2.1.2 Implementación del Compliance

La decisión de una empresa de someterse a un procedimiento voluntario de compliance implica la determinación por parte de la autoridad superior de la organización, la que opta por la incorporación de un procedimiento de esta naturaleza por varias razones: sea por la existencia de una norma legal o, por aplicación voluntaria en razón de la ética corporativa.

• En primer lugar, por la existencia de una norma legal que la obliga, sea la ley de responsabilidad penal de las personas jurídicas, u otra norma específica que obligue a poner a disposición del público general, o de ciertos actores tales como sus accionistas o sus entes reguladores (en la medida que cuentan con facultades fiscalizadoras).
• En segundo lugar, las organizaciones mismas optan por hacer aplicables estos procedimientos a transgresiones a la ética cometidos al interior de la organización.

Así, la decisión de hacer aplicable un procedimiento de investigación sobre las transgresiones a los procedimientos, protocolos, matrices de riesgo, etc., corresponde a la forma de implementar una solución estandarizada a potenciales problemas que han sido identificados como siniestrosos para la compañía.

Esta definición de comportamientos jurídicamente adecuados permite reducir la ocurrencia de hechos u actos identificados como riesgosos en este análisis. Y, en segundo plano, como un mecanismo para limitar la responsabilidad de la institución en potenciales indemnizaciones surgidas como paliativo a la reparación de un daño ocurrido como consecuencia de la actividad económica realizada por la empresa.

Si bien es cierto, el origen de la implementación del compliance surge de la obligatoriedad de una norma, aumentando directamente los costos de la organización, en razón de la implementación de un sistema de seguimiento permanente, ingresando el análisis y gestión de riesgos de la organización, como ya lo evidencia Tricker al indicar que: «En primer lugar el compliance a nivel de gobierno corporativo, se ha ido transformando cada vez más en obligatorio, ya sea porque así lo exige la regulación o incluso el sistema de precedentes. Las quejas ahora se centran no en la necesidad de códigos para los gobiernos corporativos, sino en el costo del compliance. En segundo lugar, el análisis y manejo de riesgos se ha transformado en una parte integral en los procesos de los gobiernos corporativos» (Tricker, 2009, p. 349).

Con todo, las normas legales pueden ser consideradas como exitosas si es que su objetivo queda circunscrito al establecimiento de sistemas de compliance dentro de la organización, ya que su aceptación en la práctica (entendido como el desincentivo de prácticas reñidas con los códigos de ética y procedimientos internos) sólo podrán lograrse en la medida que existan tribunales, entes de la administración del Estado y normas que expresamente faciliten el cumplimiento compulsivo de estas obligaciones (Kraakman, y otros, 2009, p. 45).

La implementación de un procedimiento de compliance puede tener una serie de orígenes diversos, si bien el más común es el establecimiento de la obligación de cumplir con una matriz de implementación de riesgos a través de la aplicación de la ley de responsabilidad penal de las personas jurídicas, este es un procedimiento que también resulta aplicable para aspectos de regulación indirecta, como es la entrega de información ordenada por ley a entes reguladores o al mercado en general, como asimismo, a la implementación de procedimientos de autorregulación al interior de una empresa, como es el caso de los procedimientos de responsabilidad social empresarial o del establecimiento de un programa de gestión de riesgos y control de gestión.

De esta forma, la obligatoriedad de establecer formas de prevención del delito surge como una oportunidad para canalizar otros desafíos que se hayan detectado como riesgosos en un solo procedimiento, aprovechando la capacitación de las distintas unidades de la organización para crear un canal voluntario de resolución de conflictos que pueden darse tanto al interior como a su contexto externo.

Por tanto, al momento de diseñar una política de compliance resulta absolutamente necesario determinar la amplitud que la administración desea otorgarle a dicho procedimiento, definiendo si solo se ceñirá a una lógica de prevención del delito, o si, por el contrario, se orientará a establecer un sistema único que permita integrar los procedimientos, protocolos y normas a los que se pueda ver enfrentada la compañía en sus diversas esferas de tomas de decisión. En palabras de Carrau: «Esta decisión del órgano de administración debe delimitar el alcance inicial que el compliance va a tener, esto es, si se va a limitar al ámbito de la prevención de la responsabilidad penal de la persona jurídica o va a comprender también otros ámbitos de cumplimiento normativo. Una posibilidad nada desdeñable para las pymes sería una implantación por fases, empezando por este requerimiento normativo penal para, a continuación, ir implantando los demás ámbitos» (Carrau Criado, 2016).

Lo anterior resulta particularmente relevante al analizar que las propuestas de Carrau evidencian que el compliance no se restringe en su aplicación a grandes empresas, pudiendo implementarse en empresas de menor tamaño ajustando los períodos de implementación a la realidad de cada organización.

Así, se reconoce que el llamado a tomar una determinación respecto de este planteamiento es el órgano de administración, el cual puede ser el directorio o administrador dependiendo de la estructura social que presente la compañía. Esta definición debe basarse en un lineamiento lógico estratégico previo de la compañía. «Para la empresa moderna el objetivo estratégico fundamental lo constituye la creación de valor, pero no solo para los accionistas —shareholders—, conforme a la teoría clásica de la empresa, sino también para el conjunto de stakeholders o grupos de interés. Así, el proceso de dirección estratégica incluye la necesidad de identificar y priorizar los grupos de interés clave, así como la integración de sus necesidades en la formulación de los objetivos estratégicos» (Martínez Martínez & Sáez Nicolás, 2018). Siguiendo esta argumentación la definición de los objetivos estratégicos de una empresa deberán considerar necesariamente las normas legales que regulan la actividad económica desarrollada por la organización tales como; medioambientales, laborales, sindicales, competencia desleal, protección del consumidor, entre otras, pero también deberán incorporar la visión organizacional desde una perspectiva ética respetando aquellos límites que naturalmente fluyen para la organización empresarial en análisis.

Para la toma de dichas decisiones, el directorio requiere comprender los riesgos de su actividad empresarial, para asegurar la supervivencia del negocio en el tiempo, elaborando una estrategia concordante con ellos (Tricker, 2009).

Así, algunas organizaciones, para el cumplimiento de las normas medioambientales, por ejemplo, se auto-impondrán un estándar mayor al que la legislación territorial determina, surgido de la inquietud de sus accionistas o de planes de mitigación concordados con la comunidad en la cual desarrollen sus actividades comerciales.

Incluso la decisión de iniciar el diseño de un sistema de compliance mediante la estructuración de un sistema de prevención de delito no es una decisión implementada en cumplimiento de una norma legal, sino que corresponde a una decisión de la administración de la empresa, orientada hacia el objetivo de construir un sistema de prevención del delito como parte de la planificación y control de la actividad (Martínez Martínez & Sáez Nicolás, 2018)».

Cuando consideramos el compliance desde una perspectiva más amplia, no solamente limitado a las normas penales, se comparte el hecho de no existir un solo modelo a implementar en las organizaciones empresariales, considerando que en la variación del modelo de toma de decisión puede encontrarse un espacio de valor importante para la empresa, que lo distinga de su competencia. Es posible utilizar el mismo procedimiento del compliance penal en la determinación y delimitación de los riesgos de la empresa para integrar el tratamiento que da la organización a otros cuerpos normativos igualmente aplicables en su quehacer, y que incluso pueden resultar de un mayor uso dentro de la cotidianeidad de la organización.

Así, la profundización de este primer paso que realiza la organización guarda coherencia con su proceso productivo particular, mediante la priorización de aquellas actividades que le resultan relevantes, por ejemplo, una empresa dedicada al área de retail buscará favorecer la construcción de una matriz de riesgos de protección de derechos del consumidor. Mientras que una empresa constructora basada en un modelo de negocios de subcontratación podría privilegiar el análisis de los riesgos de adjudicación de proyectos en licitaciones privadas.

Cada organización puede usar el modelo de prevención de delitos como un buen punto de partida para la implementación de un sistema de compliance, pero en caso alguno la actividad quedará circunscrita a esta parte del modelo, ya que por razones de eficiencia resulta aconsejable integrar en él el canal de comunicación interno de la organización en otras materias, tales como acoso laboral, riesgos de seguridad, fallas en aplicación de procedimientos, etc.

Una vez que ya se ha definido la implementación de un programa de compliance, sea simplemente penal o de aquellos que suscriben a una visión integral en las normas que deben ser consideradas, es necesario para el asesor jurídico delimitar los riesgos a los que se encuentra expuesta la organización. Usando como base metodológica para la gestión de riesgos el informe de COSO de 1992 se establecen cuatro pilares fundamentales: «Una vez analizados los riesgos, se debe tomar una decisión sobre cómo gestionarlos, lo que, a su vez, conlleva alguna de estas opciones: 1. aceptar el riesgo y no emprender acciones para mitigarlo, 2. evitar el riesgo, evitando las acciones que lo generan, 3. reducirlo, a partir de controles y herramientas disponibles. 4. compartirlo, contratando seguros, buscando socios, etc.» (Martínez Martínez & Sáez Nicolás, 2018).

Cuando en el desarrollo del análisis de los riesgos en una organización van surgiendo voces de alerta, el primer reflejo de la administración tiende a ser el intentar esconder el riesgo de los accionistas, ya que cuando se basa en errores de diseño o ejecución de un procedimiento tienden a reflejarse negativamente en el desempeño del gerente a cargo del área. Uno de los principales desafíos del oficial de cumplimiento en la etapa de implementación de un nuevo sistema de compliance es lograr instalar en la cultura organizacional la idea de que el aceptar un riesgo es el primer paso para evitarlo conscientemente.

Una vez que la administración reconoce la existencia del riesgo, es posible evaluar la posibilidad de eliminarlo, lo que en ciertos casos será posible, como, por ejemplo, prohibir la contratación con personas que mantengan una relación de parentesco con colaboradores para minimizar la existencia de conflictos de interés.

En otras ocasiones no será posible actuar de manera tan tajante, por ejemplo, cuando algún gerente tenga la calidad de accionista de la sociedad al mismo tiempo. Dado el manejo de información que mantiene en razón de su cargo dentro de la organización, y con miras a evitar la ocurrencia del delito de abuso de información privilegiada, es posible plantear una política de mitigación de riesgo, a través del establecimiento de un protocolo de comunicación interno a la empresa antes de adquirir o enajenar acciones de la compañía. Así no se afectará la libertad del accionista para tomar decisiones sobre sus acciones, pero se le puede recomendar no realizar transacciones sobre sus títulos valores en períodos sensibles tales como la publicación de los resultados financieros de la empresa o negociaciones de absorción por otra compañía.