En los últimos meses hemos hablado mucho del compliance. Particularmente a partir de la sanción de la ley 27401 de responsabilidad penal corporativa, de la Resolución 27/2018 de la Oficina Anticorrupción y de la sorprendente revelación de graves escándalos de corrupción empresaria aún en pleno desarrollo y con final incierto. Pero ¿hemos pasado de las palabras a los hechos?
Para tratar de dar respuesta a esa pregunta veamos las condiciones generales necesarias para “bajar” el tema a la realidad práctica. Nos parece interesante desarrollar esta cuestión porque, quizás inducidas por los lineamientos básicos de la ley mencionada, muchas empresas parecieran darle al tema un enfoque meramente formal, algo así como una versión ligera, limitada a disponer de un código de ética y algunos manuales y políticas generales, que en el mejor de los casos constituirían la estructura del sistema. Pero el compliance además de una estructura es una función permanente que debe operar, una actividad continua de control de la que hay que ocuparse.
Lineamientos de organización y reporte
Empecemos por decir que el compliance como tal no está caracterizado y descripto por la ley 27401. Esta es una ley penal que tangencialmente se refiere a los programas de integridad como elementos atenuantes de las penas. Tampoco hay una definición aceptada universalmente. Nosotros lo entendemos como una función propia de toda entidad de cierta magnitud y complejidad, cuyo propósito consiste en asegurar que la organización, en su conjunto, actúa de acuerdo con toda la legislación que le aplique, respetando, además, sus propias políticas internas.
Las empresas siempre estuvieron obligadas a cumplir la legislación vigente. La novedad es que en las últimas décadas las obligaciones impuestas por diferentes normas y regulaciones, tanto en cantidad como en complejidad han crecido geométricamente. Este es un fenómeno mundial producto de una transformación en la concepción del derecho, de manera que se trata de un hecho permanente, al que hay que adaptarse.
En las sociedades anónimas argentinas, la responsabilidad por el cumplimiento integral de la legislación vigente está en cabeza del directorio, y particularmente del presidente del cuerpo que es quien ostenta la representación y titularidad del órgano. Como la función de compliance apunta a asegurar ese alineamiento con la ley, la responsabilidad final sobre ella recae en el directorio, que, por supuesto, en la práctica, lo puede delegar de variadas maneras: en un comité interno, en un funcionario de línea o en un equipo, dependiendo del alcance que se le dé a la función en cada empresa y a la forma en que se decida organizarlo.
De acuerdo con el formato de delegación se deberán luego fijar los límites, alcances, recursos, políticas y procedimientos de la función. Y muy importante: quien quiera sea el designado para encargarse de ella, deberá reportar directamente al directorio a través de un protocolo de comunicaciones perfectamente definido. Esta designación no es algo trivial. Es una función que podría tener responsabilidades penales.
Etapas para implementar un programa de compliance
- Elaborar el mapa general de riesgos de incumplimientos significativos por parte de la entidad. En este sentido básicamente los eventuales incumplimientos pueden provenir de: (a) acciones indebidas u omisiones de la sociedad y/o sus integrantes, y, (b) informaciones erróneas suministradas por la sociedad y/o sus integrantes.
- Determinar cuáles de esos riesgos están ya cubiertos o mitigados por las actividades de control vigentes. Existe numerosas actividades que se llevan a cabo en una organización en el campo del control. Las empresas e instituciones ya destinan ingentes recursos para dar cumplimiento a los requerimientos de verificación y comprobación existentes, a través de auditorías externas e internas sobre: estados contables, integridad de sistemas de información, revisiones por parte de expertos en áreas diversas como las cuestiones legales y tributarias, cumplimiento de las obligaciones emanadas de la legislación antilavado (UIF), etc. En todos estos casos será necesario readecuar las líneas y formatos de reporting a fin de concentrar las decisiones y cursos de acción a partir de los hallazgos identificados, asegurándose que la información llega al directorio de la manera prevista.
- Para aquellos riesgos que actualmente no tienen cobertura de control, determinar los procedimientos necesarios para mitigarlos.
Quienes debieran participar del proceso
En forma directa el directorio, que delega el desarrollo de los controles, pero retiene la responsabilidad sobre cualquier problema detectado. En este aspecto es vital que el directorio demuestre su compromiso con la función y que exteriorice claramente que conserva la responsabilidad priorizando los canales de comunicación con el equipo a cargo.
Las personas designadas para la función, que deben ser profesionales con una probada capacidad y experiencia en materia de control, un adecuado nivel dentro de la organización y un reporte directo al directorio.
En forma indirecta todos aquellos encargados de tareas que implican controles y comprobaciones sobre las operaciones, activos, pasivos y contingencias de la entidad, ya sean funcionarios de la compañía como los auditores internos, o profesionales ajenos a la estructura, como por ejemplo auditores externos, valuadores especiales, asesores impositivos y abogados asesores en litigios y controversias. Las observaciones, hallazgos, conclusiones de todos ellos debieran pasar por el tamiz del responsable del compliance. Este criterio unificador es lo que llamamos el “enfoque integrador del compliance”.
Habiendo hecho un repaso de la cuestión, podemos volver a formularnos la pregunta inicial: ¿hemos pasado de la palabra y los discursos a los hechos en materia de compliance? ¿Cómo estamos encarando esta cuestión en nuestras organizaciones? ¿En el caso de las compañías multinacionales, las filiales locales disponen de programas propios bajo la responsabilidad de los directores?
Estamos abiertos al debate.