones Unidas contra la Corrupción Firmada en 2003 y en vigor desde el año 2005, esta Convención es el primer instrumento de prevención y lucha contra la corrupción  jurídicamente  vinculante  a  nivel  global, cimentado en un amplio consenso mundial. La Convención consta de un Preámbulo y 71 artículos agrupados  en  ocho  capítulos  y  tiene  como  finalidad  proponer  a  los  países medidas para prevenir y combatir de forma más eficaz y eficiente la corrupción, así como promover,  facilitar  y  apoyar  la  cooperación  internacional  y  asistencia  técnica  en  dicha tarea de prevención  y  lucha, promoviendo la integridad, la transparencia  y  la obligación de rendir cuentas, junto con la debida gestión de los asuntos y los bienes públicos (art. 1) . “La Convención pretende ser, pues, un instrumento internacional amplio, comprensivo, funcional  y  efectivo,  que  tiene  en  cuenta  las  múltiples  facetas  del  fenómeno  de  la corrupción  y  que  establece  un  lenguaje  y  unas  guías  comunes  para  la  homogeneización de la  legislación  internacional  sobre  el  tema,  con  un  equilibrio  entre  la  prevención  y  el castigo” escribe Antonio Argandoña. Cabe  destacar  que  esta Convención  es  un  instrumento  legislativo  que  pone  un  énfasis  especial  en  el  carácter  preventivo  más  que  en  el represivo  y  contiene  diversos  artículos que hacen referencia expresa a la prevención de la corrupción en el sector privado. Finalmente,  cabe mencionar  que  ha  sido  hasta  ahora  ratificada  por  170  países  y  se  han puesto  en  marcha  diversos  procesos  y  mecanismos  de  evaluación  y  monitorización peer to  peer, aunque, desgraciadamente, en  estos  mecanismos  no  participan aún ni  el  sector privado, ni sindicatos, ni la sociedad civil.   Principios Rectores sobre las Empresas y los Derechos Humanos. Los  Principios  Rectores  sobre  las  Empresas  y  los  Derechos  Humanos  se centran,  en primer  término,  en las  obligaciones  de  los  estados  de  respetar,  proteger  y  cumplir  los derechos humanos  y libertades fundamentales, por otro lado , en el papel especializado e  importante que desempeña la empresa en el mundo y, finalmente, en la necesidad de que los  derechos  y  obligaciones  vayan  acompañados  de  recursos  adecuados  y  efectivos de tutela y realización. De este modo, los Principios Rectores se encuentran estructurados en tres partes, a saber, una  dirigida  a  los  Estado,  otra  a  las  empresas  y  una  referida  a  los  mecanismos  de reparación,  con  una  consecuente  subdivisión a  su  vez  de  cada  uno  en principios fundacionales y principios operativos. En  cuanto  a  los  principios  fundacionales  para las empresas,  el  documento  señala  que  la responsabilidad  de  las  empresas  de  respetar  los  derechos  humanos debe  alcanzar como mínimo a los derechos que se encuentran recogidos en la Carta Internacional de Derechos Humanos  y  a  los  principios  establecidos  en  la  Declaración  de  la  OIT  relativa  a  los Principios y  Derechos  Fundamentales  en  el  Trabajo.  Por  otro  lado,  se  enfatiza  que  las empresas  deben  contar con  políticas  y  procedimientos apropiados  en  función  de  su tamaño, sector y circunstancias, contando, como mínimo, conun compromiso político, un proceso   de   debida   diligencia   y   mecanismos   adecuados   de   reparación   sobre   las  consecuencias negativas. En  cuanto  a  los  principios  operativo s,  el  documento  señala  que  es  preciso  que  las  empresas hagan una declaración política, aprobada por el más alto nivel directivo, donde  se establezca lo que la empresa espera en relación a los derechos humanos con respecto a sus  empleados,  socios  y  otras  partes  directamente  relacionadas  con  sus  actividades, operaciones,  productos  o  servicios, y que  se  haga  pública  y  se  difunda al  interior  y  al exterior, quedando reflejada en las políticas y procedimientos. Por otro lado, las empresas deben contar con un procedimiento de debida diligencia en materia de derechos humanos y“[e]ste  proceso  debe  incluir  una  evaluación  del  impacto  real  y  potencial  de  las actividades sobre los derechos humanos, la integración de las conclusiones, y la actuación al  respecto;  el  seguimiento  de  las  respuestas  y  la  comunicación  de  la  forma  en  que  se hace frente a las consecuencias negativas.” Finalmente, podemos destacar  que  se  necesitan  procesos  de  evaluación  de  actividades para  posteriormente  integrar  aquellas  conclusiones  y  recomendaciones  relevantes  en  sus políticas, procesos y medidas, así como un seguimiento de la eficacia de su respuesta y de mecanismos   de   solución   soluciones   con   indicadores   cualitativos   y   cuantitativos adecuados.   Reglas internacionales de ética y conducta empresarial responsable En  aras  de  alcanzar un  horizonte cabal en  materia  de  prevención  de  la  corrupción  y buenas  prácticas,  nos  parece  relevante también  hacer  una  breve mención acerca  de algunas   reglas   y   principios   internacionales   proclamados   por   diversos   organismos internacionales distintos a los Estados que tienen gran peso en la escena internacional. De este modo, podemos destacar: Las  Reglas  de  la  ICC  para  Combatir  la  Corrupción.  Publicadas  inicialmente  en  1977 por la Cámara Internacional de Comercio, han tenido su última modificación en 2011. En ellas  se  contiene  un  Reglamento  Anticorrupción,  políticas  corporativas  para  apoyar  el cumplimiento   de   dicho   Reglamento   y   elementos   de   un   Programa   Corporativo   de Cumplimiento eficiente. Principios   empresariales   para   contrarrestar   el   soborno   (Business   Principles   for Countering  Briberyen su idioma  original)  de  Transparency International.  Adoptados inicialmente  en  el  año  2003  han  recibido  su  última  actualización  en  octubre  de  2013, incorporando  temas  de  conflicto  de  interés,  pagos  de  facilitación,  temas  de  lobby, reporting y  cooperación  con  autoridades,  entre  otras  novedades.  Asimismo,  se  ha publicado una edición de los Principios adaptados a las PYMES. Principios para Contrarrestar el Soborno (en idioma original Principles for Countering Bribery) el grupo Partnering Against Corruption Initiative(PACI) y el World Economic Forum (WEF).  Estos Principios  se  publicaron  en  2004  y  sufrieron  su  última  revisión  en 2014, tienen como objetivo, según se narra en su introducción, asistir a las empresas para eliminar   cualquier   forma   de   soborno,   impulsar   el   compromiso   para   combatir   la corrupción   y  contribuir  a  la  mejora  de  los  estándares  éticos  en  los  negocios,  la transparencia y la rendición de cuentas. Principios del Pacto Mundial de Naciones Unidas. Son 10 principios relacionados con los  derechos  humanos,  medioambiente,  trabajo  y anticorrupción,  derivados  de  las Declaraciones de la ONU en estas materias y a partir de los cuales se pide a las empresas adoptar, promover y promulgar un conjunto de estándares, prácticas y valores en sintonía con dichas temáticas. Principios  de  Transparencia  y  Prevención  de  la  Corrupción  para  las  Empresas de Transparencia  Internacional - España.  Publicados  en  2012  y  a  cargo  de  la Dra.  Silvina Bacigalupo  Saggese, catedrática  de  Derecho  Penal  de  la  Universidad  Autónoma  de Madrid, constituyen  un  conjunto  de directrices  dirigido a  las  empresas  cuyo  objetivo  es contribuir a la mejora de la transparencia, la responsabilidad y la rendición de cuentas en aras de prevenir la potencialexistencia de corrupción en el seno de la empresa. Finalmente   podemos   nombrar  también otros   principios   como son los AA1000 AccountAbility  Principles  Standard  2008,  las  pautas  del Social  Accountability  8000  (SA8000) o los estándares ISO 26000 “Social Responsability”, ISO 37001 “Antibribery management systems” o ISO 19000 “Auditing management systems”.   Principales guías internacionales En este último epígrafe de la sección sobre directrices internacionales hacemos referencia  a algunas de las principales guías oficiales que acompañan a varios de los documentos  antes reseñados para facilitar su acceso y complementar comprensión: Department of Justice, Securities and Exchange Commission. Resource Guide to the Foreign Corrupt Practices Act. United States Sentencing Commission. U.S. Government issued Sentencing Guidelines The Ministry of Justice, United Kingdom. The Bribery Act 2010: Guidance OECD. Good Practice Guidance 2010 World Bank. Integrity Compliance Guidelines 2011 UN Global Compact. A Guide for Anticorruption Risk Assessment-Reporting Guidance on the 10th principle against corruption. United Nations Conference on Trade and Development. Guidance on good practices in corporate governance disclosure. Global Reporting Initiative. Reporting Principles and Standard Disclosures- Sustainability Reporting Guidelines United Nations Office on Drugs and Crime. An Anticorruption Ethics and Compliance Programme for Business: A Practical Guide- A Resource Guide on State Measures for Strengthening Corporate Integrity Transparency International. International Principles forWhistleblower Legislation:  Best Practices for Laws to protect whistleblowers and support whistleblowing in the  public interest   El COSO Framework: COSO I, COSO II,  COSO III y COSO ERM 2017. COSO (Committee of Sponsoring Organizations of the Treadway) es una Comisión voluntaria constituida por representantes de cinco organizaciones del sector privado en EEUU, para proporcionar liderazgo intelectual frente a tres temas interrelacionados: la gestión del riesgo empresarial (ERM), el control interno, y la disuasión del fraude. Las organizaciones son: La Asociación Americana de Contabilidad (AAA) El Instituto Americano de Contadores Públicos Certificados (AICPA) Ejecutivos de Finanzas Internacional (FEI), el Instituto de Auditores Internos (IIA) La Asociación Nacional de Contadores (ahora el Instituto de Contadores Administrativos [AMI]). Desde su fundación en 1985 en EEUU, promovida por las malas prácticas empresariales y los años de crisis anteriores, COSO estudia los factores que pueden dar lugar a información financiera fraudulenta y elabora textos y recomendaciones para todo tipo de organizaciones y entidades reguladoras como el SEC (Agencia Federal de Supervisión de Mercados Financieros) y otros. Marco Integrado COSO de Gestión de Riesgos: Los informes COSO I, II y III. COSO I. En 1992 la comisión publicó el primer informe “Internal Control - Integrated Framework” denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual pudieran valorar sus sistemas de control interno y generando una definición común de “control interno”. Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento de las leyes, reglamentos y normas que sean aplicables La estructura del estándar se dividía en cinco componentes: 1. Ambiente de Control 2. Evaluación de Riesgos 3. Actividades de Control 4. Información y Comunicación 5. Supervisión. COSO II. En 2004, se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores. COSO II (ERM) amplía la estructura de COSO I a ocho componentes: Ambiente de control: son los valores y filosofía de la organización, influye en la visión de los trabajadores ante los riesgos y las actividades de control de los mismos. Establecimiento de objetivos: estratégicos, operativos, de información y de cumplimientos. Identificación de eventos, que pueden tener impacto en el cumplimiento de objetivos. Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para la consecución de los objetivos. Respuesta a los riesgos: determinación de acciones frente a los riesgos. Actividades de control: Políticas y procedimientos que aseguran que se llevan a cabo acciones contra los riesgos. Información y comunicación: eficaz en contenido y tiempo, para permitir a los trabajadores cumplir con sus responsabilidades. Supervisión: para realizar el seguimiento de las actividades. COSO III. En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades que introducirá este Marco Integrado de Gestión de Riesgos son: Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos Mayor confianza en la eliminación de riesgos y consecución de objetivos Mayor claridad en cuanto a la información y comunicación.   COSO ERM 2017. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), ha publicado el nuevo Marco de Gestión de Riesgo Empresarial (COSO ERM). Este tiene como finalidad actualizar la versión que data desde octubre del 2004. La actualización del Marco no solo cambió su actual nombre, desde Marco de Gestión del Riesgo Empresarial a Marco de Gestión del Riesgo Empresarial – Alineando el riesgo con la estrategia y el rendimiento ; sino que también intenta mejorar el enfoque de la gestión de riesgos como una manera de crear, preservar, mantener y generar valor en la organización. En relación con los contenidos, el Marco seguirá siendo suficientemente amplio como para adaptarse a las necesidades de las organizaciones. El nuevo Marco está conformado por un conjunto de 20 principios organizados en cinco componentes interrelacionados. Los principios que abarcan desde la gobernanza hasta la supervisión, describen prácticas que pueden aplicarse de diversas maneras para diferentes organizaciones sin importar su tamaño, tipo o sector. La adhesión a estos principios puede proporcionar a la gerencia y al consejo directivo una expectativa razonable de que la organización entiende y se esfuerza por gestionar los riesgos asociados con su estrategia y sus objetivos empresariales o de negocio. COMPONENTE PRINCIPIOS Gobierno y cultura del riesgo Las directivas ejercen la supervisión del riesgo. La empresa establece el gobierno y Modelo Operativo para consecución de la estrategia y objetivos. Definición de los comportamientos organizacionales deseados. Cumplimiento de la rendición de cuentas. La organización atrae, capacita y mantiene personal con un alto conocimiento y experiencia de acuerdo a la estrategia y objetivos definidos. Riesgo, estrategia y definición de objetivos Consideración del riesgo y el contexto del negocio. Definición del apetito de riesgo. Evaluación de estrategias alternativas Consideración del riesgo mientras se definen los objetivos del negocio Definición de la variación aceptable en el rendimiento Riesgo en la ejecución Identificación del riesgo en la ejecución Evaluación de la gravedad del riesgo La organización prioriza los riesgo para determinar las respuestas a los mismos Identificación y selección de las respuestas a los riesgos Evaluación del riesgo en ejecución Desarrollo de un portafolio de riesgos Información, comunicación y reporte del riesgo Uso de información relevante como soporte de la administración de riesgos Uso de sistemas de información como soporte de la administración de riesgos Uso de canales de información y comunicación como soporte de la administración de riesgos Reporte del riesgo, cultura y rendimiento Monitoreo del rendimiento de la administración del riesgo empresarial La organización identifica y evalúa cambios internos o externos que pueden tener un impacto relevante en la estrategia y objetivos. Monitoreo del rendimiento de la administración del riesgo empresarial La adecuada implementación del marco ERM, le permitirá a las organizaciones sin importar su tamaño y características, llevar a cabo una eficiente administración del riesgo, lo que se verá reflejado en la toma de decisiones acertadas, la alineación de la estrategia, objetivos, misión y visión de la empresa, y por ende la creación y preservación del valor.   El Capability model de OCEG (Open Compliance And Ethics Group). El nuevo Modelo de Capacidad de GRC v3.0 (Red Book) de OCEG ayuda a los profesionales y estudiosos de GRC a planear, asegurar y mejorar su capacidad de GRC con miras a conseguir el Desempeño Basado en Principios. El Desempeño Basado en Principios es un estado de solidez que permite el éxito organizacional y sólo puede ser conseguido por medio de la orquestación y alineamiento de los recursos de información, roles, funciones, sistemas de comunicación y tecnología efectiva, así como por el desarrollo de la cultura deseada. Así, no resulta suficiente establecer logros de objetivos, sin considerar los umbrales que determinan las normas, las costumbres sociales y los impactos de incertidumbre que surgen de oportunidades y amenazas que derivan potenciales riesgos y beneficios. Esto significa que no se puede aislar el desempeño para el logro de objetivos de la gestión de riesgos, de cumplimiento y del comportamiento ético. Todo debe alinearse para operar mediante una gestión integral e integrada. El modelo de Capacidad de GRC (un estándar de uso libre) fue creado para proveer una guía que permita alcanzar este alineamiento, con el objetivo de: Presentar claramente la naturaleza integrada de las capacidades de GRC Resaltar la relación entre riesgo y cumplimiento en la planeación estratégica Generar un esquema de fácil uso a través de actualizaciones de la estructura y el lenguaje  Aclarar cómo puede ser aplicado a una gran variedad de situaciones desde proyectos pequeños hasta proyectos de gran envergadura para toda la organización, así como para manejar una variedad de temas desde programas anti corrupción hasta continuidad del negocio o gestión de terceros  Establecer un marco de conversación sobre potencialidades y oportunidades de las capacidades de GRC para el desarrollo de los compromisos de la Junta directiva, altos ejecutivos y gerentes. Esta versión 3.0 se presenta de una manera más fácil de entender y analizar con cuatro componentes (que se reducen de ocho componentes en la versión 2.1). Estos componentes se definen así: COMPRENDER, examinar y analizar el contexto, la cultura y las partes interesadas para interpretar y precisar lo que la organización necesita conocer en materia de la definición de estrategias y objetivos. ALINEAR el desempeño, riesgo y cumplimiento de los objetivos, estrategias, criterios para la toma de decisiones, acciones y controles con el contexto, la cultura y los requerimientos de las partes interesadas. EJECUTAR, abordar las amenazas, oportunidades y requerimientos para fomentar los eventos y las conductas deseables y prevenir las indeseables, mediante la aplicación de acciones y controles proactivos, detectivos y de respuesta. EXAMINAR, conducir actividades para monitorear y mejorar la efectividad del diseño y la operación de todas las acciones y controles.   Las líneas directrices de las "Corporate Guidelines" de la US Sentencing Commission norteamericana. Las Federal Sentencing Guidelines for Organizations (FSGO) solo señalan ciertas características que estos programas deben tener para que puedan ser considerados efectivos (única forma en que cumplen con su función atenuatoria de la responsabilidad de la empresa). Por ejemplo, la implicación de los altos directivos de la empresa en su implementación; el establecimiento adecuado de sistemas de selección y capacitación del personal, tanto en lo relacionado con la actividad desarrollada como en relación con los contenidos del programa de cumplimiento; la adopción de sistemas de auditoría interna; la existencia de sanciones disciplinarias al interior de la empresa, etc.. Por ejemplo, que el contenido mínimo de estos instrumentos son: (1) existencia de un código de conducta escrito; (2) supervisión de los esfuerzos de cumplimiento por parte del personal altamente cualificado; (3) no delegación de poderes discrecionales de las autoridades administrativas en personal con posible tendencia delictiva; (4) comunicación efectiva de los estándares y procedimientos contenidos en los códigos de conducta; (5) reforzamiento mediante procedimientos disciplinarios; (6) adopción de medidas adecuadas tras la detección de la infracción.   La Foreign Corrupt Practices Act (FCPA) norteamericana. En 1977 fue aprobada una Ley en los Estados Unidos de América llamada Ley de Prácticas de Corrupción en el Extranjero (“Foreign Corrupt Practices Act” o “FCPA” por sus siglas en inglés). La FCPA ha adquirido en los años recientes una importancia que probablemente pocos imaginaban en aquél momento. De manera general, la FCPA establece obligaciones relacionadas con el pago de sobornos y obligaciones contables. Uno de los aspectos particulares de esta Ley es que se trata de una regulación de Derecho Público que, sin embargo, tiene un claro alcance extraterritorial. La Ley de Prácticas Corruptas en el Extranjero de EE.UU. (FCPA) establece que es ilegal que las personas y compañías en EE.UU. paguen sobornos a los funcionarios de gobierno extranjeros (fuera de EE.UU.), con la finalidad de obtener y retener oportunidades de negocio o para obtener cualquier ventaja indebida. Esta ley prohíbe los sobornos directos e indirectos por medio de intermediarios. También requiere que las compañías de EE.UU y fuera de este país que cotizan en los EE.UU. (emisores) cumplan con las disposiciones contables. Dichas disposiciones, las cuales fueron diseñadas para operar conjuntamente con las disposiciones anti soborno de la FCPA, requieren que los emisores lleven sus libros y tengan registros detallados que reflejen las transacciones de la empresa de manera precisa y razonable, y que elaboren y mantengan un sistema adecuado de controles contables internos. En la práctica, las disposiciones contables se han interpretado de manera amplia para incluir la contabilidad o los registros contables falsos para cualquier acto ilícito, incluyendo los sobornos comerciales que se pagan tanto dentro como fuera de los EE.UU. Las compañías que violan esta ley pagando sobornos están sujetas a acciones penales y civiles, que pueden resultar en multas, suspensión y exclusión de contratos de procura con el gobierno, mientras que los empleados y directores pueden estar sujetos a sentencias de prisión.   SOX Ley Sarbanes Oxley 2002. El 30 de Junio de 2002, el presidente de los Estados Unidos George Bush, firmó la aprobación de la Ley Sarbanes-Oxley, a la cual definió como “la reforma de mayor alcance en las prácticas comerciales del país desde la Gran Depresión”. Dicha Ley fue elaborada a consecuencia de la quiebra de la multinacional “Enron Corporation”, que en el año 2001 se calcula que contaba con unos activos superiores a los 49 billones de dólares y era considerada como una de las mayores empresas de los Estados Unidos. En ese mismo año, sin embargo, se descubrieron una serie de fraudes contables que se atribuyeron a la firma que se encargaba de sus auditorías, la empresa “Arthur Andersen”y que culminaron en el mayor escándalo financiero de la historia de los Estados Unidos. El colapso de Enron, creó un efecto dominó frente a otras grandes compañías norteamericanas, como “WorldCom”, “Adelphia Communication”, etc. que también tuvieron problemas contables y fueron objeto de investigaciones posteriores, además de suponer el despido de miles de  empleados y la pérdida de las inversiones de muchas familias norteamericanas. El Congreso de los Estados Unidos, se percató de que el prestigio y el dominio del NYSE frente al resto de Bolsas mundiales se encontraba en entredicho, ya que muchos   inversores   internacionales   perdieron   la   confianza   en “Wall   Street” y consideraba n  que  el  sistema  americano  era  muy  complejo  y  demasiado  fácil  de  manipular.  Por  ello,  el  Congreso  reaccionó  rápidamente  y  elaboró  la  citada  Ley,  que toma  el  nombre  del  Senador  del  Partido  Demócrata  Paul  Sarbanes  y  del  Republicano Michael G. Oxley. El ámbito de aplicación de la SOX, en términos generales, son todas aquellas personas jurídicas apuntadas  en  el  NYSE,  NASDAQ  o  cualquier  otro  mercado  de valores norteamericano. Su  finalidad  estriba principalmente  en  establecer  un  mayor  control  sobre  las  empresas y  sus  filiales  - con  independencia  de  su  nacionalidad - basado  en  la  necesidad  de  adoptar  mecanismos  que  aseguren  el  buen  gobierno  corporativo,  la  responsabilidad  de  los  administradores,  la  transparencia  en  las  cuentas  de  la  persona  jurídica,  la  regulación  del modo de realizar las auditorías, etc. Concretamente, dentro de su regulación, es menester detenerse en el análisis de algunas secciones, que seguidamente se exponen. 1) La sección 301 versa sobre los criterios de independencia de los miembros del comité de  auditoría  de  la  persona  jurídica.  El  apartado  3º  establece,  de  un  lado,  que  cada miembro del comité de auditoría sea miembro de la junta directiva de la persona jurídica y, de otro, que sea  independiente. Por “independiente”, cabe entender que el miembro del comité de auditoría no puede “aceptar  un  honorario  de  la  persona  jurídica  por consulta, asesoramiento u otro concepto” ni puede “pertenecer a dicha entidad ni a sus filiales” si las hubiere.  Por  tanto,  la  ley  SOX  establece  cómo  formar  un  comité de auditoría, lo que redunda en un mayor control y transparencia de las mismas. 2)   La   sección   302,   relativa   a   la   responsabilidad   empresarial   por   los   informes financieros,  exige a los  principales ejecutivos  y  a los principales ejecutivos financieros (“chief executive officer y chief financial officer”, “CEO y CFO ”), que certifiquen la veracidad de los informes trimestrales y anuales de la persona jurídica. Además de ello, tal  sección  obliga  a  dichos  ejecutivos  a  certificar  que  ellos  son  los  responsables  de establecer  y mantener controles internos, así como a informar verazmente al comité de auditoría sobre los resultados obtenidos en los controles, ya que, si el informe contiene carece de información o ésta es falsa, la responsabilidad recae sobre el responsable de la persona  jurídica  que  haya  firmado  los  informes.  Así,  pues,  se  pretende  lograr  una mayor independencia del comité de auditoría frente a la persona jurídica auditada, para que los informes financieros de la compañía resulten lo más objetivos y veraces posible. 3) La sección 402, sobre conflictos de intereses, prohíbe que la persona jurídica realice préstamos personales a sus directores o ejecutivos. 4)  La  sección  906,  relativa  a  la  responsabilidad  penal  de  la  persona  jurídica  por  los informes financieros, impone multas al firmante de dichos informes de hasta 1.000.000 de dólares,  diez años de cárcel o ambas penas si firmó el informe a sabiendas de que no cumplía  con  todos  los  requisitos  de  dicha  sección,  o  de  hasta  5.000.000  de  dólares, veinte  años  de  cárcel  o  ambas,  si  voluntariamente  firmó  el  informe sabiendo  que  no cumplía con tales requisitos. La diferencia entre ambas radica en la voluntariedad de la segunda, es decir, existe una posición activa del firmante en la falsificación del informe.   La Bribery Act Británica. La UK Bribery Act (en adelante “UKBA”) aprobada en Abril de 2010, y en vigencia desde Junio del año 2011, es una ley dictada por el Parlamento del Reino Unido que pretende robustecer la normativa antisoborno. En efecto, ha sido calificada como la más dura, a nivel mundial, de las legislaciones comparadas en este tema: establece penas privativas de libertad de hasta 10 años y su aplicación es casi universal: solamente es necesario que se constate la situación de hecho sancionada por la UKBA por un individuo u organización que esté de algún modo relacionado con el Reino Unido. Al respecto, cabe desde ya destacar que el artículo 12 de la UKBA determina la jurisdicción sobre las contravenciones de los artículos 1, 2 y 6 cometidas dentro del Reino Unido (artículos que establecen los delitos de soborno y cohecho a un funcionario público extranjero, respectivamente), pero extiende su jurisdicción a las contravenciones cometidas fuera de él, cuando son ejecutadas por personas de nacionalidad británica o que residan en el Reino Unido. A su vez es sumamente relevante tener presente que el artículo 7, relativo a la responsabilidad corporativa, no establece estas limitaciones a su alcance: el artículo 12 N° 5 prescribe que al respecto no importa si estos actos de cohecho han sido cometidos dentro o fuera del Reino Unido, sólo requiere que la organización responsable realice toda o parte de su actividad comercial dentro del Reino Unido. La Ley Antisoborno del Reino Unido prohíbe cuatro tipos de actividades diferentes: •             Sobornar a otra persona. •             Aceptar un soborno. •             Sobornar a funcionarios públicos extranjeros (fuera del Reino Unido). •             Ser una empresa comercial y no contar con procedimientos adecuados para evitar sobornos A diferencia de la FCPA, la Ley Antisoborno del Reino Unido no tiene excepciones por pagos de facilitación – pequeñas "dádivas"- hechos a los funcionarios del gobierno y no tiene prohibiciones de "libros y registros". Aparentemente, esta ley tiene un nexo jurisdiccional aún más amplio que la FCPA, ya que abarca cualquier acto cometido en cualquier parte del mundo por parte de una empresa comercial que tiene negocios en el Reino Unido. Además, prohíbe de manera explícita el soborno comercial. También responsabiliza directamente a una compañía que no cuenta con un programa antisoborno eficaz para evitar el acto del soborno. La ley Antisoborno del Reino Unido va más allá de la FCPA, ya que, bajo las leyes de EE.UU., y según el concepto de respondeat superior, la compañía es responsable de los actos cometidos por un empleado en su representación, sin importar si cuenta o no con un programa de cumplimiento anticorrupción eficaz. Sin embargo, esta disposición enfatiza la importancia de contar con tal programa. Bajo la Ley Antisoborno del Reino Unido, el hecho de tener un programa de cumplimiento anticorrupción eficaz parece ser un mecanismo de defensa contra las acciones penales. En la FCPA, contar con dicho programa puede disminuir la gravedad de la multa o del castigo, bajo los Lineamientos Federales para Sentencias de EE.UU.   Guías de normalización y estandarización. Norma ISO 19600. La Norma ISO 19600 pretende constituirse como una herramienta para ayudar a la función de Compliance en sus objetivos, entre los cuales debe de estar sin duda -y al menos- la detección y gestión de los riesgos por incumplimientos de sus obligaciones legales. Se trata de un documento internacional que establecerá un referente de buenas prácticas en materia de gestión de Compliance, más allá de fronteras, culturas y jurisdicciones. La Norma ISO 19600 es aplicable a todo tipo de organizaciones, independientemente de su tamaño y actividad, aunque en la misma norma se asumen las grandes diferencias que puede haber entre unas y otras empresas en función de volumen de operaciones, dispersión geográfica, mercados de referencia, etc. El propio texto de la Norma reconoce que el alcance con el que deben aplicarse las recomendaciones de la guía depende del tamaño, estructura, naturaleza y complejidad de cada organización. No se trata de hacer una norma rígida y ciega ante la diversidad de organizaciones. Antes bien, se trata de hacer una norma que articule una metodología común, medible y comparable, pero con capacidad de articular las necesidades del Compliance adaptadas a la operativa, distribución competencial, idiosincrasia, madurez y cultura de cumplimiento, momento económico, estrategia comercial, etc., de cada empresa y grupo de empresas. El Cumplimiento Normativo no admite una incorporación a las organizaciones basada en modelos industralizados que no permiten más adaptación que la puramente nominal, ni acepta la clonación de experiencias y resultados, porque aunque todas las empresas pudieran parecer iguales (a la vista de un observador inexperto o que las observe desde la estratosfera), cada una es diferente de cualquier otra. Es por ello que la Norma ISO 19600 recoge directrices para implantar, mantener y mejorar un sistema de gestión de Compliance eficaz y receptivo. Así, incluye recomendaciones sobre los elementos con los que una organización debería contar para asegurar que cumple su política de Compliance y que tiene capacidad para asumir sus obligaciones en este ámbito. Entre estas recomendaciones, se incluyen las relativas a la formación continua en Compliance para los perfiles implicados en su gestión y para toda la organización en cuanto a su rol en el cumplimiento, la integración del desempeño en Compliance en la evaluación del desempeño de los empleados, o la supervisión de los acuerdos de contratación externa para asegurarse de que recogen obligaciones en materia de Compliance. En síntesis, la norma ISO 19600, contiene: •             Directrices que orientan sobre la implementación, evaluación, mantenimiento y mejora de un Sistema de Gestión Compliance eficaz y eficiente. •             Recomendaciones sobre los aspectos que una organización debería considerar para garantizar el cumplimiento de su política de compliance y que cuenta con la capacidad para asumir sus obligaciones. •             Una descripción sobre la necesidad de mantener actualizada la formación relacionada con el compliance, para los profesionales dedicados a esta materia cuando tengan lugar cambios a nivel organizacional, legislativo o en los compromisos existentes con las partes interesadas. •             Información sobre la integración del desempeño en compliance en la evaluación del desempeño de los trabajadores o en la revisión de acuerdos de contratación externa para garantizar que se consideran obligaciones en esta materia.

Guías de normalización y estandarización. Norma ISO 37001. La norma ISO 37001 sobre “Sistemas de gestión anti-soborno” (la “Norma”) publicada el 15 de octubre de 2016 por la International Standard Organization (ISO), puede ser utilizada por organizaciones de cualquier tipo, actividad y tamaño, en cualquier país del mundo, tanto en el ámbito privado como público. Entre otros beneficios, se espera que la adopción de este estándar permita a las empresas simplificar sus procesos de diligencia debida en materia de compliance anticorrupción, agilizando así los negocios y la labor de los oficiales de cumplimiento. En tal sentido, quien contrate a una empresa que cuente con la certificación ISO 37001 sabrá cuáles son las características mínimas que tiene el sistema de gestión anti-soborno de dicha empresa. Entre otros aspectos, la Norma establece los estándares y procesos considerados adecuados en aspectos como liderazgo y compromiso de la alta dirección, formación del personal, investigaciones en casos de soborno, debida diligencia respecto de los socios de negocios, procedimientos de contratación, mejora continua, controles y auditorías internas, evaluaciones de los riesgos de soborno y de la eficacia de los controles existentes para mitigarlos y la función de la persona encargada de supervisar el sistema de gestión anti-soborno. Las empresas pueden implementar las reglas internas y procedimientos necesarios para cumplir los requisitos de la Norma en forma independiente o con el asesoramiento de profesionales y consultores especializados. Luego, podrán requerir la evaluación de un organismo independiente para que, de cumplir con los requisitos aplicables, se le otorgue la certificación ISO 37001. Régimen de responsabilidad penal de las personas jurídicas en España. El día 23 de diciembre de 2010 entró en vigor la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que introdujo por primera vez en el ordenamiento jurídico español la responsabilidad penal de las personas jurídicas. A raíz de esta reforma, y de otras reformas y modificaciones de dicha Ley que han tenido lugar, se modificaron los cánones rectores del Derecho Penal, sumándose España a otros países europeos que ya regulaban en sus legislaciones la responsabilidad de las personas jurídicas. De este modo, el artículo 31.1 bis del Código Penal regula la responsabilidad de las personas jurídicas por: (i) Los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que, actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma. (ii) Los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso. La Ley Orgánica 1/2015, introduce importantes cambios entre los que destacan el nuevo artículo 31 bis del Código Penal que exime literalmente de responsabilidad criminal a la persona jurídica en los casos de delitos cometidos por representantes y administradores cuando concurran las siguientes circunstancias: a. El órgano de administración haya adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión; b. La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado haya sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; c. Los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y; d. No se haya producido una omisión o un ejercicio insuficiente de las funciones de supervisión, vigilancia y control por parte del órgano de control. Asimismo, el art. 31.bis.4 establece que la persona jurídica estará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. La Ley Orgánica 1/2015, establece que, para que el modelo de organización, gestión y prevención sea eficaz para la mitigación de riesgos penales, es necesario que: a) Se identifiquen las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. b) Se establezcan protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos. c) Se disponga de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. d) Se imponga la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. e) Se establezca un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. f) Se proceda a una verificación periódica del mismo y a su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios. Adicionalmente, el artículo 31.1 quater del Código Penal contempla como atenuante de la responsabilidad de la persona jurídica, entre otras, la siguiente: a) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica. La Guía de AENOR de Prevención de Delitos. En España, el compliance es una función en auge desde el año 2010, cuando la reforma del Código Penal introdujo la responsabilidad penal de las personas jurídicas. Anteriormente, solo las empresas que operaban junto a compañías británicas o americanas, o en estos territorios, se habían visto obligadas a desarrollar la función de cumplimiento normativo, ya que la legislación de estos países (por ejemplo, la Bribery Act 2010 o la Foreign Corrupt Practices Act) también les era de aplicación. A partir de la reforma de 2010, la función se ha generalizado a la práctica totalidad de las grandes corporaciones españolas, tengan o no actividad en el extranjero. La principal novedad de la reforma es que establece siete tipos de penas, con la consideración de graves, que se pueden imponer a las personas jurídicas (por ejemplo, empresas) en caso de que cometan alguno de los treintaiún delitos estipulados. La reforma también admite que la sociedad y sus administradores pueden quedar exentos o mitigados de responsabilidad si demuestran que contaban, de forma previa a la comisión del delito, con un sistema de gestión, prevención y vigilancia adecuado. Esta posibilidad de evitar ser sentenciadas, primero, previniendo la comisión de infracciones, y segundo, en caso de que se cometan, acreditando el esfuerzo que ha realizado la organización para mantenerse en la legalidad, dio el empuje definitivo a la implantación del compliance en España. Desde entonces, las empresas han tenido que desarrollar la función de debido control, implementando los mecanismos idóneos para asegurar el cumplimiento de la normativa y la prevención del delito (Moral y González, 2015). Además, la modificación del Código Penal español de 2015 establece la necesidad de que los órganos de administración adopten y ejecuten con eficacia modelos de organización y gestión del cumplimiento normativo. A excepción de las empresas de pequeñas dimensiones, las compañías españolas también deberán contar con un órgano de supervisión, vigilancia y control del cumplimiento de dichos modelos (Enseñat, 2016). En definitiva, la reforma hace inexcusable la presencia de la función y los programas de compliance en las grandes empresas españolas. El 18 de mayo de 2017 se publicó la Norma UNE 19601 (acrónimo de Una Norma Española) de la AENOR (Asociación Española de Normativización) sobre sistemas de gestión de compliance penal, llamada a establecer un lenguaje de entendimiento común en esta materia, alineado con lo establecido en los estándares internacionales modernos. Sin embargo, lo realmente trascendente de esta noticia ha pasado inadvertido: la migración de modelos lineales de compliance a los “sistemas de gestión”, circunstancia que implica un cambio drástico de mentalidad y enfoque. Podríamos decir que un modelo lineal fija unos requisitos cuyo cumplimiento se interpreta adecuado para la consecución de determinada finalidad. De este modo, por ejemplo, cuando se señala que el modelo de prevención de delitos debe estar dotado de recursos económicos, se cumple con él asignándole un presupuesto. Pero un “sistema” trasciende esta inmediatez, pues es un conjunto interrelacionado de elementos que logran unidos ciertos objetivos que no pueden alcanzar aisladamente y, por eso, no deben analizarse aisladamente. En un sistema de gestión, la interacción entre los requisitos es lo que verdaderamente contribuye a lograr los objetivos del conjunto y les brinda sentido individual. Una organización se da cuenta de que dispone de un sistema lineal cuando ejecuta determinados requisitos por disciplina y no por lógica sistémica, lo que lleva a formularse algunas reflexiones: ¿cuál debe ser el importe del presupuesto de compliance? La Norma UNE 19601 establece la necesidad de fijar objetivos de compliance penal, que pueden comenzar a nivel estratégico y descender luego al táctico: queremos mejorar la sensibilidad de compliance de manera especial en determinada región (estrategia) y para ello precisaremos incrementar las horas locales de formación, disponer de ayuda técnica y contratar a un responsable de zona (táctica). La fijación de objetivos de compliance penal, desencadena necesariamente una serie de consecuencias, entre las que figura disponer de recursos para llevarlos a la práctica. Por lo tanto, las partidas presupuestarias vendrán condicionadas por los objetivos de compliance pretendidos, que son cuantificables económicamente (especialmente los tácticos). Así, una organización dotada de un sistema de gestión de compliance penal no se sentirá insegura con su presupuesto de compliance penal, pues tendrá que estar alineado con los objetivos de compliance penal que se ha impuesto. Es más, bajo esta lógica sistémica, los objetivos de compliance determinarán también qué informaciones deben capturarse y medirse para valorar su grado de consecución, cómo y a quién se comunicarán, cómo se realizará su seguimiento e informará de su evolución a la alta dirección y órgano de gobierno, etc. Con este ejemplo vemos que un requisito de la Norma UNE afecta a otros muchos, siendo esa la filosofía subyacente en el estándar español, cuando no regula elementos aislados sino interrelacionados para lograr un conjunto armónico y eficaz. Ley de Empresa Limpia (Brasil). El 1.º de agosto de 2013, la Presidenta de la República del Brasil firmó la Ley n.º12.846/13, que prevé el tema, hasta entonces inédito en el país, de la responsabilidad administrativa y civil de personas jurídicas por la práctica de actos contra la administración pública, nacional o extranjera. La Ley, denominada por los medios de comunicación Ley Anticorrupción o Ley dela Empresa  limpia, entrará en vigor al final de enero de 2014, y será un importante hito en la lucha contra la corrupción en Brasil, que antes sólo castigaba a los individuos (personas físicas) que pagaban y que recibían sobornos, pero no a las empresas que se involucraban en actos de corrupción. La nueva ley atiende las iniciativas de ámbito global, como se puede ver en los tratados internacionales al respecto y de las leyes específicas de diversos países tratando del tema. Pero a diferencia de lo que ocurre en otros países, la ley brasileña de 2013 –la Ley de la Empresa Limpia– prevé sanciones a nivel administrativo y no penal con respecto a las conductas de corrupción activa por parte de las empresas. Este criterio sancionador-administrativo sigue la tendencia de ampliación y prevalencia de la jurisdicción administrativa sobre la penal, mediante la continua y creciente creación de agencias independientes en la gestión pública, que son, al mismo tiempo, regulatorias y sancionatorias. En el caso concreto de la nueva Ley se busca, con tal desplazamiento sancionatorio al ámbito de la propia administración pública, escapar del rigor de la tipificación del derecho penal con relación a la configuración del delito de corrupción activa, en la medida en que los métodos utilizados por las empresas corruptoras son constantemente alterados y ampliados, principalmente por la utilización de otras empresas, como las empresas de consultoría, para la consumación de las prácticas de corrupción ante los agentes públicos; especialmente en los contratos públicos de obra y concesión, así como en el suministro de servicios y de equipamientos utilizados por la administración. Hay, por lo tanto, ventajas en la adopción del régimen sancionatorio administrativo, en lugar del régimen penal con relación a la represión de la corrupción activa por parte de las empresas, siempre que se defina bien la reglamentación de la ley brasileña de 2013 con relación a la formación de agencias administrativas sancionadoras independientes. Además de alejar el rigor de la tipificación penal, el ámbito administrativo sancionador permite una integración entre los diversos órganos del Estado, como es el caso de la agencia de represión al abuso del poder económico (CADE) referente a la formación de cárteles para burlar los concursos públicos. La Ley de la Empresa Limpia refleja la tendencia internacional de hacer que las empresas sean responsables por actos de corrupción, independientemente de las personas físicas involucradas. La responsabilidad objetiva, sumada a la responsabilidad conjunta de controladoras y controladas en grupos empresariales, de empresas consorciadas, así como de sucesoras en operaciones de fusiones y adquisiciones, hace que las empresas tiendan ahora a adoptar medidas preventivas frente a los actos de corrupción. Entre los actos de corrupción previstos expresamente por la Ley de la Empresa Limpia figuran (art. 5.º): (i) prometer, ofrecer o dar ventaja indebida a un agente público; (ii) financiar, costear o patrocinar la práctica de actos ilícitos; (iii) utilizar persona interpuesta para ocultar o disimular actos ilícitos; (iv) utilizar expedientes ilícitos ante la administración pública, de modo que frustre procesos de licitación pública y compromisos contractuales; y (v) dificultar la actividad de investigación o fiscalización por órganos o entidades públicas. En el ámbito administrativo, se podrán aplicar multas que oscilen entre el 0,1% y el 20% de la facturación bruta de la empresa en el ejercicio anterior al de la instauración del proceso administrativo o, ante la imposibilidad de utilización de este criterio, las multas podrán variar de R$ 6.000 a R$ 60 millones. El punto que ha generado mayor polémica es el hecho de que la competencia para la aplicación de estas sanciones es difusa. Esto se debe a que el inicio de los procesos administrativos puede ser iniciativa tanto de la administración federal, estatal y municipal, como de los poderes legislativo y judicial (art. 8.º). Hay, por lo tanto, un gran riesgo de que, debido a la competencia concurrente de las autoridades del Ejecutivo, Legislativo y Judicial, las empresas tengan que hacer frente a multas pesadas en diversos ámbitos (federal, estatal y municipal), y, consecuentemente, que puedan ser eventualmente objeto de presiones e intentos de chantaje para evitar la aplicación de estas sanciones, lo cual puede dar lugar a una nueva modalidad de corrupción. Estas multas, aplicadas en el ámbito administrativo, no excluyen la responsabilidad judicial, en el ámbito civil, de los agentes de tales actos de corrupción, que pueden dar lugar al embargo de bienes, suspensión o interdicción parcial de actividades, disolución compulsoria de la persona jurídica, así como la prohibición de recibir incentivos, subsidios, donaciones o préstamos de órganos o entidades públicas. La Ley de la Empresa Limpia, con el objetivo de generar incentivos para las empresas para controlar los actos de corrupción, establece dos atenuantes a la sanción por la práctica de tales actos: (a) la instauración por las empresas de sistemas de compliance; y (b) la celebración de pactos de clemencia. La Ley de la Empresa Limpia, basada en un concepto desarrollado inicialmente en el derecho estadounidense, prevé en su artículo 7.º, inciso VIII, la creación de sistemas de gobierno empresarial para el control de conductas lesivas que puedan dar lugar a la responsabilidad objetiva: Art. 7.º - Se tendrán en cuenta en la aplicación de las sanciones: (…) VIII – la existencia de mecanismos y procedimientos internos de integridad, auditoría e incentivos a la denuncia de irregularidades y la aplicación efectiva de códigos de ética y de conducta en el ámbito de la persona jurídica. Así, la adopción de mecanismos y procedimientos de compliance servirá como atenuante a sanciones por la administración pública ante las empresas. Sin embargo, los parámetros para la evaluación de tales mecanismos y procedimientos dependen de una reglamentación que no ha sido aún elaborada por el poder ejecutivo federal (art. 7.º, párrafo único). Subsidiariamente, la Ordenanza 909/2015 establece el procedimiento para la evaluación de los programas de cumplimiento (los elementos del programa de cumplimiento se enumeran en el Decreto 8.420/2015). Se establece que, como parte del proceso de evaluación, las personas jurídicas deberán presentar un informe de perfil y un informe de cumplimiento. En el informe de perfil, la persona jurídica tendrá que: i) indicar los sectores y países en los que tiene negocios; ii) presentar su estructura organizacional, describiendo su jerarquía interna así como el proceso de toma de decisiones y las competencias de los Oficiales, Miembros del Consejo, Departamentos y Sectores; iii) proporcionar el número de empleados; iv) especificar y contextualizar las interacciones con la administración pública y extranjera (por ejemplo, el número y cantidad de contratos con entidades públicas, el porcentaje de los ingresos derivados de contratos con entidades públicas, el uso de terceros para interactuar con el sector público); v) describir su estructura corporativa (empresa matriz, empresas controladas, consorcios, etc.); y vi) informar si se trata de una empresa pequeña. En el informe de cumplimiento la persona jurídica tendrá que: i) informar sobre la estructura del programa de cumplimiento, indicando cuales y de qué manera se han implementado los parámetros en el Decreto 8.420/2015, así como la descripción de la importancia de cada uno de los parámetros considerando las características específicas de la persona jurídica; ii) demostrar cómo las operaciones del programa de cumplimiento se integran en las actividades de la persona jurídica con datos históricos, estadísticas y casos concretos; y iii) demostrar cómo el programa de cumplimiento trabajó en la prevención, detección y corrección de la violación bajo investigación. Además, la Ordenanza establece que como parte del proceso de evaluación, las autoridades pueden realizar entrevistas y solicitar documentos. La Ordenanza también aclara que las personas jurídicas que implementen programas de cumplimiento después de la violación no recibirán el crédito máximo para este tipo de programas (sin embargo aún conseguirían algún crédito por ello). Las empresas pueden considerar la preparación de tales informes anticipadamente. Además de evitar limitaciones de tiempo durante el procedimiento administrativo pueden ayudar a las empresas a identificar debilidades en sus programas (al ponerlos por escrito, las fallas en los programas pueden convertirse más obvias). El acuerdo de indulgencia o clemencia ha sido incorporado por la legislación brasileña por medio de la Ley 10.149/00 que, al reformar la antigua Ley Antitrust (Ley n.º 8.884/94), previó, en su artículo 35-B, la posibilidad de celebración de acuerdos entre el Poder Público y una empresa miembro de un cártel o de sus empleados. Esta previsión fue mantenida por la nueva Ley Antitrust (Ley n.º 12.529/11), y, recientemente, con la Ley de la Empresa Limpia (Ley n.º 12.846/13), pasó a ser admitida también con relación a cualesquiera actos de corrupción practicados por la empresa y no sólo los de formación de cárteles. El acuerdo de indulgencia se inspira en la experiencia estadounidense, que siempre estuvo adelante en la punición de crímenes contra la administración pública. A pesar de la aversión que estos crímenes pueden causar al ciudadano común, se notó que el acuerdo de indulgencia podría ser un excelente método para cooptar agentes criminales, incentivándolos a denunciarse, peleándose unos con otros, traicionando unos a otros, de tal forma que nunca más quieran ser cómplices en sus acuerdos. En los Estados Unidos, las autoridades promovieron en los últimos años cerca de 300 procesos contra la corrupción bajo la consagrada Ley de Prácticas de Corrupción en el Extranjero (Foreign Corrupt Practices Act-FCPA), y ha sido un éxito la celebración de acuerdos de indulgencia alternativos. Ley de RPPJ (Chile). Con fecha 2 de diciembre de 2009 se publicó la Ley 20.393, que establece la responsabilidad penal de las personas jurídicas por los delitos de lavado de activos (artículo 27 de la Ley 19.913), financiamiento del terrorismo (artículo 8° de la Ley 18.314) y cohecho de empleados públicos nacionales y funcionarios públicos extranjeros (artículos 250 y 251 bis del Código Penal). Posteriormente con fecha 05 de julio de 2016, se agregó el delito de receptación (artículo 456 bis A del Código Penal) como una de las figuras típicas generadoras de responsabilidad penal de las personas jurídicas. De acuerdo a esta ley, las empresas responden penalmente por los delitos antes señalados que fueren cometidos por sus dueños o colaboradores, tanto internos o como externos, cuando la comisión del delito fuese consecuencia del incumplimiento por parte de la persona jurídica de los deberes de dirección y supervisión. La señalada Ley establece que se considerará que los deberes de dirección y supervisión se han cumplido cuando, con anterioridad a la comisión del delito, se hubiera implementado un modelo de organización, administración y supervisión o “Modelo de Prevención de Delitos”, conforme a lo establecido en la misma ley. Se busca que la persona jurídica desarrolle una cultura organizacional ética que evite, de manera efectiva, las malas prácticas y sus eventuales consecuencias penales. La Ley 20.393 es aplicable a todas las personas jurídicas de derecho privado y a las empresas del Estado y se contrapone con lo establecido en el inciso segundo del artículo 58 del Código Procesal Penal, que señala que la acción penal es sólo contra las personas naturales, ya que, para las personas jurídicas, responden los que hubieren intervenido en el acto punible, sin perjuicio de la responsabilidad civil que a éstas les afectare. En razón de lo anterior, la Ley 20.393 señala, expresamente, que lo indicado en el inciso segundo del artículo 58 del Código Procesal Penal no es aplicable para efectos de ella. Es importante mencionar que la responsabilidad penal de la persona natural que realiza el acto indebido será perseguida individualmente por el Ministerio Público y los tribunales de justicia, independientemente de la persecución penal a que pueda ser sometida la persona jurídica que se vio beneficiada por dicho acto. Otras normas internacionales. Anticorrupción en Australia (Bribery of Foreign Public Officials). Australia ratificó el Convenio de Lucha Contra la Corrupción de Agentes Públicos Extranjeros en las Transacciones Comerciales Internacionales de la OCDE (el Convenio) el 18 de octubre de 1998. La legislación para la implementación del Convenio (la Ley de Código Penal Modificada (Soborno de Funcionarios Públicos Extranjeros) de 1999) entró en vigencia el 17 de diciembre de 1999, la cual insertó la División 70 en el Código Penal. El Convenio exige que los países legislen contra el otorgamiento u ofrecimiento de sobornos a funcionarios públicos extranjeros para obtener o retener un negocio. Tal como se indicó precedentemente, la legislación relativa a la implementación del Convenio por parte de Australia se encuentra incluida en la División 70 del Código Penal. La ley es aplicable a las conductas de los residentes o ciudadanos australianos o sociedades constituidas en Australia, tanto cometidos en Australia como en los países extranjeros. La Sección 7.02 del Código Penal crea el delito de soborno a un funcionario público extranjero. El delito es cometido si una persona: (a) proporciona un beneficio a otra persona o (b) instruye que se proporcione un beneficio a otra persona u (c) ofrece proporcionar o promete proporcionar un beneficio a otra persona o (d) instruye que se ofrezca un beneficio o se prometa proporcionar un beneficio a otra persona y (e) el beneficio no es legítimamente adeudado a la otra persona y (f) la primera persona mencionada lo hace con la intención de influir en un funcionario público extranjero en el desempeño de sus deberes como funcionario público extranjero para: (i) obtener o retener un negocio u (ii) obtener o retener una ventaja comercial que no es legítimamente adeudada al receptor o potencial receptor de la ventaja comercial. Anticorrupcion en Canada (Corruption of Foreign Public Officials Act). La legislación sobre la prevención de la corrupción en el extranjero de Canadá es la Ley sobre la Corrupción de Funcionarios Extranjeros (CFPOA, según sus siglas en inglés). LA CFPOA fue promulgada en 1999, más de dos décadas después de la Ley sobre Prácticas Corruptas en el Extranjero de EE.UU. (FCPA, según sus siglas en inglés) y más de una década antes de que el Reino Unido promulgase la Ley sobre el Soborno. LA CFPOA se promulgó en respuesta al Convenio de Lucha Contra la Corrupción de la OCDE que Canadá suscribió a fines de 1997 y ratificó a fines de 1998. De muchas formas, la CFPOA es deliberadamente similar a la FCPA de EE.UU. y es un régimen sólido con el cual deben cumplir las compañías y personas canadienses que realizan negocios en el extranjero. Acorde con el Convenio de la OCDE, la CFPOA busca restringir las prácticas corruptas de los canadienses u negocios canadienses que operan en el extranjero. Específicamente, se enfoca en actos de soborno o actividades similares orientadas a obtener ventajas a cambio de tales actividades. El delito de soborno en la CFPOA se encuentra tipificado en la sección 3 (el cual es muy similar al de la FCPA y el Convenio de la OCDE): (1) Comete un delito toda persona que, con el objeto de obtener o retener una ventaja en el curso de los negocios otorga, ofrece o acuerda otorgar u ofrecer, directa o indirectamente, un préstamo, recompensa, ventaja o beneficio de cualquier tipo a un funcionario público extranjero o a cualquier otra persona para el beneficio de un funcionario público extranjero (a) en retribución por un acto u omisión por parte de dicho funcionario en el desempeño de sus deberes o funciones; o (b) para inducir al funcionario a hacer uso de su cargo para influir en cualesquiera actos o decisiones de un estado extranjero u organización pública internacional para la cual desempeña sus deberes o funciones; (2) Toda persona que infringe la subsección (1) es culpable de un delito grave y será encarcelada por un período máximo de cinco años. La CFPOA también prohíbe el blanqueo de bienes o el producto de cualesquiera bienes obtenidos o derivados del soborno de un funcionario público extranjero en Canadá o el extranjero. En Canadá, la posesión de bienes o el producto de un soborno o blanqueo es un delito. También prohíbe conspirar para, o intentar, ayudar o instigar, o concordar en una intención común, o aconsejar a otros a sobornar a un funcionario público extranjero, blanquear bienes y productos o la posesión de bienes o productos. Anticorrupción en la República Popular de China (Ley sobre Competencia Desleal). La Ley sobre Competencia Desleal de la RPC (la “AUC”, según sus siglas en inglés) establece que los operadores comerciales no podrán vender o comprar productos o servicios sobornando a las contrapartes con bienes u otros medios. El acto de una parte de otorgar en secreto a la contraparte una rebaja no reflejada en el balance se considerará como un soborno; el acto de la contraparte de aceptar en secreto la rebaja sin reflejarla en el balance también será considerado como un soborno (Artículo 8). La AUC también establece que: los actos de los operadores comerciales que vendan o compren productos o servicios contra el pago de un soborno consistente de bienes u otros medios serán considerados como un delito y los operadores comerciales respectivos deberán asumir las responsabilidades penales que correspondan de acuerdo a las leyes penales (ver mayores detalles en la sección “Ley Penal de la RPC” en la siguiente página); si dichos actos no constituyesen un delito, la autoridad competente podrá imponer multas por montos que fluctúan entre los RMB10.000 y los RMB200.000, dependiendo de la gravedad de cada caso específico y también confiscar los ingresos ilegales (si los hubiese) derivados de los mismos (Artículo 22). Disposiciones Provisorias que Prohíben el Soborno Comercial. Las Disposiciones Provisorias que Prohíben el Soborno Comercial de la Administración Estatal de la Industria y el Comercio (“BCB”, según sus siglas en inglés) estipulan que las entidades y personas no podrán aceptar o solicitar sobornos al vender o comprar bienes o servicios dentro del territorio de la RPC (Artículo 4). Toda parte que infrinja las BCB pagando un soborno para comprar o vender bienes o servicios será sancionada, conforme al Artículo 4 de la AUC, con una multa que fluctúa entre los RMB10.000 y los RMB200.000 dependiendo de las circunstancias de cada caso específico y todos los ingresos ilegales (si lo hubiese) derivados de dicho acto serán confiscados por la Administración de la Industria y el Comercio. Asimismo, toda parte que venda o compre bienes o servicios recibiendo un soborno será sancionada de la forma antedicha; si la conducta de dicha parte constituyese un delito, ésta será investigada y procesada por las autoridades judiciales (Artículo 9). Disposiciones de la Ley de Comercio Exterior de la RPC. La Ley de Comercio Exterior de la RPC (“FT”, según sus siglas en inglés) es aplicable al comercio exterior y dice relación con la protección de la propiedad intelectual. El término comercio exterior se refiere a la importación y exportación de bienes y tecnologías y al comercio internacional de servicios (Artículo 2). El Artículo 33 de la FT prohíbe la competencia desleal en el comercio exterior, como las ventas a precios deslealmente bajos, las licitaciones colusorias, la publicidad deshonesta, el pago o la recepción de sobornos, etc. El Artículo 33 de la FT también estipula que: una parte que ha competido deslealmente en el comercio exterior será sancionada de acuerdo con las leyes y reglamentos sobre competencia desleal; si dicha conducta dañase el comercio exterior, la autoridad competente podrá eliminar los daños adoptando medidas como, por ejemplo, prohibir a la parte importar o exportar los bienes y tecnologías relacionadas. Ley Penal de la RPC. La Ley Penal de la RPC (“CL”, según sus siglas en inglés) establece que los empleados de compañías, empresas y otras entidades que hacen uso de sus facultades para obtener bienes o aceptar ilegalmente bienes de otras personas y beneficiarse de dichas personas serán sancionadas, en aquellos casos que involucren “montos relativamente altos”, con penas de cárcel o detención inferiores a 5 años; en aquellos casos que involucren “montos altos”, dichas personas serán sancionadas con penas de cárcel superiores a 5 años y al decomiso de sus bienes (Artículo 163). El Artículo 163 antes mencionado también estipula que aquellos empleados de compañías, empresas u otras entidades que durante las negociaciones reciban comisiones personales clandestinas de cualquier tipo en contravención de las normas del estado, serán sancionadas de acuerdo con las disposiciones del párrafo anterior. El Artículo 164 de la CL establece que las personas que ofrezcan bienes a los empleados de una compañía, empresa u otra entidad para obtener beneficios impropios serán sancionadas, en aquellos casos que involucren “montos relativamente altos, con penas de cárcel o detención inferiores a 3 años; en aquellos casos que involucren “montos altos”, serán sancionadas con penas de cárcel superiores a 3 años, pero inferiores a 10 años, y multadas. Ley de Responsabilidad Penal. La autorregulación de la Empresa para la evitación de los riesgos jurídico-penales puede imponerse normativa o voluntariamente. Mediante la Ley de Responsabilidad Penal para Personas Jurídicas se intenta establecer la responsabilidad penal para las personas jurídicas por delitos cometidos contra la administración pública (cohecho y tráfico de influencias, malversación de caudales públicos, negociaciones incompatibles con el ejercicio de funciones públicas, exacciones ilegales, y fraude a la administración pública –se lo incluye aun cuando esté tipificado en otro título del Código Penal-) y por el cohecho transnacional tipificado en el art. 258 bis del Código Penal. Las penas previstas son del tipo de las mencionadas al comienzo: multa, suspensión total o parcial de actividades, pérdida o suspensión para acceder a beneficios o subsidios estatales o para participar en concursos o licitaciones públicas y cancelación de la personería jurídica. A su vez, señala en el artículo 9 que la persona jurídica se eximirá de la pena cuando espontáneamente haya denunciado un delito como consecuencia de una actividad de detección o investigación interna, cuando hubiere implementado un sistema de control y la supervisión son adecuados cuando, con anterioridad a la comisión del delito, y hubiere devuelto el beneficio indebido obtenido. Los artículos 22 (Programa) y 23 (Contenido del Programa), que mencionan los elementos de un control y supervisión adecuados, no hacen otra cosa que describir un típico sistema de integridad o compliance, cuya corroboración por parte de los jueces deberá llevar a eximir de sanción a las personas jurídicas. Previsiones de responsabilidad. Las penas aplicables a las personas jurídicas serán las siguientes: 1) Multa de dos (2) a cinco (5) veces del beneficio indebido obtenido o que se hubiese podido obtener; 2) Suspensión total o parcial de actividades, que en ningún caso podrá exceder de diez (10) años; 3) Suspensión para participar en concursos o licitaciones estatales de obras o servicios públicos o en cualquier otra actividad vinculada con el Estado, que en ningún caso podrá exceder de diez (10) años; 4) Disolución y liquidación de la personería cuando hubiese sido creada al solo efecto de la comisión del delito, o esos actos constituyan la principal actividad de la entidad; 5) Pérdida o suspensión de los beneficios estatales que tuviere; 6) Publicación de un extracto de la sentencia condenatoria a costa de la persona jurídica. Delitos que se podrán imputar a las Personas Jurídicas. La presente ley establece el régimen de responsabilidad penal aplicable a las personas jurídicas privadas, ya sean de capital nacional o extranjero, con o sin participación estatal, por los siguientes delitos: a) Cohecho y tráfico de influencias, nacional y transnacional, previstos por los artículos 258 y 258 bis del Código Penal; Tráfico de influencia. Art. 256 bis Código Penal. (agregado por la Ley 25.188). Se reprime al que “…por sí o por persona interpuesta solicitare o recibiere dinero o cualquier otra dádiva o aceptare una promesa directa o indirecta, para hacer valer indebidamente su influencia ante un funcionario público, a fin de que éste haga, retarde o deje de hacer algo relativo a sus funciones.”. “Si aquella conducta estuviera destinada a hacer valer indebidamente una influencia ante un magistrado del Poder Judicial o del Ministerio Público, a fin de obtener la emisión, dictado, demora u omisión de un dictamen, resolución o fallo en asuntos sometidos a su competencia, el máximo de la pena de prisión o reclusión se elevará a doce años”. Pena: Reclusión o prisión de uno a seis años e inhabilitación especial perpetua para ejercer la función pública. Cohecho activo. Art. 258 del Código Penal. Se reprime a quién “…directa o indirectamente diere u ofreciere dádivas en procura de alguna de las conductas reprimidas por los artículos 256 y 256 bis, primer párrafo. Si la dádiva se hiciere u ofreciere con el fin de obtener alguna de las conductas tipificadas en los artículos 256 bis, segundo párrafo, y 257, la pena será de reclusión o prisión de dos a seis años. Si el culpable fuere funcionario público, sufrirá además inhabilitación especial de dos a seis años en el primer caso y de tres a diez en el segundo.” Pena: Prisión de uno a seis años. Soborno transnacional. Art. 258 bis del Código Penal. Reprime a quién “…directa o indirectamente, ofreciere, prometiere u otorgare, indebidamente, a un funcionario público de otro Estado o de una organización pública internacional, ya sea en su beneficio o de un tercero, sumas de dinero o cualquier otro objeto de valor pecuniario u otras compensaciones tales como dádivas, favores, promesas o ventajas, a cambio de que dicho funcionario realice u omita realizar un acto relacionado con el ejercicio de sus funciones públicas, o para que haga valer la influencia derivada de su cargo en un asunto vinculado a una transacción de naturaleza económica, financiera o comercial. Se entenderá por funcionario público de otro Estado, o de cualquier entidad territorial reconocida por la Nación Argentina, a toda persona que haya sido designada o electa para cumplir una función pública, en cualquiera de sus niveles o divisiones territoriales de gobierno, o en toda clase de organismo, agencia o empresa pública en donde dicho Estado ejerza una influencia directa o indirecta.”. Pena: Prisión de uno (1) a seis (6) años e inhabilitación especial perpetua para ejercer la función pública. b) Negociaciones incompatibles con el ejercicio de funciones públicas, previsto por el artículo 265 del Código Penal; Negociaciones Incompatibles. Art. 265 del Código Penal. “…el funcionario público que, directamente, por persona interpuesta o por acto simulado, se interesare en miras de un beneficio propio o de un tercero, en cualquier contrato u operación en que intervenga en razón de su cargo. Esta disposición será aplicable a los árbitros, amigables componedores, peritos, contadores, tutores, curadores, albaceas, síndicos y liquidadores, con respecto a las funciones cumplidas en el carácter de tales.”. Pena: Reclusión o prisión de uno a seis años e inhabilitación especial perpetua y se aplicará también multa de dos (2) a cinco (5) veces del valor del beneficio indebido pretendido u obtenido. c) Concusión (Exacción agravada por el destino recibido), previsto por el artículo 268 del Código Penal; Concusión. Art. 268 del Código Penal. “…el funcionario público que convirtiere en provecho propio o de tercero las exacciones expresadas en los artículos anteriores”. Pena:  Prisión de dos a seis años e inhabilitación absoluta perpetua. Se aplicará también multa de dos (2) a cinco (5) veces del monto de la exacción. d) Enriquecimiento ilícito de funcionarios y empleados, previstos por los artículos 268 (1) y (2) del Código Penal; Utilización indebida de Informaciones. Articulo 268 (1) del Código Penal. “… el funcionario público que con fines de lucro utilizare para sí o para un tercero informaciones o datos de carácter reservado de los que haya tomado conocimiento en razón de su cargo”. Pena: Prisión de uno (1) a seis (6) años, se aplicará también multa de dos (2) a cinco (5) veces del lucro obtenido. Enriquecimiento Ilícito. Articulo 268 (2) del Código Penal. “… el que al ser debidamente requerido, no justificare la procedencia de un enriquecimiento patrimonial apreciable suyo o de persona interpuesta para disimularlo, ocurrido con posterioridad a la asunción de un cargo o empleo público y hasta dos años después de haber cesado en su desempeño”. Pena: Prisión de dos (2) a seis (6) años, multa de dos (2) a cinco (5) veces del valor del enriquecimiento, e inhabilitación absoluta perpetua. e) Balances e informes falsos agravados, previsto por el artículo 300 bis del Código Penal. Balances Falsos. Art. 300 inc. 2 del Código Penal. “El fundador, director, administrador, liquidador o síndico de una sociedad anónima o cooperativa o de otra persona colectiva, que a sabiendas publicare, certificare o autorizare un inventario, un balance, una cuenta de ganancias y pérdidas o los correspondientes informes, actas o memorias, falsos o incompletos o informare a la asamblea o reunión de socios, con falsedad, sobre hechos importantes para apreciar la situación económica de la empresa, cualquiera que hubiere sido el propósito perseguido al verificarlo. Cuando los hechos delictivos previstos en el inciso 2) del artículo 300 hubieren sido realizados con el fin de ocultar la comisión de los delitos previstos en los artículos 258 y 258 bis…”. Pena:  Prisión de uno a cuatro años y multa de dos (2) a cinco (5) veces el valor falseado en los documentos y actos a los que se refiere el inciso mencionado. Programa de Integridad. El en artículo 22 de la ley 27401 se establece el concepto de Programa de Integridad. Las personas jurídicas comprendidas en el presente régimen podrán implementar programas de integridad consistentes en el conjunto de acciones, mecanismos y procedimientos internos de promoción de la integridad, supervisión y control, orientados a prevenir, detectar y corregir irregularidades y actos ilícitos comprendidos por esta ley. El programa de integridad exigido debe guardar relación con los riesgos propios de la actividad que la persona jurídica realiza, su dimensión y capacidad económica, de conformidad a lo que establezca la reglamentación. Contrataciones con el Estado nacional. La existencia de un Programa de Integridad adecuado conforme los artículos 22 y 23, será condición necesaria para poder contratar con el Estado nacional, en el marco de los contratos que: a) según la normativa vigente, por su monto, deberá ser aprobado por la autoridad competente con rango no menor a Ministro; y b) se encuentren comprendidos en el artículo 4º del decreto delegado Nº 1023/01 y/o regidos por las leyes 13.064, 17.520, 27.328 y los contratos de concesión o licencia de servicios públicos. Exención de la Pena. La pena que correspondiere a la persona jurídica condenada en función de los criterios previstos en el artículo 7, quedara eximida en los términos del articulo 9 si se verificara alguna de las siguientes circunstancias: a) espontáneamente haya denunciado un delito previsto en esta ley como consecuencia de una actividad propia de detección e investigación interna; b) hubiere implementado un sistema de control y supervisión adecuado en los términos de los artículos 22 y 23 de esta ley, con anterioridad al hecho del proceso, cuya violación hubiera exigido un esfuerzo de los intervinientes en la comisión del delito; c) hubiere devuelto el beneficio indebido obtenido. Acuerdo de Colaboración Eficaz. La persona jurídica y el Ministerio Público Fiscal podrán celebrar un acuerdo de colaboración eficaz, por medio del cual aquella se obligue a cooperar a través de la revelación de información o datos precisos, útiles y comprobables para el esclarecimiento de los hechos, la identificación de sus autores o partícipes o el recupero del producto o las ganancias del delito, así como al cumplimiento de las condiciones que se establezcan en virtud de lo previsto en el artículo 18 (1) de la presente ley. El acuerdo de colaboración eficaz podrá celebrarse hasta la citación a juicio. (1) Contenido del acuerdo. En el acuerdo se identificará el tipo de información, o datos a brindar o pruebas a aportar por la persona jurídica al Ministerio Público Fiscal, bajo las siguientes condiciones: a) pagar una multa equivalente a la mitad del mínimo establecido en el artículo 7° inciso 1) de la presente ley; b) restituir las cosas o ganancias que sean el producto o el provecho del delito; y c) abandonar en favor del Estado los bienes que presumiblemente resultarían decomisados en caso que recayera condena; Asimismo, podrán establecerse las siguientes condiciones, sin perjuicio de otras que pudieran acordarse según las circunstancias del caso: d) realizar las acciones necesarias para reparar el daño causado; e) prestar un determinado servicio en favor de la comunidad; f) aplicar medidas disciplinarias contra quienes hayan participado del hecho delictivo; g) implementar un programa de integridad en los términos de los artículos 22 y 23 de la presente ley o efectuar mejoras o modificaciones en un programa preexistente.

Las líneas directrices de las "Corporate Guidelines" de la US Sentencing Commission norteamericana. El programa de cumplimiento consiste en el conjunto sistemático de esfuerzos realizados por los integrantes de la empresa tendentes a asegurar que las actividades llevadas a cabo por ésta no vulneren la legislación aplicable. Desde la óptica de la administración empresarial éstos serían un ejemplo de uno de los “sistemas de calidad” que operan en toda actividad empresarial, por lo que contiene aspectos relacionados tanto con la estructura organizacional, distribución de responsabilidades, procedimientos y los recursos utilizados por la empresa para asegurar la calidad de la dirección de ésta. El primer objeto que se asocia inmediatamente al programa de cumplimiento es el de servir de reunión o sistematización de todas aquellas medidas o procedimientos adoptados por la empresa tendentes a asegurar o promover un comportamiento, por parte de sus integrantes respetuosos con la ley. Desde la perspectiva que resulta más relevante para la responsabilidad penal de la empresa el programa de cumplimiento debiera tender a disminuir el margen de ocasiones en que la empresa es sancionada penalmente mediante la reducción correlativa de la frecuencia con que se llevan a cabo conductas delictivas en el marco del desarrollo de la actividad empresarial. No se puede decir con precisión cuál es el contenido exacto de un programa de cumplimiento, lo que puede ser visto como una ventaja en la medida que su carácter abierto permitiría su continua adaptación a la realidad cambiante de la actividad empresarial, y también a la consideración de las diferenciaciones que se dan al interior de esta misma (debido a los diversos ámbitos en que se desarrolla). Así, por ejemplo, Las Federal Sentencing Guidelines for Organizations (FSGO) solo señalan ciertas características que estos programas deben tener para que puedan ser considerados efectivos (única forma en que cumplen con su función atenuatoria de la responsabilidad de la empresa). Por ejemplo, la implicación de los altos directivos de la empresa en su implementación; el establecimiento adecuado de sistemas de selección y capacitación del personal, tanto en lo relacionado con la actividad desarrollada como en relación con los contenidos del programa de cumplimiento; la adopción de sistemas de auditoría interna; la existencia de sanciones disciplinarias al interior de la empresa, etc. Por ejemplo, que el contenido mínimo de estos instrumentos son: (1) existencia de un código de conducta escrito; (2) supervisión de los esfuerzos de cumplimiento por parte del personal altamente cualificado; (3) no delegación de poderes discrecionales de las autoridades administrativas en personal con posible tendencia delictiva; (4) comunicación efectiva de los estándares y procedimientos contenidos en los códigos de conducta; (5) reforzamiento mediante procedimientos disciplinarios; (6) adopción de medidas adecuadas tras la detección de la infracción. Que un programa de cumplimiento presente este contenido mínimo tiene que ver en gran parte con las prácticas asentadas en relación al control interno de la empresa y a la gestión de los riesgos propios de la misma, específicamente aquellos vinculados a lo que se conoce como “compliance”. Así, por ejemplo, un contenido similar se puede observar en la metodología utilizada por un organismo especializado en control interno como es el Committee of Sponsoring Organizations of the Treadway Commission (COSO), que al momento de definir los aspectos que deben ser tenidos en cuenta a la hora de administrar los peligros de infracción al ordenamiento jurídico distinguen tanto una preocupación por el ambiente organizacional como por los aspectos netamente procedimentales. Especialmente relevantes para el objeto de estudio de este artículo son los estándares que propone esta institución bajo la denominación de Enterprise Risk Management. Lo mismo se puede decir en relación a las U.S. Federal Sentencing Guidelines for Organizations (en adelante FSGO), de acuerdo con las cuales, para que la empresa se vea beneficiada con la reducción de la multa correspondiente luego de la comisión de un hecho delictivo debe haber implementado un programa efectivo para prevenir y detectar infracciones de ley. Esto supone satisfacer exigencias relacionadas con el diseño de estándares de cumplimiento y procedimientos que deben ser seguidos por los integrantes de la empresa y que justamente suponen intervenir tanto la estructura organizacional como el generar una cultura organizacional respetuosa con la legislación vigente. Regulaciones internacionales en las normativas locales. Convenciones de las Naciones Unidas y de la OCDE para la prevención del soborno y la corrupción. Directrices de la OCDE. Las normas OCDE contra la corrupción. Entre los instrumentos normativos más destacados formulados  para el combate de la corrupción, el fraude y el lavado de activos, debemos considerar a la Convención de las Naciones Unidas contra la Corrupción,  la Convención Interamericana contra la Corrupción, Convención de la Unión Europea contra la corrupción de funcionarios, el Convenio penal sobre corrupción del Consejo de Europa, el Convenio civil sobre corrupción del Consejo de Europa, la Convención de las Naciones Unidas contra el crimen organizado transnacional, el Convenio de la OCDE sobre la lucha contra la corrupción de los agentes públicos extranjeros en las transacciones comerciales internacionales,  la Declaración contra la corrupción y aseguramiento de la transparencia de la APEC, la Ley Patriota de los Estados Unidos, la Ley de prácticas corruptas en el extranjero (FCPA-USA), la Ley Antisoborno del Reino Unido (UK Bribery Act), la Directiva (EU) 2015/849 sobre prevención del uso del sistema financiero para el lavado de dinero y financiamiento del terrorismo, la Ley Sarbanes- Oxley, el marco COSO-ERM, los Acuerdos de Basilea, las Recomendaciones del GAFI, entre otros.  En la Argentina existen normas jurídicas que abordan el problema de la corrupción. La mayoría de ellas consisten en la ratificación de la entrada en vigencia de convenciones internacionales que nuestro país ha suscrito. La primera de ellas fue la Ley 24.759, del año 1996, que aprueba la Convención Interamericana contra la Corrupción, cuatro años después, la ley 25.319 aprobó la Convención sobre la Lucha contra el Cohecho de Funcionarios Públicos Extranjeros en las Transacciones Comerciales Internacionales impulsada por la OCDE, y en el año 2006 se aprobó la ley 26.097 que aprueba la Convención de las Naciones Unidas contra la Corrupción. En el medio, la ley 25.188, vigente desde el año 1999, regula la Ética en el Ejercicio de la Función Pública, estableciendo, entre otras cosas, la obligatoriedad de la presentación de declaraciones juradas de ingresos para los funcionarios electos o no, y la ley 25.233 del año 2000, modificatoria de los ministerios, creó la Oficina Anticorrupción en el ámbito del Ministerio de Justicia y Derechos Humanos. Hoy existen, además de la Oficina Anticorrupción, otros organismos encargados de tareas vinculadas con la corrupción: la Sindicatura General de la Nación, la Auditoría General de la Nación y la Fiscalía de Investigaciones Administrativas. Las tres desarrollan sus tareas en el ámbito de la Administración Nacional, estableciendo normas, controlándolas y realizando investigaciones de corrupción e irregularidades respectivamente. Líneas Directrices de la OCDE para Empresas Multinacionales. En 1976, los países miembros de la OCDE, agrupados en el Comité de Inversiones  y  Empresas   Multinacionales, suscribieron  la  Declaración  sobre  Inversión  Internacional  y  Empresas Multinacionales , como expresión de un importante compromiso político con el fin   de   impulsar   la   cooperación   internacional   en   materia   de   transparencia   y   no discriminación  en las políticas de  inversión  extranjera.  Uno de los documentos que salieron de dicha declaración fueron precisamente las Líneas Directrices de la OCDE para Empresas Multinacionales, que ha tenido diversas revisiones a lo largo del tiempo siendo la de 2011 la última de ellas. Las Directrices son recomendaciones y principios no vinculantes emitidos por los gobiernos y dirigidos a las empresas multinacionales que operan en países firmantes o que tienen su sede en ellos con el fin de alcanzar una conducta empresarial íntegra y responsable conforme a las pautas y normas reconocidas internacionalmente. Entre las principales obligaciones que las empresas deben realizar según la Declaración, destacan, entre  otras:  la  contribución al  progreso  económico,  social  y  medioambiental para  conseguir  un desarrollo  sostenible,  la  protección  y  promoción  de los  derechos humanos   internacionalmente   reconocidos   de   todas   las   personas   afectadas   por   su actividad, además, mantener una cooperación estrecha con la comunidad local, preservar los principios de buen gobierno corporativo y desarrollar e implementar buenas prácticas de  gobierno  corporativo, así  como poseer buenas prácticas  autodisciplinarias  así  como sistemas  de  gestión  eficaces  y,  finalmente, podemos  señalar  también  la  obligación abstenerse   de   tomar   medidas   discriminatorias   o   disciplinarias   contra   denunciantes internos que tengan razones legítimas. Un aspecto relevante de las Directrices es la creación de los Puntos Nacionales de Contacto, que son entidades constituidas por los gobiernos de los países miembros con el fin de promover las Directrices y velar por su correcta implementación.

Norma ISO 19600. La Norma ISO 19600 pretende constituirse como una herramienta para ayudar a la función de Compliance en sus objetivos, entre los cuales debe de estar sin duda -y al menos- la detección y gestión de los riesgos por incumplimientos de sus obligaciones legales. Se trata de un documento internacional que establecerá un referente de buenas prácticas en materia de gestión de Compliance, más allá de fronteras, culturas y jurisdicciones. La Norma ISO 19600 es aplicable a todo tipo de organizaciones, independientemente de su tamaño y actividad, aunque en la misma norma se asumen las grandes diferencias que puede haber entre unas y otras empresas en función de volumen de operaciones, dispersión geográfica, mercados de referencia, etc. El propio texto de la Norma reconoce que el alcance con el que deben aplicarse las recomendaciones de la guía depende del tamaño, estructura, naturaleza y complejidad de cada organización. No se trata de hacer una norma rígida y ciega ante la diversidad de organizaciones. Antes bien, se trata de hacer una norma que articule una metodología común, medible y comparable, pero con capacidad de articular las necesidades del Compliance adaptadas a la operativa, distribución competencial, idiosincrasia, madurez y cultura de cumplimiento, momento económico, estrategia comercial, etc., de cada empresa y grupo de empresas. El Cumplimiento Normativo no admite una incorporación a las organizaciones basada en modelos industralizados que no permiten más adaptación que la puramente nominal, ni acepta la clonación de experiencias y resultados, porque aunque todas las empresas pudieran parecer iguales (a la vista de un observador inexperto o que las observe desde la estratosfera), cada una es diferente de cualquier otra. Es por ello que la Norma ISO 19600 recoge directrices para implantar, mantener y mejorar un sistema de gestión de Compliance eficaz y receptivo. Así, incluye recomendaciones sobre los elementos con los que una organización debería contar para asegurar que cumple su política de Compliance y que tiene capacidad para asumir sus obligaciones en este ámbito. Entre estas recomendaciones, se incluyen las relativas a la formación continua en Compliance para los perfiles implicados en su gestión y para toda la organización en cuanto a su rol en el cumplimiento, la integración del desempeño en Compliance en la evaluación del desempeño de los empleados, o la supervisión de los acuerdos de contratación externa para asegurarse de que recogen obligaciones en materia de Compliance. En síntesis, la norma ISO 19600, contiene: •             Directrices que orientan sobre la implementación, evaluación, mantenimiento y mejora de un Sistema de Gestión Compliance eficaz y eficiente. •             Recomendaciones sobre los aspectos que una organización debería considerar para garantizar el cumplimiento de su política de compliance y que cuenta con la capacidad para asumir sus obligaciones. •             Una descripción sobre la necesidad de mantener actualizada la formación relacionada con el compliance, para los profesionales dedicados a esta materia cuando tengan lugar cambios a nivel organizacional, legislativo o en los compromisos existentes con las partes interesadas. •             Información sobre la integración del desempeño en compliance en la evaluación del desempeño de los trabajadores o en la revisión de acuerdos de contratación externa para garantizar que se consideran obligaciones en esta materia.   Norma ISO 37001. La norma ISO 37001 sobre “Sistemas de gestión anti-soborno” (la “Norma”) publicada el 15 de octubre de 2016 por la International Standard Organization (ISO), puede ser utilizada por organizaciones de cualquier tipo, actividad y tamaño, en cualquier país del mundo, tanto en el ámbito privado como público. Entre otros beneficios, se espera que la adopción de este estándar permita a las empresas simplificar sus procesos de diligencia debida en materia de compliance anticorrupción, agilizando así los negocios y la labor de los oficiales de cumplimiento. En tal sentido, quien contrate a una empresa que cuente con la certificación ISO 37001 sabrá cuáles son las características mínimas que tiene el sistema de gestión anti-soborno de dicha empresa. La norma específica las medidas y controles contra el soborno e incluye orientación para su aplicación. Entre los temas tratados se encuentran la manera de: Adoptar y comunicar una política de lucha contra el soborno Obtener el apoyo y garantizar la responsabilidad de la alta dirección Designar un gerente o una función responsable de la gestión contra el soborno Capacitar al personal Llevar a cabo evaluaciones de los riesgos de soborno periódicas y la apropiada diligencia debida en proyectos y asociaciones comerciales (clientes, contratistas, subcontratistas, proveedores, consultores, socios de empresas conjuntas, agentes, etc.) Implementar veto y controles sobre el personal para prevenir el soborno Controlar los regalos, hospitalidad, donaciones y beneficios similares para garantizar que no se utilizan con fines de corruptos Solicitar compromisos contra el soborno a los socios comerciales. Implementar controles financieros para reducir el riesgo de soborno (por ejemplo, dos firmas en los pagos, restringir el uso de dinero en efectivo, etc.) Implementar controles en las adquisiciones, comerciales y otras actividades no financieras (por ejemplo, en las licitaciones, dos firmas en las aprobaciones de trabajo y variaciones, etc.) Proporcionar procedimientos de información confidencial (denuncia de irregularidades) Poner en marcha un proceso para investigar y tratar con un presunto o real soborno Las empresas pueden implementar las reglas internas y procedimientos necesarios para cumplir los requisitos de la Norma en forma independiente o con el asesoramiento de profesionales y consultores especializados. Luego, podrán requerir la evaluación de un organismo independiente para que, de cumplir con los requisitos aplicables, se le otorgue la certificación ISO 37001.

El buen gobierno corporativo se refiere al ‘cómo del negocio.’ No se trata de hacer una medida ni de ‘monetizar’ los factores intangibles (confianza, reputación, viabilidad de largo plazo), si además ello fuera posible. Se trata de comportamientos y procesos de negocios responsables, necesarios para la accountability. Uno de esos procesos es el proceso de la presentación de reportes corporativos. La presentación de reportes corporativos es clave para proporcionarles a los accionistas la información que necesitan para mantener a las juntas rindiendo cuentas. La función de Compliance a través de su máximo representante reportará de forma recurrente al órgano de administración de la organización, su comisión delegada  correspondiente  y  a  la  alta  dirección  las  informaciones  relevantes  de  la  ejecución  del  Programa  o  Programas  de  Compliance  que  debe  operar,  de  manera  que  aquel  o  aquellas  se  encuentren  puntualmente  informadas  de  su  marcha y puedan adoptar a tiempo las decisiones procedentes para la consecución de los objetivos de Compliance de la organización y la efectividad del Programa o Programas de Compliance establecidos para alcanzarlos. Informará en ellos de  incidentes  e  irregularidades  relacionadas  con  la  ejecución  del  Programa  o  Programas de Compliance que debe operar, especialmente cuando supongan incumplimientos  de  las  obligaciones  de  Compliance.  Cuando  la  organización  haya fijado una superestructura de Compliance para coordinar diferentes áreas o Programas de Compliance, corresponderá al máximo representante de la función de Compliance impulsar el reporte consolidado. En caso de reporte consolidado sobre diferentes áreas o Programas de Compliance, el máximo representante de la función Compliance debe advertir en él sobre aquellos ámbitos, materias o áreas que siendo objeto de coordinación a través de una superestructura de Compliance, no se incluyen en el mismo, señalando los motivos. Los objetivos de Compliance figurarán en la Política de Compliance correspondiente. En cuanto a la concurrencia de varios Programas de Compliance. Los reportes operativos de Compliance no sólo informarán de aspectos relacionados con  la  marcha  del  Programa  o  Programas  de   Compliance  y  sus  eventuales  modificaciones y mejoras, sino que también podrán elevar la adopción de las decisiones  que  se  precisen  y  corresponda  tomar  al  órgano  de  administración  de  la  organización,  sus  comisiones  delegadas,  la  alta  dirección  u  otros  cargos  con  atribuciones para ello. Informes específicos de compliance Con independencia de elaborar y dar curso a los reportes operativos y memorias anuales, la función de Compliance, a través de sus responsables, se ocupará de informar inmediatamente al órgano de administración de la organización o a sus comisiones delegadas de aquellos incidentes o irregularidades que, por su gravedad, puedan causar daños económicos o reputacionales significativos a la organización, especialmente cuando deriven del incumplimiento de obligaciones de Compliance. Ese cometido corresponderá al máximo representante de la función de Compliance cuando  la  organización  haya  dispuesto  una  superestructura  de  Compliance a efecto de coordinar diferentes áreas o Programas de Compliance sobre ámbitos u obligaciones de Compliance específicas. Ante  incidentes  o  irregularidades  graves  asociadas  con  el  incumplimiento  de  obligaciones  de Compliance el responsable del área o Programa de Compliance afectado tendrá en cuenta las obligaciones de comunicación a las autoridades competentes que le vengan impuestas por el marco legal aplicable a la organización (comunicación al órgano supervisor, por ejemplo), trasladando tal circunstancia al máximo. Los reportes operativos. Compliance, puedes distinguir tres categorías esenciales de ámbitos reportables, asociando indicadores a cada una de ellos: Ámbito de la prevención Esta esfera abarca las actividades relacionadas con la prevención de no conformidades o incumplimientos de Compliance. Por ejemplo: • Actividades formativas de Compliance planificadas y/o ejecutadas. Serían potenciales indicadores el volumen de población que ha recibido formación, el que ha superado las pruebas en sucesivas convocatorias, las calificaciones medias, etc. • Iniciativas de concienciación en materias de Compliance. Los indicadores asociados guardarían normalmente relación con el volumen de posibles destinatarios (impactos), la cantidad de consultas recibidas a raíz de las acciones desarrolladas, etc. • Procedimientos de conformidad inicial o anual cursados en relación con políticas críticas de Compliance. Podrían ser indicadores asociados a la población afectada que ha formalizado puntualmente sus declaraciones de conformidad, las anomalías detectadas por tipología de conformidad, etc.  Procedimientos relacionados con la captación de información o documentación relevante de Compliance. Población que, estando obligada a reportar o facilitar información de Compliance, han cumplimentado puntualmente sus obligaciones, etc. Ámbito de la reacción Esta esfera comprende informaciones relativas a no conformidades o incumplimientos de Compliance. A diferencia de la anterior, se trata de datos que suponen una exposición actual o previsible al riesgo y han precisado o requieren algún tipo de acción o remediación. Por ejemplo: • Incidentes de Compliance (no conformidades o incumplimientos) reportados a través de los mecanismos de escalado u otros canales. Puede fijarse una taxonomía de incidentes y de fuentes de detección, para agregar la información y tratarla comparativamente. Los indicadores habituales van asociados al número de casos surgidos en el periodo de reporte. • Incidentes de Compliance que han dado lugar a quejas o expedientes administrativos o judiciales. Los indicadores asociados guardan relación con el número de nuevos expedientes surgidos en el periodo de reporte. • Acciones de corrección que ha sido preciso poner en marcha (incluyendo las disciplinarias). Nuevamente, puede recurrirse a una taxonomía de acciones correctivas tanto en la esfera mercantil como laboral o de recursos humanos. Los indicadores asociados suelen señalar el número de acciones adoptadas. Ámbito de la predicción Las tendencias más avanzadas en materia de Compliance ponen énfasis en las capacidades del modelo para predecir riesgos de Compliance y poder actuar de manera temprana. No se trata de identificar acciones o incidentes vinculados con la organización, sino más bien con su entorno (jurisdicción, sector, etc.). Si a través de diferentes fuentes de información pública (publicaciones, foros sectoriales, etc) se aprecia el incremento de determinada tipología de incidentes de Compliance, es razonable adoptar medidas internas de revisión de forma cautelar. Aprender de las malas experiencias ajenas y anticiparte a su materialización mejorará tu calidad de vida. Las memorias anuales. Cuando se han ido generando reportes operativos de Compliance razonablemente completos, no es difícil elaborar memorias anuales sobre la base de sus contenidos. Cuando esto es así, las memorias anuales proporcionan una visión de alto nivel de cuanto ha acaecido en el ámbito del Compliance, siendo un resumen y valoración de informaciones relevantes que trasciende la simple consolidación de los reportes operativos. A medida de que dispongas de memorias con contenidos comparables, te resultará sencillo constatar si se evoluciona o no favorablemente en los diferentes ámbitos que contemplan. En algunas ocasiones, la regulación determina la estructura y contenidos tanto de los reportes operativos y/o de las memorias anuales –con independencia de la nomenclatura utilizada-. Cuando no es el caso, puedes distinguir entre memorias operativas y de monitorización, versando las primeras sobre aspectos más bien cuantitativos, asociados con la ejecución del modelo de Compliance y sus indicadores, mientras que las segundas sobre cuestiones vinculadas con la mejora de su diseño y efectividad. Evidentemente, nada impide que fusiones ambas esferas en un único documento. Memorias operativas Se resumen en ellas datos anuales agregados y conclusiones relevantes en los ámbitos de la prevención, reacción y predicción que he señalado anteriormente. Por consiguiente, consolidan los datos del ejercicio y se interpretan gracias al juicio experto de Compliance. El diagnóstico puede enriquecerse mediante la comparación de las informaciones recogidas en memorias de periodos anteriores, lo que permite apuntar tendencias evolutivas y anticipar medidas de corrección. Memorias de monitorización Se resumen las acciones que se han adoptado tendentes a la mejora continua del Modelo de Compliance. Algunas de estas acciones vienen propiciadas por labores que se ejecutan una vez al año –en ocasiones por terceros independientes-, tales como la verificación del modelo (diseño, implementación y eficacia). Al igual que sucedía con las memorias operativas, es positivo reflejar en ellas la valoración de Compliance en cuanto a su conveniencia, efectos positivos actuales o futuros, etc. Reportes de urgencia. Los apartados anteriores se refieren a los reportes ordinarios de Compliance, es decir, los que se generan de manera recurrente. Lamentablemente, hay que prever también reportes extraordinarios o urgentes. Son objeto de reporte urgente los incidentes de Compliance (no conformidades o incumplimientos) graves, esto es, aquellos susceptibles de producir daños económicos y reputacionales significativos, especialmente si son de evolución rápida. Es nutrida la relación de riesgos o incidentes de Compliance de esta última categoría que, por lo tanto, incrementan su potencial dañino a gran velocidad, hasta el punto que su gestión deviene muy difícil o imposible al cabo de poco tiempo. Es uno de los motivos por los cuales se exige que los órganos de Compliance estén próximos a los de gobierno social y máxima dirección, de modo que puedan realizarse comunicaciones con gran rapidez y fluidez, facilitando la adopción de medidas correctivas de manera inmediata. Algunas organizaciones determinan los riesgos sujetos a estos procedimientos de reporte urgente en el momento de desarrollar su risk assessment. De todas maneras, muchos riesgos urgentes son difíciles de prever a causa de su excepcionalidad. Una comunicación rápida y fluida suele estar reñida con el exceso de protocolo. Por eso, cuando reflexiones acerca de los reportes de urgencia y los procedimientos para cursarlos, evita encorsetarlos en formalidades superfluas y prima la rapidez de gestión que exigen las circunstancias. En cualquier caso, aparte de definir los cauces de comunicación más rápidos, identifica a las personas clave que deberán ser contactadas de manera inmediata para conformar, llegado el caso, un gabinete de crisis. Es posible que la función interna de Riesgos o la de Control interno hayan trabajado ya en planes de contingencia o de siniestros, disponiendo de protocolos que te resultarán de utilidad. En cualquier caso, comparte con ellos tus reflexiones acerca de las comunicaciones de urgencias y procedimientos asociado Reportes forenses. Sucede en ocasiones que el Compliance Officer es mandatado para desarrollar averiguaciones orientadas a determinar la existencia y circunstancias de una no conformidad o incumplimiento. Esto da lugar a reportes extraordinarios de naturaleza forense, que suelen ser la base y el soporte documental para adoptar decisiones relativas a dichos incidentes. Por ello, no sólo tienen utilidad interna sino que pueden terminar siendo empleados en el contexto de procedimientos administrativos o judiciales. A diferencia de las memorias anuales y los reportes operativos, los de naturaleza forense no se ejecutan con una periodicidad predefinida, no tienen un alcance general ni un contenido fácil de pluralizar. Como mucho, pueden esbozarse sus apartados básicos y poco más, dado que su contenido particular variará de un caso a otro. Puesto que estos reportes pueden terminar en la vía judicial, es importante que tengas en consideración algunas cautelas: • Es importante disponer de un procedimiento formal que paute el desarrollo de la investigación, de modo que los afectados no puedan interpretarlo en clave arbitraria, de discriminación o acoso. No olvides que esta es la línea argumental más recurrida por buena parte de los investigados por malas praxis. En este sentido, no sólo debes disponer de un procedimiento robusto sino ceñirte a él y documentar correctamente su ejecución. • El procedimiento formal debe asegurar la confidencialidad de las investigaciones así como la independencia de quienes participan en ellas. También debe garantizar los derechos que asistan a los sujetos involucrados en el proceso, incluyendo los relativos a la protección de datos personales o a la asistencia letrada. Esta última circunstancia puede obligarte, en ciertos momentos, a recordar al investigado que tiene derecho a solicitar la ayuda de un abogado y a no declarar contra sí mismo, como ya sucede en prácticas anglosajonas. • Igualmente, el procedimiento formal pondrá cuidado en asegurar la legalidad de las evidencias obtenidas para fundamentar las conclusiones reportadas, incluyendo el mantenimiento de su integridad y cadena de custodia. Se trata de un aspecto crítico, ya que errores en este ámbito pueden invalidar una prueba judicial relevante. Considerando estas circunstancias, es aconsejable que el procedimiento asociado a los reportes forenses sea definido con asesoramiento jurídico. Es más, vistos sus riesgos legales, es razonable recurrir a terceros expertos en investigaciones forenses, con experiencia contrastada en las problemáticas inherentes a este tipo de trabajos. Además, tal circunstancia añade imparcialidad en caso de utilización de los reportes frente a terceros. Incidentes o deficiencias perseverantes. Los reportes de Compliance dejarán constancia de los incidentes perseverantes, esto es, aquellos que siguen manifestándose a pesar de los planes de acción ejecutados para erradicarlos. Los incidentes perseverantes deben inquietarte, pues no sólo exponen a la organización a riesgos de Compliance sino denotan el fracaso de los planes de remediación aplicados, poniendo en tela de juicio tu labor así como la de tus órganos superiores. Es una circunstancia especialmente grave, ya que se puede intepretar que dichas deficiencias: (i) son toleradas por la organización, (ii) denotan una debilidad de su modelo de Compliance no corregida a tiempo o, (iii) delatan su deficiente operación. No puedes permanecer insensible ante cualquiera de estas tres posibilidades. Como señalan los estándares de Compliance modernos, es importante además profundizar y documentar las causas raíz de los incidentes, pues la ineficacia de las medidas adoptadas suele obedecer a un análisis deficiente que normalmente se limita a considerar y atacar sus consecuencias. Por lo tanto, un estudio robusto de estas causas raíz no sólo ayuda a acertar la estrategia, sino que evidencia el nivel de esfuerzo que está empleando la organización en darles solución, a pesar de los resultados.

Los reguladores (por ahora) no prescriben como se deben realizar, en los EEUU sin embargo piden que tengan en cuenta la naturaleza y seriedad de una posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y su priorización. Además ya preguntan con qué metodología se ha hecho. Cumplir con la exigencia de los reguladores no es el único beneficio de un buen mapeo de riesgos de É&C: •             Sirve para entender la exposición a riesgos, la probabilidad y las razones de ocurrencia y su impacto. •             Permite priorizar esfuerzos de mitigación de riesgos y designar los “dueños” para su gestión. •             Permite aplicar los recursos de É&C dónde más se necesitan en vez de dispersarlos por toda la organización equitativamente •             Permite focalizar los entrenamientos y la comunicación en temas y en áreas de la organización •             Indica qué comportamiento/resultados incentivar •             Es una excelente demostración de la Alta Dirección de que É&C es un tema al cual se le da importancia •             Sensibiliza a toda la organización por el tema de É&C •             Probablemente aparezcan riesgos desconocidos que de otra manera no se hubieran mitigado Un mini-manual con los puntos esenciales a observar al realizar un mapeo de riesgos de É&C y la definición de los mitigantes tendría los siguientes títulos y temas: •             Cada Mapeo es diferente. Pero todos tienen algo en común: la metodología. El dueño del proceso es el Compliance Officer. •             Trabajar con un grupo multidisciplianrio y multijerárquico. Es de importancia que el (o los) grupos de trabajo incluyan no solo las diferentes áreas directa e indirectamente expuestas a riesgos de É&C, sino también a los diferentes niveles, empezando con la Alta Dirección hasta los niveles operativos, que a menudo ven con mayor claridad ciertos riesgos que los niveles gerenciales no. Además, un grupo diverso sufre menos de ceguera motivada. •             Se utilizan los datos y demás información disponible de la línea de denuncias, entrevistas de salida, políticas y procesos, informes de auditorias y reportes de Compliance. Se realizan entrevistas individuales, encuestas y talleres. •             En un primer paso se elabora un inventario de riesgos de É&C y se analizan sus determinantes. Puede servir de base un listado abarcativo de posibles riesgos para despertar la sensibilidad. Ejemplos son Leyes & Regulaciones: FCPA; Anti Trust, regulaciones de la industria; Prevención de Lavado de Activos (PLA) y Financiamiento del Terrorismo (FT); Seguridad de datos; riesgos en la Cadena de Valor, riesgos del Programa de É&C; riesgos de Compliance en RRHH; riesgos de la Organización; riesgos del Modelo de Negocio; riesgos de Conflictos de Interés, etc. •             Típicamente surgen para cada riesgo varios determinantes. Los determinantes más importantes y a la vez más difíciles de encontrar y describir son los relacionados a la cultura: La presión por resultados; el Tone at the Top (y en el Medio); la consistencia de los valores con los incentivos; la justicia interna; el clima de transparencia así como el rol y la posición del Compliance Officer, las políticas y procesos, el entrenamiento y la comunicación. •             Para priorizar los riesgos inventariados hay que medir su probabilidad de ocurrencia y su impacto. Cómo hacerlo resulta a veces difícil. Una cuantificación no siempre es posible. Estimaciones se pueden mostrar en escalas (bajo/ medio/ alto…). •             Se otorgan prioridades a los riesgos de mayor impacto, o a los riesgos crecientes y se asignan acciones de mitigación, responsables y planes de acción. La definición de quién es el dueño de los riegos de É & C es crucial en la determinación de la estructura y forma de trabajo del área de Compliance y se debe reflejar en la job description del Compliance Officer. Una centralización de la mayoría de los riesgos de É&C en el área de Compliance (como pasa en la mayoría de los casos) lleva a que  Compliance adquiera una posición más activa en el día a día de los negocios de la compañía y requiere mayores recursos, tanto de personal calificado como de recursos financieros. Lo que habrá que evitar es la combinación al revés: Centralización de la responsabilidad por los riesgos de É&C sin los recursos necesarios para poder ejercer esta función efectivamente. Más allá de las dificultades de realizar un mapeo en sí, se suman cuestiones complejas a resolver mirando sus resultados: Un mapa de riesgos de É&C suele abarcar una gran variedad de temas provenientes de muchas áreas de la organización. Para poder adjudicar los recursos para la mitigación a los riesgos más importantes, hay que priorizarlos. ¿Quién lo hace? La respuesta a esta pregunta importa: la relevancia y los recursos que se le da a su mitigación depende de la prioridad otorgada y ésta depende de la evaluación por su responsable. Por más que el Compliance Officer es el responsable del proceso, la responsabilidad por los riesgos es compartida a través de la organización. Además, el mismo programa de Compliance y la organización de Compliance deben evaluarse como áreas de riesgo. Parece aconsejable que la priorización esté a cargo de una comisión integrada por los responsables de Riesgo, Compliance, Legales y Auditoría Interna. Como es por todos sabido, desde julio de 2015 el Plan de Prevención de Delitos o Compliance Program ha pasado de ser un documento/política presente en las grandes compañías, de mayor o menor valor, a un quebradero de cabeza para PYMES. En efecto, el Código Penal fuerza a todas las empresas a demostrar que han puesto en marcha medidas para prevenir y descubrir delitos en su seno. No obstante, la establece de forma genérica el contenido del Plan de Prevención dirigido a atenuar, en su caso, la responsabilidad de la empresa. Por tanto, hemos decidido elaborar la serie de artículos “Compliance en Práctica” con el objetivo de arrojar luz al respecto y facilitar a las empresas la implantación de las medidas exigidas por la ley. El Mapa de Riesgos es una herramienta dirigida a prever los riesgos a los que está expuesta la empresa mediante su identificación y segmentación. El Mapa puede centrarse en un tipo de riesgo y área de la compañía, o como es más habitual, ser transversal, cubriendo desde riesgos financieros (un aumento de la competencia que afecte negativamente nuestras ventas) a reputacionales (un uso inadecuado de los medios de comunicación de la empresa), pasando por los penales (insolvencias punibles). El procedimiento de identificación de Riesgos Identificación de los riesgos. Dentro de los riesgos legales, el detalle dependerá, entre otras cosas, del tamaño y sector de la compañía. Como es lógico, una empresa de gestión de residuos está expuesta a la comisión de un delito medioambiental en mayor grado que el resto de empresas. No obstante, determinados riesgos son comunes a todas las compañías, a modo de ejemplo: una inadecuada llevanza de la contabilidad y de los libros oficiales, contingencias fiscales y laborales, no contar con las licencias necesarias, etc. Criterios de evaluación de riesgos. De cara a asignar recursos para prevenir y cuantificar los riesgos (y posibles delitos), estos se suelen clasificar según su: Impacto económico. Probabilidad de que se materialicen, por ejemplo, podrían clasificarse como “probable”, “posible” y “remoto”. Área de la empresa. Variará según su naturaleza, pero podríamos pensar en producción, administración, legal e incluso órganos de la empresa tales como el órgano de administración y la junta general. Una vez identificado los riesgos, estos deberían ir acompañados tanto de medidas de prevención, como de medidas correctoras.   ¿Cómo la valoración del riesgo de cumplimiento es diferente de otras valoraciones del riesgo? Las organizaciones realizan valoraciones del riesgo para identificar los diferentes tipos de riesgo organizacional. Por ejemplo, pueden realizar valoraciones del riesgo de la empresa para identificar los riesgos estratégicos, operacionales, financieros, y de cumplimiento ante los cuales la organización está expuesta. En la mayoría de los casos, el proceso de valoración del riesgo de la empresa está centrado en la identificación de los riesgos de la “apuesta de la compañía” – los que podrían impactar la capacidad de la organización para lograr sus objetivos estratégicos. La mayoría de las organizaciones también realizan valoraciones del riesgo de auditoría interna para ayudar en el desarrollo del plan de auditoría interna. La valoración tradicional del riesgo de auditoría interna es probable que considere los riesgos del estado financiero y otros riesgos operacionales y de cumplimiento. Si bien esos tipos de valoraciones del riesgo típicamente tienen la intención de identificar riesgos importantes relacionados-con-el-cumplimiento, no están diseñados para de manera específica identificar los riesgos del cumplimiento legal o regulatorio. Por consiguiente, si bien las valoraciones del riesgo de cumplimiento ciertamente deben estar vinculadas con los procesos de riesgo de la empresa o de auditoría interna, generalmente requieren un enfoque más centrado. Esto no es para decir que no pueden ser completadas concurrentemente, o que deben ser esfuerzos aislados – la mayoría de las organizaciones pueden ser capaces de combinar las actividades que respaldan varias valoraciones del riesgo, quizás siguiendo un proceso inicial de identificación y valoración del riesgo de cumplimiento. Entienda sus principales riesgos de Cumplimiento. La valoración del riesgo de cumplimiento puede ayudar a que la organización entienda el rango completo de su exposición ante el riesgo, incluyendo la probabilidad de que pueda ocurrir un evento de riesgo, las razones por las cuales pueda ocurrir, y la potencial severidad de su impacto. Una valoración del riesgo de cumplimiento efectivamente diseñada también ayuda a que las organizaciones prioricen los riesgos, mapeen los riesgos para con los propietarios aplicables del riesgo, y de manera efectiva asignen recursos para la mitigación del riesgo. Elabore una estructura y una metodología Dado que el conjunto de los potenciales riesgos de cumplimiento que enfrenta la organización típicamente es muy complejo, cualquier valoración robusta debe emplear tanto una estructura como una metodología. La estructura establece el panorama del riesgo de cumplimiento de la organización y lo organiza en dominios de riesgo, mientras que la metodología contempla maneras tanto objetivas como subjetivas para valorar esos riesgos. La estructura necesita ser comprensiva, dinámica, y personalizable, permitiéndole a la organización identificar y valorar las categorías del riesgo de cumplimiento ante las cuales puede estar expuesta. Algunos riesgos de cumplimiento son específicos para una industria u organización – por ejemplo, las regulaciones de seguridad del trabajador para los fabricantes o las reglas que gobiernan el comportamiento de los representantes de ventas en la industria farmacéutica. Otros riesgos de cumplimiento trascienden industrias o geografías, tales como los conflictos de intereses, acoso, privacidad, y retención de documentos. Una estructura efectiva también puede esbozar y organizar los elementos de una estrategia efectiva de administración del riesgo que pueda ser aplicada a cada dominio del riesgo de cumplimiento. Aplique la metodología y realice la valoración del riesgo. Usar una metodología objetiva para evaluar la probabilidad y el potencial impacto de cada riesgo ayudará a que la organización entienda su exposición ante el riesgo inherente. “Riesgo inherente” es el riesgo que existe en ausencia de cualesquiera controles o estrategias de mitigación. Al principio, ganar un entendimiento preliminar del riesgo inherente le ayuda a la organización a desarrollar una visión temprana de su estrategia para la mitigación del riesgo. Y cuando las organizaciones identifican el riesgo inherente deben considerar los orientadores clave del riesgo que pueden ser organizados en las siguientes cuatro categorías amplias: • Impacto legal – La acción regulatoria o legal producida contra la organización o sus empleados que podría resultar en multas, sanciones, encarcelamiento, incautación de productos, o exclusión. • Impacto financiero – Impactos negativos con relación a la línea de resultados de la organización, precio de la acción, ganancias futuras potenciales, o pérdida de confianza del inversionista. • Impacto de negocios – Eventos adversos, tales como embargos o paradas de plantas, que de manera importante podrían interrumpir la capacidad de la organización para operar. • Impacto reputacional – Daño a la reputación o marca de la organización – por ejemplo, mala prensa o discusión en los medios sociales de comunicación, pérdida de confianza del cliente, o moral disminuida del empleado. Es importante proporcionar medidas tanto cuantitativas como cualitativas para cada categoría. Sin embargo, tal y como ocurre con todas las valoraciones del riesgo, la medición precisa puede probar ser esquiva. En el caso de riesgos con impacto financiero directo, el valor monetario actual puede ser medible con relación al riesgo. Otra manera para evaluar el riesgo es usar una escala crítica que señale la extensión del impacto de que ocurra un no cumplimiento. La extensión del impacto puede ser descrita en términos cualitativos. Por ejemplo, para el impacto reputacional, impacto bajo puede ser mínimo para la no cobertura de prensa, mientras que impacto alto puede ser prensa negativa extensiva en los medios de comunicación nacionales. Determine el riesgo residual Si bien es imposible determinar toda la exposición que la organización tiene frente al riesgo, la estructura y la metodología del riesgo les ayudan a la organización a priorizar qué riesgos desea administrar de manera más activa. Desarrollar una estructura y una metodología le ayuda a las organizaciones a determinar la extensión en la cual las actividades de mitigación del riesgo existentes en la organización (por ejemplo, prueba y monitoreo o programas de entrenamiento del empleado) son capaces de reducir el riesgo. Las actividades efectivas de mitigación del riesgo pueden reducir la probabilidad de que ocurra el evento de riesgo, así como también la potencial severidad del impacto para la organización. Cuando la organización evalúa el riesgo inherente a la luz de su ambiente de control y sus actividades de control, el grado de riesgo que resulta es conocido como el “riesgo residual.” Si las estrategias existentes de mitigación del riesgo son insuficientes en la reducción del riesgo residual a un nivel aceptable, esto es un indicador de que las medidas adicionales están en orden. ¿Qué hace que la valoración del riesgo de  cumplimiento sea de clase mundial? Si bien cada valoración del riesgo de cumplimiento es diferente, las más efectivas tienen una serie de cosas en común. Para realizar una valoración de clase mundial, considere las siguientes prácticas líderes: • Obtenga input de un equipo multidisciplinar: La valoración del riesgo de cumplimiento requiere la participación de especialistas en temáticas profundas provenientes del departamento de cumplimiento y de toda la empresa. Son las personas que viven y alimentan el negocio – que están en funciones específicas, unidades de negocio, y geografías – quienes entienden plenamente los riesgos ante los cuales la organización está expuesta, y que ayudarán a asegurar que todos los riesgos clave sean identificados y valorados. Además, si la metodología es diseñada en un vacío sin consultar los propietarios del riesgo, el output del proceso carecerá de credibilidad cuando se llegue a implementar los programas de mitigación. • Construya a partir de lo que ya se ha hecho: Más que empezar desde cero, busque maneras para aprovechar el material existente – tal como valoraciones del riesgo de la empresa, reportes de auditoría interna, y revisiones de la calidad – e integre el contenido del riesgo de cumplimiento cuando sea apropiado. Asegure comunicar, a los grupos que usted busque comprometer, las diferencias entre las valoraciones del riesgo de cumplimiento y otras valoraciones. De manera clara, el output de cada proceso de valoración del riesgo debe informar y conectarse con cada uno de los otros. • Establezca propiedad clara para los riesgos específicos y oriente hacia mejor transparencia: Una valoración comprensiva del riesgo de cumplimiento ayudará a identificar a los individuos responsables por administrar cada tipo de riesgo, y hace más fácil que los ejecutivos consigan manejar las actividades de mitigación del riesgo, los esfuerzos de mitigación, y las exposiciones emergentes ante el riesgo. • Haga que la valoración se pueda llevar a la acción: La valoración prioriza los riesgos y además señala cómo deben ser mitigados o remediados. Los esfuerzos de remediación deben ser universalmente entendidos y viables a través de las fronteras. Asegure que el output de la valoración del riesgo pueda ser usado en la planeación operacional para asignar recursos y que también puede servir como el punto de partida para los programas de prueba y monitoreo. • Solicite input externo cuando sea apropiado: Por definición, la valoración del riesgo confía en el conocimiento de los riesgos emergentes y el comportamiento regulatorio, los cuales no siempre son bien conocidos al interior de la organización. Conseguir experticia externa puede ayudar a informar la valoración y asegurar que incorpora un entendimiento detallado de los problemas emergentes de cumplimiento. • Trate la valoración como un documento vivo, que respira: Una vez que usted asigna recursos para mitigar o remediar los riesgos de cumplimiento, la potencial severidad de esos riesgos cambiará. Lo mismo ocurre para los eventos en el entorno de negocios. Todo esto debe orientar los cambios a la valoración misma. • Use lenguaje plano que hable a una audiencia general de negocios: La valoración necesita ser clara, fácil de entender, y que se pueda llevar a la acción. Evite absolutos y análisis legal complejo. • Periódicamente repita la valoración del riesgo: Las valoraciones efectivas del riesgo de cumplimiento se esfuerzan por asegurar un enfoque consistente que continúe siendo implementado con el tiempo, e.g., cada uno o dos años. Al mismo tiempo, la inteligencia frente al riesgo requiere análisis continuo y escaneo del entorno para identificar los riesgos emergentes o las señales de alarma temprana. • Aproveche los datos: Mediante incorporar y analizar los datos clave (e.g., estadísticas de la línea directa, registros de transacciones, hallazgos de auditoría, reportes de excepciones del cumplimiento, etc.), las organizaciones pueden ganar un entendimiento más profundo de dónde los riesgos existentes o emergentes pueden residir dentro del negocio. Muchas organizaciones están considerando inversiones en tecnologías, tales como herramientas analíticas y de monitoreo de la marca, para ayudar a aprovechar y analizar los datos para fortalecer sus capacidades de detección del riesgo. Adicionalmente, las organizaciones están considerando inversiones en datos, incluyendo monitoreo de medios de comunicación tradicionales / mención negativa, datos de medios sociales de comunicación, realización de encuestas, y otras fuentes de datos. Valore para el éxito. El constantemente cambiante entorno regulatorio incrementa la vulnerabilidad de la mayoría de las organizaciones ante el riesgo de cumplimiento. Esto es particularmente verdadero para las organizaciones que operan en una escala global. La complejidad del panorama del riesgo y las sanciones por el nocumplimiento hacen que para las organizaciones sea esencial realizar valoraciones completas de su exposición ante el riesgo de cumplimiento. Una buena valoración del riesgo de ética y cumplimiento incluye tanto una estructura comprensiva como una metodología para evaluar y priorizar el riesgo. Con esta información en la mano, las organizaciones podrán desarrollar estrategias efectivas de mitigación y reducir la probabilidad de un evento importante de nocumplimiento o de falla de la ética, separándose de sus competidores en el mercado.

Definiendo un programa de compliance. El Corporate Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las empresas líderes para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención y gestión, formación, detección, minimización y control de los mismos. Por qué lo necesitamos El entorno legislativo en el que la empresa desarrolla sus actividades es cada vez más abundante y complejo. El nivel de  beligerancia de las autoridades y organismos regulatorios es cada vez mayor y el impacto de la regulación es más intenso que nunca. Por ello, y por los recientes escándalos societarios y el innegable incremento de la sensibilidad social respecto de la “ética de los negocios”, un mayor número de organizaciones públicas y privadas internalizan estándares éticos y legales como protocolos de buen gobierno de obligado cumplimiento. Los riesgos a prevenir son aquellos que conllevan consecuencias como el daño reputacional, la imposición de multas y sanciones, las pérdidas de negocio por contratos no ejecutables o la exclusión de licitaciones o subvenciones públicas, entre otras. Un programa integral de Corporate Compliance se compone de múltiples elementos y su consecución depende en gran medida de la creación de una cultura corporativa de estricto cumplimiento de las normas y políticas éticas de la empresa. Por ello, es imprescindible que se establezcan mecanismos de control o medidas de respuesta ante posibles incumplimientos, incluyendo entre otros acciones de formación, una estrategia de comunicación interna y externa del programa y la adopción de buenas prácticas. Es un sistema claramente definido que integra las diferentes medidas de compliance y está basado en tres pilares: prevenir, detectar y responder. Prevenir: Es el pilar fundamental. Se basa en la formación y la comunicación. Comprende las actividades que proporcionan a jefaturas y empleados la información necesaria para el comportamiento íntegro día a día. De igual manera, se han de elaborar normativas y procedimientos que complementen al Código de conducta en los negocios y cuyo objetivo es la prevención de incumplimientos de la legislación externa y de las normas internas. Para conseguir una mayor agilidad en el proceso se debe dotar a la organización de herramientas específicas en ámbitos como, por ejemplo, los socios comerciales, el negocio de proyectos, los regalos, los patrocinios, las donaciones, etc. Detectar: Como la prevención no siempre es suficiente, la compañía, además, ha de contar con una serie de mecanismos para detectar los posibles casos que se puedan dar o que pueden llevar a malas praxis. El elemento central es establecer canales de comunicación como el canal de denuncia o whistle-blowing, accesibles tanto a nivel interno como externo de la organización. Los controles internos se ejecutan de forma periódica y son sometidos a una evaluación interna que, a su vez, se complementa con la auditoría externa. Responder: El tercer pilar del sistema de compliance lo conforman unas consecuencias y unas respuestas claras que no deben dar lugar a equívocos. La empresa ha de disponer de un comité disciplinario para evaluar las medidas que se deben adoptar en caso de incumplimiento de la legislación vigente o de las normativas internas. Los programas de compliance, programas de cumplimiento normativo o programa de integridad, entendidos como sistemas de control interno para prevenir y descubrir los ilícitos que se cometan al amparo de las estructuras empresariales (BACIGALUPO, 2011:106), son un signo del compromiso de las empresas con el cumplimiento de la ley o, cuando menos, un mecanismo eficaz para la prevención y persecución de tales conductas. Puede ser susceptible de controversia si estos modelos promueven realmente el comportamiento ético de las compañías (WEAVER, 2014:293; y BLOUNT y MARKEL, 2012:1044-1045), pero lo que no parece discutible es que son un elemento útil en la prevención, detección y persecución de las conductas ilícitas. En EE. UU., donde la discusión doctrinal sobre este tipo de programas comienza en los años 60 del siglo pasado, la crisis financiera de principios de este siglo ha avivado el debate sobre su utilidad, al menos tal como son concebidos por las sentencing guidelines y, particularmente, sobre si realmente fomentan el comportamiento ético de las empresas. En efecto, esta forma de acercarse al problema de la prevención de la comisión de ilícitos en el seno de las estructuras empresariales, a través de la implementación de programas de compliance, que crean estructuras destinadas a prevenir y detectar tales conductas -compliance-based approach-, no es compartida por todos los estudiosos de esta problemática. Algunos autores entienden que este modelo debe ser sustituido por aquel en el que lo relevante sea el desarrollo dentro de la organización de una cultura ética -integrity-based approach- que fomente un comportamiento honorable y responsable de los miembros de la organización, evitando de esta forma la implementación de lo que se ha llamado cosmetic compliance; esto es, programas de cumplimiento que lo único que pretenden es rebajar las posibles sanciones a la entidad por la comisión de las conductas ilícitas de sus empleados. Como vamos a ver con más detalle a continuación, todo programa de cumplimiento deberá incorporar mecanismos adecuados para la detección de las conductas ilícitas que se cometan bajo el paraguas de la organización y para su castigo interno. Además, si la empresa quiere mostrar «su disposición» a colaborar con las autoridades, su denuncia será determinante. Por tanto, las posibilidades de que tales conductas queden impunes disminuyen considerablemente, haciéndolo, en la misma medida, el atractivo de su comisión. La incorporación a los programas de compliance de normas concretas destinadas a prevenir la corrupción aparece como una medida preventiva eficaz para disuadir de su comisión a los miembros de la organización y, por tanto, es una medida esencial para que la organización pueda eludir su propia responsabilidad como entidad. Los compliance programs se convierten en una pieza fundamental en la lucha contra la corrupción en el seno de las estructuras empresariales. Pero para que ello sea efectivamente así y el programa de cumplimiento sea realmente una herramienta eficaz y no un mero cosmetic compliance su contenido deberá ajustarse a unas pautas. Estas deberán seguir, sin duda, las exigencias derivadas de la normativa nacional en su caso, pero, también, y especialmente, tal como hemos destacado con anterioridad, las marcadas por la FCPA y la Bribery Act. Ambas normas se han convertido en la «punta de lanza» de la lucha global contra la corrupción, independientemente del lugar del mundo donde se produzca el soborno. Partiendo de estas premisas, las líneas fundamentales que tendría que cumplir un programa de cumplimiento eficaz para prevenir la corrupción serían las siguientes: 1) El compromiso de la dirección de la entidad con «la cultura del cumplimiento» -culture of compliance-. Los directivos de la compañía han de implicarse en la implementación y vigilancia del programa, porque una sólida cultura ética es la base de un programa de cumplimiento sólido. La lucha contra el soborno debe ser una postura de la entidad y aquellos que la dirigen son los que están en mejor posición para defenderla. 2) Un código de conducta claro, conciso y accesible a todos los empleados, que incorpore las reglas y los procedimientos para su cumplimiento, así como las consecuencias de su incumplimiento. Estos códigos éticos o de conducta no pueden ser meras declaraciones programáticas. A estos efectos el personal de la empresa debe conocer tanto su existencia como sus resultados. En este código ético o de conducta deben incluirse las normas que regulen cuál es la política de la compañía sobre cuestiones tales como el ofrecimiento o aceptación de obsequios, atenciones de hospitalidad o gastos de promoción, para intentar clarificar, en la medida de lo posible, cuándo una determinada práctica comercial puede ser ilícita por encubrir una forma de soborno. La materia relativa a regalos, atenciones de hospitalidad y gastos de promoción se contempla expresamente en The Bribery Act 2010 Guidance (22-36). En este ámbito es especialmente significativo lo sucedido en Alemania, después del denominado WM-Ticket-Affäre («caso de las entradas de la Copa Mundial»), consistente, en síntesis, en los hechos siguientes: en 2006, Utz Claassen fue juzgado por un posible delito de cohecho a funcionarios públicos por regalar entradas para la Copa Mundial de Fútbol (que se celebró en Alemania en 2006) a varios cargos públicos. El citado, consejero delegado de la compañía enérgetica Energie Baden-Württemberg AG (EnBW), fue absuelto, pero la incertidumbre que se generó entre las empresas sobre la legalidad de los gastos de hospitalidad y promoción dio lugar a la publicación, en julio de 2011, de la guía Hospitality und Strafrecht - ein Leitfaden, por parte de la asociación S20, el Cómite Olímpico Alemán y el Ministerio Federal Alemán del Interior. Esta guía considera que es una práctica habitual, por parte de las empresas, la invitación a eventos deportivos y culturales, tanto de posibles socios comerciales como de autoridades y aporta directrices dirigidas a todos los empleados de una compañía y, en particular, a los de los departamentos de compliance y a los asesores legales de las empresas, para arrojar luz sobre los problemas asociados a las invitaciones a tales eventos. 3) Una evaluación adecuada, periódica y continua de los riesgos potenciales que afronta la entidad en el ámbito de la corrupción en función de su tamaño, estructura, actividad y mercado. Debe prestarse especial atención a diversos tipos de riesgos, como son: i) country risk, o riesgos concretos derivados de la situación de un país; ii) sectorial risk o riesgos sectoriales, desde el momento en que hay sectores en los que el riesgo de soborno es más elevado; iii) transaction risk, directamente relacionados con el tipo concreto de operación, porque algunas de ellas son, a estos efectos, más arriesgadas que otras; iv) business opportunity risk, que son los riesgos que presentan determinados proyectos por su gran valor, su alto número de intervinientes, por no ajustarse a los precios al mercado o por tener unos objetivos poco claros; y iv) business partnership risk, esto es, aquellos riesgos que derivan de las asociaciones con otras entidades. 4) Existencia de personal específico, con la autonomía y autoridad necesarias, que se encargue de la vigilancia de la implementación del programa de cumplimiento. 5) Dotación adecuada de recursos económicos para su ejecución, en función de las características de la empresa y de los riesgos que afronte. 6) Una adecuada formación del personal, que deberá contar además con vías para solicitar un asesoramiento urgente si fuera preciso. 7) La existencia de incentivos si se cumple el compliance. 8) El control eficaz de los terceros que trabajen para la entidad en concepto de agentes, consultores o distribuidores (due diligence procedures). La entidad debe dotarse de procedimientos adecuados para disminuir el riesgo de que los terceros que realicen actividades en su nombre incurran en prácticas corruptas. También deben solicitar información sobre aquellas personas con las que entablen relaciones comerciales. 9) Un canal de denuncias y un procedimiento para desarrollar las investigaciones internas. El programa de compliance debe diseñar la vía o vías para denunciar internamente posibles comportamientos ilícitos, así como el procedimiento para llevar a cabo las investigaciones internas que sean necesarias, ante la noticia de que estos comportamientos se están llevando a cabo. Del éxito de estas investigaciones y de los datos que las mismas proporcionen dependerá en gran medida la fortaleza de la posición de la entidad si finalmente se le exigen responsabilidades por tales ilícitos; pudiendo beneficiarse, asimismo, de las ventajas que supone el reconocimiento de su disposición a colaborar con las autoridades. El desarrollo de estas investigaciones genera múltiples cuestiones, derivadas, la mayoría, de la dificultad de establecer un equilibrio entre los intereses de la entidad y los intereses de sus empleados, que pueden no ser coincidentes. También resulta interesante la problemática derivada de la obligación o no de la compañía de facilitar a las autoridades los datos derivados de dicha investigación, en íntima relación con el reconocimiento y alcance, respecto a la entidad, de derechos tales como el de la confidencialidad entre abogado y cliente o el derecho a no auto incriminarse. 10) Un régimen de disciplinario interno para los infractores. 11) La evaluación del propio programa para introducir, en su caso, las mejoras que fueran necesarias. Mucho más que un código y una línea de denuncias. Con el Régimen de Responsabilidad Penal de las Personas Jurídicas, las empresas están preocupadas por las nuevas responsabilidades penales que afectan. Pero deben tener presente que contar con un Código Ético y una línea de denuncias por correo electrónico, no es sinónimo de Compliance. El Código Ético es el instrumento normativo de mayor nivel en la estructura de la organización, lo que implica que el sistema que se aplique debe regirse por los principios éticos definidos en el mismo. El Código Ético será el documento  que contendrá los principios éticos que la empresa aplica en todos los ámbitos de su actividad. Representa el compromiso de la empresa con el cumplimiento de las leyes y de los valores éticos que en ellas se defienden. El Programa de Compliance será el garante del cumplimiento de los compromisos establecidos en el Código Ético. Siendo el objetivo de un Programa de Compliance garantizar que todos los miembros de la organización apliquen de forma efectiva las medidas de prevención y control previstas, de forma que este Programa de Compliance consiga la eliminación de actuaciones  que puedan poner en riesgo a la persona jurídica. Diferencia entre código de ética y conducta. Un elemento fundamental de los programas de cumplimiento es la aprobación de códigos de conducta o códigos éticos que reflejen de forma clara las normas y políticas que han de regir las distintas actividades de la compañía. Son, en definitiva, el primer documento que recoge y establece los valores éticos y principios recogidos por la compañía. Las compañías deben de contar con Reglamentos internos o códigos éticos de actuación que establezcan el marco ético de actuación de sus empleados y de la Alta dirección de la entidad. Además de estos principios generales, incluyen elementos para asegurar su cumplimiento. Por lo general, hacen referencia expresa al canal de denuncias, a la atribución de responsabilidades de los distintos órganos y miembros con responsabilidades en la materia, y al régimen disciplinario en supuestos de vulneración de los principios éticos o normas de conducta de establecidos por la organización. No estamos hablando por tanto de un documento de buenas prácticas o una declaración de intenciones sin mayores consecuencias. Los códigos éticos han de generar obligaciones hacia los destinatarios (principalmente directivos y empleados, pero pudiendo hacerse extensivos a proveedores o aquellos grupos de interés que se establezcan), imponiéndose las sanciones que corresponda de casos de incumplimiento. Así pues, el Código de Conducta contendrá las normas y principios generales que regulen la actividad empresarial y que sean aplicables a todas las personas que pertenecen a la organización. 1. Códigos de ética: contienen enunciados de valores y principios referidos al propósito de la corporación, a sus obligaciones y responsabilidades hacia los stakeholders y a las normas que deberán conformar el comportamiento de sus integrantes. 2. Códigos de conducta: constituyen enunciados de reglas expresadas de forma afirmativa o negativa acerca de aquello que pueden o no pueden hacer los integrantes de la corporación. Pueden fijar penalidades por incumplimiento y fijar los procedimientos para hacer cumplir las normas y apelar en caso de disenso o conflicto de intereses. Para diseñarlo es preciso seguir estos pasos: Se designa un comité de ética, con no más de siete personas y no menos de tres. Los integrantes deben ser de primer nivel y saber consensuar. Este equipo debe redactar el contenido del código para comunicarlo a la alta dirección. Se define qué hacer en casos que propicien conflictos de interés, cumplimiento de las leyes locales; así como establecer criterios de privacidad, confidencialidad, comunicación interna, ceses laborales y llamados de atención. El comité presenta el borrador preliminar para que la alta dirección lo revise y apruebe para su promulgación final. Esto simboliza una declaración pública acerca de aquello en lo que se está comprometiendo. Se define la vía para comunicar el conjunto de normativas del código. No hacerlo equivaldría en convertirlo en letra muerta. Se otorga credibilidad al código al estar vinculado a estímulos y sanciones que deberán cumplirse para que no pierda impacto y credibilidad. Se designa una comisión de honor, compuesta por empleados de reconocida trayectoria en la organización. Se capacita al talento y personal de la organización para que entiendan la importancia de asumir un código de ética, así como disponer de un comité de ética y considerar ampliamente al comité de honor. El Comité establece comunicación con todas las áreas de la organización. La realización de seminarios podría ayudar a permear en todos los niveles, al igual que los comunicados y boletines. Se implementan mecanismos de denuncia y certificaciones internas. Beneficios de un programa de compliance. Un Programa de Cumplimiento serio y completo conlleva diversos efectos en el agente económico que lo implementa de buena fe. Todo agente que logre comprometerse con el cumplimiento de la normativa de libre competencia y transmita de manera efectiva el compromiso adquirido podría verse beneficiado. Los principales beneficios de un Programa de Cumplimiento son los siguientes: (i) Prevención de infracciones, (ii) Detección y control de daños. Con la implementación de un correcto Programa de Cumplimiento el agente económico podrá identificar sus propias “debilidades y fortalezas” y actuar conforme a éstas. 1. Prevención de infracciones. El principal beneficio de un Programa de Cumplimiento es prevenir la comisión de conductas susceptibles de calificarse como una infracción a la normativa. 2. Detección y control de daños. En aquellos casos en que a pesar de existir un buen Programa de Cumplimiento se comete una infracción, los mecanismos implementados podrán identificar aquellas faltas, permitiendo a la empresa adoptar las medidas pertinentes para ajustarse y hacer respetar la normativa.

Definición del Compliance Officer. El responsable de Compliance (CCO o Compliance Officer) tiene como objetivo principal implementar un “Programa de Cumplimiento” basado en procedimientos que aseguren el adecuado diseño de actividades de cumplimiento normativo interno y externo en sentido amplio. El Compliance Officer debe recibir de fuentes internas y externas indicadores de problemas (Ej. denuncias), investigarlas o hacerlas investigar, participar de start up de nuevos negocios o productos, analizar determinados contratos, capacitar activamente a funcionarios de la compañía, averiguar antecedentes de potenciales nuevos empleados, socios de negocios, distribuidores, etc. Tiene que estar alerta a la sanción de nuevas normas nacionales e internacionales que puedan afectar a la compañía donde se desempeñan. Y además tiene una fundamental misión: que los dilemas éticos que existen a diario sean puestos sobre la mesa y se discutan abiertamente. La introducción en el Código Penal de la de la responsabilidad penal de las personas jurídicas, ha llevado a replantearse muchos procedimientos y prácticas en las empresas. El rol del Compliance Officer se está generalizando a raíz de la entrada en vigor de dicha reforma. Se ha pasado de un concepto reactivo a un concepto preventivo del cumplimiento normativo. Esto ha llevado a la creación de protocolos específicos de Compliance que afectan a las diferentes áreas funcionales y que han creado la figura de Compliance Officer, figura establecida desde hace tiempo en las empresas americanas. En este sentido, no debe obviarse la posición de garante que incumbe de forma principal al empresario y cómo este generalmente actuará mediante delegación, mutando sus responsabilidades (que no desaparecen) a las de supervisión y vigilancia de los empleados subordinados que hubieran asumido las responsabilidades delegadas. Por tanto, el Responsable de Cumplimiento asume del empresario algunas funciones delegadas como son los deberes de control de la peligrosidad de la actividad empresarial y de supervisión y vigilancia de otras personas. Al hilo de ello, la persona jurídica es susceptible de incurrir en responsabilidad si hay delito. Los más relevantes en el ámbito de la empresa son los de corrupción, sobornos y balances falsos. Esta modificación ha provocado la proliferación de una figura no del todo conocida, la del Compliance Officer, la persona responsable de la supervisión y gestión de cuestiones relacionadas con el cumplimiento. Generalmente, entre sus funciones se encuentran: diseñar y aplicar controles, normativas y procedimientos internos que permitan garantizar el cumplimiento de la legislación y normativa aplicables, gestionar las auditorías e investigaciones sobre cumplimiento y normativas o responder a las solicitudes de información de los organismos reguladores, y supervisar el cumplimiento de los códigos de conducta voluntarios de las compañías. Puede afirmarse que el Chief Compliance Officer (CCO) es el arquitecto y administrador de la estrategia de cumplimiento de la empresa, la estructura y los procesos. Como líder de las tareas relativas al cumplimiento y experto en la materia, el Director de Cumplimiento es responsable de establecer las normas y la aplicación de los procedimientos para asegurar que los programas relativos al mismo en toda la organización son eficaces y eficientes en la identificación, prevención, detección y corrección de las faltas de cumplimiento con las normas y reglamentos aplicables. Además, debe proporcionar una seguridad razonable a la Alta Dirección (Directorio) y el Consejo de Administración de que hay políticas y procedimientos eficaces y eficientes en el lugar, bien entendidas y respetadas por todos los empleados, y que la compañía está cumpliendo con todos los requisitos reglamentarios. Los principios que deben regir cualquier actuación de un Compliance Officer deben estar basados en la independencia de la función respecto del negocio, es imprescindible que exista una involucración seria, efectiva y real de la Alta Dirección de la Empresa. Del mismo modo, se hace precisa la existencia de una estructura organizativa que se encuentre adecuadamente definida a los fines que se pretendan, y con medios económicos suficientes como para posibilitar la realización de los objetivos que se intenten conseguir. En la realización de la actividad del Compliance Officer es determinante la existencia de políticas y procedimientos escritos que regulen la actuación y las pautas a seguir. Complementariamente a lo indicado, hay otros elementos a considerar: a) El Compliance Officer ha de contar con un nivel de formación suficiente, y en todo caso, ello es especialmente importante con relación al conocimiento que el mismo ha de poseer del funcionamiento de la organización, de su cultura corporativa y de las normas públicas y privadas que en cada momento le van a ser aplicables. b) Debe hacerse especial alusión a la existencia de programas de verificación y vigilancia internos, que ayuden en el desempeño de la función a realizar. c) El Compliance Officer debe poseer un acceso diáfano y nítido a la información de la empresa, y al mismo tiempo, a todas las funciones y procesos que se desarrollen en el seno de la misma. d) Debe prestarse una especial atención a la función que el área de Compliance debe tener con otras unidades de la Entidad. En este sentido, deben destacarse las de Auditoría, Control Interno, Gestión de Riesgos y cuantas otras desarrollen funciones análogas, conforme a cada estructura societaria en particular. En lo que se refiere al perfil competencial del cargo, se pueden determinar los siguientes: a) Formación académica. El máximo responsable de cumplimiento tendrá normalmente formación y conocimientos sobre el marco legal de sus cometidos. Por ello, su formación académica será normalmente de tipo superior, relacionada con su ámbito de cumplimiento y con información adicional o experiencia en las restantes. b) Experiencia práctica. La función de cumplimiento relevante para la organización y de su inadecuado desempeño se puede derivar daños económicos y reputacionales importantes. Por ello, es aconsejable que el máximo responsable de cumplimiento disponga de experiencia en el desarrollo de tal cometido, adquirida paulatinamente dentro de la propia realización o en puestos externos anteriores. c) Historia profesional. Ninguna persona relacionada con la función de cumplimiento deberá haberse visto involucrada en circunstancias que apunten a un comportamiento poco ético o de incumplimiento, dentro y fuera de la organización. d) Competencias personales. Puesto que la función de cumplimiento mantiene diálogo directo con la alta dirección, y se relaciona con áreas corporativas relevantes, se precisan adecuadas competencias de comunicación y coordinación. Igualmente, cuando se lidera un equipo de cumplimiento, se requerirán competencias de organización y liderazgo. e) Posición jerárquica dentro del organigrama de la empresa, el máximo responsable de cumplimiento debe ocupar una posición acorde a su rango e independencia: normalmente como función interna independiente con acceso directo a los Gerentes, al Directorio o al Comité de auditoría/Sindicatura. No estará subordinado a personas u órganos que puedan verse afectados negativamente por sus acciones. f) Contratación consistente: la contratación laboral con el responsable de cumplimiento debe ser consistente con todo lo anterior. Evidentemente, ello se traduce en un régimen económico acorde a la relevancia y responsabilidades del cargo. Del mismo modo, como elementos a tener en consideración en la creación de la figura del Compliance Officer, se deben ponderar las siguientes cuestiones: a) Soft skills. Disponer de una gran capacidad de comunicación, interactuación y networking con quienes son los destinatarios finales de nuestros servicios, sea el cliente interno (en el caso del Compliance Officer), sea el cliente externo (en el caso de servicio de Compliance, inclusive la externalización de la función de Compliance Officer), son imprescindibles. Ante todo, el Compliance Officer debe tener una total empatía con el negocio y con las áreas de soporte a ese negocio. El objetivo final no es ser tangencial, transversal, paralelo, perpendicular, al negocio. El objetivo es ser parte del negocio. b) Ser “la persona/departamento del NO” impide apreciar los riesgos y gestionarlos. La gestión de cumplimiento deben ser actividades a ayudar a identificar los riesgos asociados a una determinada actividad, expresados de manera sencilla, clara y directa, para que puedan gestionarse. c) Conocer es el primer paso para poder actuar. Vivimos una era en que puede llegar a ser más importante saber cómo manejar las múltiples fuentes de información que tenemos a nuestra disposición, que acumular conocimiento en nuestra cabeza. d) La tecnología no es una alternativa. La base tecnológica como driver de la actividad económica es una constante en (casi) todas las empresas, pequeñas, medianas y grandes. Es con ella como mejoran su actividad, amplían su negocio y llegan a nuevos mercados (y no sólo Internet). e) La automatización es esencial para ser más eficiente, mejor y más barato. Más allá de consecuencias sociales que desde luego hay que gestionar, lo cierto es que actualmente la tendencia es que siempre que sea posible las tareas se hacen por máquinas y software y no por personas. Y esa afirmación es extensible a las actividades de cumplimiento normativo. Designación de un CCO: S&P Global Ratings mantiene una función de cumplimiento y ha designado a un oficial de cumplimiento (compliance officer) que es independiente de las actividades analíticas y Comerciales. La función de cumplimiento tendrá la autoridad, recursos, experiencia, pericia y acceso necesarios a toda la información relevante para ejecutar sus responsabilidades de manera adecuada e independiente, de acuerdo con lo requerido por la ley o por la regulación, incluyendo contar con un empleado senior con el conjunto de capacidades requeridas para operar como oficial de cumplimiento de S&P Global Ratings a cargo de la función de cumplimiento.   Su rol y funciones. Son responsabilidades del Compliance Officer no se limitan al deber de informar los posibles riesgos e incumplimientos. Se trata de una función que para poder cumplir cabalmente con ese deber y ser eficaz en su gestión, requiere ejecutar una serie de tareas de seguimiento, control, implementación, capacitación y notificación a los órganos de gobierno de la empresa. Si bien no hay un consenso sobre todas las responsabilidades del Compliance Officer, que pueden variar de empresa a empresa según su organigrama y sector, sí existen unas líneas generales de actuación comunes para la función que vienen recogidas recientemente en la Norma ISO 19600. De manera enunciativa, destacan las siguientes: • Debe identificar las obligaciones a que están sujetas las empresas, tanto desde el punto de vista legal como también aquellas directrices que deriven de Códigos Sectoriales o de sus propias políticas o de Códigos Éticos. La doctrina refiere estos dos tipos de obligaciones como Hard Law y Soft Law, siendo las primeras aquellas que derivan de un mandato jurídico cuyo incumplimiento representa una infracción, mientras que las últimas son aquellas que voluntariamente decide cumplir la empresa como buenas prácticas sectoriales o de desarrollo de buen gobierno. • Debe comprender los procesos y procedimientos de la empresa, de manera que pueda integrar el desarrollo de los mismos con las obligaciones en materia de cumplimiento normativo. • Frente a los empleados, el Compliance Officer será el responsable de proveer o coordinar los entrenamientos continuos en materia de cumplimiento normativo, así como la figura que dará soporte en el caso de dudas sobre cómo proceder o si cierta conducta constituye o no una infracción al Compliance de la empresa. • De igual modo, es quien responderá por la adecuada comunicación del programa de Compliance a los empleados, debiendo divulgar cualquier información relevante en materia de cumplimiento a las empresas y hacer entrega del Código de Conducta y las políticas a que estará sujeto el personal. • El Compliance Officer deberá también contribuir en la descripción de las obligaciones de Compliance que sean inherentes a cada área o cargo dentro de la empresa, como parámetro objetivo en la evaluación de desempeño del personal. • Teniendo en cuenta que una de las principales responsabilidades del Compliance Officer es informar sobre cualquier incumplimiento, debe implementar las medidas y controles que le permitan conocer oportunamente los riesgos e incidencias, bien sea a través del personal o inferidas de la propia documentación que recaba a través de procesos internos. Ejemplo de ello son: a – Sistema de denuncias, quejas y soporte telefónico o mediante correos electrónicos. b – Reuniones periódicas con los responsables de procesos. c – Informes periódicos de reporte de incidencias. d –Mecanismos de soporte directo a los empleados que tengan dudas sobre si una conducta o no representa un riesgo, antes de ejecutarla. e – Checkpoints y controles de procesos en los casos en que se exceda de los parámetros normales de operación en los cuales se requiera la aprobación del Compliance Officer (Por ejemplo: Firma de contratos que excedan determinado monto, autorización de obsequios corporativos). f – Indicadores de desempeño y de cumplimiento de las medidas establecidas para garantizar el cumplimiento normativo y que reflejen la evolución del sistema de prevención de riesgos. • Dado que uno de los sectores que puede generar riesgos para las empresas son sus relaciones con terceras partes, es también responsabilidad del Compliance Officer identificar y atender los riesgos derivados de sus relaciones con clientes, proveedores, distribuidores y comerciales externos, así como con cualquier colaborador que pudiese ser considerado representante de la empresa. • Monitorear el funcionamiento del sistema de prevención de riesgos y tomar las medidas preventivas y correctivas que garanticen su eficacia y asegurar la revisión en los intervalos planificados. • Proveer asesoría a la organización en materia de Compliance, bien sea directamente o a través de expertos externos. Como se puede apreciar, se trata de un conjunto de responsabilidades importantes no sólo para el cargo sino que puede incidir sobre la actividad de la empresa, y es por ello que se debe garantizar que quien funja como Compliance Officer o conforme un Comité a tales fines, sea una persona que demuestre valores como integridad, compromiso, liderazgo, comunicación efectiva, la habilidad para insistir y convencer sobre la aceptación de sus recomendaciones y un conocimiento profundo (o el acceso a expertos en la materia) en temas de cumplimiento normativo. Cabe destacar que el incumplimiento de estas responsabilidades puede acarrear no sólo las sanciones penales que establece el Código Penal para la empresa, sino también responsabilidades personales para el Compliance Officer que no haya ejercido su deber de vigilancia diligentemente. Aunque por lo novedoso del tema en Argentina no tenemos aún pronunciamientos judiciales, existen precedentes en el entorno europeo, como el de un Tribunal Federal en Alemania que condenó a la Compliance Officer de una empresa de basura de Berlín en el año 2009 por haber incurrido en omisiones respecto a su deber de supervisión y vigilancia a pesar de haber notificado el incumplimiento. Caso que, desde luego, será el espejo en el que se mirarán nuestros tribunales en breve como viene sucediendo en materia de Derecho Comunitario de la Unión Europea. Al elaborar un plan de compliance lo primero que hay que hacer es establecer objetivos para implementar, evaluar, mantener y mejorar un sistema de gestión de compliance. Elaborar cuadros de mando. Para saber si se están cumpliendo o no los objetivos de compliance hay que elaborar un cuadro de mando que incluya una serie de indicadores, con la finalidad de poder valorar si las medidas de control definidas son eficaces o no. Por ejemplo, algunos indicadores pueden ser nivel de automatismo de controles, el número de controles satisfactoriamente ejecutados sobre el total de controles de un proceso, el número de controles clave satisfactorios sobre el total, etc. Estos indicadores permiten tener una visión muy rápida del entorno de control por cada proceso, lo que a su vez facilita conocer el estado del plan de compliance en tiempo real. A su vez, ello permite al Compliance Officer saber cuál es el estado de riesgo actual, comunicarlo a la directiva y diseñar un plan de mejoras, en caso de que sea necesario mejorarlo. Los controles automáticos son los que se implementan directamente en los sistemas informáticos. Cuanto más digitalizada esté una empresa, más controles automáticos se pueden implementar, y si éstos funcionan correctamente, se reduce significativamente el riesgo con respecto a un control manual, porque se mitiga el riesgo de error humano. EJEMPLOS DE CONTROLES AUTOMÁTICOS: La herramienta de compras no permita emitir un pedido de compra a un proveedor si no existe presupuesto aprobado para esa compra. Al generar el pedido, el sistema solicita un número de documento presupuestario: A- Si introduces el número, el propio sistema identifica si el pedido que estás haciendo concuerda con la compra para la que se han solicitado fondos. Si es así, permite emitir el pedido y mandarlo al proveedor. B- Si no introduces ese número, el sistema se bloquea y no permite continuar con el pedido. Utilizar métodos de análisis y gestión de riesgos Para analizar y valorar los riesgos según su impacto y probabilidad existen diversas metodologías, cualitativas y cuantitativas. A día de hoy, muchas empresas siguen utilizando principalmente técnicas cualitativas, en las que evalúan los riesgos a través de cuestionarios realizados a los responsables de los procesos. El problema de estas técnicas es que el resultado de la valoración es subjetivo, ya que cada responsable indica, según su propio criterio, el impacto y la probabilidad de ocurrencia de cada riesgo identificado. Lo más complejo a la hora de analizar riesgos es priorizar y decidir cuáles deben considerarse en primer lugar.   Sistemas de monitorización. Aquellas empresas que están llevando a cabo con éxito su transformación digital es probable que tengan ya toda su información integrada en un ERP, con lo cual cualquier tarea o modificación es totalmente trazable: todo queda registrado y en todo momento es posible saber qué usuario realizó qué acción en el sistema. Toda la información generada puede rastrearse, con lo cual, si se define bien un sistema de monitorización y se combina con un sistema de alertas, se pueden detectar acciones sospechosas de fraude con mayor facilidad. Generar evidencias. En el caso de que se cometa alguna infracción, un buen programa de compliance debe estar diseñado de manera que se pueda demostrar que existían controles para evitarlo y que éstos eran eficaces. Al fin y al cabo, compliance se trata de evidenciar que algo se ha hecho: se dio formación adecuada a los empleados, se envió el contrato a un proveedor, se envió un email informativo a los directivos, etc. El email certificado es la herramienta perfecta para generar este tipo de evidencias, ya que permite justificar que una determinada documentación fue entregada y leída por su destinatario. Segregar funciones. Para evitar que una única persona o un único departamento lleve a cabo tareas incompatibles que puedan dar lugar a fraude, es muy recomendable segregar funciones. Una forma de hacerlo de forma fácil y rápida es mediante una matriz de perfiles y tareas en las que se marcan las incompatibilidades. Por ejemplo, la persona encargada de preparar los pagos no puede tener permisos para cambiar una cuenta bancaria. Lo que hay que evitar es que las funciones que pertenecen a un mismo flujo de procesos se solapen, ya que en caso de hacerlo es más fácil que se produzca un fraude a nivel interno. Elaborar un código ético. Es muy recomendable crear un Código Ético y distribuirlo en todos los departamentos, procurando que lo firme el mayor número de empleados posible. Disponer de una herramienta de firma electrónica contribuye enormemente a maximizar el número de firmas, ya que los empleados pueden firmar fácilmente en cualquier momento, ya sea desde su desktop en la oficina, desde su ordenador o tablet personal o desde su teléfono móvil. Además, quien realiza el envío del documento a firmar puede conocer en todo momento el estado en el que se encuentra dicho documento, y saber si ya ha sido firmado o no por el empleado. De esta forma, el tiempo dedicado a tareas de seguimiento se reduce al mínimo nivel. Habilitar un canal de denuncias. Para investigar casos de fraude, es importante habilitar un canal de denuncias tanto interno como externo, de forma que tanto empleados como clientes, proveedores u otros grupos de interés puedan denunciar conductas contrarias al Código Ético por parte de un empleado o un departamento. Una forma de comunicar las denuncias puede ser a través de un buzón habilitado en la página web de la empresa o enviando un correo electrónico directamente a la persona encargada de llevar a cabo la investigación, quién determinará si ha habido incumplimiento o no una vez comprobado que la denuncia tiene base.   Requisitos esenciales del compliance officer: 1. Independencia 2. Autoridad 3. Recursos suficientes 4. Acceso a toda la información y a todos los miembros de la organización relevantes 5. Responsabilidades claramente definidas 6. Libertad de información a la alta dirección de cualquier deficiencia detectada En todo caso, la función de supervisión y vigilancia, para poder ser considerada adecuada, deberá cumplir al menos con tres elementos: • Acceso directo al órgano de gobierno: Si bien hasta hace algunos años era aceptable que la figura del Compliance Officer fuese un cargo intermedio que reportase al área legal o a un gerente o director financiero, hoy en día el estándar deseable es que la persona encargada o uno de los miembros del Comité (el CCO) tenga acceso no sólo al órgano de Administración, sino a quienes ejerzan el control del mismo o ante quienes rinde cuentas el órgano de Administración por ostentar la soberanía de la persona jurídica (Junta General). • Independencia: Aunque ya mencionamos la excepción para los casos de las personas jurídicas de pequeñas dimensiones, una de las características (y así está reflejado en la Norma ISO 19600) de un modelo de gestión de Compliance eficaz es la independencia de la función de supervisión y vigilancia, que deberá tener libertad de criterio y la garantía de que no sufrirá represalias por las decisiones que pueda tomar. • Nivel de autoridad apropiada y recursos adecuados: Esto incidirá directamente en la eficacia del modelo de Compliance, puesto que un Compliance Officer sin la autoridad y recursos para implementar medidas, no sólo estará limitado en sus funciones, sino que denotará falta de voluntad de la empresa en implementar el programa de Prevención de Riesgos Penales. Es clave para la empresa dotar a su Compliance Officer de suficiente autoridad y recursos, de manera que pueda llevar a cabo la gestión del modelo, realizar las investigaciones, las formaciones al personal, consultar a expertos, atender las crisis y mitigar adecuadamente los riesgos, pues no hacerlo puede tener como consecuencia el fracaso de todo el modelo; todo ello sin perjuicio de que reporte y someta sus recomendaciones al órgano de Administración de la empresa.   Dependencia jerárquica del compliance officer en la organización. El origen de la actual normativa española tiene su génesis en la expresión de “Corporate Compliance Program” acuñada por el Departamento de Justicia norteamericano, para referirse a los modelos que sugería para luchar contra la corrupción. Tras la aparición de multitud de modelos para la prevención de conductas ilícitas, se vulgarizó el uso de la expresión “Corporate Compliance” en relación con modelos vinculados a la prevención en dicha esfera penal, terminología que se adoptó en el mundo anglosajón, y posteriormente en nuestro país. La supervisión y el funcionamiento del modelo de la prevención (“Corporate Compliance Program”) deben de ser confiado a un órgano de la persona jurídico con poderes autónomos de control e iniciativa denominada “Compliance Officer” -CO- o director de cumplimiento normativo. Al “Compliance Officer”, como órgano autónomo de la empresa, le corresponde la supervisión y cumplimiento del modelo de prevención de delitos asegurándose que éste es fruto de una adecuada valoración del riesgo, siendo sus funciones más destacadas: 1º.-Reacción disciplinaria frente a incumplidor del programa, así como la vigilancia del personal de la compañía sometida al control de éste. 2º.- Redactar y divulgar entre el personal en contenido del programa de prevención penal en aquella parte del programa que afecta a su puesto. 3º.- Elaborar y gestionar un canal de denuncias e investigaciones internas, que deberá plasmarse en un informe que se reportara al Directorio; todo ello con la estricta confidencialidad que deben realizarse estas tareas. El modelo de Corporate debe establecerse en función de la actividad y organización específica de cada empresa evaluando los riesgos específicos de su actividad empresarial. No es un programa genérico para todas las empresas, sino que es algo muy particular y específico, es un programa que cada empresa tiene que tener adaptado. En este sentido, en la actualidad están repartidas en diversos departamentos o comités: 1. Comité de Ética 2. Auditoría Interna 3. Control Interno 4. Asesoría Jurídica 5. Cumplimiento Normativo Estas funciones de vigilancia y control se dividen en tres grupos: 1. Control anterior a la infracción (control preventivo) 2. Control posterior a la infracción (control detectivo) 3. Función sancionadora, complemento necesario para la eficacia del control Sin embargo, en el momento de la distribución de estas funciones, estos tres grupos no quedan bien definidos y pueden ser asignados a varios departamentos a la vez o quedar sin asignar. El Comité de Ética es el destinatario habitual de las denuncias relativas a posibles incumplimientos del código ético a través del correspondiente canal de denuncias, y es también el que investiga, delibera y sanciona dicho incumplimiento. En realidad propone la sanción y RRHH la impone. Pero la función del Comité de Ética es predominantemente reactiva, es decir, acostumbra a actuar cuando llega la denuncia, sin perjuicio de las campañas de sensibilización que pueda organizar. En cambio, el proyecto exige una labor más proactiva, más cercana a la función de control interno o de auditoría interna, pero mucho más intensa y no limitada a los delitos estrictamente económicos. Ello hace pensar que el proyecto habla de dos órganos distintos: uno proactivo y emisor de denuncias y otro reactivo y receptor de denuncias. Por otro lado, el objetivo de los departamentos con funciones de control ha sido hasta ahora proteger a la empresa del fraude interno y de las amenazas en las que la empresa es la víctima, mientras que la finalidad de los programas de corporate defense es prevenir la responsabilidad penal de la empresa en los delitos en los que la víctima es un tercero. Lo mismo sucede con los programas de D&O (Directors & Officers) defense en relación a los cargos directivos. Por otro lado, se encuentra la función de los departamentos de Asesoría Jurídica y de Cumplimiento Normativo, este último muy próximo en su nomenclatura al Compliance Officer, pero no tanto en su encaje en la taxonomía que parece proponer la doctrina al comparar el modelo anglosajón con el propuesto en la reforma del Código Penal. Debe tenerse en cuenta que, tanto las funciones como las denominaciones de los departamentos no son uniformes en todas las empresas y sectores, por lo que, si queremos realizar un análisis comparativo entre varias empresas, más que hablar de departamentos tendremos que hablar de funciones. Por todo ello, el camino lógico a seguir en una empresa tras la aprobación de la reforma del Código Penal sería: a) Identificar las funciones de supervisión y control, integrándolas en el modelo de organización y gestión. b) Analizar cómo están repartidas en ese momento estas funciones en los diversos departamentos y comisiones de la empresa. c) Decidir si debe crearse un nuevo cargo, un nuevo departamento o una comisión. Entre los factores que aconsejan una apuesta clara por un órgano colectivo destacan las siguientes: a) La gran carga de trabajo a realizar b) El enfoque multidisciplinar c) La gran variedad de conocimientos exigidos d) La capacidad para actuar, contar con aliados y conseguir la ejecución de las decisiones y las medidas adoptadas en los departamentos afectados Parece evidente que el legislador no piensa en un hombre orquesta con múltiples tentáculos e inteligencias, saber enciclopédico y don de la ubicuidad. Aunque la función de dirección y coordinación del equipo debe recaer en una sola persona, parece recomendable que se apoye en un grupo de expertos con capacidad de actuación en los departamentos afectados. Por ello, se hace necesario reflexionar acerca de la labor de este órgano debe estar apoyada en un procedimiento sancionador, por lo que será conveniente que las deliberaciones vayan revestidas de las garantías que ofrece un órgano plural. Por ello habrá que decidir si la función de valoración y sanción de infracciones (control posterior a la infracción) debe permanecer en un comité de ética y las de prevención y vigilancia (control anterior a la infracción) en un órgano de control que sería el Compliance Officer. Esta opción se ajustaría más al principio de segregación de tareas y preservaría la independencia entre el órgano que coordina las medidas de control y el que sanciona su incumplimiento. Otra posibilidad sería enlazar los protocolos de vigilancia y control con las normas de buen gobierno corporativo, asignando la máxima responsabilidad del control a un consejero independiente que coordinaría la labor de una comisión interdepartamental que a su vez asumiría todas las funciones de vigilancia y control.   Estructura de un departamento de compliance Las empresas que no sean consideradas personas jurídicas de pequeñas dimensiones deberán designar a una persona o un órgano para ejercer las funciones de supervisión, vigilancia y control. Por otro lado, aquellas personas jurídicas de pequeñas dimensiones que consideren atribuir las funciones de supervisión al órgano de administración deberán tener en cuenta las dificultades que ello implicará para deslindar la responsabilidad de los Administradores de aquella que correspondería al Compliance Officer.   ¿Compliance Officer o Comité? La decisión de designar a una persona que ya ejecute otra función en la empresa, crear un nuevo cargo, instaurar un comité o contratar a un externo que se encargue del tema dependerá de la complejidad organizativa y tamaño de la empresa, teniendo en consideración sus singularidades y resultaría difícil recomendar a priori alguna estructura específica. Es habitual que las empresas pequeñas designen a una sola persona para ejercer estas funciones, como también lo es que decidan asignar estas responsabilidades a otra persona que ejerce labores de supervisión dentro de la empresa. Sin embargo, esta última alternativa, aunque aceptable en unos casos, tiene sus riesgos en tanto pueda generarse un conflicto de intereses o no se dote de una verdadera autonomía al Compliance Officer, poniendo en duda uno de los principios que debe regir la función. Mención aparte para las personas jurídicas de pequeñas dimensiones, que por estar autorizadas para dejar la supervisión y vigilancia en manos del órgano de Administración, pueden incurrir no sólo en un conflicto de intereses (al estar sujetos a revisar sus propias actuaciones), sino en una falta de autonomía que podría hacer ineficaz el modelo. Es por ello que, en este supuesto, lo recomendable es que quien ejerza la función sea un director o administrador que no esté directamente vinculado con el área operativa, de manera que su labor no esté sujeta a la manera como se ejecutan los procesos. Resumimos a continuación algunas que pueden servir de orientación a las empresas al momento de definir su función de supervisión, vigilancia y control: – La definición de la función del Compliance Officer será fundamental en la demostración de la eficacia del modelo, por tanto debe plantearse como una necesidad y darle la relevancia que tiene al cargo. – La figura debe estar dotada de autonomía funcional y presupuestaria. – Debe tener acceso a la Junta General y derecho a voz en los órganos de Administración. – Debe ser reconocido como una autoridad en el cumplimiento, tanto por el personal como por la propia administración de la empresa. – Su designación debe ser, en la medida de lo posible, realizada por la Junta General y no sujeta a revocación por parte de los Administradores. – Quien ejerza las funciones debe tener suficiente tiempo para atender los asuntos relacionados al cumplimiento normativo. – Debe tener acceso directo a expertos en materia de Compliance, Buen Gobierno, Fiscalidad, Penal, así como de cualquier otro tema en donde pudiera surgir un riesgo para la empresa. – El Compliance Officer debe ser partícipe de las decisiones estratégicas, de manera que pueda analizar los riesgos antes de que se ejecuten las acciones que puedan poner en peligro a la empresa.   Dependencia y reportes. El Oficial de Cumplimiento, o Compliance Officer, es formalmente una figura caracteriza por su independencia en el seno de cualquier empresa. En términos generales, el “concepto de independencia” se refiere a la autonomía con la que debe contar un profesional para poder decidir y tomar decisiones aplicando la normativa, los principios éticos, y su criterio, a la resolución de cualquier clase de cuestión, incidencia o contingencia que pueda surgir en el seno de una empresa. El principio de independencia profesional no tiene solamente relieve deontológico. Se configura jurídicamente como uno de los bienes materiales de que es titular el ente profesional, que ha sido dotado del poder- deber de salvaguardarla. La independencia se entiende como la ausencia de toda forma de injerencia, de interferencia, de vínculos y de presiones de cualquiera, sean provenientes del exterior y que tiendan a influenciar, desviar o distorsionar la acción del profesional para la consecución de sus fines y la actividad desempeña por los colegiados en el ejercicio de su profesión. Cualquier distorsión o intromisión en la independencia del profesional en derecho debe ser considerada ilícita. Sobre el oficial de cumplimiento recae una gran responsabilidad, especialmente desde la óptica penal, dado su perfil de “experto conocedor” e independencia de actuar. Colom Planas ha señalado con relación al mismo, que debe tenerse en cuenta que la asignación del deber específico de supervisión actúa como una delegación del deber de control, que corresponde a los administradores de la empresa, y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito. Podría llegar a contemplarse la intervención delictiva del Compliance Officer pudiendo imputársele comisión por tolerancia dolosa (complicidad) o por omisión imprudente del deber de garante. La forma de definir el principio de independencia para Lega lo es en forma negativa, y considera a dicho principio como la ausencia de injerencias y presiones en el ejercicio de la profesión, pero también desde un aspecto positivo, como lo son, la autonomía y la libertad en la citada actividad profesional. Es manifiesto que tanto el Compliance Officer, como el Data Protection Officer deben atenerse profesionalmente a su saber y conciencia, por lo que la independencia de su actuación, va referida, en principio, a estos extremos. Partiendo de lo anterior, el primer obstáculo a la independencia profesional lo es la propia ignorancia del profesional. Por ello, cuando se hace referencia al concepto de la independencia de estos profesionales no es a esa autonomía o independencia a la que se debe hacer alusión, sino a la que tiene su asiento en la voluntad, es decir, en la libertad del profesional, esto es, a la posibilidad de tomar decisiones propias, no condicionadas por injerencias o mediatizaciones externas. Estamos, pues, ante un concepto de independencia exterior, no interior. Como elemento característico, propio y singular de un programa de Cumplimiento (Corporate Compliance) a establecer por toda organización para evitar las responsabilidades penales de la empresa se establece una figura, la del Oficial de Cumplimiento (Corporate Compliance Officer) que va a ser quien debe velar por el cumplimiento de dicho programa en los términos indicados anteriormente. Lo que resulta fundamental es la independencia de este profesional respecto de su propia organización, para posibilitar el ejercicio libre de sus funciones, tal como señala Dueñas. Por lo tanto, este Oficial de Cumplimiento, para resultar independiente y velar por el cumplimiento del plan de cumplimiento debería tener garantizado: a) Una retribución acorde con sus responsabilidades. Una adecuada retribución garantiza la independencia del oficial de cumplimiento. b) Una definición clara de sus funciones, tanto para evitar sus propias responsabilidades – es una profesión en que se asume un riesgo personal- como para definir sus obligaciones. c). Una indemnización por despido sujeta a un contrato de alta dirección, que evite las tentaciones de presiones sobre el mismo del órgano de administración. d). Un régimen sancionador específico para el mismo. El carácter independiente del Compliance Officer no le sitúa en la cadena de mando o toma de decisiones, sino que tiene una posición colateral, en aras de velar por la supervisión, precisamente, de la normativa externa e interna de la empresa, de los valores éticos que caracterizan su misión y su visión de negocio, y adicionalmente por los compromisos de responsabilidad social empresarial que la persona jurídica haya asumido voluntariamente. Solo desde esa posición colateral es posible llevar a cabo las funciones que legal y convencionalmente le hayan sido atribuidas al mismo. Finalmente debe tenerse en cuenta, que dicho carácter de independencia no determina su alejamiento del negocio, ni su contraposición al mismo.

Las empresas que establecen un programa anticorrupción no solo deben garantizar que sus empleados y socios comerciales relevantes estén al tanto de sus políticas y procedimientos, sino que además tengan la información y las aptitudes necesarias para identificar y superar los desafíos relacionados con la corrupción. Las actividades de comunicación y capacitación regulares desempeñan una función clave en el proceso de concientización y en el compromiso con el programa anticorrupción. Esta sección analiza las consideraciones para la realización de actividades de comunicación y capacitación regulares, y describe los principales tipos de estas clases de actividades. Se destaca la importancia de la divulgación de información. La comunicación y capacitación sobre políticas y procedimientos anticorrupción de la empresa deben estar dirigidas a los empleados y los socios comerciales sobre los cuales la empresa tiene control efectivo o una influencia determinante. Las empresas también podrían considerar la inclusión de otros socios comerciales relevantes, como sus proveedores, en sus actividades de comunicación y capacitación para reducir el riesgo de corrupción. Por ejemplo, un director de ventas de un proveedor externo podría tratar de obtener una ventaja indebida ofreciendo un soborno al funcionario de contratación de la empresa. Las empresas podrían considerar convertir el cumplimiento de su programa anticorrupción en una obligación contractual para los socios comerciales de alto riesgo, y respaldarla con actividades de comunicación y capacitación. La comunicación y capacitación también deben incluir el proceso interno de reclutamiento y el externo de contratación. El conocimiento y la comprensión del programa anticorrupción de la empresa deben ser un criterio para el reclutamiento o el establecimiento de una relación comercial. La comunicación y capacitación deben proveerse de manera regular. Sobre la base de su perfil de riesgo individual y su tolerancia, la empresa debe decidir si las dirige a todos los empleados o únicamente a aquellos que probablemente estarán expuestos a los riesgos de corrupción. El personal interno puede recibir comunicaciones y participar en una capacitación estandarizada obligatoria al menos una vez al año, de modo que los mensajes clave del programa continúen siendo una prioridad en la agenda de todos. El personal directivo medio, que tiene la más alta visibilidad e interactúa más frecuentemente con sus empleados, desempeña también una función clave en la transmisión de los mensajes de comunicación y capacitación de la empresa. Los empleados y socios comerciales relevantes en procesos de alto riesgo, como la contratación y la logística, las industrias de alto riesgo u otras áreas de riesgo, pueden requerir comunicación y capacitación más frecuentes y personalizadas. Los requisitos específicos y la frecuencia de la comunicación y capacitación deben basarse en la evaluación general de riesgos. Además de las actividades regulares, la comunicación y capacitación también pueden estar vinculadas a ocasiones especiales o acontecimientos importantes, como: • Las actualizaciones sobre políticas internas o regulaciones legales externas; • Los cambios institucionales (v. gr., un nuevo director de cumplimiento); • Nuevos lineamientos internos o herramientas de apoyo; • Las asambleas anuales de accionistas; • Los acontecimientos de la temporada (v. gr., un boletín especial o la capacitación sobre regalos durante la temporada de invierno); • Acontecimientos nacionales o internacionales anticorrupción (v. gr., el Día Internacional contra la Corrupción (9 de diciembre)); • La participación en una iniciativa voluntaria, como el Pacto Mundial de las Naciones Unidas, la Iniciativa de Alianza contra la Corrupción (PACI) del Foro Económico Mundial, la Iniciativa de Transparencia en la Industria Extractiva (EITI), la Iniciativa de Transparencia en el Sector de la Construcción (CoST); • Las noticias sobre iniciativas anticorrupción de las organizaciones de la sociedad civil y los socios comerciales; y • La publicación de informes de sostenibilidad de la empresa o de responsabilidad cívica empresarial. Las actividades de comunicación y capacitación deben documentarse para permitir la evaluación de su efectividad, eficiencia y sostenibilidad. Los registros de asistencia de los empleados a las sesiones de capacitación deben conservarse para mostrar en detalle cuánta capacitación ha recibido cada empleado. Ello permitirá a la empresa defenderse mejor si surgen acusaciones de corrupción. Tipos de comunicación y capacitación. Las actividades de comunicación y capacitación sobre las políticas y los procedimientos anticorrupción de la empresa deben ofrecer un mensaje claro y coherente a los empleados y socios comerciales relevantes bajo la forma de comunicaciones y capacitación estandarizadas. Las empresas deben además ofrecer comunicación y capacitación personalizadas para abordar desafíos y necesidades específicos de ciertos grupos (v. gr., los funcionarios de logística que enfrentan demandas de extorsión). La comunicación y capacitación estandarizadas destacan el compromiso general de la empresa con la tolerancia cero a la corrupción. Deben incluir información sobre las políticas y los procedimientos, además de sus fundamentos, objetivos y procesos subyacentes. Se deben ofrecer antecedentes de los fundamentos del programa, para fortalecer la comprensión de la necesidad de las políticas y los procedimientos y las distintas situaciones en las que pueden surgir riesgos de corrupción. La comunicación y capacitación deben ir respaldadas por mensajes del personal directivo y los órganos de supervisión de la empresa. Los ejemplos prácticos son importantes para demostrar la coherencia entre las acciones de una persona y las normas y valores de la empresa (v. gr., otorgando un reconocimiento especial a un empleado que haya resistido satisfactoriamente una situación conflictiva). La comunicación y capacitación estandarizadas a menudo utilizan canales comunes para el autoaprendizaje, como páginas web, correos electrónicos, boletines o cursos de capacitación por computadora. Esos canales permiten una distribución y documentación fáciles y económicas. Idealmente, se puede ofrecer la comunicación y capacitación estandarizadas a distintos públicos, y adaptarlas según sea necesario en términos de idioma y medio de  comunicación. La comunicación y capacitación personalizadas deben ofrecerse a empleados y socios comerciales selectos y abordar sus desafíos particulares con respecto a la corrupción. Ello puede incluir capacitación con juegos de rol, que permita a los empleados reaccionar adecuadamente a las incitaciones al soborno o extorsiones de un cliente, socio comercial o una autoridad pública. Adicionalmente, las empresas pueden ofrecer capacitación personalizada sobre los procesos de diligencia debida para los proveedores e información acerca de las regulaciones locales sobre la competencia o la protección de los datos.

Que son las líneas éticas. Las líneas éticas son un medio de denuncia interno o externo, seguro y confidencial que le permiten conocer de manera oportuna las conductas no éticas que se suscitan dentro o fuera de su Empresa. Dichos medios deben dar la oportunidad al denunciante de reportar las conductas no éticas de manera anónima, para incrementar su seguridad y confianza. El sistema permitirá la denuncia de “comportamientos, acciones o hechos que puedan constituir violaciones tanto de las normas internas de la compañía como de las leyes, normativas o códigos éticos” que rigen su actividad. Beneficios. • Fortalece la imagen de la Compañía hacia los stakeholders en su compromiso de fortalecimiento de la cultura ética y responsabilidad social. • Posiciona al Comité de Etica respecto a su interés de velar por el cumplimiento de la Política Antifraude y el Código de Ética de la Compañía. • Ayuda a fortalecer la moral de los empleados mejorando el clima organizacional mediante acciones correctivas ante conductas no éticas que afectan a la Compañía. • Ayuda a prevenir y detectar fraudes relacionados a corrupción y soborno, malversación de activos y fraude en las adquisiciones que significaron pérdidas económicas. Compliance y Líneas éticas. Entre todas las medidas de carácter legal, técnico y organizativo que deben adoptar las empresas en la elaboración de un programa de “Compliance” se encuentra la creación de un Canal de Denuncia o Línea Whistleblowing, que permite la comunicación de posibles incumplimientos de las normas internas de la empresa y/o de las normas legales que deben obedecer. Estos sistemas permitirán a las empresas implantar las pertinentes medidas de investigación y sancionar todos aquellos hechos punibles que se detecten. Una línea de denuncias / línea ética es un canal de comunicación, anónimo y confidencial, disponible para los miembros de una organización y terceros relacionados (empleados, clientes, proveedores, etc.) para reportar fraudes, irregularidades y cualquier otra situación que viole el código de ética de la organización y afecte sus buenas prácticas y clima laboral. La línea Whistleblowing (Golpe de silbato, dar una alerta). En un contexto empresarial significa revelar una irregularidad. La persona que lo realiza es un alertador. “Revelación por parte de miembros (antiguos o actuales) de la organización, de prácticas ilegales, inmorales o ilegítimas bajo el control de sus empleadores” (Miceli, M.; Near, J., 1992). Desde 1989 ya existe la Whistleblower Protection Act, SOX es una ley que se centra en la calidad de la información financiera, obligando a sujetarse a las cotizadas a mayores niveles de control interno, siguiendo las disposiciones COSO, la creación de la Public Company Accounting Oversight Board (Comisión encargada de supervisar las auditorías de las compañías que cotizan en bolsa), y la regulación de Whistleblowing, con fuertes provisiones antirepresalias (retaliation). Este tipo de herramientas reducen la sensación de impunidad que a veces se percibe en algunas empresas,  derivada de la imposibilidad de poner en evidencia conductas no éticas de alguno de sus miembros. La diferencia entre la Línea de Denuncias – Línea Whistleblowing, es que la primera apunta a recibir denuncias de empleados, directivos, socios, clientes y stakeholders. Mientras que la segunda busca recibir denuncias de miembros de la empresa que informen comportamientos, acciones o hechos que puedan constituir violaciones tanto de las normas internas de una compañía como de las leyes, normativas o códigos éticos que rigen la actividad de dicha entidad, de ahí la mayor protección legal que tienen los denunciantes. Lineas éticas y la privacidad (“Data Privacy”). El canal de denuncias es un sistema de comunicación que busca facilitar que los trabajadores puedan denunciar, internamente, las irregularidades que puedan advertir. Por ejemplo, un intento de soborno a un cliente o la descarga ilegal de software. Con el canal de denuncias se consigue un triple resultado: se aumenta el control interno de la compañía (con el consiguiente efecto disuasorio que ello supone), ayuda a detectar posibles irregularidades y a reaccionar con mayor rapidez. De entre las diferentes cuestiones legales que hay que observar a la hora de implementar y gestionar un canal de denuncias hay una especialmente sensible, que además incide directamente en su verdadera utilidad y eficacia: el anonimato del denunciante. Lo habitual es defender que el canal de denuncias tiene que poder ser anónimo, para que quien decida denunciar pueda hacerlo de manera anónima. Pero hay que saber que hacerlo así constituiría o no una violación de las exigencias legales actuales en materia de protección de datos. De hecho, la Agencia Española de Protección de Datos (en contra del criterio de los demás países de la Unión Europea) tiene fijado que no caben denuncias anónimas; confidenciales sí, pero anónimas no. De este modo, la identidad del denunciante deberá tratarse con la debida confidencialidad, pero nunca de forma anónima. La alternativa que recientemente ha ofrecido la Agencia para conseguir ese anonimato es que las empresas encomienden la gestión del canal a un tercero externo, de manera que sea solamente ese tercero quien acceda a la identidad del denunciante, sin llegárselo a comunicar en ningún caso a la empresa. A día de hoy guste o no, es la única alternativa válida de que disponen las empresas para conseguir ese ansiado anonimato. Normativa en regional sobre líneas éticas. •             ARGENTINA | Resolución CNV 622 •             BRASIL | Ley 12846/2013 - Programas anticorrupción •             CHILE | Ley 20393 - Responsabilidad penal de personas jurídicas •             COLOMBIA | Ley 1778/2016 - Ley Anti soborno •             MÉXICO | Ley Anticorrupción •             USA | FCPA - USA •             USA | SOX - Sarvanes Oxley Act La norma ISO 19600:2014 y las líneas éticas de denuncias. La norma ISO 19600:2014, “Sistemas de gestión de Compliance - Directrices”, como no podía ser de otra manera, también considera el canal de denuncias como una herramienta de comunicación fundamental, sin menoscabo de otras fuentes de opinión. Concretamente, en la cláusula 9.1.3 “Fuentes de opinión sobre el desempeño de Compliance” dispone: “La organización debería establecer, implantar, evaluar y mantener procedimientos para buscar y recibir opiniones de su desempeño de Compliance de una serie de fuentes, incluyendo: - empleados, por ejemplo, a través de canales de denuncias, líneas de ayuda, buzones de opinión y de sugerencias; - clientes, por ejemplo, a través de un sistema de control de reclamaciones; - proveedores; - reguladores; - registros de control de procesos y registros de actividad (incluyendo tanto electrónicos como en papel). Las opiniones deberían servir como una fuente clave de mejora continua del sistema de gestión de Compliance.” En la cláusula 10.1.2 “Escalado de información”, se dispone: “(…) Un sistema de gestión de Compliance eficaz debería incluir un mecanismo para que los empleados de la organización y/u otras personas informen sobre malas prácticas reales o sospechosas, o sobre violaciones de las obligaciones de Compliance de la organización, de forma confidencial y sin temor a represalias”. Por lo que las empresas que quieran certificar sus sistemas de compliance de acuerdo a las directrices de la norma ISO 19600, deben incluir canales de denuncias o líneas éticas en sus programas de cumplimiento normativo. ¿Cómo funciona un Sistema de denuncias en la Empresa? En su mayoría las denuncias son proporcionadas por los colaboradores, sin embargo, una fuente muy efectiva de detectar algunos de los fraudes que resultan siendo muy onerosos para las empresas, son los proveedores. Los proveedores pueden facilitar información clave sobre fraudes dentro del área de compras. 1. Se detecta la situación: algún stakeholder de la empresa se da cuenta que algo raro está sucediendo y decide realizar una denuncia. 2. Se realiza la denuncia: A través de alguno de los métodos de denuncia que son habilitados para efectuar las denuncias. Todas las denuncias deben ser confidenciales y pueden ser nominativas o anónimas. 3. Se evalúan los hechos: A través de un Comité de Ética y a la luz del reglamento disciplinario de la empresa, se evalúa la situación y se definen las acciones a seguir. 4. Se toman acciones. El Comité de Ética de la empresa decide las acciones a seguir respecto a la denuncia que fue recibida. Implementando la línea ética. Para gestionar efectivamente una Línea Ética, hay varios pasos importantes, sin embargo, es fundamental contar con el compromiso de los propietarios de la empresa o, en su defecto, de la gerencia general y Junta Directiva. Esta es una propuesta de los pasos a seguir: A. En primer lugar, se debe integrar el Comité de Redacción del Código de Ética. Este comité, como lo dice su nombre, está en cargado redactar el código y definir el estilo. Idealmente debe estar conformado por directivos de alto nivel de todas las áreas de la empresa y se puede recurrir al asesoramiento de expertos. Cuando se considere conveniente, se pueden invitar a otros actores como proveedores, sindicatos o bien cualquiera de los stakeholders de la empresa para que toda la organización esté alineada con el proyecto. B. En segundo lugar, hay que definir los valores de la empresa. Una forma de definirlos, es a partir de la misión y visión de la compañía. No importa que tan bien o mal redactada esté una misión, siempre pueden extraerse valores fundamentales que aseguren un actuar ético para los colaboradores y stakeholders de la organización. C. En tercer lugar, se debe redactar el Código de Ética. El código debe de ser claro y simple: • Debe evitarse rebuscar palabras o hacerlo tan filosófico que no sea alcanzable. • Debe poder comprenderlo desde el más antiguo hasta el más nuevo en la empresa. • Otra recomendación importante es que el Código debe ser corto y remarcar lo fundamental. Si fuera el caso en que no hay cultura de lectura (o es muy baja),es fundamental un código que sea corto y  al grano. • Aunque el Código seguramente reflejará en gran medida la cultura organizacional del tiempo en que se redacte, debe aspirar a mejorarla. Es decir, el código deberá buscar la mejora de las personas y por consiguiente, de la organización. D. En cuarto lugar, está el desarrollo de los manuales de procesos y procedimientos que permitirán darle forma y orden al funcionamiento del sistema. Estos manuales no deben ser parte de la versión del código que será entregada a los stakeholders. Esta sección servirá de referencia para el Comité de Ética para que sepan que deben de hacer en cada caso. Sirve de marco de referencia para la aplicación de acciones en general, sanciones o reconocimientos, según sea el caso. E. Por último, pero por mucho una de las fases clave de la implementación de la Línea Ética, es la comunicación de la existencia de la misma como canal de comunicación para que empleados, proveedores y clientes puedan reportar de manera anónima, confidencial y segura posibles incumplimentos tales como: Fraudes, corrupción, acoso, entre otros. Medios de comunicación para un Canal de denuncias eficaz. Línea Telefónica 0-800. Que debe brindar cobertura las 24 horas, los 365 días del año. E- Mail, Casillas de correo electrónico personalizadas y exclusivas para recibir denuncias. Plataforma WEB. Portal de recepción y seguimiento de denuncias multidispositivo, con los más altos estándares de seguridad. Entrevistas personales. El denunciante cuenta con la posibilidad de solicitar una entrevista personal con expertos independientes especializados en investigación de fraudes. Correo Postal. Las empresas deben contar con una dirección postal habilitada para la recepción de denuncias. El acceso a las denuncias recibidas a través de todos estos canales de comunicación, debe asegurar la integridad de la información. Permitiendo documentar las investigaciones de casos y mantener contacto con denunciantes anónimos. Resultando una actividad de control útil para desalentar las conductas no éticas. Incrementando la probabilidad de ser descubierto, lo que desalienta a los empleados a cometer conductas deshonestas. Permite a la empresa fomentar el uso de la denuncia como medida de prevención y detección.  Puede complementar el programa de prevención, detección e investigación que tenga establecido el negocio. Hay que tener presente que la demora en la identificación de comportamientos fraudulentos y conductas irregulares o inapropiadas aumenta las potenciales pérdidas y expone a la organización al riesgo de acciones penales, litigios costosos, y publicidad negativa. Gestión del Canal de denuncias La  organización  procurará  establecer  uno  o  varios  canales  a  través  de  los  cuales  empleados  y  eventualmente  terceros  puedan  realizar  comunicaciones  confidenciales relacionadas con el Código Ético, Código de conducta o norma de alto nivel equivalente. La función de Compliance intervendrá en la supervisión de la tramitación de reclamaciones o denuncias a través de los canales internos que tenga establecida la organización. Sus responsables y, en caso de concurrir, el máximo representante de la función de Compliance estarán directamente involucrados en estos cometidos. La  función de  Compliance velará  para  que  los  canales  internos  de  denuncia  sean fácilmente accesibles, conocidos, confidenciales y garanticen los derechos de que sean titulares las personas cuyos datos sean tratados, garantizando la no adopción de represalias frente a comunicaciones realizadas de buena fe. Gestión de la investigación interna. 1. Compliance Officer asignará un código único al formulario de denuncia que será incluido en el Registro de denuncias y analizará y clasificará los hechos contenidos en la denuncia de forma preliminar y en función de la gravedad de los mismos, entre leve,grave y muy grave. 2. Compliance Officer remitirá periódicamente el Registro ordinario de denuncias al Comité de Cumplimiento Normativo, sin que consten los datos de identificación del denunciante  conforme este documento. Aquellos hechos que pudieran ser muy graves y delictivos  serán objeto de una remisión extraordinaria. Procedimiento tras la denuncia. El expediente y la investigación.  1. Recibida la denuncia, Compliance Officer procederá a la apertura de un expediente por cada una, cuyo código será coincidente con el asignado inicialmente a la denuncia. 2. Compliance Officer adoptará una decisión respecto de cada expediente que podrá consistir en la apertura de una investigación o en el archivo del expediente, si la denuncia fuere totalmente infundada. En ambos casos constará en cada uno de los expedientes las razones que motivan la decisión adoptada. 3. Compliance Officer adoptará, en su caso, las medidas cautelares oportunas para que no persevere el daño proveniente de los hechos denunciados y para que no se pierdan los medios de prueba de los mismos. 4. Compliance Officer velará para que se respeten los derechos del denunciante, del denunciado y de las demás personas implicadas en la denuncia. 5. El plazo para la tramitación del expediente y adopción de una decisión al respecto no podrá exceder de dos (2) meses a contar desde su apertura. 6. La investigación interna será realizada por Compliance Officer. Clasificación de las denuncias que se reportan en las Líneas Éticas. Entre todas las medidas de carácter legal, técnico y organizativo que deben adoptar las empresas en la elaboración de un programa de “Compliance” se encuentra la creación de un Canal de Denuncia o Línea Whistleblowing, que permite la comunicación de posibles incumplimientos de las normas internas de la empresa y/o de las normas legales que deben obedecer. Estos sistemas permitirán a las empresas implantar las pertinentes medidas de investigación y sancionar todos aquellos hechos punibles que se detecten. Una línea de denuncias / línea ética es un canal de comunicación, anónimo y confidencial, disponible para los miembros de una organización y terceros relacionados (empleados, clientes, proveedores, etc.) para reportar fraudes, irregularidades y cualquier otra situación que viole el código de ética de la organización y afecte sus buenas prácticas y clima laboral. La línea Whistleblowing (Golpe de silbato, dar una alerta). En un contexto empresarial significa revelar una irregularidad. La persona que lo realiza es un alertador. “Revelación por parte de miembros (antiguos o actuales) de la organización, de prácticas ilegales, inmorales o ilegítimas bajo el control de sus empleadores” (Miceli, M.; Near, J., 1992). Desde 1989 ya existe la Whistleblower Protection Act, SOX es una ley que se centra en la calidad de la información financiera, obligando a sujetarse a las cotizadas a mayores niveles de control interno, siguiendo las disposiciones COSO, la creación de la Public Company Accounting Oversight Board (Comisión encargada de supervisar las auditorías de las compañías que cotizan en bolsa), y la regulación de Whistleblowing, con fuertes provisiones antirepresalias (retaliation). Este tipo de herramientas reducen la sensación de impunidad que a veces se percibe en algunas empresas,  derivada de la imposibilidad de poner en evidencia conductas no éticas de alguno de sus miembros. La diferencia entre la Línea de Denuncias – Línea Whistleblowing, es que la primera apunta a recibir denuncias de empleados, directivos, socios, clientes y stakeholders. Mientras que la segunda busca recibir denuncias de miembros de la empresa que informen comportamientos, acciones o hechos que puedan constituir violaciones tanto de las normas internas de una compañía como de las leyes, normativas o códigos éticos que rigen la actividad de dicha entidad, de ahí la mayor protección legal que tienen los denunciantes.

La aplicación de un programa anticorrupción/compliance debe ser considerada como un proceso de aprendizaje y mejora continuos. Los exámenes y evaluaciones periódicos mantienen actualizados las políticas y los procedimientos relevantes para los empleados y socios comerciales. Más aún, los exámenes y evaluaciones ayudan a identificar carencias, debilidades u oportunidades para optimizar y simplificar el programa anticorrupción. Esta sección ofrece los fundamentos para la realización de exámenes y evaluaciones periódicos, y enumera fuentes de información que deben ser incluidas. Se describen brevemente los criterios del examen y la evaluación, las responsabilidades y la frecuencia, y se formulan consideraciones sobre las actividades de seguimiento. Fundamentos para la realización de exámenes y evaluaciones periódicos. Los exámenes consisten en la recopilación de información y el análisis de elementos individuales del programa anticorrupción. Por ejemplo, un examen puede incluir la evaluación de un proceso específico, como el desarrollo de un código de conducta sobre patrocinios. El examen es un estudio en profundidad, realizado en un punto discreto del ciclo de vida de un programa. La evaluación es el análisis de los resultados del examen. A diferencia de los exámenes, las evaluaciones tienen criterios claros con los que se pueden valorar los resultados para identificar una posible necesidad de modificaciones y mejoras. Por ejemplo, la evaluación puede llevar a la conclusión de que se tiene que mejorar el sistema de controles internos de una sucursal de la empresa en términos de efectividad. Las evaluaciones también ofrecen oportunidades para mejorar la eficiencia. El principal fundamento para la realización de exámenes y evaluaciones periódicos es la necesidad de determinar si las políticas o los procedimientos anticorrupción requieren modificaciones. Las modificaciones del programa anticorrupción podrían incluir la introducción de nuevas medidas (v. gr., se necesita una nueva política que prohíba los pagos de facilitación debido a la expansión de las operaciones de la empresa a un país conocido por esos pagos), medidas existentes adicionales (v. gr., cursos adicionales de capacitación), la reducción de ineficiencias (v. gr., retirar controles redundantes) o la adaptación de estrategias (v. gr., que las noticias anticorrupción sean transmitidas por el personal directivo como podcasts y no como correos electrónicos). Fuentes de información para los exámenes. Podrían requerirse modificaciones debido a cambios en el entorno comercial o por las enseñanzas adquiridas de las operaciones internas. Los cambios en el entorno comercial pueden incluir acontecimientos internos y externos, como: • Nuevos mercados y operaciones comerciales (v. gr., que exigen la utilización de agentes externos); • Nuevas relaciones comerciales (v. gr., nuevos proveedores); • Nuevas estructuras institucionales (v. gr., una nueva sucursal) y la adopción de procesos (v. gr., tercerización de la contratación); • Nuevas metas de desempeño; • Nuevos requisitos legales o normas de la industria, o actualización de los existentes; • Nuevos requisitos del entorno social o de otras partes interesadas, o actualización de los existentes (v. gr., el consumidor); y • Casos de corrupción de los pares dentro de una industria o región. Las empresas tienen que considerar que algunos cambios en su entorno podrían tener efectos sobre el programa anticorrupción que no serían evidentes inmediatamente. Por ejemplo, los países adoptan cada vez más leyes sobre el acceso a la información que permiten la divulgación de información gubernamental que antes no se divulgaba. Esas leyes están formuladas para hacer que los gobiernos sean más transparentes y rindan cuentas ante sus ciudadanos. La aplicación de esas leyes podría derivar en la divulgación de información entre empresas e instituciones o funcionarios gubernamentales, como las contribuciones políticas. Podría convenirle a las empresas considerar el efecto de ese tipo de leyes en sus propias políticas y procedimientos de divulgación de la información. • Los resultados de la supervisión interna de las prácticas relevantes (incluyendo los controles internos) de parte de la administración de la empresa pueden ofrecer bastante información sobre la calidad general del programa. Por ejemplo, la supervisión de la estrategia de capacitación anticorrupción de la empresa puede permitir la evaluación del número de empleados participantes, la percepción de la utilidad del programa y el grado de conocimiento. Supervisar los controles internos ofrece información valiosa sobre la efectividad de los controles internos (v. gr., el número de intentos de evasión de un control preventivo detectados) y también ofrece una perspectiva interna de las debilidades e irregularidades que  han sido detectadas. Las empresas pueden supervisar políticas y procedimientos relacionados con los resultados de la evaluación de riesgos. Los objetivos y beneficios de la supervisión deben ser comunicados claramente a los empleados y otras partes interesadas para evitar efectos adversos, como despertar sospechas o crear la impresión de un control excesivo entre los empleados; • Los resultados de las auditorías internas y externas ofrecen una base de información importante e independiente sobre qué tan efectivamente se están aplicando las distintas políticas y procedimientos y qué tan efectivamente interactúan entre sí, o si se pueden generar sinergias adoptando otros procesos. Las auditorías internas y externas también ayudan a revisar la evaluación del programa anticorrupción que hace la administración; • Los comentarios y observaciones de terceros internos y externos también pueden ofrecer información útil para el examen de las distintas políticas y procedimientos.  Por ejemplo, los comentarios y observaciones sobre las políticas anticorrupción pueden ofrecer información sobre el conocimiento y la comprensión de las políticas que tienen los terceros externos. Se pueden generar comentarios y observaciones con sondeos basados en muestras y alentando continuamente a los empleados y socios comerciales a comentar o hacer preguntas sobre el programa anticorrupción. Los comentarios y observaciones son una fuente de información extremadamente útil, que no puede obtenerse a través de supervisión o auditorías; • Las evaluaciones de las aptitudes del empleado, los socios comerciales, las políticas y los riesgos pueden ofrecer una perspectiva amplia de los distintos elementos del programa anticorrupción. Por ejemplo, una evaluación de las aptitudes de los empleados que operan en áreas de alto riesgo puede revelar si la capacitación ha sido lo suficientemente detallada. La evaluación de riesgos podría indicar si ciertas áreas comerciales se han vuelto más o menos riesgosas. Esa evaluación debe incluir también la función y visibilidad del personal directivo en la aplicación del enfoque anticorrupción de la empresa; y • Las referencias o comparaciones con empresas pares en industrias respectivas pueden ofrecer un aporte adicional para evaluar las políticas y los procedimientos anticorrupción de la empresa. Esa información puede obtenerse a través de investigaciones o informes propios de organizaciones de la sociedad civil. Se aconseja al personal directivo y a los órganos de supervisión de la empresa que usen todas las fuentes de información disponibles como aporte para un examen completo de la política y el programa anticorrupción corporativo. Esos exámenes deben realizarse de manera regular, según lo defina el consejo de administración o el órgano equivalente, y ser complementados con exámenes ad hoc cuando sea necesario (v. gr., en los casos en los que se detecte o existan acusaciones de faltas de conducta de parte de los empleados o socios comerciales). Criterios de evaluación. Una vez que se realizó un examen completo del programa anticorrupción que incluya a las distintas fuentes de información, las empresas pueden evaluar el desempeño del programa para identificar posibles necesidades de modificaciones. Una evaluación completa se logra evaluando los siguientes tres criterios principales: • La efectividad se refiere al grado en que las políticas y los procedimientos anticorrupción han contribuido a los objetivos específicos del programa; por ejemplo, la minimización de riesgos de pagos de facilitación; • La eficiencia se refiere a la minimización de los costos del programa anticorrupción, al tiempo que se garantizan los beneficios de las políticas y los procedimientos anticorrupción, incluidos menores riesgos legales, comerciales y para la reputación; y • La sostenibilidad se refiere al grado en que las políticas y los procedimientos anticorrupción, y sus resultados, han ayudado a minimizar el riesgo de corrupción a largo plazo. Actividades de seguimiento. Siempre que se realice un examen o una evaluación, las empresas deben considerar dos actividades de seguimiento: Las oportunidades de mejora de la política y los procedimientos anticorrupción son identificadas y aplicadas para aumentar aún más la efectividad, eficiencia y sostenibilidad del programa. La aplicación exitosa de las oportunidades de mejora tiene que ser incorporada al siguiente ciclo de examen y evaluación. Se pueden determinar considerables oportunidades de mejora en conjunto con los terceros internos y externos. Los resultados de la evaluación deben ser comunicados y discutidos con los empleados y accionistas para demostrar el compromiso continuo del personal directivo con el programa. Los resultados pueden incluir la identificación de fuentes de información, las consecuencias de la evaluación, las actividades de mejora y otros factores operativos, como un cronograma para su aplicación. Las empresas también pueden optar por informar oficialmente de los resultados de sus exámenes y evaluaciones de forma agregada a otras partes interesadas públicas. Responsabilidades en los exámenes y evaluaciones periódicos. El personal directivo debería realizar exámenes regulares del programa anticorrupción y evaluar el mejor curso de acción para abordar las modificaciones necesarias, como la reducción de las ineficiencias. Se deben proveer los resultados agregados y las recomendaciones al consejo de administración. El consejo de administración u otro órgano equivalente (v. gr., el comité de auditoría) tiene que evaluar y aprobar el curso de acción elegido por el personal directivo. Además, el consejo de administración puede asegurarse de que los exámenes y evaluaciones sean realizados en los intervalos predeterminados. El consejo de administración también puede iniciar exámenes y evaluaciones ad hoc adicionales en los casos en los que surjan infracciones o acusaciones. La guía que elabora el Departamento de Fraudes del DOJ puede ser de ayuda para la evaluación de un programa de cumplimiento La División de Fraude del Departamento de Justicia estadounidense, (DOJ por sus siglas en inglés) ha venido estableciendo una parte importante de la política del ente persecutor norteamericano en materia de compliance corporativo y recientemente ha publicado el documento “Evaluación de programas de Compliance” que ciertamente es de gran ayuda para el diseño e implementación de un programa de Compliance efectivo, para mejorar el programa existente y puede ser también un elemento importante a considerar en Chile y Latinoamérica cuando evaluamos o certificamos el grado de implementación de un modelo de prevención penal, de libre competencia o de otro tipo. La Guía del DOJ describe once temas que considera relevantes y para efectos prácticos incluye preguntas respecto de ellos. Traza, además, un conjunto de pasos que debieran tomarse cuando se descubren problemas y que podrían entregar indicios del compromiso preexistente de cumplimiento. Cabe advertir, eso si, -como lo advierte la propia autoridad norteamericana- que el documento no constituye un check list. En último término nada es más importante que la matriz de riesgos que se ha ido diseñando y mejorando con el tiempo y la evaluación particular que se efectúa del sistema. 1. Análisis y remediación de la mala conducta subyacente. Se refiere aquí al análisis que se efectúa de las causas del incumplimiento, a las señales de alerta e indicaciones previas y la remediación. Algunas preguntas: ¿Ha hecho la empresa un análisis de la causa del incumplimiento?, ¿Existen o existieron problemas sistémicos?, ¿Quién en la empresa estuvo involucrado?, ¿Existieron oportunidades previas para detectar una mala conducta? (informes de auditoría, investigaciones, reportes de fallas de control, etc), ¿Ha evaluado la empresa por qué se perdieron esas oportunidades?, Una vez que se descubrió el problema ¿ Qué cambios específicos ha hecho la empresa para reducir el riesgo de que no se presenten los mismos problemas o problemas similares en el futuro?, ¿Qué remediación específica ha abordado los problemas identificados en el análisis de las causas del incumplimiento y oportunidad perdida? 2. Alta Administración y mandos medios. Se refiere al principio tone at the top, al compromiso compartido por los mandos medios y la supervisión. Algunas preguntas: ¿Los altos ejecutivos, a través de sus palabras y acciones, alientan o desalientan la mala conducta en cuestión? (tone from the top), ¿Se tomaron medidas concretas para demostrar este compromiso?, ¿Tiene el Directorio experiencia para desempeñar su función de supervisión?. 3. Autonomía y recursos. Se refiere acá a la función de cumplimiento, su importancia o estatura, autonomía y poder, recursos y decisión de externalizar. Esto es bien novedoso ya que demuestra preocupación por la externalización de la función. En suma, no basta con sólo externalizar, sino que se debe supervisar y coordinar y evaluar permanentemente el sistema externo. Cabe señalar que un principio similar establece la norma ISO 37001 antisoborno. Otras preguntas: ¿La función de cumplimiento tiene los recursos e importancia adecuados dentro de la empresa?, ¿Se involucró el cumplimiento en la capacitación y las decisiones relacionadas con cualquier mala conducta?, ¿El cumplimiento tiene independencia apropiada?. 4. Políticas y Procedimientos. Se refiere a el diseño de las políticas y procedimientos de cumplimiento, a los gatekeepers y accesibilidad de empleados y terceros, Controles, procesos de aprobación y certificación, control de proveedores. Acá algunas preguntas de ejemplo: ¿Tenía la compañía políticas y procedimientos que prohibían la mala conducta? ¿La compañía ha evaluado si sus políticas y procedimientos se implementaron de manera efectiva? ¿Están los porteros clave (por ejemplo el empleado que emite el pago) adecuadamente entrenados? ¿Se integró correctamente el programa y se establecieron controles adecuados para detectar la mala conducta?. Si los proveedores habían estado involucrados en la mala conducta, ¿cuál fue el proceso para la selección de proveedores y el proveedor en cuestión pasó por ese proceso? 5. Evaluación del riesgo. Se refiere a Metodología de riesgos ¿Qué metodología ha utilizado la empresa para identificar, analizar y abordar los riesgos particulares que afronta?, ¿Recoge la empresa información para evaluar adecuadamente los riesgos?. 6. Formación y Comunicaciones. También basada en riesgo. Preguntas: ¿Se efectúa capacitación adecuada y adaptada para los empleados de alto riesgo o de control?, ¿Se ofrece la formación en la forma y el idioma adecuados para los empleados que se requiere?, ¿Cómo comunica la empresa a los empleados cualquier mala conducta que se produzca?. 7. Informes e Investigaciones confidenciales. Se refiere a eficacia de los informes y de las investigaciones y canales de denuncia. ¿La empresa tiene una manera efectiva de recolectar y analizar las acusaciones de mala conducta?, ¿Garantiza la compañía que las investigaciones han sido adecuadamente delimitadas, conducidas y documentadas?, ¿La investigación buscó las causas de la mala conducta?, ¿Qué tan alto llegó la investigación?. 8. Incentivos y medidas disciplinarias. Se refiere a la responsabilidad, procesos de RRHH, sistema de incentivos. Preguntas: ¿Hubo medidas disciplinarias adecuadas para los gerentes bajo cuya función se produjo la mala conducta?, ¿Es consistente la aplicación de la disciplina?, ¿Existe un programa de incentivos para un buen cumplimiento y un comportamiento ético?, ¿Puede indicar la compañía ejemplos específicos de acciones tomadas (promociones o premios denegados) como resultado de consideraciones éticas y de cumplimiento? 9. Mejora Continua, Pruebas Periódicas y Revisión. Se refiere a auditoría interna, pruebas de control y actualizaciones del modelo. ¿Qué tipos de auditorías habrían identificado la mala conducta en cuestión?, ¿se llevaron a cabo?, ¿La gerencia y el consejo de administración hicieron un seguimiento de los hallazgos y fracasos de la auditoría?, ¿La empresa prueba sus controles?, ¿La compañía actualiza rutinariamente su programa de cumplimiento y asegura que se ocupa adecuadamente de los riesgos actuales?. 10. Gestión de terceros. ¿El proceso de gestión de terceros de la empresa analiza adecuadamente el riesgo?, ¿Existen controles apropiados con respecto a terceros?, ¿La compañía responde adecuadamente a los red-flags de terceros?, ¿La compañía ha suspendido, terminado o auditado a un tercero como resultado de problemas de cumplimiento?. 11. Fusiones y Adquisiciones (M&A). En el caso de que se descubra una mala conducta después de una fusión, ¿se llevó a cabo la debida diligencia durante el proceso de fusiones y adquisiciones?, ¿Cómo se ha integrado la función de cumplimiento?. En resumen, se trata de preguntas comunes y relevantes que podemos pedir al hacer una revisión.   Gestión de la investigación interna. 1. Compliance Officer asignará un código único al formulario de denuncia que será incluido en el Registro de denuncias y analizará y clasificará los hechos contenidos en la denuncia de forma preliminar y en función de la gravedad de los mismos, entre leve,grave y muy grave. 2. Compliance Officer remitirá periódicamente el Registro ordinario de denuncias al Comité de Cumplimiento Normativo, sin que consten los datos de identificación del denunciante  conforme este documento. Aquellos hechos que pudieran ser muy graves y delictivos  serán objeto de una remisión extraordinaria. Procedimiento tras la denuncia. El expediente y la investigación.  1. Recibida la denuncia, Compliance Officer procederá a la apertura de un expediente por cada una, cuyo código será coincidente con el asignado inicialmente a la denuncia. 2. Compliance Officer adoptará una decisión respecto de cada expediente que podrá consistir en la apertura de una investigación o en el archivo del expediente, si la denuncia fuere totalmente infundada. En ambos casos constará en cada uno de los expedientes las razones que motivan la decisión adoptada. 3. Compliance Officer adoptará, en su caso, las medidas cautelares oportunas para que no persevere el daño proveniente de los hechos denunciados y para que no se pierdan los medios de prueba de los mismos. 4. Compliance Officer velará para que se respeten los derechos del denunciante, del denunciado y de las demás personas implicadas en la denuncia. 5. El plazo para la tramitación del expediente y adopción de una decisión al respecto no podrá exceder de dos (2) meses a contar desde su apertura. 6. La investigación interna será realizada por Compliance Officer.

Big Data es la increíblemente gran cantidad de datos que se producen constantemente: Datos financieros, reportes, facturas, órdenes de compra, encuestas, actividades online, emails, medios sociales y en un futuro cercano los datos del internet of things. Tanto individuos como empresas, gobiernos y máquinas los producen en un volumen que según algunas fuentes cada segundo equivale a los datos almacenados en todo el internet desde hace 20 años. El enorme volumen, la gran variedad de fuentes no comunicadas entre ellas y la velocidad de su creación eran hasta hace un tiempo un obstáculo insuperable para su almacenamiento y análisis. Esto está cambiando gracias a la creciente utilización de sistemas “cloud”. Las empresas pueden ahora almacenar o tener acceso a datos en forma rápida y económica lo que les permite descubrir temas y relaciones entre datos no estructurados provenientes de diferentes “silos” que no tienen ninguna relación aparente entre sí. Big Data utiliza conceptos que no son nuevos para los Compliance Officers. Se utilizan “data” tanto en Compliance como en Auditoría desde hace mucho tiempo. Pero ahora Big Data permite acceder a más datos y sobre todo incluir a datos no estructurados, tanto internos como externos (emails, medios sociales y en un futuro cercano del “internet of things”, los celulares, autos, televisores y electrodomésticos que comunican automáticamente a través de internet los aspectos más variados de la vida de las personas, los comportamientos de consumidores y clientes, etc). Sin embargo, los datos no estructurados son solo una inferencia, y requieren para su interpretación además del análisis de su contexto, la determinación de qué se mide y cómo hacerlo.  Big Data Análisis es un enorme paso en esta dirección que permite profundizar y acelerar la búsqueda de temas de compliance en la gran bola de datos. Big Data Análisis es el camino para incrementar la efectividad del programa de compliance y a la vez bajar costos, dos puntos no menores y en rara complementariedad: Big Data Análisis permite abandonar muchos procesos manuales, a veces intuitivos y reemplazar el uso de la “regadera” que aplicaba el mismo esfuerzo y la misma cantidad de recursos a todo el espectro al cubrir y enfocar las acciones y recursos dónde tiene sentido: indica en que temas focalizar mejor el mapeo de riesgos de compliance, ayuda a segmentar audiencias para los entrenamientos y seleccionar temas relevantes para diferentes funciones en la empresa y la cadena de valor. Además, automatiza el monitoreo y gran parte de las auditorías. Pero Big Data no solo mejora el conocimiento y la comprensión de lo ya ocurrido sino que permite una mejor prevención. Además de focalizar las actividades de Compliance mejor en las áreas de riesgos y adaptar los entrenamientos a las necesidades porque muestra tendencias y advierte lo que puede pasar en el futuro, tanto en las áreas de la empresa, en determinados negocios, en los empleados y la cadena de valor. Algunos ejemplos de uso de Big Data Análisis, citados en el Risk & Complance Journal del Wall Street Journal el 8 de Septiembre 2016, son la detección de anomalías para descubrir potenciales riesgos, análisis de textos para descubrir temas de compliance en documentos no estructurados; análisis de redes para encontrar links entre entidades, y análisis visuales para crear representaciones visuales para interpretar mejor huellas en datos escondidos.

El Departamento de Justicia de los EEUU, ha definido el concepto de "lavado de dinero" o “reciclaje” como: El proceso por el cual alguien oculta la existencia, el origen ilegal o la aplicación ilegal del ingreso para que parezca legal. El concepto de "reciclar dinero ilícito" se origina en dos grandes grupos de situaciones: A-           Actividades productoras lícitas, con la consiguiente evasión de los efectos tributarios que genera. Al dinero así producido lo denomina "fondos contaminados", otros autores los llaman dinero negro. B-           Actividades al margen de la ley tales como narcotráfico, robos, coimas, etc. En este caso alude a "dinero ilegal", otros autores los llaman dinero sucio. La prevención del Lavado de Activos y Financiamiento del Terrorismo (en adelante “LA-FT”) se produce mediante la implementación y definición de políticas, procesos, herramientas y planes de capacitación que permitan el pronto encuadramiento dentro del ordenamiento legal, permitirán disminuir los riesgos enunciados además de agregar como valor corporativo políticas de responsabilidad social en colaboración con las autoridades nacionales e internacionales competentes en la prevención LA-FT. Para alcanzar dichos objetivos, resulta fundamental la implementación en el Sujeto Obligado de un sistema de PLA y FT, definiendo “sistema” en su alcance amplio, es decir, a todos los componentes que lo integran (colaboradores, procedimientos, normas, regulaciones, registros, matrices, controles, alertas documentales, alertas personalizadas, alertas sistematizadas, soportes digitales, informáticos, gráficos y/o de cualquier otra naturaleza que permitan gerenciar el Riesgo de LA-FT). Dicho sistema tendrá tres ejes básicos: tecnología, capacitación y procedimientos. Regulación nacional e internacional. Los estándares normativos en nuestro país sobre el LA/FT están conformados por la Convención de 1988 de Naciones Unidas contra el Tráfico Ilícito de Estupefacientes y Sustancias Sicotrópicas -Convención de Viena- y Convención de 2000 de Naciones Unidas contra la Delincuencia Organizada Transnacional --Convención de Palermo- y las Recomendación formuladas por el GAFI. En el año 2000, la República Argentina ingresa como miembro pleno en el GAFI. En ese mismo año se sanciona y se promulga la Ley N° 25.246, que entre otras disposiciones modifica el delito de encubrimiento, crea la Unidad de Información Financiera (UIF), establece el deber de informar de los Sujeto Obligados y el régimen penal sancionatorio para quienes incumplen el deber de prevención de LA y FT. Pero como se dijo anteriormente, si bien se dio un paso hacia la creación de mecanismos y organismos tendientes a la lucha contra el LA/FT, para estos años la legislación era aún una legislación muy débil y poco aplicable en la realidad. Como contrapartida, y a modo de perfeccionar la legislación anterior, en el año 2007 se sanciona y se promulga la Ley N° 26.268 que incorpora penas de reclusión y prisión al Código Penal sobre asociaciones ilícitas terroristas y a la financiación del terrorismo. Asimismo, modifica la Ley N° 25.246, en cuanto que la UIF deberá prevenir e impedir el delito de FT además del LA. Finalmente, la legislación nacional se termina de perfeccionar con la sanción de la Ley N° 26.683, promulgada en junio de 2011, en la cual se establece la tipificación del LA como un delito autónomo y se realizan las modificaciones más importantes en la materia que permitirían luego tomar el camino correcto hacia la lucha del LA/FT. En lo que corresponde a Entidades Financieras y Cambiarias, como sujetos obligados a informar ante la UIF (conforme art. 20 de la Ley N° 25.246), en agosto de 2011, se publica la Res. UIF 121/2011, siendo la norma madre en la materia hasta la reciente modificación introducida por la Res. 30-E/2017. La UIF sancionó la Res. 30-E, a los fines de adecuar las normas aplicables a las entidades financiera y cambiarias a las Recomendaciones del GAFI revisadas, como se dijo, en el año 2012. Con el propósito de adoptar un enfoque basado en riesgo, la UIF y el BCRA conformaron una comisión técnica integrada por funcionarios de ambos organismos a los fines de compatibilizar y adecuar la normativa aplicable al sector financiero y cambiario, junto con el aporte de varias entidades públicas y privadas. La resolución dicha, deroga a su antecesora la Res. 121/2011 y establece nuevas obligaciones que deberán cumplir las entidades financieras y cambiarias en su calidad de sujetos obligados conforme el artículo 20 de la citada Ley N° 25.246. Con fecha 26 de mayo de 2014 la Unidad de Información Financiera ("UIF") dictó la res. 229/2014, que fuera publicada en el Boletín Oficial el 27/05/2014 (la "resolución"). La resolución fue dictada por la UIF: (1) en ejercicio de las facultades que legalmente le corresponden como organismo encargado del análisis, tratamiento y transmisión de la información a efectos de prevenir e impedir los delitos de Lavado de Activos y el Financiamiento del Terrorismo. En el desarrollo de su actividad de supervisión, la UIF puede exigir la colaboración de los denominados Órganos de Contralor Específicos, que se encuentran enumerados en el art. 12 de la ley 25.246. (2) Estos Órganos de Contralor Específicos cuentan con atribuciones necesarias para supervisar el adecuado cumplimiento de la normativa correspondiente a su sector, encontrándose facultados para adoptar remedios o medidas correctivas tendientes a la consecución de sus fines. El objeto principal de la resolución es ampliar dichas facultades respecto de algunos de los Órganos de Contralor Específicos y establecer las directivas que rigen el deber de colaboración y el procedimiento de supervisión del cumplimiento de las obligaciones previstas en la ley 25.246 y en las demás normas emitidas por la UIF. Dichas directivas están dirigidas al Banco Central de la República Argentina (BCRA), la Comisión Nacional de Valores (CNV), la Superintendencia de Seguros de la Nación y el Instituto Nacional de Asociativismo y Economía Social (Anexo I de la resolución). Asimismo, el Anexo II de la resolución reglamenta el procedimiento de supervisión, fiscalización e inspección in situ que deben aplicar todos los demás sujetos obligados (art. 20, ley 25.246). La importancia de generar mecanismos internos efectivos para asegurar el cumplimiento. La formulación y establecimiento de un Sistema de Prevención de LA-FT debe incluir, al menos, los siguientes componentes genéricos: 1) IDENTIFICACIÓN Y EVALUACIÓN DE LOS RIESGOS LA-FT. La identificación y evaluación de los riesgos es vital para no solo comprender la exposición de las organizaciones gubernamentales al lavado de activos, los delitos funcionarios y el financiamiento del terrorismo, sino también para diseñar a un sistema preventivo interno que contribuya a la mitigación de estos. 2) ORGANIZACIÓN INTERNA DEL SISTEMA DE PREVENCIÓN LA-FT. La organización interna de la institución pública es fundamental para la implementación de un adecuado Sistema de Prevención de LA-FT. Por tal razón, es importante que toda la organización sea parte del Sistema de Prevención de LA-FT, identificándose roles y responsabilidades de cada uno de sus funcionarios. 3) POLÍTICAS DE PREVENCIÓN Y DETECCIÓN DE LA-FT. Son directivas de carácter general que reflejan la visión de la más alta autoridad de la organización sobre lo que debe hacerse para prevenir y detectar operaciones sospechosas de lavado de activos, financiamiento del terrorismo y delitos funcionarios. Dicha visión incluye principios y lineamientos, debe documentarse por escrito, y plasmarse expresamente en otras comunicaciones, o bien, de manera implícita a través de las decisiones y medidas adoptadas por la dirección de la Empresa. 4) PROCEDIMIENTOS DE DETECCIÓN DEL LA-FT. Se trata de medidas específicas para implementar la política de prevención y detección del LA-FT definida por una organización. 5) MONITOREO DEL SISTEMA DE PREVENCIÓN LA-FT. Los procedimientos de monitoreo permiten mantener la efectividad y eficiencia de la prevención, y adaptarse a los cambios tanto del entorno externo como interno. 6) MANUAL DEL SISTEMA DE PREVENCIÓN DE LA-FT. La descripción detallada de cada uno de estos componentes y las relaciones que se producen de su interacción, deben ser incorporadas en un documento formal que se denominará “Manual del Sistema de Prevención de LA-FT”. Dicho documento debe ser aprobado por la más alta autoridad de la Empresa, estar difundido y encontrarse al alcance de todos los empleados, clientes, proveedores, accionistas y terceros interesados. Etapas del LA-FT. Si bien la legislación varía de país en país, podemos resumir que para que exista “lavado” es precisa la previa comisión de un acto delictivo de naturaleza grave, y la obtención de beneficios ilegales que se desean introducir en los mercados financieros u otros sectores de la economía. Sus etapas: ETAPA 1) Colocación: Consiste en deshacerse materialmente del dinero en billetes, generado mediante actividades ilícitas, e introduciéndolo en los sistemas financieros y no financieros legales. Aquí cabe una reflexión: no es lo mismo ingresar a la economía formal dinero producto de vender en negro en una economía con altos niveles de informalidad (que, sin pretender justificar el incumplimiento de la ley, forma parte de una cultura y forma inadecuada de hacer negocios), que ingresar dinero proveniente de la corrupción, desarmaderos, trata de personas, venta ilegal de armas, robos, amenazas, secuestros virtuales, etc. ETAPA 2) Estratificación: Se basa en cortar el vínculo entre esas ganancias y el ilícito que les dio origen, eliminando su identificación con quien lleva adelante el lavado de dinero y dificultando las investigaciones que pudieran existir. Esto se concreta mediante la realización de múltiples transacciones que, como si fueran capas de una cebolla, se van sucediendo unas sobre otras a fin de dificultar el descubrimiento del verdadero origen de los fondos. Una vez que estas dos primeras etapas han sido llevadas a cabo exitosamente, resulta altamente complejo llegar a vincular el dinero ilícito con sus verdaderos propietarios. ETAPA 3) Integración: Para que el proceso de lavado se complete es necesario que pueda proporcionarse una explicación aparentemente legítima para la existencia de estos bienes, de modo tal que su propietario pueda gozar libremente de ellos. Esa es la finalidad de los sistemas utilizados en esta última etapa, que permite introducir los productos blanqueados en la economía. De esta forma lucirán como inversiones normales, créditos o reinversiones financieras. Trade Compliance. Mejores prácticas para detectar y monitorear los principales riesgos en operaciones de importación y exportación. El Trade Based Money Laundering (Tbml) o Lavado de dinero basado en el comercio internacional fue reconocido por el Grupo de Acción Financiera Internacional (Gafi) en su estudio del año 2006 como uno de los tres métodos principales mediante los cuales las organizaciones criminales y los terroristas financieros mueven dinero con el fin de disfrazar sus orígenes y la integración de nuevo en la economía formal. Características distintivas del Tbml a) El Tbml se produce en más de una jurisdicción, mientras que otras formas del LA pueden ser solo de una jurisdicción b) Las transacciones transfronterizas proporcionan oportunidades para tomar ventaja de las diferencias entre los sistemas jurídicos de las distintas jurisdicciones. c) Una jurisdicción puede tener controles aduaneros menos restrictivos (zonas francas) y menos estrictos. d) El alto volumen de transacciones, la regularidad y la rapidez del comercio internacional aumentan la vulnerabilidad. e) El Tbml necesariamente requiere la coordinación del sector comercial con el sector financiero. Los delincuentes se aprovechan de las vulnerabilidades de ambos sectores. El régimen antilavado del sector financiero es por sí mismo insuficiente. f) El comercio internacional se expresa en términos de monedas aceptables internacionalmente. En consecuencia, queda expuesto a las vulnerabilidades del mercado de divisas. g) La larga cadena de suministro necesaria para el comercio internacional hace que el comercio sea más vulnerable al Tbml. Por sus múltiples debilidades, esta cadena que involucra al fabricante, comerciante, destinatario, el banco, el transportador, la aseguradora y el agente de aduanas, amplía las posibilidades de abuso del sistema por parte de los delincuentes. Riesgos Específicos: Precios de Transferencia, Valuación y Clasificación. El lavado de activos se perfecciona a través de los precios de transferencia que es una figura que existe en algunas legislaciones. Se considera un tipo de escudo fiscal, que opera de la siguiente manera: se constituye una empresa subsidiaria en algún paraíso fiscal o territorio de baja imposición tributaria a la que se le cede la propiedad de las marcas o patentes previamente, y esta empresa, a su vez, cobra anualmente los derechos de uso a la empresa matriz que es la que utiliza la marca. De esa manera la empresa local aumenta su gasto y baja su impuesto a la renta y en el territorio “offshore” no paga impuestos o paga porcentajes mínimos. En esta tipología el delito precedente es la elusión tributaria (que es un tipo de fraude tributario) y posteriormente se verifica el lavado de activos, pues la diferencia de lo que realmente se debió pagar en impuesto a la renta se quedó en la empresa para beneficio de los accionistas. Además, se perjudicaría a los trabajadores, en la medida en que la empresa pagaría menos utilidades. Esa fuente podría ser detectada a través del cruce de información y control de la autoridad tributaria con el resto de órganos de control.

Desde que hace unos años que los EEUU declararon la guerra al fraude empresarial y proclamaron a los cuatro vientos la política de law enforcement contra el crimen corporativo, todo hace pensar que esta vez va en serio. Y es que está en juego ni más ni menos que la confianza en un mercado global en el que compiten empresas de todo el mundo, que vienen de países con culturas corporativas e incluso idiosincrasias nacionales muy distintas, en las que se hace necesario tener un “pasaporte” global de buena ciudadanía corporativa, misión que, para bien o para mal, se ha encomendado a la función de  compliance. Tendencias en compliance: 1. Enfoque holístico. La principal tendencia observable es la de intentar integrar la estrategia de compliance en la general de la empresa, tanto a fin de evitar inconsistencias en el modelo de compliance como de dar coherencia interna a todo el proyecto empresarial. 2. Compliance como vector del modelo de calidad total/excelencia (TQMM/EFQM). Dedicaremos un post específico a este tema, muy interesante, aquí avanzamos la tendencia a que compliance arrastre a la implementación de modelos de gestión de la calidad y toma de decisiones en las organizaciones. De poco sirve que se respete la norma de calidad en compliance (ISO 19600 CMS de reciente publicación) si es la única norma de calidad que se respeta … 3. Compliance a dos velocidades; diferencias regionales y sectoriales. Las diferencias en la propia idiosincrasia y tradición legal y política de los países hace que a nivel global los desarrollos en la materia sean más que dispares, se prevé convergencia de criterios para los años venideros, tanto a golpe de leyes extraterritoriales de las potencias comerciales globales (FCPA, UK Antibribery Act, FATCA, etc), como por medio de la presión de los organismos supranacionales legislando mediante directivas y recomendaciones. En este punto se hace patente una vez más el dicho del profesor Tamames, tan citado en este blog; el inglés hace listo al tonto y tonto al listo. Pues en compliance la verdadera brecha se abre entre los países anglosajones y el resto del mundo, están a años luz en materia de autorregulación. El doble rasero de medir se hace más patente, si cabe, entre el sector público y el sector privado. En este punto me remito al post de mi blog personal, que encontráis en el lateral de este artículo, sobre la Directiva de contratación pública. 4. Gatopardismo en compliance. Muchas personas con las que me entrevisto me transmiten la sensación que les da de que todo esto no es más que un lavado de cara superficial al sistema, haciendo parecer que se cambia algo para que todo siga como está, porque interesa. Y no voy a negar que algo de esto hay. Compliance en este sentido está llamada a ser la disciplina que lidere el nuevo paradigma en los negocios, será una especie de pasaporte global corporativo, más vale que no esté falsificado. 5. Efecto justos por pecadores. Muy en relación con el punto anterior, está la creencia popular que viene haciendo eco del temor de que acaben sancionando a empresas indefensas por nimiedades mientras el gran festín de la corrupción político-empresarial continúa. Pues un poco lo que ocurre con Hacienda. 6. Efecto disruptivo, I+D en compliance. Compliance es una materia innovadora en sí misma, y tanto por ello, como por su estrecha interrelación con muchos ámbitos del conocimiento, como por la propia dificultad de controlar un sistema complejo como es una empresa en actividad; no es extraño que sucumba a las ventajas de la tecnología en términos tanto de eficiencia como de eficacia. La disrupción en compliance proviene, por tanto, de la intersección con otras áreas de conocimiento y de la aplicación de las nuevas tecnologías al control de riesgos legales, modelos de reporte de información, y gestión del modelo de compliance. Y será una tendencia en los próximos años para ir perfeccionando el estado del arte y sumar valor al modelo. Tres tendencias, tres oportunidades para mejorar la función de compliance Una de los pilares de todo profesional de compliance es la mejora continua. Debemos identificar los desafíos, los riesgos, y transformarlos en oportunidades para nuestro sistema de compliance y para la empresa. De allí que, con la intención de poner sobre la mesa ideas para el debate, he identificado tres tendencias estratégicas que impactan al corporate compliance en 2018. •             La primera tendencia es la necesidad de innovar la función de compliance. Debido al nivel actual de madurez y desarrollo, la función de compliance corre el riesgo de entrar en fase de estancamiento e irrelevancia. Los debates sobre corporate compliance siempre han sido endógenos, sectoriales, y existe el riesgo de perderle el pulso al entorno de negocios. El compliance ha enviado mensajes de aversión al riesgo, fomentando una imagen poco orientada a negocio y muy dependiente de factores externos, como la publicación de una ley o la imposición de una sanción. El corporate compliance tiene por fin, una vez alcanzado el nivel de madurez suficiente, la oportunidad de trascender. El compliance officer debe dejar de ser un simple gestor de sistemas de control para auto-transformarse en un gestor de riesgos estratégicos. No se trata de evitar los riesgos y aniquilar la iniciativa empresarial, todo lo contrario, se trata de asumir los riesgos correctos. •             La segunda tendencia es el impacto de la revolución digital en la cultura corporativa. El concepto de cultura corporativa, fundamental en compliance, se ha venido estudiando durante muchos años en las escuelas de negocios y, básicamente, se define como el conjunto de hábitos instintivos que determinan cómo se hacen las cosas en la empresa. Tradicionalmente, la cultura corporativa busca alinear a las personas. Pretende que las decisiones y los procesos se ejecuten de una forma específica, determinada y constante en el tiempo. En ese sentido, la cultura corporativa parece un factor uniformador que diferencia a una empresa de otra. Por su parte, la revolución digital está imponiendo nuevas formas de relacionarse dentro y fuera de la empresa. Cada vez más personas trabajan en la nube, en plataformas digitales que eliminan capas de burocracia y de management. Cada vez más empresas deslocalizan equipos o unidades de negocio para hacerlas más ágiles y liberarlos de la rigidez de las grandes corporaciones. En este contexto, pareciera que contar con una cultura corporativa rígida que busque la alineación total no es una ventaja, sino un lastre. Las nuevas formas de colaboración, más rápidas, efímeras y en constante sinergia, exigen nuevas reglas universales de vinculación que presentan un desafío para la cultura de compliance. •             La tercera tendencia es el surgimiento de nuevos riesgos y responsabilidades inherentes al uso de algoritmos en la analítica de datos y al uso de la inteligencia artificial. ¿De quién es la responsabilidad por el atropello causado por un coche autónomo? ¿De quién es la responsabilidad por la manipulación emocional en los medios y redes sociales? Sin duda, se presentan desafíos éticos y legales que incumben directamente al corporate compliance, más allá de la protección de datos.