La intensa agenda legislativa y reglamentaria ha seguido avanzando, lo cual ha implicado que las compañías trabajen de forma incesante en la implementación o actualización de una serie de materias, tales como Ley de Delitos Económicos (Ley N°21.595); Ley de Protección y Tratamiento de Datos Personales (Ley N°21.719); Ciberseguridad (Ley N°21.663); Marco de Autorizaciones Sectoriales (Ley N°21.770) con una posible profundización en materias ambientales; Ley Karin (Ley N°21.643); Circular N°62 de la UAF; entre otras.
Esto ha implicado una inversión inevitable, pero necesaria, para adecuarse a estas nuevas exigencias, lo que a su vez ha dado mayor protagonismo a las áreas encargadas de gestionarlas, particularmente al área de Compliance. Esto fue recibido con marcado entusiasmo; en algunos casos como un gran desafío que permitiría seguir desplegando los esfuerzos con más respaldo y visibilidad y, para otros, incluso como una suerte de victoria moral ante quienes cuestionaban su utilidad, considerándolo una mera exigencia normativa o, aún peor, como burocracia pura.
Sin duda, las normativas antes comentadas -precedidas por el descrédito de la actividad empresarial ante la aparición de casos graves de corrupción-, puso el trabajo del área de Compliance en el centro de las agendas corporativas. Ahora bien, la prioridad con la que estas temáticas sigan siendo abordadas puede variar rápidamente, teniendo en cuenta el inestable escenario internacional, las presiones político-económicas del contexto nacional, como también algunas condiciones futuras, como la eventual falta de enforcement efectivo, es decir, sanciones concretas, en la aplicación de estas nuevas legislaciones.
Ante este escenario, me gustaría aportar dos recomendaciones para las áreas de Compliance o áreas afines encargadas de estos temas: una desde la perspectiva de cómo colaborar con las demás áreas de la empresa y, otra, desde la perspectiva de lo que creo que podría ser valioso para la interacción con la Alta Administración.
Lo primero es trabajar en la implementación de medidas de control interno que ayuden a “cumplir con la norma”, pero también -y, sobre todo- que busquen generar eficiencias o reformulen de manera razonable aquellos controles que sea necesario reforzar. Para ello, es más importante preguntarse si los procesos asociados a los riesgos más relevantes para la compañía, desde el punto de vista operacional y normativo (como los riesgos penales o regulatorios), realmente ayudan a administrar o “se hacen cargo” de ellos. En definitiva, esto permite que las áreas operativas, como Finanzas, Comercial, Abastecimiento o Logística, entre otras, se sientan respaldadas por los controles, porque no afectan innecesariamente su funcionamiento habitual o ralenticen la gestión de los negocios, y que, además, les ayuden realmente a prevenir o a reaccionar ante posibles irregularidades.
Esto, sin duda, ayuda también a orientar el trabajo de las áreas que naturalmente se encargan de la supervisión de la empresa, como lo son la Fiscalía, Auditoría Interna, Recursos Humanos, Medio Ambiente, Prevención de Riesgos Laborales o Tecnologías de la Información (TI), al saber que se estarán monitoreando controles que son parte cotidiana de los procesos, y no imposiciones adicionales que sirven para -en buen chileno- “dejarlas tranquilas”. Adicionalmente, es fundamental para evitar que se dupliquen los esfuerzos o controles; hoy más que nunca es necesario que las áreas se comuniquen con fluidez y transparencia.
Desde la perspectiva de la interacción del área de Compliance con la Alta Administración o con el Directorio, es cierto que en muchos casos existe esta noción de que se le da poco tiempo, atención o, incluso, que tiene poca relevancia para la toma de decisiones al interior de la compañía. Si bien este entendimiento no es del todo alejado de la realidad, creo que ha variado positivamente, porque los directores han ido tomando consciencia de su importancia, lo que también se ha visto, evidentemente, motivado por la fuerte presión legal. Sin embargo, para mantener la vigencia, es importante que el área de Compliance haga su propia autocrítica respecto del contenido que le presenta al Directorio. En otras palabras ¿qué estoy presentando como elemento o actividad relevante y qué importancia tiene esto para la organización? ¿cómo se empalma con las demás decisiones o eventos que han acontecido dentro de la empresa?
La primera pregunta tiene que ver con cómo el área de Compliance justifica su actividad más allá del cumplimiento normativo y, la segunda, con la incidencia que ha tenido en aspectos operacionales. Para ejemplificar, al entregar un reporte, no basta con señalar que no ha habido denuncias a través de los canales dispuestos por la compañía, que se requiere la designación de un cargo por exigencia legal o que se hicieron cambios en algunas políticas o procedimientos para actualizarse con la nueva terminología legal.
Esto es necesario. Por supuesto que lo es. Pero no aporta un contenido interesante para el Directorio. Lo que sí sería útil es saber, por ejemplo, por qué no se utilizan los canales de denuncia o si las denuncias están llegando por otras vías; si se reaccionó frente a ellas, si se aplicaron sanciones o se presentarán ante las autoridades; si los controles han mejorado respecto de años anteriores; si han variado los riesgos de la compañía respecto de los últimos años; si estos cambios han permitido operar con clientes de menor riesgo, evaluar mejor las terceras partes o detectar irregularidades en prestadores de servicio; si existen interacciones con funcionarios públicos y si estas se realizaron dentro del marco regulatorio; o si se han detectado incidentes de seguridad o brechas de capacitación a partir de fallas reiteradas.
El enfoque de lo que puede o no ser relevante lo tiene que marcar cada responsable según cada contexto. Lo que se quiere recalcar, es que de nada sirve un área de Compliance desligada de la operación de la compañía, porque su actividad se limitará a “implementar y ejecutar lo que me pide la norma”, pero no transcenderá como una herramienta fundamental para que la empresa ejecute su giro mitigando los riesgos que genera. Hoy, más que nunca, se requiere generar un monitoreo inteligente, con conclusiones relevantes que no vengan de la mera aplicación de mínimos, sino del sentido común y análisis profesional de quienes tienen la batuta para ayudar a que la empresa muestre que las cosas se hacen bien, de forma consciente y preocupada de cómo se llega a resultados, pues éstos calzan con su misión y visión corporativa.
