Análisis
Características y utilidad de los instrumentos que componen los Programas de Cumplimiento
Por: Sebastián Orellana, Consultor Senior Risk Advisory
Desde la dictación de la Ley No.20.393 que establece la responsabilidad penal de las personas jurídicas, la cultura de “compliance” ha ido fortaleciéndose al interior de las organizaciones, sobre todo si consideramos que desde el año 2009 hasta la fecha, se han dictado diversas normas que consagran la posibilidad de que las compañías diseñen e implementen programas o modelos de cumplimiento en diversas materias, como por ejemplo, en responsabilidad penal, prevención del lavado de activos y financiamiento del terrorismo, libre competencia, y protección de los derechos de los consumidores.
Sin embargo, las normas que consagran los programas o modelos de cumplimiento no suelen definir aquellos instrumentos que lo componen, quedando esta labor, por una parte, en manos de entes reguladores que a través de normas de carácter interpretativas precisan los instrumentos que deben considerar los programas o modelos (como por ejemplo el SERNAC respecto de los programas de cumplimiento en materia de protección de los derechos de los consumidores); o a través de normas y estándares internacionales referentes a esta materia (como lo son las ISO 19600 y 37301).
En este mismo sentido, los instrumentos que componen los programas o modelos de cumplimiento, tomando de referencia los estándares nacionales e internacionales son, al menos, los siguientes: política de compliance, procedimiento de compliance, matriz de riesgos, e instrumentos legales. A continuación, revisaremos las características y utilidad de cada uno de ellos:
a) Política de compliance: se constituye como un elemento central en la adopción de los programas o modelos de cumplimiento, ya que por medio de ella se formalizan sus lineamientos generales, se establecen sus principales elementos y se definen los responsables de su adopción. Resulta un documento especialmente relevante pues proporciona un marco de referencia para el establecimiento de los objetivos de compliance y el compromiso de la organización para lograr esos objetivos mediante acciones1. Para lo anterior, es necesario que la Política sea aprobada por el máximo órgano social al interior de la compañía, a efecto de transmitir liderazgo y compromiso en la adopción del programa o modelo de cumplimiento.
b) Procedimiento de compliance: es el documento que describe las acciones o actividades concretas que la organización deberá llevar a cabo para dar cumplimiento a la Política (por ejemplo: actividades de prevención, detección y de respuesta), detallando los roles y responsabilidades de cada una de las áreas involucradas. Producto de los constantes cambios regulatorios, es posible que este Procedimiento deba sufrir modificaciones y/o actualizaciones periódicas para garantizar la correcta adecuación de los programas o modelos de cumplimiento implementados a los nuevos requerimientos normativos.
c) Matriz de Riesgos y Controles: el diseño e implementación de un programa o modelo de cumplimiento requiere que la organización identifique y evalúe sus riesgos de compliance2. Esta apreciación de los riesgos a los que se ve expuesta la organización constituye la base para implementar un programa o modelo de cumplimiento, y sirve para planificar la asignación de recursos y procesos para la gestión de esos riesgos previamente identificados. Dado que las organizaciones pueden verse expuestas a múltiples riesgos, es necesario contar con una herramienta que le permita al líder de la función de compliance -y a quienes apoyen esta labor al interior de la organización- gestionar debidamente estos riesgos. La Matriz de Riesgos y Controles es precisamente la herramienta que cumple con el propósito antes mencionado, pues una vez identificados los riesgos de compliance permite documentarlos en ella para posteriormente priorizarlos, con el objeto de destinar mayores recursos a aquellos riesgos más críticos. Asimismo, permite documentar las actividades de control presentes en la organización (que mitigan la ocurrencia de los riesgos identificados) y evaluarlos desde una perspectiva de su diseño. Finalmente, la Matriz de Riesgos y Controles puede incorporar otros elementos que ayudarán en la gestión de los riesgos, como lo son: mapas de calor, gráficos, fórmulas de automatización, entre otros.
d) Instrumentos legales: son todas aquellas cláusulas contractuales que deberán incorporarse en los contratos que celebre la organización con terceros con los que se relacione (proveedores, clientes, asesores, trabajadores, etc.). Estos instrumentos establecen prohibiciones y obligaciones que deberán observar los terceros para dar estricto cumplimiento al programa o modelo implementado.
Finalmente, es preciso señalar que los programas o modelos de cumplimiento deben considerar la elaboración y/o adecuación de otros instrumentos tales como: políticas, normas y códigos internos a fin de robustecer su ambiente de control interno, y con ello, mejorar sus programas o modelos de cumplimiento.
1Organización Internacional de Normalización. Sistemas de Gestión de Compliance (ISO 19600:2014)
2Organización Internacional de Normalización. Sistemas de Gestión de Compliance (ISO 19600:2014)