Social Network

Select Language

Guía para la implementación efectiva de un Programa anticorrupción para las empresas.

Guía para la implementación efectiva de un Programa anticorrupción para las empresas.

-
Derecho Financiero y Bancario / Publicado el 13 de abril de 2018.

-

 

Businessman Hand Rejecting An Offer Of Money

 

I. Introducción

 

El renovado enfoque en la lucha contra la corrupción y en leyes y regulaciones de cumplimiento, ha puesto un énfasis aún mayor sobre la importancia de construir y mantener un programa de cumplimiento efectivo dentro de cualquier empresa. No hay una estructura específica o ejemplo de programa que se pueda definir como el perfecto para toda empresa.

 

Cualquier programa tendría que corresponder a las áreas de riesgo de la compañía, su tamaño, recursos, segmento de la industria, ubicaciones comerciales, etc.

 

A continuación, se presenta una guía general para la implementación efectiva de este programa en las empresas.

 

II. Evaluación de Riesgos

 

Los programas de cumplimiento exitosos se basan en evaluaciones de riesgos efectivas. Ninguna política, procedimiento o control interno logrará mucho si esas herramientas están abordando los riesgos incorrectos de la manera incorrecta. Sin embargo, realizar evaluaciones de riesgo puede ser un arte difícil de dominar, no sólo porque abarcan una gran variedad de riesgos, sino también porque no se puede aplicar una plantilla estándar de evaluación de riesgos para todos los que puede enfrentar la empresa. Las organizaciones se enfrentan a riesgos que son exclusivos de su estructura, particulares de su industria y que pueden relacionarse con sus socios comerciales y/o con la geografía en la que operan.

 

Para comenzar, se debe definir qué función realizará la evaluación de riesgos de cumplimiento. Luego se tendrá que reunir toda la información correcta y necesaria, ya que una evaluación efectiva del riesgo de cumplimiento requiere que el oficial de cumplimiento (CCO) piense de manera amplia sobre los tipos de información necesarios, para proporcionar una medición correcta del riesgo en cuestión, y qué partes de la organización pueden ayudar a proporcionarla.

 

Una vez que se han identificado los riesgos de la empresa, deben medirse. Fundamentalmente, una evaluación de riesgos mide qué tan bien funcionan los controles internos en una organización para mitigar la probabilidad de que ocurra el riesgo identificado. Es importante concluir los hallazgos con un resumen o un informe escrito que describa las fallas de cumplimiento más probables e indique principalmente por qué los controles internos son insuficientes (controles contables deficientes, procedimientos de investigación obsoletos, políticas de retención de documentos poco claras, etc.) y qué áreas requieren mecanismos de control interno más sólidos. Idealmente, el informe también incluirá elementos de acción para ser implementados.

 

III. Política y código de conducta

 

La capacidad de diseñar políticas efectivas es clave para un programa de cumplimiento exitoso. Los CCO deben sistematizar la creación y adopción de políticas, incluso cuando el contenido de esas políticas se vuelva más específico y detallado. Es importante utilizar un enfoque metódico para diseñar políticas individualmente: políticas que los empleados (y terceros) puedan comprender, respetar y seguir. Cualquiera que sea el requerimiento reglamentario o el riesgo comercial que impulsa la necesidad de una política específica, si la misma no puede cumplir esos tres puntos no funcionará correctamente para cubrir las necesidades de la empresa.

 

Otro elemento crucial para incluir en las políticas de la empresa son las solicitudes de excepción: cada política debe explicar cómo un empleado puede solicitar una exención o por qué no se permiten excepciones. Una política nunca debe ignorar por completo las solicitudes de excepción, por temor a que los empleados simplemente decidan no preguntar sobre una excepción y violen la política sin decírselo. Las solicitudes de excepción deben capturar toda la información necesaria para que los supervisores puedan manejar la solicitud de manera adecuada; y para que la empresa pueda documentar la solicitud como referencia futura, si es necesario.

 

IV. Administrar sus políticas y solicitudes de excepción

 

Los patrones en solicitudes de excepción pueden llevar a reevaluar y finalmente reajustar el programa de cumplimiento. Pero para obtener dichos conocimientos, los programas de cumplimiento necesitan dos cosas. Primero, necesitan datos sobre las solicitudes de excepción; de ahí la importancia de una documentación clara y suficiente dentro de la propia solicitud sobre quién la está haciendo y por qué. En segundo lugar, el programa de cumplimiento necesita un sistema para recopilar toda esa información, de modo que pueda analizarse. Como siempre, cuanto más automatizada e interconectada pueda ser la captura de datos, mejor.

 

V. Debida diligencia

 

Los terceros deshonestos representan el mayor riesgo individual para una empresa. Por lo tanto, es esencial que las compañías lleven a cabo una debida diligencia de terceros. Como se indicó anteriormente, la debida diligencia efectiva debe estar basada en el riesgo; los procesos deben corresponderse con las necesidades de la empresa. El marco de implementación, sin embargo, puede basarse en una serie de pasos estándar que pueden guiar en el proceso de creación de flujos de trabajo de debida diligencia exclusivos de la empresa.

 

VI. Evaluar internamente el riesgo de terceros

 

La relación entre la empresa y un tercero debe someterse a una evaluación de riesgos en forma de cuestionarios internos, mismos que planteen a la entidad o departamento que inicia el negocio (originador) una serie de preguntas de relación o de “alerta” que generarán solicitudes adicionales de información. Estas preguntas deben cubrir algunas áreas clave que indican riesgos de corrupción bajos, medios o altos, como la experiencia previa con el tercero, el propósito de la relación comercial, la interacción con funcionarios gubernamentales, la naturaleza de las actividades a realizar, el tipo de compensación y los términos de pago, la forma en que se seleccionó el tercero y una clasificación de riesgo del país en el que opera el tercero.

 

En esta etapa, un tercero debe ser examinado contra una base de datos de Internet o contra otras fuentes disponibles (listas de partes sancionadas, PEP’s, etc.), con revisiones de analistas para falsos positivos. Esto proporciona una determinación precisa de qué cuestionario debe completarse, en lugar de basarse en un puntaje de riesgo calculado fundado únicamente en las respuestas del originador.

 

VII. Llevar a cabo una debida diligencia externa sobre el tercero

 

Con base en los resultados del cuestionario interno y el examen de antecedentes, se debe calcular un puntaje de riesgo. El puntaje de riesgo de un tercero determina el alcance mínimo requerido de la debida diligencia que debe realizarse a través de un conjunto de preguntas en el cuestionario de diligencia debida externa. En general, cuanto mayor es el nivel de riesgo, más profunda es la investigación que se debe realizar. Algunas de las preguntas que se incluyen en un cuestionario estándar de alto riesgo incluyen términos y condiciones de la relación comercial propuesta, detalles bancarios y referencias bancarias, conexiones con funcionarios gubernamentales, litigios actuales y anteriores, investigaciones y sanciones penales, etc.

 

Se deberá asignar y enviar un cuestionario externo al tercero. Una vez completado el mismo se ajustará el puntaje de riesgo del tercero para acomodar sus respuestas. Un revisor de cumplimiento debe determinar si el tercero será aprobado o rechazado después de que se complete la revisión. Hay que asegurarse de que los terceros clasificados como riesgo medio a alto sean evaluados por un área distinta a la comercial, como el departamento de cumplimiento o legal, o incluso una entidad de evaluación externa, para evitar cualquier conflicto de intereses.

 

VIII. Post-aprobación de terceros.

 

En función del nivel de riesgo identificado, se debe programar automáticamente la recertificación del tercero en intervalos predefinidos. Esto se puede lograr a través de recordatorios automatizados de recertificación. Asimismo, una vez siendo aprobado el tercero, es posible solicitarle que firme las políticas y complete las capacitaciones correspondientes. Idealmente, estas actividades tendrán notificaciones y/o materiales asociados que se envían automáticamente una vez que la empresa ha sido marcada como una relación comercial.

 

IX. Capacitación

 

Una buena capacitación debe reflejar políticas y procedimientos que muestren a los empleados la conexión entre los objetivos de cumplimiento que la empresa desea alcanzar y las políticas y sistemas que la empresa utiliza para administrar las operaciones diarias.

 

Es importante conocer a su audiencia, ya que no todos los empleados necesitan toda la capacitación en cantidades iguales. La frecuencia con la que se envíe el material de capacitación puede necesitar ser ajustada de acuerdo con el entorno de riesgo de los diferentes grupos de empleados. Los empleados o socios que trabajen en entornos de alto riesgo deberán recibir capacitación con mayor frecuencia.

 

Hay que evaluar la efectividad del programa de entrenamiento al vincularlo a los resultados deseados. Por ejemplo, una mayor conciencia entre los empleados podría generar una mayor tasa de denuncias.

 

X. Gestión de casos

 

Los departamentos de cumplimiento se ocupan de una enorme variedad de cuestiones y, con toda probabilidad, el CCO tendrá que hacer malabarismos con múltiples denuncias, consultas e investigaciones al mismo tiempo. De ahí que la necesidad de contar con un sistema de gestión de casos, en su programa de cumplimiento, sea una herramienta fundamental no sólo para mantener la efectividad del programa, sino también para mantener la efectividad del CCO.

 

Cualquier sistema de gestión de casos debe establecer un sistema de admisión eficaz para permitir que los empleados presenten una queja. El ejemplo más obvio es una línea directa de denuncias. Un sistema de admisión eficaz permite que las reclamaciones lleguen a través de cualquier canal y consolida todas esas entradas en un sistema maestro que permite a los CCO ver toda la actividad de reclamos a nivel global.

 

Luego viene la necesidad de clasificar estas acusaciones en alto o bajo riesgo para comprender la gravedad de la acusación y la urgencia de la respuesta. Un sistema de administración de casos debería ayudar al CCO a analizar las diferencias de manera rápida y correcta.

 

Los sistemas de administración de casos también deberían permitir a los investigadores registrar cualquier “evento desencadenante” que pueda impulsar el caso en una nueva dirección. De hecho, toda la evidencia debe ser recolectada y documentada en un archivo central. Idealmente, su sistema de gestión de casos debería generar un informe de las etapas del caso, el historial de actividad y el resultado. La empresa debe tener un archivo completo del caso, listo para ser revisado por cualquier autoridad que pueda realizar un seguimiento en caso de que el denunciante original lleve sus inquietudes a los reguladores.

 

Una vez que se realizan las investigaciones necesarias, alguien debe recomendar las acciones requeridas y luego llevarlas a cabo. Tomar cualquier medida disciplinaria siguiendo la etapa de recomendación debe descansar en las políticas establecidas de la compañía con respecto a la disciplina en el lugar de trabajo, el debido proceso para los empleados acusados y qué ejecutivos pueden tomar decisiones sobre cierto tipo de problemas.

XI. Reportes y Monitoreo

 

Un programa integral de cumplimiento será ineficaz si no se basa en sistemas adecuados de reportes y monitoreo.

 

El mayor riesgo para los CCO (y todos los altos ejecutivos) es que no comprendan lo que realmente está sucediendo en el negocio.

 

Un sistema de reportes sólido debe proporcionar al CCO una imagen completa de la actividad. Un buen programa de cumplimiento capturará la mayor cantidad de datos posible y consolidará esa información de manera precisa y útil.

 

Una vez que se crea el material de reportes, se debe agregar y enviar a los ejecutivos correspondientes para su revisión. Cuando se establece este proceso de consolidación de datos, se pueden monitorear las tendencias más amplias de la actividad de cumplimiento, mientras que las fallas se pueden detectar y remediar.

 

De manera similar, el monitoreo se puede hacer de varias maneras. El desafío, sin embargo, es comprender los riesgos identificados (por ejemplo, riesgos de terceros) que enfrenta su empresa y articular los datos que describirían o cuantificarían ese riesgo y luego ampliar ese ejercicio para que todos sus datos de monitoreo puedan agregarse, permitiendo al equipo de cumplimiento pasar más tiempo analizando datos en lugar de prepararlos.

 

Se debe crear un sistema de escalamiento claro y apropiado para que un incumplimiento pueda informarse rápidamente. Un procedimiento de escalamiento eficaz enruta las preocupaciones al CCO y a otros altos ejecutivos, según corresponda. En otras palabras, un procedimiento de escalamiento eficaz conduce un “evento de riesgo” (una alegación de mala conducta, una tendencia inquietante en los datos, un incidente específico como una violación de datos), a aquellos en la empresa que tienen el propósito de responder a dicho evento.

 

XII. Conclusión

 

Como se señaló, los programas de cumplimiento no son un modelo único para todas las empresas. Es esencial comprender los componentes críticos de un programa y luego adaptar cada aspecto a las necesidades específicas del negocio. Cuando el equipo de cumplimiento puede elevarse a una posición más estratégica, el cumplimiento se puede ver menos como un equipo de intervención de crisis y más como un socio comercial crítico.

 

 

 

 

 

 

 

Contacto

 

Para más información con relación a lo anterior, favor de contactar a cualquiera de los siguientes miembros de BGBG:

 

Miguel Gallardo Guerra

mgallardo@bgbg.mx

 

Samuel Uziel Rivero Prado

surivero@bgbg.mx

 

www.bgbg.mx