Alemparte, además, señala que en materia de medio ambiente, al igual que en cualquier área específica que se implemente un sistema de compliance, las organizaciones deben contar con alguien que tenga conocimientos y la gestión de ellos.
Para analizar sobre el tema, conversamos en Actualidad Jurídica, El Blog de DOE, con Paula Alemparte, académica de la Facultad de Derecho de la Universidad Adolfo Ibáñez y Jefa Oficina de Cumplimiento en Viña Concha y Toro, sobre la implementación de sistemas de compliance en las compañías y la evolución en materia regulatoria en nuestro país.
¿Qué se entiende por compliance?
Podríamos partir diciendo que no es compliance. Se usa mucho la traducción literal de compliance a cumplimiento, como si fuera cumplimiento normativo, es decir, si sale una ley la cumplo o no la cumplo, tener el check list o cumplimiento de permisología, tengo el permiso o no, tengo la certificación o no, cumplo con la ley o no, etc. Tampoco es un almacenamiento de información. O si es que tengo que acreditar ante el Ministerio Público, o en el caso de un juicio, que tenga un modelo de prevención de delito, tengo compliance porque cuento con todas estas evidencias, por tanto, almaceno información solamente para presentar que hice las cosas bien.
Tampoco es un sistema de reportabilidad, es decir, yo reporto a la autoridad constantemente que estoy cumpliendo con mayor periodicidad de la que regularmente se hace.
Pero, en definitiva, compliance es un sistema de gestión de riesgos, aplicable a cualquier área de la organización.
Y en ese sentido, ¿cómo ha evolucionado el entendimiento del compliance en nuestro país en los últimos años?
La ley 20.393, no es que sea pionera, no es que se haya inventado la rueda. De hecho todo lo contrario, se adoptó de acuerdo a legislaciones que ya existían. Lo que sí hizo esta ley es que puso sobre la mesa temas que solamente existían en empresas multinacionales, generalmente norteamericanas que estaban en Chile. Si te das cuenta, los programas de compliance en estas empresas, por ejemplo en Walmart, son mucho más robustos. Tienen un peso mucho mayor y no solamente acotado a los delitos de la ley 20.393, no cuentan con un modelo de prevención de delitos propiamente tal, sino que son realmente sistemas de compliance o programas de compliance en distintos ámbitos. Tienen incluso respecto a temas inmobiliarios, protección de datos, de consumidor, etc.
El año 2009, con la ley 20.393, se puso sobre la mesa esta posibilidad para las empresas que no tenían una cultura de compliance, ya sea porque eran extranjeras, o porque eran muy chicas y que no era tan necesario, por decirlo así, o que no tenían procesos tan complejos. Es ahí donde se empezó a hablar del compliance officer, o el encargado de prevención como dice la ley, los abogados empezaron a trabajar con matrices de riesgos, mucho más de la mano con control interno y con auditoría, algo que en general no se hacía, empezó a cambiar el concepto de cumplimiento normativo al concepto de compliance como gestión de riesgos. Entonces, creo que, del 2009 a la fecha, pasamos de poner el tema sobre la mesa a efectivamente implementarlo.
Un gran número de compañías no solamente tienen modelos de prevención de delitos y certificaciones de estos, por el hecho de que la ley lo dice y porque te da una buena imagen hacia el mercado, sino que hay muchas empresas lo están haciendo porque realmente ven el valor de contar con un modelo de prevención de delitos o un programa de compliance. Un valor que no es solamente reputacional, sino que efectivamente genera un valor económico.
¿Qué diferencias pueden haber respecto a la implementación de sistemas de compliance en empresas grandes con las medianas y pequeñas?
Los programas de compliance van a ser distintos independientemente de que la compañía sea grande, mediana o chica. Si comparamos dos compañías muy grandes, van a tener programas de compliance que van a ser distintos, porque tienen riesgos distintos. Probablemente los pilares que se usan van a ser los mismos, evidentemente con un canal de denuncia, con levantamiento y gestión de riesgos, con capacitaciones, etc, pero que variarán de acuerdo al tamaño y a la necesidad. Por ejemplo, será distinto un canal de denuncias en una empresa que se encuentre en un solo lugar físico a una que tenga filiales y sucursales en todo Chile. Esta última va a requerir un canal de denuncia que sea mucho más fácil de gestión, unificado, que sea probablemente electrónico y que entregue medidas más complejas de ciberseguridad.
¿Cómo está regulado el compliance en Chile?
Generalmente, se hace alusión a la ley 20.393 y cómo ésta ha evolucionado, pero el compliance en Chile no solamente está asociado a esa ley (si su origen). Por ejemplo, la ley de Protección al Consumidor también hace referencia a un programa de compliance, que lo ve el Sernac; otro ejemplo, la modificación a la ley de protección de datos personales que está en el congreso avanzando, también refiere a un programa de compliance en esta materia, creando una agencia de protección de datos personales que va a poder certificar y medir estos programas de compliance.
Ahora bien, haciendo alusión solamente a la ley de responsabilidad penal de las personas jurídicas, ésta efectivamente ha tenido una evolución pero no en materia de regulación de los modelos de prevención de delitos, sino que más que nada ha sido ampliar su catálogo de delitos por los que pudiese ser penalmente responsable la persona jurídica y eso ha hecho que las organizaciones hayan tenido que adaptar sus modelos, revisando con otros enfoques los procesos, como por ejemplo pasó con la incorporación de temas ambientales y ahora con la incorporación de los delitos informáticos.
¿Y respecto al compliance en materia ambiental?
El compliance en materia ambiental, yo creo, todavía se está viendo como un cumplimiento normativo, contar con las permisologías, cumplir con las RCA, reportar con la cantidad de periodicidad que debería estar reportando, por ejemplo, a la Superintendencia del Medio Ambiente, etc. Por otro lado, cuando uno ve los programas de compliance o programas de cumplmiento que establece la SMA en caso de infracciones que se han detectado, uno se da cuenta que estos programas de cumplimiento no son necesariamente de gestión de riesgo, sino que son programas donde se establecen etapas para cumplir o para llegar a cumplir esa infracción que identificaron. Entonces, también se entiende un poco como cumplir la ley a cabalidad. Efectivamente se está avanzando y también se vio en su minuto en los programas pilotos de la SMA un poco ese enfoque de cumplimiento normativo, a diferencia de lo que está buscando ahora la Super, en llevar estos programas a realmente gestión de riesgos ambientales. No solamente entregar información respecto al reporte de las empresas de su cumplimiento normativo, sino que entregarle las herramientas para que la empresa se autogestione y logre identificar de manera previa cuáles son sus mayores riesgos de incumplir la norma para aplicar los controles necesarios mitigando el riesgo de incumplimiento. Entonces, por ahí yo creo que se está avanzando en materia de compliance ambiental.
Igual hay que destacar que existen muchas empresas que hoy en día lo tienen como un sistema de gestión de riesgo ambiental, creo que está más asociado a áreas como la minería. Ese rubro, en términos ambientales, está mucho más avanzado en gestión de riesgos ambientales, pero, por ejemplo, la agricultura está a años luz de implementarlo, por diversos motivos.
Ahora bien, hay que tener claro que la ley 20.393 responsabilidad penal de las personas jurídicas establece ciertos riesgos ambientales que las organizaciones deben hacerse cargo, que los incorporó en el año 2019. Muchos están asociados a la comercialización, extracción, pesca ilegal, etc. que está más asociado a los productos hidrobiológicos marinos. Pero hay uno que es más transversal y es respecto al delito de contaminación de aguas, es un delito que genera y acarrea responsabilidad penal de las personas jurídicas, entonces, las personas jurídicas que tienen programas de compliance o modelos de prevención de delitos en específico, tienen que hacerse cargo también de ese delito y de ese riesgo ambiental en sus procesos.
¿Cuáles cree que son los pilares fundamentales en un sistema de compliance?
Estos pilares no son una exigencia u obligación normativa chilena, estos son pilares que recomienda el Departamento de Justicia Norteamericano que cuenten los modelos de compliance que son acerca de la matriz de riesgo, la cultura ética, el oficial de cumplimiento, normativa interna, capacitación, canal de denuncias, sanción, monitoreo y auditoría. Cuando uno empieza a revisar estos pilares, se asocian mucho a los elementos que deberían tener un programa de compliance en Chile, o lo mismo que exige las normas ISO, como la 37.301, que es la de sistema de gestión de compliance. Un pilar fundamental, por supuesto, es la matriz de riesgo y todo el proceso de identificación de los riesgos dentro de los procesos de la compañía, la aplicación de controles, etc. Otro pilar es el de oficial de cumplimiento, que éste cuente con los medios y facultades apropiadas para ejercer sus funciones, que tenga acceso a la información de toda la compañía, reportabilidad al directorio, acceso a éste, etc. Las distintas normativas internas, que están súper ligadas al compliance como la política de prevención de delitos; un código de ética, por supuesto que es la madre de todas estas normas, dependiendo del programa de compliance que sea, va a tener una política de protección de datos o una política de protección al consumidor, o de regulación medioambiental, etc. Y de acuerdo al programa de compliance que sea, va a descolgarse otras normas en materia penal o prevención de delitos, materia de procedimientos de compras, más específicos como políticas financieras, de conflicto de interés, relacionamiento con funcionarios públicos, de regalo, etc. Y así, se pueden desarrollar todos los pilares señalados.
¿Qué factores pueden variar cuando se implementa un sistema de compliance en las empresas?
Varía de acuerdo al programa de compliance que se quiere implementar, si es un programa de compliance integral o si se quiere solamente respecto a la ley 20.393. Va a variar del tamaño de la empresa, de los recursos que se le asignen, de la cantidad de procesos y de la complejidad de la compañía. Si se va a implementar solamente respecto de una sociedad, en caso de un holding, de todas las filiales, etc, es muy relativo, pero lo que está claro, es que no es un proceso corto. Primero hay que hacer un diagnóstico, luego un diseño y finalmente la parte de implementación, y su posterior gestión y actualización.
¿Cuáles son los desafíos del compliance en Chile en los próximos años?
Yo creo que va a depender del proyecto de ley de delitos económicos y su avance. Si seguimos así como vamos, ya que todos los años van saliendo una, dos o tres normas que te van exigiendo ajustar los modelos a los distintos delitos que se vaya incorporando, vamos a seguir como estamos. Al directorio o a la alta gerencia que tienen la real voluntad de implementar un modelo de prevención de delitos efectivos, va a seguir importando eso, y al directorio que solamente les importa contar con la certificación o contar con un modelo por tenerlo, porque de cara al mercado se ve mas lindo o te genera mayor reputación frente a los accionistas, va a seguir siendo así. Al final todo programa de compliance depende de la voluntad real de la alta administración respecto de su implementación. Si no hay voluntad real no va a haber un programa efectivo, eso es básico.
Por otro lado, si es que existe o avanza la ley de delitos económicos, ésta va incorporar un catálogo de más de doscientos delitos, va aumentar las penas a multas altísimas y eliminará la certificación como tal. Creo yo, y esto es muy personal, pero puede generar dos efectos: la empresa que realmente le interesa cumplir va a tomar este catálogo de delitos y va a decir cuáles le aplican y cuáles no le aplican y se van a dar un plazo para implementarlo y lo va a hacer bien. Y la empresa que ya no tiene un programa de compliance o que no tiene el interés de tener un programa de compliance y solamente lo hace de cara al mercado, no va a seguir con esto y no va a implementar la ley propiamente tal porque no va a tener una certificación que mostrar. Con esta nueva ley, de salir, creo que se va a polarizar más aún los que tienen una real voluntad de contar con programas de compliance y los que lo van a dejar como una carcasa o una imagen hacia afuera o simplemente no tendrán.
¿Cómo debería aplicarse el compliance ambiental en las organizaciones?
Yo creo que un programa de compliance se basa en los mismos pilares para todo. O sea, tiene que haber una persona a cargo que tenga conocimiento de gestión de riesgos ambientales, tiene que existir una matriz de riesgo, se tienen que conocer los procesos e identificar los riesgos, se tienen que aplicar los controles, tiene que haber un sistema de denuncia y de reportabilidad, tiene que haber un monitoreo continuo y permanente y distintas regulaciones internas. Creo que al final, los pilares que comentaba anteriormente, son la base de cualquier programa de compliance.