Equipo Prelafit Compliance
27/09/2024
La Guía de Evaluación de Programas de Compliance del Departamento de Justicia de los Estados Unidos (ECCP, por sus siglas en inglés) fue actualizada a septiembre de 2024.
La nueva versión del documento que utiliza los fiscales de los Estados Unidos para indagar si un programa de compliance es efectivo incorpora algunos cambios relevantes que me permito resumir en estas líneas.
El documento que se transformado en una gran ayuda para los evaluadores de programas de compliance, resume las interrogantes que debiera resolver todo persecutor al evaluar un programa de compliance. A saber:
1) ¿Está bien diseñado el programa de cumplimiento de la empresa?
2) ¿Tiene el programa los recursos adecuados?
3) ¿Funciona el programa en la práctica?
Los elementos más destacados a mi juicio son los siguientes:
1. Sistema y cultura de denuncia
La actualización de ahora incluye un nuevo texto sobre la cultura de denuncia, que implica que los fiscales deberán indagar:
1) cómo las empresas alientan e incentivan la denuncia de posibles conductas indebidas o violaciones de la política de la empresa,
2) si la empresa frena de alguna manera dichas denuncias y
3) cómo evalúa la empresa la disposición de sus empleados a denunciar conductas indebidas.
Se debe destacar que el lenguaje utilizado, especialmente en relación con los mecanismos internos y externos para plantear inquietudes, es más amplio en comparación con las versiones anteriores del ECCP.
La actualización también proporciona nuevas explicaciones sobre cómo las empresas protegen a quienes denuncian conductas indebidas, a saber,
1) si existe una política contra las represalias en la organización;
2) si la entidad capacita a los empleados en políticas, procedimientos y leyes internas y externas contra las represalias y la protección de los denunciantes; y
3) si los empleados que denuncian conductas indebidas reciben un trato diferente debido a ello.
Por otra parte, la guía garantiza que si un programa de cumplimiento identifica una mala conducta, lo que incluye permitir una remediación oportuna y la autodenuncia, un fiscal debería considerar este hecho como un fuerte indicador de que el programa de cumplimiento estaba funcionando de manera eficaz.
Aunque se avanza en este punto, se echa de menos alguna mención a la necesidad de capacitar específicamente a los directivos en esta materia.
2. Inteligencia artificial (IA)
Quizás la sección más novedosa es esta, en que se indaga a las empresas sobre cómo identifican y gestionan los riesgos con posibles implicaciones de cumplimiento, especialmente en relación con el uso de IA dentro de la empresa.
Las preguntas que se incluyen son las siguientes:
1) cómo las empresas incorporan la IA en su gestión de riesgos empresariales (ERM),
2) la toma de decisiones humana de referencia para el uso de IA y
3) la rendición de cuentas por el uso de IA.
Es evidente que el Departamento de Justicia (DOJ) ha buscado la manera de abordar la inteligencia artificial. El énfasis está puesto tanto en los riesgos como en las oportunidades que presenta la IA y establece una expectativa clara en cuanto a la medida en que la organización utiliza IA en sus productos y esos productos causan daño, la participación del equipo de cumplimiento en la verificación de esos productos estará sujeta a escrutinio.
Por otra parte, se señala, que la autoridad mirará con especial atención las diferencias entre las inversiones en IA para lograr más ventas versus las inversiones en IA para compliance y gestión de riesgos.
3. Evaluaciones Periódicas de Riesgos
La actualización también incluye preguntas relacionadas con evaluaciones periódicas de riesgos emergentes a medida que evolucionan las circunstancias internas y externas que afectan el perfil de riesgo de la empresa.
Curiosamente en esta materia Chile tiene ya un estándar similar, ya que para tener un modelo adecuado que permita eximir a la empresa de responsabilidad, es necesario contar con evaluaciones periódicas por parte de terceros independientes.
Se desprende claramente del documento del DOJ que una evaluación (fundamentalmente relacionada con los riesgos, se entiende) debe ser un proceso continuo y no algo que se haga una sola vez. Se podría argumentar que incluso un proceso anual debería complementarse con controles periódicos a medida que la empresa evoluciona y se aprenden las lecciones.
En efecto, una evaluación periódica por un tercero que además cumpla con criterios generales de independencia, debiera hacerse cargo de la identificación y mejor gestión de los problemas internos y externos emergentes. Por ejemplo, los nuevos riesgos penales que pudieren significar los nuevos negocios, clientes, nuevas normas, etc.
Algo parecido se exige de los mitigantes o controles que deben ser actualizados consultando a los colaboradores y conforme a las lecciones aprendidas, la nueva tecnología, entre otros.
Un tema clave que se refuerza en el documento es la asignación de recursos basados en riesgos. Para ello será imprescindible vincular los delitos con procesos riesgoso específicos. Los recursos, siempre escasos en materia de compliance, deben ser utilizados con un estricto enfoque basado en riesgos penales, aplicando mayor escrutinio a área de mayor riesgo.
La guía señala, asimismo, que los levantamientos de riesgos y programa de compliance deben tener como insumo primordial las fuentes de datos que correspondan, utilizando para ello modelos de análisis de datos confiables.
En suma, cada uno de estos cambios en los requisitos de cumplimiento y la gestión de riesgos requiere un análisis minucioso de los procesos existentes para garantizar las mejores prácticas. Ignorar las actualizaciones podría generar un mayor riesgo regulatorio, multas o incluso daños a la reputación.
En relación con este tema tiene importancia que las empresas prefieran los planes proactivos a los solo reactivos y que utilicen data con “la mejor información disponible” como señalan las normas técnicas de riesgos.
En resumen, se trata de una actualización relevante que aporta elementos interesantes en la revisión de la efectividad material de los programas de compliance que es necesario conocer y difundir. En especial se refuerza la idea de programas de compliance que evolucionen en el tiempo, evidenciando la mejora continua.
Ver Guía en Inglés ECCP Revision 2024 0922 (FINAL CLEAN) (1) (1)
Ver Guía en Español (traducción propia) ECCP Revision 2024 0922 (FINAL CLEAN) (ES)
