La función de Compliance dentro de una empresa asume las tareas de prevención, detección y gestión de riesgos de Compliance mediante la operación de uno o varios Programas de Compliance, contribuyendo a promover y desarrollar una cultura de cumplimiento en el seno de la organización. El concepto de Compliance se puede traducir por “cumplimiento normativo”, aunque si leemos algún texto en inglés encontraremos numerosos casos en que se usan expresiones donde no podemos sustituir esta palabra por nuestra expresión elegida (cumplimiento normativo). La traducción por “cumplimiento normativo” que venimos usando los profesionales en esta materia quizá tenga mayor equivalencia con el concepto inglés de “regulatory compliance” (cumplimiento de la regulación). Por tanto, hay que tener presente que existen varios tipos programas de compliance que pueden tener alcances completamente diversos, y no limitarse únicamente a la dimensión penal (Tax Compliance, Labor Compliance, etc). Por lo que al momento de definir el alcance del compliance program tendremos que delimitar si vamos a implantar un programa de cumplimiento penal (modelo de prevención de delitos impuesto por la ley) dirigido a evitar o moderar la responsabilidad penal de la empresa, o si su contenido va destinado a regular o se extiende a otros aspectos como son laborales, ambientales, societarios, comerciales, impositivos, etc. De esta forma, el compliance officer de una empresa, podría desempeñar funciones de supervisión respecto al cumplimiento de las obligaciones tributarias o laborales, y no sólo del modelo de prevención de delitos. El compliance nace para asegurar que la empresa se ajusta y cumple con el ordenamiento jurídico. En las últimas décadas, esta función se ha generalizado entre las empresas para dar respuesta al aumento de normativa a nivel nacional e internacional –elaborada, en muchas ocasiones, por las instancias públicas para evitar nuevos abusos empresariales ante la falta de regulación–. El cometido de los programas de compliance es prevenir que tanto la compañía como sus empleados cometan delitos y, con ello, evitar las penas correspondientes. Además de asegurar el cumplimiento legal en un entorno cada vez más complejo, existen otros tres factores que han sido determinantes para consolidar esta función. El primero es el reconocimiento de la responsabilidad legal de las personas jurídicas, es decir, la posibilidad de que la compañía en sí y sus directivos, y no solo las personas que trabajan en ella, sean inculpadas y condenadas. El segundo ha sido el aumento del importe de las sanciones, que hace más «rentable» el cumplimiento de la ley que su violación. Y, el tercero, posiblemente el más importante, el hecho de que poder acreditar la vigencia de un programa de cumplimiento normativo efectivo cuando se cometió el delito permite que la empresa quede exenta o mitigada de responsabilidad penal. El Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las empresas líderes para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención y gestión, formación, detección, minimización y control de los mismos. El entorno legislativo en el que la empresa desarrolla sus actividades es cada vez más abundante y complejo. El nivel de beligerancia de las autoridades y organismos regulatorios es cada vez mayor y el impacto de la regulación es más intenso que nunca. Por ello, y por los recientes escándalos societarios y el innegable incremento de la sensibilidad social respecto de la “ética de los negocios”, un mayor número de organizaciones públicas y privadas internalizan estándares éticos y legales como protocolos de buen gobierno de obligado cumplimiento. Los riesgos a prevenir son aquellos que conllevan consecuencias como el daño reputacional, la imposición de multas y sanciones, las pérdidas de negocio por contratos no ejecutables o la exclusión de licitaciones o subvenciones públicas, entre otras. Un programa integral de Compliance se compone de múltiples elementos y su consecución depende en gran medida de la creación de una cultura corporativa de estricto cumplimiento de las normas y políticas éticas de la empresa. Por ello, es imprescindible que se establezcan mecanismos de control o medidas de respuesta ante posibles incumplimientos, incluyendo entre otras acciones de formación, una estrategia de comunicación interna y externa del programa y la adopción de buenas prácticas. Conclusiones erradas sobre compliance: La función de Compliance en la Empresa debe dedicarse exclusivamente a la prevención de delitos del código penal para evitar la responsabilidad penal de persona jurídica. En el Compliance de lo que se trata es de que la empresa establezca controles para evitar que se cometa cualquier delito dentro de la misma. Basta con enviar el Código Ético que la empresa ha elaborado a todos los empleados para cumplir con las obligaciones de Compliance. El Compliance es lo mismo que la Asesoría Jurídica de una empresa, al final se trata de cumplir Leyes   Entre otras cuestiones el Compliance sirve para evitar que la empresa cometa delitos y para evitar que la empresa sea víctima de delitos, entre otras, cuestiones.

La toma de decisiones. Cualquier tipo de decisión, sea cual sea, lleva implícito un valor positivo o negativo. De hecho, si uno de nosotros desarrolla una actividad lo hace para obtener una determinada finalidad. Al vender o comprar acciones, al contratar o no a una determinada persona nos estamos guiando por un análisis y por una valoración de ese acto final. Por todos es sabido que las empresas se enfrentan diariamente a riesgos que afectan tanto a su desarrollo económico como a su reputación. Estos riesgos se originan principalmente en dos ámbitos, el primero de ellos se genera en las acciones llevadas a cabo por los propios empleados de la empresa, mientras que el segundo de ellos se circunscribe al proceso de toma de decisiones comerciales. Cuando se habla de riesgos que se derivan de las acciones de los empleados de la empresa se incluyen las malas prácticas de empleados deshonestos, así como su falta de conocimientos/experiencia/ profesionalidad y por lo tanto, las graves consecuencias económicas y para la reputación de la empresa, eso sin mencionar el número de litigios a los que la empresa se puede enfrentar y el aumento de los fraudes internos con consecuencias insospechadas. En lo relativo a la toma de decisiones comerciales, los riesgos se focalizan en operaciones relacionadas principalmente con nuevas inversiones, procesos de fusión y adquisición, alianzas con nuevos socios comerciales, decisiones sobre expansión, colaboración con nuevos proveedores e incluso con determinados clientes. Se trata en definitiva de decisiones que, debido a sus características y repercusión, pueden marcar el éxito o el fracaso de una empresa. El Compliance Officer, o el Comité de Compliance en su caso, deben tener perfectamente delimitada su zona de control. Lamentablemente la línea que separa el Consejo de Administración del resto de la empresa es una gran barrera que separa también la zona de autocontrol de la zona de control. El compliance actúa en la zona de control y la alta dirección debe impulsar el modelo de prevención y control y cumplirlo. Parece un argumento elemental, pero vemos en muchas ocasiones que no siempre se cumple. Los dirigentes de las corporaciones multinacionales deberán tomar decisiones respecto de la adopción de normas éticas en los distintos entornos en que les toca operar. La decisión principal es si se adhiere a las normas del país de origen o si se siguen aquellas vigentes en el país en que se desarrollan las actividades. En países como los Estados Unidos el comportamiento en los negocios está fuertemente regulado por disposiciones legales y es frecuente que cualquier violación de algún principio ético constituya también una violación de la ley. Pero ello no suele ser así en negocios llevados a cabo en otros países con diferentes prácticas y normas sociales. En el pasado era frecuente que muchas empresas multinacionales tuvieran un doble estándar para su comportamiento ético: uno para sus actividades en su país de origen y otro para el resto del mundo. Los problemas éticos que enfrentan las corporaciones en sus negocios globales pueden ser clasificados en tres categorías: cuestiones de corrupción, cuestiones ambientales y cuestiones de derechos humanos. Muchas veces un solo problema puede tener aspectos éticos correspondientes a las tres categorías. De acuerdo con este autor la ética en los negocios requiere estar consciente de lo que denomina “las tres C”: 1. La conformidad con las reglas, que incluyen las leyes, los principios morales, los usos y expectativas de la comunidad, las políticas de la empresa y algunos de los intereses de carácter general, como la equidad (justicia con imparcialidad). 2. Las contribuciones que la empresa puede hacer a la sociedad por el valor y calidad de sus productos y servicios, por los puestos de trabajo que crea y la utilidad de sus actividades para la comunidad. 3. Las consecuencias, pretendidas o no, que pueden tener las actividades de la empresa tanto interna como externamente. Son estas mismas tres “C” las que deben dominar el pensamiento ético de quienes dirigen las empresas. Esto implica sostener que es necesario que las empresas consideren que no operan en forma aislada, sino que integran una comunidad de negocios y que forman parte de una sociedad a la que no pueden ignorar totalmente en las actividades que desarrollan. Con el fin de no ver a la empresa implicada en casos de publicidad engañosa, el abuso de información privilegiada (insider trading), los derechos de los trabajadores, la discriminación en los empleos, las acciones afirmativas y la denuncia de actividades impropias de la empresa (whistle blowing).   Discusión de dilemas de compliance. Es raro encontrar personas cuyo comportamiento ético sea sustancialmente distinto en las distintas facetas de su vida (personal y profesional). La forma en que reaccionamos frente al entorno y sus dilemas éticos no suele ser muy distinta si estamos dentro o fuera de la Empresa. Si un empleado es capaz de superar con mucho el límite legal de velocidad circulando por una autopista, poniendo en riesgo su vida y la de los demás, ¿qué no va a hacer al negociar un acuerdo comercial para obtener condiciones económicas ventajosas?. La aproximación de las personas respecto del cumplimiento de las normas y estándares éticos termina afectando a todas las esferas donde se desenvuelve y, además, como he señalado al principio, los incumplimientos terminan generando un escalado en su magnitud susceptible de corromper inadvertidamente al sujeto. Se habla mucho de la formación como uno de los pilares de un Sistema de Gestión de Cumplimiento (CMS). Sin restarle el valor que indudablemente tiene, una organización no puede confiar en que un curso de formación de algunas horas al año vaya a alterar drásticamente la conducta de las personas, y por eso se precisan otras acciones tanto de incentivo de las conductas adecuadas como de corrección de aquellas que no lo son. En cualquier caso, el comportamiento individual del Compliance Officer es mucho más importante de lo que aparenta, pues no sólo está en disposición de frenar comportamientos inadecuados en un estadio incipiente, sino que su propia conducta constituye inadvertidamente un referente para el resto de personas en la organización. El Compliance Officer no puede dar lecciones de cumplimiento e integridad si carece de autoridad moral para ello. Tal vez pueda imponer su criterio por motivo de jerarquía, pero las personas que le rodean verán en ello una muestra de hipocresía. Las indulgencias del Compliance Officer consigo mismo son un boomerang que regresará en el momento menos oportuno para él. Tanto el comportamiento ético del Compliance Officer como el de cualquier persona puede entrenarse de manera continua, a través de las múltiples oportunidades que nos brinda la existencia, sea cuando circulamos en vehículo de forma responsable o cuando le devolvemos a una cajera el exceso de cambio que erróneamente nos facilitó. Cuando dejamos de observar esos detalles no sólo nos volvemos insensibles ante ellos y toleramos conductas análogas en nuestro entorno, sino que también ponemos los cimientos para desarrollar en el futuro conductas ligeramente peores. El entrenamiento ético consiste precisamente en evitar eso, y no se desarrolla en un aula sino, como decía Benjamin Franklin, en una escuela informal a tiempo completo llamada vida. No con formalidades -más reglas, políticas y controles -sino con un calificado y convencido “tone at the top”, un directorio que aborde y haga suyo el tema no desde el miedo a su exposición legal sino desde los valores, y una educación más enfocada en la toma de decisiones y el entrenamiento en la solución de dilemas y no tanto en la impartición de normas. En una empresa los empleados también serán clientes o consumidores de sus bienes o servicios. Pueden poseer acciones u opciones para la compra de acciones en la empresa y pueden ser propietarios. Pueden vivir en comunidades afectadas por productos de desecho que la empresa deja escapar hacia el medio ambiente. Tendrán vecinos que tendrán fuertes opiniones acerca de la manera en que la empresa lleva a cabo sus negocios. Buscan que el gobierno proporcione buenas carreteras y otros servicios, los cuales pueden ser comprometidos por el robo y la corrupción en el negocio. Como un catedrático dice, “la noción del ‘partícipe’ sugiere grupos o entidades discretas, por cuanto la fuente principal de los dilemas en la ética empresarial es el hecho de que virtualmente todos nosotros desempeñamos (al menos) dos roles”. Para ser eficaz, eficiente y responsable, una empresa debe tener creencias fundamentales que incluyan un futuro previsto de lo que sus partícipes pueden esperar razonablemente —y cómo se le considerará responsable. La disciplina de la conducta empresarial responsable ayuda a los propietarios y a los gerentes a comprometer a los partícipes a incentivar sus expectativas razonables. Como resumen de lo expuesto, en un análisis del esquema de segregación de funciones de una compañía debemos tener en cuenta los siguientes aspectos: - Tener en consideración no sólo Segregación de Funciones sino también el acceso a Transacciones críticas; - Debemos definir la criticidad de los pares de incompatibilidades a fin de concentrar nuestro esfuerzo y análisis en las más críticas; - Finalmente, a los fines de concluir de forma cierta sobre una incompatibilidad, debemos analizar si la misma efectivamente se materializó, y el grado de cobertura de los controles manuales identificados.

El 30 de julio de 2002 el Congreso Norteamericano aprobó una de las reformas más importantes al régimen de compañías, afectando a la auditoria e incluso a la contaduría pública desde la década de los treinta. Esta ley abrió una nueva etapa en la historia del derecho referente a los negocios y a los mercados, como en su momento lo hicieron el Marshal Act o el Glass-Steagal Act. Los escándalos de Enron Corp., Worldcom Inc. y Global Crossing Inc. así como el arresto de altos directivos, como John Rigas, CEO (Chief Executive Officer) de Adelphia Communications Corp., son algunos ejemplos de las conductas reprochables que esta ley, el Sarbanes Oxley Act of 2002 (SOX) quiso prever y sancionar. En aquel entonces SOX aparecía como la respuesta de los legisladores ante un mercado que se encontraba inseguro y falto de confianza. El Sarbanes Oxley Act implicaría una reforma trascendental que conllevaría efectos importantes para todo el mundo desarrollado e incluso para las economías en vías de desarrollo. En primer lugar, esta reforma incluye a todas aquellas compañías no estadounidenses cuyas acciones cotizan en ese país. Y en segundo lugar porque el enfoque que proponía (o propone) era la adopción de estas nuevas normas y practicas para el resto del mundo, es decir, un intento para influenciar a los órganos de control de los distintos sectores económicos tanto reales, bursátil y financiero de muchas naciones a través del mundo. El Sarbanes-Oxley Act requiere que las compañías archiven sus documentos con la Securities and Exchange Comisión (SEC) mucho mas rápidamente, los medios para recoger y fijar los datos deben ser mas transparentes, manteniendo (y en muchos casos aumentando) el volumen de la información, además de, probar sistemáticamente los procedimientos para fijar esta información de manera exacta y a la vez oportuna. Las potenciales consecuencias de declaraciones inexactas o incorrectas pueden llegar a significar para los administradores o funcionarios de las compañías, largos tiempos en prisión además de millonarias multas. La Ley Sarbanes-Oxley, una herramienta legal para fortalecer la responsabilidad individual y corporativa a través de estrictas auditorias financieras, códigos de ética y controles hacia las transacciones realizadas por personas internas a la organización. El gobierno corporativo es el conjunto de normas, principios y procedimientos que regulan la estructura y el funcionamiento de los órganos de gobierno de una empresa. En concreto, establece las relaciones entre la junta directiva, el consejo de administración, los accionistas y el resto de partes interesadas, y estipula las reglas por las que se rige el proceso de toma de decisiones sobre la compañía para la generación de valor. Las normas de un buen gobierno corporativo pueden ser un elemento clave para incrementar el valor bursátil de las empresas, reducir los costes de capital y ampliar las bases del mercado de capitales. Las mejores prácticas en gobierno corporativo señalan que además de atender los intereses de los accionistas, manteniendo un diálogo permanente y eficaz y fomentando su participación activa en las decisiones de la empresa, un buen gobierno corporativo tiene que responder ante las expectativas del resto de grupos de interés, como son los clientes, proveedores y empleados, entre otros (y no solo ante los stockholders). Stakeholders es un término inglés empleado por primera vez por Edward Freeman, reputado filósofo y profesor de Administración de Empresas, cuyo significado es: “Cualquier grupo o individuo identificable que pueda afectar el logro de los objetivos de una organización o que es afectado por el logro de los objetivos de una organización (grupos de interés público, grupos de protesta, agencias gubernamentales, asociaciones  de comercio, competidores, sindicatos, así como segmentos de clientes, accionistas y otros)”. Los shareholders son todas aquellas personas, compañías o cualquier otra institución vinculada a la empresa mediante la posesión de acciones de la misma. El enfoque multistakeholder, además de gestionar las necesidades y expectativas de los grupos de interés, significa fomentar la participación de estos grupos en la gestión de la compañía. El gobierno corporativo fortalece la relación entre los directores y los accionistas, contribuye a la permanencia y continuidad de la empresa, permite enfocarse en iniciativas estratégicas para generar crecimiento, valor patrimonial y disminución de riesgos operativos, promueve una visión independiente para facilitar mayor transparencia, eficiencia y seguridad en la empresa, proporciona esquemas de ley para mitigar el temor del propietario a perder el control, fortalece la armonía y equidad en la  relación familia-empresa. La adopción de Código de Mejores Prácticas Corporativas es beneficioso para las empresas a nivel mundial. Mejora la relación entre los directivos y los accionistas. Pero en el caso específico de las PyMES, el Código de Mejores Prácticas Corporativas eleva a otro nivel a esas compañías. La transparencia en sus procesos, así como el trato igualitario entre todos sus miembros, son piezas fundamentales para el éxito de las mismas.

Riesgos de compliance y su gestión. El modelo distingue tres líneas de actividades que participan en una efectiva gestión y supervisión de riesgos. La alineación de las tres líneas de defensa permite mitigar de una forma integral los riesgos. La primera línea está compuesta por el control de la gerencia, donde cada área operativa de la organización pone en práctica la gestión de sus propios riesgos y controles, para asegurar el cumplimiento de los objetivos de la organización a través de un adecuado sistema de control interno; la segunda línea contempla las funciones de supervisión de riesgos, controles y cumplimiento de políticas y estándares establecidas por la administración, abordando riesgos transversales, complejos y específicos; ambas, primera y segunda línea, reportan a la Alta Dirección. Y en la tercera línea está el aseguramiento independiente, la Auditoria Interna, la cual aporta supervisión objetiva sobre las dos primeras líneas de defensa, evalúa el sistema de control interno de la organización en su conjunto para identificar debilidades y recomendar mejoras. La Auditoría Interna debe reportar a la Alta Dirección y a la Junta Directiva. Finalmente, y fuera del marco de la organización, se encuentran la Auditoría Externa y Organismos Reguladores, que no integran el sistema de control interno sino que lo examinan independiente y externamente. La Organización Internacional de Normalización (ISO) ha publicado la Norma ISO 19600 ‘Sistemas de gestión de compliance. Directrices’, que recoge recomendaciones y buenas prácticas para ayudar a las organizaciones a desarrollar un sistema de gestión que les permita identificar, controlar y cumplir con los requisitos legales que le aplican y con otros voluntarios, como códigos de gobierno corporativo. Es imprescindible que el Compliance Officer: (i) Disponga de un Manual de Normas y Procedimientos de Prevención en el cual se establecen los procesos y controles internos a cumplir. (ii) Que informe a la Junta Directiva de alguna actividad sospechosa por parte de los empleados. (iii) Que mantenga relaciones institucionales con los organismos competentes. (iv) Que cree un código de ética. (v) Realice formación tanto a empleados como a la junta directiva. Además, cabe mencionar la eficacia de los canales de denuncia para los empleados, a través de un medio que asegure su anonimato. Puede ser de gran ayuda disponer de este canal fiable, mediante el cual tanto empleados como personal externo a la Compañía pueda informar sobre posibles conductas indebidas que posteriormente serán analizadas e investigadas por el Compliance officer.   Modelos para el análisis y control de riesgos (p.ej. COSO). El “Committee of Sponsoring Organizations” (COSO) es una organización voluntaria del sector privado cuya misión es mejorar la calidad de la información financiera mediante la ética en los negocios, los controles internos efectivos y el gobierno corporativo. Fue fundado en 1985 para patrocinar a la “National Commission on Fraudulent Financial Reporting” (conocida como la “Treadway Commission") y se encuentra conformado por las cinco mayores asociaciones profesionales de los Estados Unidos: la “American Accounting Association” (AAA), el “American Institute of Certified Public Accountants” (AICPA), el “Financial Executives Internacional” (FEI), el “Institute of Internal Auditors” (IIA), y la “National Association of Accountants”, hoy convertida en el “Institute of Management Accountants” (IMA). El Comité es totalmente independiente de las cinco organizaciones que lo patrocinan e incluye representantes de la industria, contadores públicos, firmas de inversión y la Bolsa de Nueva York (NYSE). En 1992, el Comité emitió el framework sobre control interno, que se convirtió en un estándar ineludible a la hora de hablar sobre la forma de encarar el control interno en cualquier organización. Tiempo después, el Comité emitió otro documento, denominado “Enterprise Risk Management (ERM) - Integrated Framework”, y que en la actualidad se conoce como COSO II o COSO ERM. Si bien hasta ese momento muchas organizaciones y entidades habían desarrollado enfoques para encarar la gestión de riesgos, y existía una gran cantidad de literatura al respecto, no había una terminología común para el tema ni se habían elaborado principios ampliamente aceptados que pudieran ser utilizados por las empresas como una guía en el desarrollo de una estrategia efectiva para la administración de riesgos.  En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de Control Interno (COSO III), cuyos objetivos son: aclarar los requerimientos del control interno; actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos; y ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.   Mapeo de riesgos de compliance. La organización debería identificar los riesgos de compliance relacionando sus obligaciones de compliance con sus actividades, productos, servicios y aspectos relevantes de sus operaciones, con objeto de identificar situaciones en las que pueden ocurrir incumplimientos de compliance. La organización debería identificar las causas y las consecuencias de los incumplimientos de compliance. La organización debería analizar los riesgos de compliance considerando las causas y las fuentes de los incumplimientos de compliance y la gravedad de sus consecuencias, así como la probabilidad de que ocurran los incumplimientos de compliance y las consecuencias asociadas. Las consecuencias pueden incluir, por ejemplo, daño personal y ambiental, pérdidas económicas, daño reputacional y responsabilidades administrativas. Los riesgos de compliance deberían reevaluarse periódicamente y en todo caso cuando haya: •             actividades, productos o servicios nuevos o modificados; •             cambios en la estructura o en la estrategia de la organización; •             cambios externos significativos, tales como circunstancias económico-financieras, condiciones de mercado, pasivos y relaciones con los clientes; •             cambios en las obligaciones de compliance •             incumplimiento(s) de compliance. Hay que observar que las áreas de cumplimiento relevantes desde la perspectiva de cada tipo de empresa son múltiples. Junto a las áreas de posible responsabilidad relevantes para toda empresa (por ejemplo, los delitos fiscales o contra la Seguridad Social, mobbing o acoso laboral, protección de la intimidad y las comunicaciones, etc.), cobran especial relevancia los aspectos relativos a delitos contra la propiedad intelectual e industrial, contra el medio ambiente, o contra la salud pública, por ejemplo, en el sector Farmaceutico. Pero sin duda el área de riesgo más relevante para las empresas que son contratistas de los Gobiernos (Construcción, Defensa, etc.) es la relativa a los delitos relativos a la corrupción - debido a la muy intensa -y necesaria- interacción con funcionarios públicos.

Diseño de programas de compliance y sus pilares según los FSGO.   El programa de cumplimiento consiste en el conjunto sistemático de esfuerzos realizados por los integrantes de la empresa tendentes a asegurar que las actividades llevadas a cabo por ésta no vulneren la legislación aplicable. Desde la óptica de la administración empresarial éstos serían un ejemplo de uno de los “sistemas de calidad” que operan en toda actividad empresarial, por lo que contiene aspectos relacionados tanto con la estructura organizacional, distribución de responsabilidades, procedimientos y los recursos utilizados por la empresa para asegurar la calidad de la dirección de ésta. El primer objeto que se asocia inmediatamente al programa de cumplimiento es el de servir de reunión o sistematización de todas aquellas medidas o procedimientos adoptados por la empresa tendentes a asegurar o promover un comportamiento, por parte de sus integrantes respetuosos con la ley. Desde la perspectiva que resulta más relevante para la responsabilidad penal de la empresa el programa de cumplimiento debiera tender a disminuir el margen de ocasiones en que la empresa es sancionada penalmente mediante la reducción correlativa de la frecuencia con que se llevan a cabo conductas delictivas en el marco del desarrollo de la actividad empresarial. No se puede decir con precisión cuál es el contenido exacto de un programa de cumplimiento, lo que puede ser visto como una ventaja en la medida que su carácter abierto permitiría su continua adaptación a la realidad cambiante de la actividad empresarial, y también a la consideración de las diferenciaciones que se dan al interior de esta misma (debido a los diversos ámbitos en que se desarrolla). Así, por ejemplo, Las Federal Sentencing Guidelines for Organizations (FSGO) solo señalan ciertas características que estos programas deben tener para que puedan ser considerados efectivos (única forma en que cumplen con su función atenuatoria de la responsabilidad de la empresa). Por ejemplo, la implicación de los altos directivos de la empresa en su implementación; el establecimiento adecuado de sistemas de selección y capacitación del personal, tanto en lo relacionado con la actividad desarrollada como en relación con los contenidos del programa de cumplimiento; la adopción de sistemas de auditoría interna; la existencia de sanciones disciplinarias al interior de la empresa, etc.. Por ejemplo, que el contenido mínimo de estos instrumentos son: (1) existencia de un código de conducta escrito; (2) supervisión de los esfuerzos de cumplimiento por parte del personal altamente cualificado; (3) no delegación de poderes discrecionales de las autoridades administrativas en personal con posible tendencia delictiva; (4) comunicación efectiva de los estándares y procedimientos contenidos en los códigos de conducta; (5) reforzamiento mediante procedimientos disciplinarios; (6) adopción de medidas adecuadas tras la detección de la infracción. Que un programa de cumplimiento presente este contenido mínimo tiene que ver en gran parte con las prácticas asentadas en relación al control interno de la empresa y a la gestión de los riesgos propios de la misma, específicamente aquellos vinculados a lo que se conoce como “compliance”. Así, por ejemplo, un contenido similar se puede observar en la metodología utilizada por un organismo especializado en control interno como es el Committee of Sponsoring Organizations of the Treadway Commission (COSO), que al momento de definir los aspectos que deben ser tenidos en cuenta a la hora de administrar los peligros de infracción al ordenamiento jurídico distinguen tanto una preocupación por el ambiente organizacional como por los aspectos netamente procedimentales. Especialmente relevantes para el objeto de estudio de este artículo son los estándares que propone esta institución bajo la denominación de Enterprise Risk Management. Lo mismo se puede decir en relación a las U.S. Federal Sentencing Guidelines for Organizations (en adelante FSGO), de acuerdo con las cuales, para que la empresa se vea beneficiada con la reducción de la multa correspondiente luego de la comisión de un hecho delictivo debe haber implementado un programa efectivo para prevenir y detectar infracciones de ley. Esto supone satisfacer exigencias relacionadas con el diseño de estándares de cumplimiento y procedimientos que deben ser seguidos por los integrantes de la empresa y que justamente suponen intervenir tanto la estructura organizacional como el generar una cultura organizacional respetuosa con la legislación vigente.   El Código de Conducta.   1. Códigos de ética: contienen enunciados de valores y principios referidos al propósito de la corporación, a sus obligaciones y responsabilidades hacia los stakeholders y a las normas que deberán conformar el comportamiento de sus integrantes. 2. Códigos de conducta: constituyen enunciados de reglas expresadas de forma afirmativa o negativa acerca de aquello que pueden o no pueden hacer los integrantes de la corporación. Pueden fijar penalidades por incumplimiento y fijar los procedimientos para hacer cumplir las normas y apelar en caso de disenso o conflicto de intereses. Para diseñarlo es preciso seguir estos pasos: Se designa un comité de ética, con no más de siete personas y no menos de tres. Los integrantes deben ser de primer nivel y saber consensuar. Este equipo debe redactar el contenido del código para comunicarlo a la alta dirección. Se define qué hacer en casos que propicien conflictos de interés, cumplimiento de las leyes locales; así como establecer criterios de privacidad, confidencialidad, comunicación interna, ceses laborales y llamados de atención. El comité presenta el borrador preliminar para que la alta dirección lo revise y apruebe para su promulgación final. Esto simboliza una declaración pública acerca de aquello en lo que se está comprometiendo. Se define la vía para comunicar el conjunto de normativas del código. No hacerlo equivaldría en convertirlo en letra muerta. Se otorga credibilidad al código al estar vinculado a estímulos y sanciones que deberán cumplirse para que no pierda impacto y credibilidad. Se designa una comisión de honor, compuesta por empleados de reconocida trayectoria en la organización. Se capacita al talento y personal de la organización para que entiendan la importancia de asumir un código de ética, así como disponer de un comité de ética y considerar ampliamente al comité de honor. El Comité establece comunicación con todas las áreas de la organización. La realización de seminarios podría ayudar a permear en todos los niveles, al igual que los comunicados y boletines. Se implementan mecanismos de denuncia y certificaciones internas.   El Compliance Officer: Rol, organización, recursos, tendencias. La figura del Compliance officer debe situarse principalmente dentro de la empresa, pues es quien mayormente conoce los principios y valores de la corporación como componente de la misma (aunque externamente pueda obtenerse un objetivo asimilado) El responsable del cumplimiento debe incorporarse, en la estructura corporativa, junto al órgano de dirección, con plena actuación autónoma, y el mismo nivel que aquéllos que forman parte del control interno, con quienes se correlacionará interactivamente, pues utiliza una mismo lenguaje y mismas herramientas de gestión; y unido al hecho de que como responsable del aseguramiento de que los valores de una organización es siempre parte del proceso de pensamiento y del proceso de toma de decisiones corporativas, tendremos argumentos suficientes para justificar la citada ubicación en el cuadro corporativo. Es indudable que toda la organización es responsable del cumplimiento normativo de la empresa pero, no obstante, las funciones y obligaciones deben quedar claramente definidas para que la supervisión y control sean eficaces. Es por ello necesario adoptar una estructura y/o esquema lógico mediante diferentes el establecimiento de diferentes líneas de defensa. El Compliance Officer deberá coordinar y supervisar tales líneas de defensa con el fin de prevenir cualquier incumplimiento. La primera línea de defensa es la que responde a la gerencia operativa, es decir la encargada de evaluar y controlar las actividades de la organización a la luz de la normativa aplicable en cada actividad; la segunda línea de defensa se dedica a ayudar a la gestión operativa en la gestión de sus riesgos facilitándole información y soporte para hacerlo adecuadamente; y la tercera línea de defensa se encarga de asegurar la eficacia de los mecanismos de control de riesgos, incluyendo la adecuada aplicación de las políticas, procedimientos y controles que se hayan definido al efecto. En conclusión, podemos decir que el Compliance Officer se encuadra dentro de las tareas relacionadas con la segunda línea de defensa y no podemos confundirlo con otras funciones que se ubican en su misma línea de defensa ni tampoco con las tareas de auditoría interna. El oficial de cumplimiento como process owner (Dueño de Proceso de Negocios) es el responsable del diseño del proceso, pero no de la operación del mismo. Es además responsable de los mecanismos de medición y feedback del sistema, de la documentación del proceso y, de la capacitación de las personas que participan en la ejecución. En última instancia es el responsable del mejoramiento del proceso. Para llevar a cabo su función es imprescindible que se destinen los recursos financieros necesarios y que disponga de las herramientas precisas, en definitiva disponer del presupuesto adecuado para el desarrollo de sus funciones.  Es imprescindible que el Compliance Officer: (i) Disponga de un Manual de Normas y Procedimientos de Prevención en el cual se establecen los procesos y controles internos a cumplir. (ii) Que informe a la Junta Directiva de alguna actividad sospechosa por parte de los empleados. (iii) Que mantenga relaciones institucionales con los organismos competentes. (iv) Que cree un código de ética. (v) Realice formación tanto a empleados como a la junta directiva. Todo ello, es esencial para que conozcan los riesgos y los errores que pueden cometerse, tratando así de minimizarlos e incluso evitarlos. Los estándares internacionales más modernos de Compliance coinciden en recomendar que tal función disfrute de un fácil acceso a los máximos órganos de gobierno social, circunstancia que se traduce en una posición jerárquica elevada, cercana a los mismos. Se trata de un requisito sustancial para dotar de eficacia a la función, en la medida que no sólo refuerza su independencia sino que facilita una comunicación fluida y la rápida adopción de decisiones de alto nivel, llegado el caso. A causa de las limitaciones inherentes a su tamaño, las pequeñas empresas desarrollan esquemas de Compliance simplificados, donde es el propio órgano de administración el que asume los roles de dicha función, aplicando principios de cumplimiento generalmente aceptados de manera proporcional a sus circunstancias internas (tamaño, recursos, etc) y externas (sector de actividad, mercados en los que opera, etc).

Seguridad de datos y redes sociales. El Delegado de Protección de Datos (Data Protection Officer, DPO) dentro de la estructura de Compliance, deberá velar por el cumplimiento de las siguientes pautas: El tratamiento de los datos de carácter personal requiere el permiso del titular. Caso de que existan dudas sobre el otorgamiento del permiso para el fin que se pidieron, es conveniente quitarlos. La información sensible ha de estar resguardada de forma conveniente, y solo se conservaría en caso de ser realmente necesario. El titular de los datos siempre y en todo momento sostendrá derechos sobre ellos. Es por esta razón que se debe informar al interesado, entre otras muchas cosas, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Es conveniente archivar y retener solamente la información personal cuando sea preciso, y quitar de manera sistemática cualquier registro que se halle desactualizado o bien no se requiera. La compañía debe llevar cuidado de no dejar a la vista de terceros la información que se está desechando. Solamente pueden revelarse los datos que se registran en caso de que exista un requerimiento de las autoridades acompañado de orden judicial, o bien cuando el perjudicado dé su expreso consentimiento y por escrito. Incorporar medidas de resguardo de información y seguridad suficientemente fiables conforme el género de dato que se esté resguardando. En el caso de ficheros físicos, estas medidas pueden ir desde no dejar documentos sensibles a la vista, hasta la utilización de un fichero con seguro.   Protección de la Libre Competencia. La Ley de Defensa de la Competencia Núm. 25.156 dictada en 1999 (LDC) es la norma principal que regula conductas anticompetitivas y concentraciones económicas. Esta norma fue modificada por los Decretos 1019/1999 y 396/2001, y más recientemente por la Ley Núm. 26.993 dictada en septiembre de 2014. Adicionalmente, esta ley es reglamentada por el Decreto 89/2001. Como normas complementarias relevantes corresponde mencionar, entre otras: (i) la Resolución Núm. 164/2001 de la Secretaría de la Competencia de la Desregulación y la Defensa del Consumidor, que establece los lineamientos para el control de las concentraciones económicas; (ii) la Resolución Núm. 40/2001 de la Secretaría de la Defensa de la Competencia y del Consumidor que aprobó la Guía para la Notificación de Operaciones de Concentración Económica; y (iii) la Resolución Núm. 26/2001 de la Secretaría de Coordinación Técnica que dictó las normas de procedimientos aplicables a las solicitudes de opiniones consultivas. Principales obligaciones derivadas de la legislación local Para el caso de concentraciones económicas la principal obligación es notificar a la autoridad de aplicación de la LDC el cambio de control en una sociedad o en los activos de la misma. En relación a conductas anticompetitivas, la principal obligación es no incurrir en conductas que perjudiquen el interés económico general. La regulación local no exige establecer un Programa de Compliance relacionado a defensa de la competencia. Sin perjuicio de ello, la existencia de un programa podría eventualmente ser utilizado como fundamento para solicitar la atenuación de posibles sanciones. Principales sanciones que podrían imponerse de multa por no cumplir con la obligación de notificar una concentración económica: hasta ARS 1.000.000 por día de retraso (el promedio es de ARS 20.000 por día de retraso). Adicionalmente, el artículo 8 de la LDC establece que la transacción no tendrá efectos entre las partes ni hacia terceros hasta tanto no sea autorizada por la autoridad de aplicación. También se pueden imponer condiciones para la aprobación de una operación de concentración económica. Sanción de multa por conductas anticompetitivas: de ARS 10.000 hasta ARS 150.000.000 (en caso de reincidencia, los montos de la multa se duplicarán). Solidaridad a los directores, gerentes, administradores, síndicos o miembros del consejo de vigilancia, mandatarios o representantes legales que por su acción u omisión hayan permitido la comisión de la infracción, más la inhabilitación para ejercer el comercio de uno a diez años tanto para la persona jurídica como para las personas anteriormente mencionadas (artículo 48 de la LDC). Otras sanciones posibles incluyen el cese de actos o conductas que violen las restricciones sobre conductas anticompetitivas establecidas por la LDC. Por otro lado, el abuso de posición dominante o monopólica podría acarrear la liquidación y disolución o división de la sociedad infractora. Acción de daños y perjuicios conforme las normas del derecho común (artículo 51 de la LDC). Por ello, dictamina que la introducción de programas de compliance en esta fase, posterior a la comisión de la conducta, no se configure como una simple mejora de la imagen empresarial, es preciso exigir de las empresas una reorganización preventiva e investigadora y el establecimiento de medidas eficaces para prevenir, evitar y, en su caso, descubrir con prontitud las infracciones. El programa se compone de tres fases principales: auditoría interna para identificar riesgos de infracción, adopción de protocolos de funcionamiento y código de buenas prácticas y una tercera fase de formación al personal de riesgo de la sociedad. El Departamento de Justicia de los EE.UU. que en el caso U.S. vs. Kayaba Industry Company, recomendó una reducción substancial de una multa en base a la cooperación con la investigación evidenciada por la empresa en cuestión, y especialmente, haber demostrado la inmediata implementación de un programa efectivo de compliance en defensa de la competencia, con el objetivo de evitar que la conducta penalizada se reiterara en el futuro. Si se implementa un programa de compliance sobre defensa de la competencia, se debe tener en cuenta si la empresa participa en licitaciones, es necesario determinar si lo hace habitualmente en forma autónoma o independiente, o bien asociada con terceros, y en este caso, si los terceros con los que se asocia la empresa son actuales o potenciales competidores. El objetivo es determinar la existencia de situaciones de potencial riesgo de intercambio de información sensible, que pudiera derivar en situaciones de monopolio o de fijación de precios en perjuicio al interés económico general en el mercado relevante. La estructura contractual mediante la cual la empresa adquiere las materias primas y patentes de producto y de proceso que utiliza en sus diferentes áreas de negocios. En este ámbito se debe determinar si el desarrollo de ese conocimiento se contrata con terceros o si es desarrollado por la sociedad. En caso de ser contratado, si esos contratos incluyen, por ejemplo, restricciones para el desarrollo de productos para la competencia, o cláusulas de “demora” en la inscripción de patentes. También es necesario determinar si la empresa, como comprador, es condicionante de la viabilidad comercial de la empresa vendedora, es decir si tiene influencia determinante, por ejemplo, para establecer unilateralmente el precio o las condiciones de compra. Todas cuestiones que deben analizarse con un conocimiento preciso de la operación concreta, a fin de establecer alertas en casos puntuales y reales. Una vez tratada la “originación”, y establecidos mecanismos para evitar situaciones de incumplimiento a la ley antimonopolio, otro gran capítulo es la venta/distribución de productos. En este punto la cuestión a determinar es si la empresa está sujeta a competencia substancial en todos los mercados en los que actúa, o bien si en alguno de tales mercados la empresa tiene la capacidad de establecer el precio de venta a los distribuidores o consumidores, sin estar afectada a competencia substancial. Debe analizarse si el contrato con el distribuidor asigna a éste libertad para establecer el precio final de venta o no, y si el distribuidor ve restringida su posibilidad de vender productos de la competencia o de otros terceros. Similar análisis corresponde respecto de los incentivos a los vendedores, puntualmente, si tales incentivos están alineados con la normativa antitrust o indirectamente, si incentivan su incumplimiento. Nuevamente, se requiere un conocimiento preciso del negocio específico.   Discriminación y compliance. La empresa, sin perjuicio de la obligación normativa que le es exigible de disponer de concretos protocolos de prevención y actuación ante supuestos de acoso sexual y por razón de sexo, será igualmente recomendable, desde el punto de vista de compliance laboral, elaborar voluntariamente planes de igualdad y que los protocolos de prevención se encuentren insertos en un código ético general de la compañía. Además, se recomienda que estos protocolos contemplen adicionalmente la prevención de otro tipo de comportamientos discriminatorios por razones distintas a las de carácter sexual, previendo expresamente, entre otras situaciones, las conductas realizadas por cualquier medio, incluyendo las redes sociales, blogs, herramientas de mensajería instantánea, o cualquier otro medio análogo, regulando expresamente la figura del “ciberacoso”.

Compliance y Reputación. Riesgo de Reputación produce en la empresa o marca y se puede manifestar como mala prensa o discusión de los medios de comunicación, pérdida de la confianza del cliente, disminución la moral del empleado, etc. Pero como los intereses, valores y culturas de clientes, proveedores, empleados y reguladores, solo para nombrar algunos, difieren entre sí. Habrá que definir cuáles son los más instrumentales para dar sostenibilidad a la estrategia de la compañía. Un proceso difícil porque por más que uno lo intente no podrá contentar a todos. Y para agregar complejidad, las expectativas evolucionan: lo que estaba bien visto hace unos años hoy ya no lo es y lo que hoy está aceptado quizás mañana ya no lo sea. Así un comportamiento puede ser evaluado pronto contra expectativas cambiadas y ya no alcanzarlas. No se objetará legalmente, pero igual daña la reputación. La consecuencia: clientes cambian su comportamiento y dejan de comprar, empleados se van y aparecen los medios reforzando la crisis de reputación. Al final, las crisis de reputación siempre son el resultado de experiencias. El riesgo reputacional es más difícil de gestionar que riesgos “normales” ya que tiene un carácter amorfo de percepciones y emociones que forman las expectativas más allá de la realidad, no es tangible y no se puede cuantificar. Para los Compliance Officers: para preservar la percepción positiva de la empresa entre sus stakeholders importantes no alcanza con una mirada legalista desde el entorno normativo actual. Tienen que ser trendspotters y guías para la Alta Dirección detectando hacia donde se dirige el tren de los comportamientos aceptados por la sociedad y los cambios regulatorios que los siguen. Adquiere mayor importancia su faceta de guardián del comportamiento debido y no solo del comportamiento permitido.   Reputación corporativa e individual. La reputación corporativa es el reconocimiento que de una compañía hacen sus grupos de interés, a partir del grado de cumplimiento de ésta para con sus clientes, empleados, accionistas y comunidad en general. Son diversos los elementos que entran a formar parte de lo que denominamos Reputación corporativa: Políticas de medioambiente, Políticas de selección, formación e integración del personal, Políticas de ascenso, Políticas retributivas, Políticas de despidos, Calidad del producto, Políticas de precios, Campañas publicitarias y Campañas de comunicación institucional. El tener una buena reputación aumenta drásticamente las probabilidades de: (1) pedir prestado a un costo de capital menor y así mejorar las chances de una mayor rentabilidad ceteris paribus; (2) retener los mejores talentos corporativos con habilidades y tener así el mejor liderazgo corporativo visionario, para guiar a la organización en futuros territorios desconocidos; (3) ser inducido a cumplir con reglas y regulaciones para evitar cualquier posible responsabilidad legal; (4) asegurarse de que los clientes seguirán siendo leales a los productos y servicios de la organización, al servirlos bien; (5) asegurarse que a través de un comportamiento social corporativo responsable la organización obtiene un permiso para operar desde la sociedad en general en la cual se encuentra, y apelar así a la simpatía emocional; (6) garantizar un tratamiento igual a todas las partes interesadas (incluyendo los grupos minoritarios) al implementar reglas de  gobierno transparentes y responsables; y, finalmente, (7) tener sistemas instalados de control, monitoreo y comunicación adecuados para enfrentar posibles crisis. Para esto, las empresas deben asegurarse de que existan el liderazgo correcto y los correspondientes mejores principios de gobierno corporativo; garantizar que la transparencia y la integridad sean los principales factores directivos al manejar la información; enfatizar la importancia de la comunidad como una forma de legitimar el “permiso para operar”; reconocer al cliente y cuidar sus necesidades y deseos; valorar al trabajador de la organización como un valor humano genuino; mostrar respeto por el medio ambiente; sostener políticas que creen igualdad y diversidad; crear una conciencia de diferencias culturales que no deben ignorarse.   Convertir el riesgo reputacional en una ventaja competitiva. Las ventajas competitivas de una buena reputación corporativa han sido tratadas por numerosos autores. Entre dichas ventajas cabe destacar las siguientes: Favorece la fidelización de los clientes que están dispuestos a pagar un mayor precio por los productos y/o servicios recibidos (Klein y Leffler, 1981; Milgrom y Roberts, 1986). Favorece la selección de personal con una mayor preparación y en mejores condiciones para la empresa (Stigler, 1962; Willamson, 1985). Facilita el acceso al capital financiero, bien a través de un mayor acceso a los mercados de capitales o por la mayor facilidad en la captación de socios colaboradores (Milgrom y Roberts, 1986; Beatty y Ritter, 1986). Permite crear barreras de entrada a la competencia, así como acceder a nuevos clientes (Hall, 1992). Reduce las asimetrías de información y comportamientos oportunistas de la dirección (De Quevedo et al., 2005) Por otro lado, la reputación también puede proporcionar una protección para las compañías en tiempos de crisis. Algunos autores sostienen que las compañías con una buena reputación pueden superar crisis de mercado o específicas sufriendo menores pérdidas económicas que las compañías que no tienen esa buena reputación (Gregory, 1998; Knight y Pretty, 1999; Jones et al., 2000; Schnietz y Epstein, 2005; Godfrey et al., 2009). Esto significa, por un lado, que las compañías pueden reducir la incertidumbre cultivando una “reserva de confianza” entre sus grupos de interés que le dará a las compañías con mayor reputación el “beneficio de la duda” ante eventos negativos específicos o sistemáticos. Como señala Villafañe (2004), “las empresas reputadas tienen un halo de credibilidad que puede resultar decisivo a la hora de afrontar los efectos de una crisis”. No obstante, no sólo la reputación favorece la creación de valor de la empresa a través de una mejora en sus resultados financieros, sino que este incremento del resultado financiero de la empresa favorece al mismo tiempo la consolidación de la reputación (Roberts y Dowling, 2002). Cuanto mayores son los recursos financieros de la empresa, mayores son las probabilidades de poder satisfacer de forma adecuada los intereses de todos y cada uno de los participantes ya que se podrán mejorar los salarios, la formación y la calidad de vida laboral de los empleados; ampliar la calidad, innovación y seguridad de los productos, incrementar las plusvalías para los accionistas, realizar acciones filantrópicas con la sociedad, etc.

Riesgos económicos y empresariales genéricos derivados de la actividad comercial. Existen muchas definiciones de riesgo, una definición propia y sencilla sería: “La probabilidad de que, la ocurrencia de un suceso adverso afecte a la entidad e impacte en su habilidad para lograr sus objetivos estratégicos y por ende la capacidad de cumplir su misión y visión”. En la actualidad, la empresa se presenta como una cadena económica integrada por un conjunto de operaciones que abarcan el diseño del producto, la producción, la distribución y la venta, que están orientadas a la creación de valor. Esta perspectiva de la empresa nos permite definir su objetivo como la maximización de su valor, lo que a su vez nos permite incluir los siguientes factores: de un lado, se considera la renta residual (beneficio) que perciben los accionistas, además de considerar las posibles inversiones (crecimiento) que contribuyen a satisfacer la utilidad de los derechos, de otro, incorpora la proporción de riqueza que se dedica a satisfacer los objetivos del resto de los participantes en la empresa. Las empresas tratan de determinar qué riesgos deberían ser administrados a nivel corporativo y qué riesgos deberían también ser dejados a cargo de los niveles inferiores dentro de la estructura de la organización. Los enfoques organizacionales a la administración de riesgo pueden ser centralizados a nivel corporativo o descentralizado entre divisiones o procesos dependiendo de la naturaleza de los riesgos en cuestión y las preferencias de la administración. Aunque todavía no exista una forma correcta o incorrecta para organizarse, algunos principios organizacionales están emergiendo como sigue: La administración de riesgo centralizado tiende a enfocarse en los riesgos que afectan el logro de los objetivos y estrategias corporativos claves y afectan significativamente no sólo a la mayoría si no que a todas las funciones y procesos (por ejemplo, reputación). Estos riesgos pueden ser conocidos como riesgos que afectan a toda la organización. La administración de riesgo descentralizado empuja la responsabilidad de la administración de riesgo a aquellos que viven con él día a día. Los riesgos que pueden ser mejor administrados en esta forma son los riesgos a nivel de división y proceso, que son aquellos que están presentes significativamente sólo en un proceso en particular pero que, sin embargo, afecta la habilidad de la organización de implementar exitosamente el total de sus estrategias. La gestión de riesgo empresarial se está desarrollando en este contexto. Es una forma significativa de identificar los riesgos críticos que la organización enfrenta – incluyendo, por ejemplo, reputación, ética, e-business, o riesgos de salud, seguridad, y medio ambiente (no solamente riesgos financieros o asegurables) – y luego administrar y optimizar esa cartera de riesgos de modo tal de obtener los retornos financieros necesarios. Riesgo de crédito: Posibilidad de que la contraparte incumpla sus obligaciones contractuales. Riesgo de liquidez: Imposibilidad de poder deshacer una posición con la suficiente rapidez y a un precio de mercado competitivo. O bien, imposibilidad de asumir un pago por falta de liquidez. Es un riesgo difícilmente cuantificable desde fuera de la propia empresa. Riesgo operacional: Riesgo asociado a la realización de las transacciones (calidad de los sistemas informáticos de gestión y control, nivel de formación, complejidad de los productos…). Es decir, posibilidad de que ocurra una contingencia en la empresa. Riesgo legal: Proviene fundamentalmente de las carencias legislativas en relación a la continua innovación financiera, pero también de la falta de rigor al analizar las posibles limitaciones legales de actuación de las distintas contrapartidas. Riesgo estratégico: Riesgo asociado a la elección de una estrategia inadecuada para permanecer y competir en el negocio. Riesgo reputacional: Consecuencia de un hecho adverso para la entidad. Proviene fundamentalmente de la pérdida de confianza de los clientes. Lo que puede sacar a una empresa del negocio. Riesgo de mercado: Posibilidad para una posición o cartera de incurrir en pérdidas ante movimientos desfavorables de los precios en el mercado. Este riesgo tiene, a su vez, otros muchos tipos de sub-riesgo: Riesgo de tipos de cambio. Riesgo de tipos de interés. Riesgo de acciones. Riesgo de volatilidad.   Riesgos en materia de prevención de lavado de activos y financiación del terrorismo. (Normativa internacional en materia de blanqueo).   Los instrumentos internacionalmente utilizados como guía de referencia en la lucha contra el lavado de dinero y financiamiento del terrorismo son los  siguientes: ► 40 recomendaciones del GAFI Para la prevención del blanqueo de capitales (París 06/02/1990, actualizado en 1996, y recientemente en junio de 2003). • Las Entidades financieras deberían tomar medidas razonables para obtener información acerca de la verdadera identidad de las personas en cuyo nombre se abre una cuenta o se realiza una transacción, siempre que existan dudas de que esos clientes podrían no estar actuando en nombre propio. • Los países deberían prestar atención a las amenazas de blanqueo de capitales inherentes a las nuevas tecnologías, que pudieran favorecer el anonimato y tomar medidas para impedir su uso en los sistemas de blanqueo de capitales. • Las Entidades financieras deberían prestar especial atención a todas las operaciones complejas, a las inusualmente grandes, y a todas las modalidades no habituales de transacciones, que no tengan una causa económica o lícita aparente. • Las Entidades financieras deberían prestar especial atención a las relaciones de negocios y a las transacciones con personas físicas y jurídicas, que no aplican estas recomendaciones, o que lo hacen de forma insuficiente. • Los países deberían considerar la adopción de medidas viables para detectar o vigilar el transporte transfronterizo de dinero en efectivo e instrumentos negociables al portador. ► Convención de Viena de las Naciones Unidas contra el Tráfico Ilícito de Estupefacientes y Sustancias Psicotrópicas (Viena 19/12/1988). • El propósito de la Convención es promover la cooperación entre las partes a fin de que puedan hacer frente con mayor eficacia a los diversos aspectos del tráfico ilícito de estupefacientes y sustancias psicotrópicas que tengan una dimensión internacional. Las Partes adoptarán las medidas necesarias, comprendidas las de orden legislativo y administrativo, de conformidad con las disposiciones fundamentales de sus respectivos ordenamientos jurídicos internos. • Tipificación de delitos internacionales vinculados con el tráfico ilícito de estupefacientes y sustancias psicotrópicas y sus sanciones. • Medidas para Erradicar el Cultivo Ilícito de Plantas de las que se extraen Estupefacientes y para Eliminar la Demanda Ilícita de Estupefacientes y Sustancias Psicotrópicas. • Modalidades de transporte de sustancias ilícitas. ► Declaración de Basilea, aprobada el 28 de diciembre de 1988, por el Comité de Basilea sobre Regulación y Supervisión Bancaria. • Señala un cierto número de reglas y procedimientos cuya puesta en práctica debería ser garantizada por los gestores de las Entidades Financieras a fin de colaborar en la eliminación de las operaciones de blanqueo de dinero por medio del sistema bancario nacional e internacional. • Busca reforzar las mejores prácticas financieras existentes y, alentar la vigilancia contra la utilización del sistema de pagos con fines criminales, promover la puesta en marcha de medidas preventivas eficaces y favorecer la cooperación con las autoridades encargadas del cumplimiento de las leyes. ► El Convenio del Consejo de Europa sobre Blanqueo, Identificación, Embargo y Decomiso de los Productos del Delito, abierto a la firma el 8 de noviembre de 1990 en Estrasburgo. • Tuvo como objetivo conseguir una mayor unidad entre sus miembros y pretende, a través de un sistema eficaz de cooperación internacional, practicar una política penal común dirigida a la protección de la Sociedad contra los delitos graves, mediante el uso de métodos modernos y efectivos para privar al delincuente del producto del delito. • Las Partes cooperarán entre sí, todo lo posible en lo relativo a las indagaciones y los procedimientos cuyo objeto sea la confiscación de instrumentos y productos, adoptarán las medidas legislativas o de otro tipo que sean necesarias. • La Directiva del Consejo de las Comunidades Europeas, (91/308/CEE), del 10 de junio de 1991, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y su modificatoria 2001/97/EC. • Los Estados miembros velarán para que el blanqueo de capitales, tal y como se define en la presente Directiva, quede prohibido. • Los Estados miembros velarán para que las entidades de crédito y las Entidades Financieras examinen con especial atención cualquier transacción que consideren que, por su naturaleza, pueda estar particularmente vinculada al blanqueo de capitales. • Los Estados miembros velarán para que las entidades de crédito y las Entidades Financieras, sus directivos y empleados, colaboran plenamente con las autoridades responsables de la lucha contra el blanqueo de capitales. ► El Reglamento Modelo Sobre Delitos de Lavado Relacionados con el Tráfico Ilícito de Drogas y otros Delitos Graves (Comisión Interamericana para el Control del Abuso de Drogas, OEA-CICAD). • Comete delito penal la persona que adquiera, posea, tenga, utilice o administre bienes a sabiendas, debiendo saber, o con ignorancia intencional   que tales bienes son producto de un delito de trafico ilícito, u otros delitos graves. • Las instituciones financieras, o sus empleados, funcionarios, directores, propietarios u otros representantes autorizados que, actuando como tales, tengan participación en un delito de tráfico ilícito, u otro delito grave, estarán sujetos a sanciones más severas. ► “Intensificación de la lucha contra el lavado de dinero y financiamiento del terrorismo y el financiamiento del terrorismo” del FMI y el Banco Mundial. • Ampliar la participación del Fondo/Entidades Financieras en las actividades de Prevención de Lavado de dinero y financiamiento del terrorismo de modo de incorporar la lucha contra el financiamiento al terrorismo. • Ampliar las actividades de Prevención de Lavado de dinero y financiamiento del terrorismo del Fondo/Entidades Financieras para sumar a la supervisión del sector financiero las cuestiones atinentes al marco jurídico e institucional. • Acordar con el GAFI una norma mundial armonizada de Prevención de Lavado de dinero y financiamiento del terrorismo y, en consecuencia, el proceso conexo de los Informes sobre la observancia de los códigos y normas. • Aumentar la asistencia técnica del Fondo/Entidades Financieras en respuesta a solicitudes de países miembros que desean fortalecer los regímenes de  Prevención de Lavado de dinero y financiamiento del terrorismo. • Llevar a cabo un estudio conjunto sobre los sistemas informales de transferencia de fondos. El Sistema de Antilavado de Activos (ALA) de Argentina. Se basa en la Ley 25.246 sancionada el 5 de mayo de 2000 modificada por las Ley 26.087, la Ley 26.019 que establece la nueva estructura de la UIF, la Ley 26.268 sobre asociaciones ilícitas terroristas y financiación del terrorismo y por la Ley 26.683 sancionada el 1 de junio de 2011 y promulgada parcialmente el 17 de junio del mismo año que introduce modificaciones en el Código Penal y también dispone cambios en las facultades de la UIF y amplía la nómina de los sujetos obligados a reportar operaciones.  La Ley 25.246 modificó la naturaleza del delito de lavado de activos y cambió su mecanismo de aplicación, creando la Unidad de Información Financiera (UIF) bajo el ámbito del Ministerio de Justicia, Seguridad y Derechos Humanos. Estableció también un marco legal e institucional de las acciones de la UIF para con las instituciones financieras y no financieras en todo lo vinculado a las operaciones relacionadas con las medidas para combatir el lavado de activos. La misión principal de la UIF es combatir el posible financiamiento del terrorismo y el lavado de dinero proveniente de delitos como el narcotráfico, el contrabando de armas, el fraude, etc. A estos fines, la UIF analiza la información recibida por los distintos sujetos obligados y por denuncias particulares, las que de corresponder, son elevadas al Ministerio Público para que se continúe con la investigación. Por su parte, la Ley 26.683 introdujo importantes modificaciones al Código Penal, incorporando el Capítulo XIII denominado "Delitos contra el orden económico y financiero" donde se tipifican las conductas punibles relacionadas al LA. Como se adelantó, la UIF es la encargada del análisis, el tratamiento y la transmisión de información a los efectos de prevenir e impedir: • El delito de lavado de activos. • El delito de financiación del terrorismo. • FUNCIONES DE LA UIF • La UIF está facultada para investigar operaciones inusualesderivadas de los delitos previstos. • La UIF también es responsable de recibir, pedir y registrar la información presentada por los sujetos obligados a informar de acuerdo con la Ley. • La UIF también puede recibir declaraciones voluntarias de personas físicas y/o jurídicas. • En sus resoluciones, la UIF ha hecho extensiva la obligación de denuncia a las operaciones sospechosas relacionadas con actividades de financiamiento del terrorismo, los actos de terrorismo y las organizaciones terroristas. Por otro lado, el capítulo III de la Ley 25.246 determina el deber de informar y los sujetos obligados, nómina que ha sido ampliada por la Ley 26.683.   Riesgos en materia de prevención de lavado de activos y financiación del terrorismo. (Deberes de diligencia por sectores de actividad. Particular atención a la actividad bancaria)   Antes de iniciar la relación comercial o contractual con un cliente, y durante la misma, se debe solicitar información sobre los productos a utilizar y los motivos de la elección, como así también se debe definir el perfil del cliente (incluyendo el carácter económico, financiero y tributario) de acuerdo con procedimientos de control y prevención. Las entidades financieras y cambiarias deben basarse en el conocimiento de la clientela para la apertura y mantenimiento de cuentas, prestando especial atención a su funcionamiento a fin de evitar que puedan ser utilizadas con fines de lavado de activos. Además, deben considerar las posibles discordancias entre el perfil del titular de la cuenta y los montos y modalidades de las operaciones. La Resolución UIF N° 121/11, dirigida a las entidades financieras y cambiarias, define dos clases de clientes, en función de la frecuencia de las operaciones y de la cuantía de los montos operados: (i) los habituales (aquellos con los que se entabla una relación de permanencia o aquellos que realicen operaciones que superen los $60 miles anuales) y (ii) ocasionales (con los que no se entabla una relación de permanencia y sus operaciones anuales no superen los $60 miles). En el caso de personas jurídicas se requiere que se identifique al “Propietario / Beneficiario”, entendiendo por tal a la persona física que posea como mínimo el veinte por ciento del capital o de los derechos de voto de la persona jurídica o que por otros medios ejerza el control final, directa o indirectamente. Las entidades financieras deben comprender el carácter de la actividad comercial de sus clientes, así como su estructura jurídica de titularidad y control. Sin perjuicio de dichos requisitos generales de identificación y de información a requerir a la clientela, se contemplan situaciones particulares en las que las entidades deben prestar especial atención a la identificación de los clientes, a saber: (i) transacciones a distancia; (ii) actuación por cuenta ajena (fideicomisos, empresas vehículo); (iii) personas expuestas políticamente, categoría que abarca a los funcionarios públicos, tanto en el ámbito nacional como provincial, municipal y de la Ciudad de Buenos Aires, ya sea que desempeñen o hayan desempeñado funciones en los dos últimos años, a los funcionarios públicos extranjeros y a los cónyuges o convivientes de las personas mencionadas anteriormente; (iv) fondos provenientes de otras entidades; (v) seguimiento reforzado sobre los depósitos en efectivo por importes iguales o superiores a $40.000 que reciban las entidades financieras, caso en que deberán identificar a la persona que efectúe el depósito mediante la presentación de su documento y si el depósito es realizado por sí o por cuenta de un tercero (vi) operaciones realizadas por empresas transmisoras de fondos (vii) los servicios de corredores de cambio. Las entidades financieras y cambiarias deben: 1. elaborar un manual que contenga los mecanismos y procedimientos para la prevención de Lavado de Activos y Financiación del Terrorismo; 2. designar un “Oficial de Cumplimiento” quien debe ser miembro del órgano de administración y, a su vez, tener la facultad de conformar un "Comité de control y prevención del lavado de dinero" para planificar, coordinar y velar por el cumplimiento de las políticas establecidas por sus máximas autoridades; 3. implementar auditorías periódicas e independientes del programa global anti-lavado; 4. adoptar, en su área de recursos humanos, un programa formal y permanente de capacitación para sus empleados, incluidos los funcionarios de máximo nivel en la escala jerárquica, y sistemas adecuados de preselección que aseguren normas estrictas de contratación de empleados y de monitoreo de su comportamiento en relación con la materia; 5. establecer procedimientos de control y prevención en los productos que ofrezcan, en función de las políticas de análisis de riesgo que hayan implementado; 6. mantener una base de datos de las operaciones iguales o superiores a $40.000 realizadas por sus clientes. Se deberán incluir en la base las operaciones iguales o superiores a $5.000 cuando se trate de cuentas vinculadas a otras ya existentes; 7. reportar a la UIF aquellos hechos u operaciones inusuales o sospechosas detectadas, en los plazos determinados por la Ley 25.246 (modificada por la Ley 26.683) y en la modalidad indicada por las disposiciones de la UIF. 8. conservar por un plazo de 10 años la documentación de respaldo de las operaciones vinculadas con la materia, que permita reconstruir las transacciones, la cual deberá estar disponible ante requerimientos de las autoridades competentes. Las normas sobre este tema tienen un alcance pleno respecto de las entidades financieras y cambiarias.   Prevención del financiamiento del terrorismo El BCRA trabaja coordinadamente con organismos nacionales e internacionales en la lucha contra el financiamiento del terrorismo. A través de la sanción de la Ley N° 26.734, de diciembre de 2011, se incorporó una nueva definición de terrorismo al Código Penal, aumentando las sanciones previstas para los delitos cuando su finalidad sea la de aterrorizar a la población u obligar a las autoridades públicas nacionales o gobiernos extranjeros o agentes de una organización internacional a realizar un acto o abstenerse de hacerlo. Es dable mencionar que no resulta aplicable cuando el acto en cuestión se realice en el ejercicio de un derecho constitucional. Adicionalmente, se incorporaron sanciones al Título XIII del Código “Delitos contra el orden económico y financiero”, para el que directa o indirectamente recolectare o proveyere bienes o dinero, con la intención de que se utilicen, o a sabiendas de que serán utilizados, en todo o en parte para financiar la comisión de un delito con la finalidad de aterrorizar a la población u obligar a las autoridades, nacionales o extranjeras, a realizar un acto o abstenerse de hacerlo. Los cambios incluyen las competencias y facultades de la UIF para disponer y dirigir el análisis de los actos, actividades y operaciones, que según lo dispuesto en la ley, puedan configurar actividades de financiación del terrorismo. El Decreto N° 918/2012 del Poder Ejecutivo Nacional regula el procedimiento de congelamiento administrativo de los bienes relacionados con los delitos vinculados a las actividades terroristas o al financiamiento del terrorismo. Reglamenta también el procedimiento de inclusión y exclusión de personas designadas en las listas elaboradas de conformidad con las Resoluciones pertinentes del Consejo de Seguridad de las Naciones Unidas. El procedimiento resulta aplicable tanto para el BCRA como para los sujetos regulados por éste. En este contexto, el BCRA dictó normas que obligan a las entidades financieras y cambiarias a: 1. Verificar con especial atención, previo al inicio de la relación comercial o contractual, que los potenciales clientes no se encuentren incluidos en los listados de terroristas y/u organizaciones terroristas que figuran en las Resoluciones del Consejo de Seguridad de Naciones Unidas, debiendo dar cumplimiento a las Resoluciones dictadas por el Ministerio de Relaciones Exteriores, Comercio Internacional y Culto, según los lineamientos establecidos por la UIF mediante Resolución 125/09 (modificada por la Resolución UIF 28/12), en caso de verificarse la inclusión del potencial cliente en los referidos listados. Deben tomar idénticos recaudos respecto de sus clientes durante el mantenimiento de la relación comercial o contractual, conservando constancia documental de la realización de dichos controles; 2. La Comunicación “A” 5218 y modificatorias (Com. “A” 5352), obliga a las entidades financieras, cambiarias, corredores de cambio y los representantes de entidades financieras del exterior no autorizadas para operar en el país, según lo que corresponda de acuerdo con su actividad, a observar lo establecido en la legislación vigente. Ello incluye los decretos del Poder Ejecutivo Nacional con referencia a las decisiones adoptadas por el Consejo de Seguridad de las Naciones Unidas en la lucha contra el terrorismo, las Resoluciones dictadas por el Ministerio de Relaciones Exteriores y Culto y las Resoluciones relacionadas emitidas por la UIF. 3. Prestar especial recaudo al momento de incorporar la información identificatoria del ordenante y del beneficiario de las transferencias de fondos, asegurándose de que la información sea completa y exacta, de acuerdo con la normativa vigente; 4. Mantener la documentación de respaldo de las operaciones vinculadas con esta materia, durante los plazos y con las condiciones establecidas en las normas sobre “Conservación y reproducción de documentos”, debiendo dichos registros permitir reconstruir completamente las transacciones y estar disponibles ante requerimientos de las autoridades competentes; 5. Elaborar políticas escritas respecto de las operaciones relacionadas con el financiamiento del terrorismo que incluyan, como mínimo, el diseño de procedimientos y controles internos, así como planes permanentes de capacitación del personal y una función de auditoría que verifique su cumplimiento. Tales procedimientos y controles deben resultar adecuados a la envergadura de la entidad y al volumen de su operatoria, de conformidad con los lineamientos establecidos en las normas emitidas por el BCRA. Otras normas relacionadas. Las previsiones contenidas en estas normas son de aplicación respecto de las operaciones en las que intervienen las entidades financieras y las casas, agencias y oficinas de cambio. Las entidades deberán remitir a la SEFyC copia certificada de la designación del Oficial de Cumplimiento titular, y del suplente si lo hubiera, efectuada de acuerdo con las condiciones y dentro de los plazos establecidos en las normas emitidas por la UIF. En lo que respecta a las bases de datos, las entidades deben mantener la información correspondiente a los clientes que realicen operaciones -consideradas individualmente- por importes iguales o superiores a $ 40.000 (o su equivalente en otras monedas), por los siguientes conceptos, entre otros: depósitos en efectivo o con títulos valores, colocación de obligaciones negociables y otros títulos valores de deuda emitidos por la propia entidad, pases activos y pasivos, compraventa de títulos valores -públicos o privados- o colocación de cuotapartes de fondos comunes de inversión, compraventa de metales preciosos, compraventa en efectivo de moneda extranjera, pago de importaciones y cobro de exportaciones. La guarda y mantenimiento de la información comprende también los casos de clientes que -a juicio de la entidad interviniente- realicen operaciones vinculadas que, aun cuando -consideradas individualmente- no alcancen el nivel mínimo de $40.000, en su conjunto excedan o lleguen a dicho importe. En ese caso las operaciones que realicen se deben acumular diariamente, almacenando los datos de las personas que registren operaciones -cualquiera sea su importe individual- que en su conjunto alcancen un importe igual o superior a $ 5.000 (o su equivalente en otras monedas), sin considerar en ningún caso las inferiores a dicho monto. No se deben abonar por ventanilla, cheques –comunes o de pago diferido- por importes superiores a $50.000, ni letras de cambio –a la vista o a un día fijo- giradas contra cuentas a la vista abiertas en las cajas de crédito cooperativas por importes superiores a $25.000, salvo determinadas excepciones. Asimismo, los desembolsos por las financiaciones superiores a $50.000 que otorguen las entidades financieras se deben efectivizar mediante su acreditación en la cuenta corriente o caja de ahorros de los demandantes. El BCRA evaluará –dentro del marco de su competencia– las resoluciones finales sobre sanciones que la UIF le notifique respecto de los sujetos obligados bajo su contralor. En ese sentido, examinará la magnitud de la infracción y las situaciones de reincidencia o de retiración de sanciones, lo que podrá dar lugar a un proceso sumarial tanto para los sujetos obligados alcanzados por las regulaciones del BCRA como para las personas físicas habilitadas por el BCRA que resulten involucradas. También pueden ser consideradas como un antecedente desfavorable en oportunidad de evaluar solicitudes de expansión de actividades de entidades financieras y cambiarias y/ de distribución de utilidades. Una vez comunicada la sanción o detectado un incumplimiento normativo, el BCRA podrá requerir en forma inmediata medidas correctivas y/o el cumplimiento de un plan de mitigación de riesgos, con el propósito de que los sujetos obligados mejoren sus sistemas de prevención. Por último, las diversas medidas que ha adoptado el BCRA tendientes a lograr un mayor grado de inclusión financiera, entre las que se cuentan la implementación de la Cuenta Gratuita Universal (CGU), las cuentas gratuitas para jubilados y pensionados, la reducción de costos de transferencias electrónicas de fondos y el uso de cajeros automáticos, promueven una mayor bancarización e inclusión social, situaciones en las que son de aplicación requisitos de debida diligencia simplificados, limitados a los requisitos mínimos de identificación -presentación del Documento Nacional de Identidad- y el encuadre en las disposiciones específicas de cada producto. Las políticas de inclusión financiera se encuentran en consonancia con la prevención del lavado de activos, del financiamiento del terrorismo y de otras actividades ilícitas, puesto que la mayor participación de la sociedad urbana y rural en el sistema financiero de un país permite disminuir la economía informal y el manejo del dinero en efectivo, que es anónimo y cuyo uso no puede ser monitoreado. En relación a las acciones de cooperación en materia tributaria entre la República Argentina y otros países, las entidades financieras deberán arbitrar las medidas necesarias para identificar a titulares de cuentas alcanzados por el nuevo estándar sobre intercambio de información de cuentas financieras desarrollado por la OCDE y las disposiciones vinculadas a la Ley de cumplimiento fiscal de cuentas extranjeras, conocida como FACTA.

Riesgos en materia de prevención de lavado de activos y financiación del terrorismo.(Tipologías de blanqueo por sectores de actividad)   En el mercado de renta variable. Un negocio bursátil o la negociación de valores es un instrumento financiero que permite la realización de operaciones de inversión, compra y venta de títulos que realiza una sociedad intermediaria de valores (corredor de bolsa) en nombre y por cuenta de una persona natural o jurídica en el mercado de valores (en forma directa o a través de las bolsas de valores). Según las condiciones y normatividad de cada país, las sociedades comisionistas de bolsa pueden realizar cierto tipo de transacciones financieras por cuenta propia y de sus clientes. Los negocios bursátiles más conocidos son los de inversión en papeles o títulos de renta variable y fija, la inversión a través de fondos, la asesoría como banca de inversión, la administración y custodia de valores, así como la realización de operaciones cambiarias o negociación de divisas. La Inversión en Renta Variable a través de la negociación de títulos de renta variable o acciones, las sociedades comisionistas de bolsa ofrecen a sus clientes la posibilidad de comprar o vender acciones inscritas en bolsa, operaciones a plazo y repos sobre acciones. De esta manera los comisionistas pueden conformar un portafolio de acciones ajustado a las necesidades y preferencias de sus clientes. Otra manera de obtener rentabilidad de su inversión es a través de la valorización de sus acciones. Generalmente, las negociaciones de este tipo de títulos se realizan mediante sistemas electrónicos establecidos entre los comisionistas, las bolsas de valores y los depósitos centralizados de valores Las Inversiones en Renta Fija las sociedades comisionistas de bolsa ofrecen a sus clientes la posibilidad de comprar o vender papeles o títulos de renta fija tales como Certificados de Depósito (CD), Bonos de deuda pública o privada, Aceptaciones bancarias, Títulos Hipotecarios, Bonos especiales, Titularizaciones inscritas en Bolsa y en general cualquier título de deuda pública o privada que se negocie en el mercado. La rentabilidad ofrecida a los clientes con este tipo de alternativa de inversión de renta fija depende del riesgo que quieran asumir. A mayor tasa de rentabilidad mayor riesgo. La mayor parte de las transacciones realizadas por una compañía son hechas por los clientes conseguidos por su fuerza comercial. Esto hace que los procesos de conocimiento del cliente y debida diligencia sean responsabilidad de los agentes comerciales y sólo cuando se requiere, el área de cumplimiento puede solicitar mayor información sobre un cliente al agente comercial que lo conoce. Esta tipología está relacionada con el hecho que el agente comercial de una compañía, luego del pago de una comisión extra por parte del lavador, permite de forma intencional la disminución de los controles de procedimiento de conocimiento del cliente (Due Dilligence) establecidos por la firma. Facilitando el acceso al mercado bursátil a una persona que busca introducir dinero ilícito. En estos casos el agente comercial puede valerse de documentación falsa o adulterada para realizar las transacciones de su cliente, así como dedicarse exclusivamente a las operaciones de este “cliente”. Ejemplo: Una red de tráfico ilícito de drogas ingresa al país dinero en efectivo valiéndose de una empresa de fachada, para lograrlo simula contratos de prestación de servicios en el exterior. Una vez los supuestos contratos son pagados, los delincuentes contactan al agente comercial de una sociedad comisionista de bolsa de reconocida tradición en el medio. Un integrante de la organización contrata al comercial para que coloque el dinero en un portafolio de productos de renta variable. Para ello, el agente comercial altera la documentación de otro cliente y la entrega como soporte de las transacciones de la organización criminal. Posteriormente, la inversión de la organización es transformada en un portafolio que es administrado por la compañía y que genera importante utilidades para ella y para el agente comercial. Finalmente gracias al éxito del agente comercial, se pasa a otra firma comisionista a la que traslada la inversión del cliente, en esta nueva compañía se disminuyen los controles de conocimiento de cliente pues el dinero de la inversión tiene apariencia de legalidad, de tal forma que no necesita alterar documentos nuevamente. De esta forma la organización criminal logró incorporar el dinero ilícito en varias firmas y de esta forma tratar de darle apariencia de legalidad al dinero ilícito. En la gestión de transferencias.  Esta técnica involucra el uso de la red de comunicaciones electrónicas, de Bancos o de compañías que se dedican a transferencias de fondos, para mover el producto criminal de un sitio a otro. Por medio de este método, el lavador puede mover fondos prácticamente a cualquier parte del país o al extranjero. El uso de trasferencias electrónicas es probablemente la técnica más usada para estratificar fondos ilícitos, en términos del volumen de dinero que puede moverse, y por la frecuencia de las trasferencias. Los lavadores prefieren esta técnica porque les permite enviar fondos a su destino rápidamente, y el monto de la transferencia normalmente no está restringido. Después de transferir los fondos varias veces, especialmente cuando esto ocurre en una serie de trasferencias sucesivas, se vuelve difícil la detección de la procedencia original de los fondos. Un refinamiento adicional en el uso de trasferencias telegráficas es transferir fondos desde varios sitios dentro de un país o región a una cuenta canalizadora en cierta localidad. Cuando el saldo de la cuenta alcanza cierto nivel o "umbral", los fondos son trasferidos, automáticamente, fuera del país. En la banca de corresponsales. Esta técnica presume que una organización de lavado de dinero puede tener dos o más filiales en diferentes países, o que podría haber alguna clase de filiación comercial entre dicha organización y su contraparte ubicada en el extranjero. Los fondos a ser lavados entran en la filial en un país y después se los hace disponibles en un segundo país en la misma moneda o en otra diferente. Como hay una relación de corresponsalía entre las dos filiales, no se necesita transportar los fondos físicamente. Tampoco hay necesidad de transferir los fondos electrónicamente. La coordinación entre ambas terminales de la operación se lleva a cabo por teléfono, fax, o por algún otro medio.   Riesgos organizativos: sesgos cognitivos.   La noción del sesgo cognitivo fue introducida en 1972 por los psicólogos Daniel Kahneman y Amos Tversky al demostrar la existencia de ciertos patrones de situaciones con las que juicios y decisiones humanas diferían de lo predecible ateniéndonos al camino marcado por la teoría de la elección racional. Con posterioridad otros psicólogos que han venido investigando sobre el asunto, como David Funder y Joachim Krueger, han explorado la posibilidad de ver los sesgos cognitivos no como errores, sino como atajos empleados por los humanos a la hora de predecir y tomar decisiones, sobre todo cuando no hay mucha información. Estos suceden cuando no se tiene en cuenta información relevante, ya sea por la presión de entregar resultados rápidos, por la complejidad del problema o por difícil acceso a dicha información, de esta forma se realiza un análisis deficiente de las opciones, de esta forma, es común que se opte por implementar soluciones que fueron efectivas en el pasado sin evaluar su aplicabilidad bajo los nuevos escenarios o cuando se crea un estereotipo de los exogrupos considerándolos débiles e incompetentes. Irving Janis (Janis, 1989), plantea que en estas situaciones los grupos tienden a adoptar dos estrategias: satisfacer y reafirmase, la primera consiste en que el grupo busca una salida fácil al seleccionar la primera alternativa que satisfaga un mínimo de requisitos, la segunda consiste en que el equipo se centra en que la decisión tomada debe ser la mejor sin tener en cuenta las desventajas de la misma y sin realizar una comparación objetiva entre opciones. Tipos de sesgos cognitivos: -Sesgo retrospectivo o sesgo a posteriori, entiéndase la inclinación del profesional de ver e interpretar los eventos pretéritos como predecibles en un futuro inmediato. -Sesgo de apofenia, consistente en ver patrones o conexiones en sucesos aleatorios y/o series de datos expuestos sin lógica aparente. Lo podríamos identificar grosso modo como “la paranoia del abogado”. -Sesgo de correspondencia, denominado también error de atribución. Entiéndase como la tendencia de hacer excesivo énfasis en las explicaciones fundamentadas, comportamientos, actuaciones o experiencias personales realizadas por otras personas. -Sesgo de la identidad social, o tendencia de anteponer la importancia de pertenencia a un grupo frente a los argumentos sólidos que puedan presentar sus colaboradores. -Sesgo efecto foco, entiéndase una desviación de la predicción del resultado que ocurre con ocasión de conceder/dirigir mucha más importancia en/hacia un determinado punto o aspecto de un hecho concreto. -Sesgo por resultados, o tendencia de juzgar una decisión por su resultado final, en lugar de juzgarla por la calidad o acierto de la decisión, cuando aquella fue realizada. -Sesgo de autoservicio, o tendencia a reclamar más responsabilidad para los éxitos que por los fallos. Se suele manifestar cuando se tiende a interpretar la información ambigua como más beneficiosa para sus propósitos (“in dubio pro…”). -Sesgo o efecto de Von Restorff, o propensión a situarse en un modo de queja continua, para que sea recordado más y mejor que el resto del equipo o grupo. -Sesgo de falso consenso, o inclinación de creer que las propias opiniones, creencias, valores y hábitos están más extendidos entre el resto de la organización o del equipo de colaboradores, de lo que realmente lo están. -Sesgo de memoria por el cual se puede mejorar o por el contrario desvirtuar los recuerdos ya memorizados por el sujeto alterando la realidad de lo sucedido. -Sesgo o falacia de planificación, conocida como la tendencia cognitiva a alterar,  desestimar o infravalorar los tiempos de realización y finalización de las tareas. -Sesgo o efecto Keinshorm o predisposición a someter a juicio y contradecir las ideas o formulaciones que otra persona de su equipo o grupo de colaboradores, con los cuales no simpatiza. Las interpretaciones sesgadas de la realidad según los antecedentes, preconcepciones o intereses de una persona (selfconformity bias) es un sesgo cognitivo frecuente en los diálogos sobre materias de Compliance, y obliga a ser extremadamente claro en las conversaciones sobre ellas, especialmente las delicadas. El self-conformity bias es susceptible de producir peligrosos  efectos en cadena, pues la persona con una interpretación Información sobre esta materia sesgada de la realidad la divulga con absoluta convicción al resto de personas en su entorno. Con ello, no sólo propicia un equívoco con potenciales consecuencias adversas, sino que difunde un mensaje divergente respecto de los valores de cumplimiento. En las organizaciones donde existe una sólida cultura de cumplimiento, la progresión de estos malos entendidos se detiene por aplicación de algunos procedimientos –que los ponen de manifiesto- o incluso de manera natural, cuando otras personas perciben claramente el riesgo de una situación. Pero, en ausencia de estos y otros factores que se dan en organizaciones con cultura de cumplimiento, el self-conformity bias conduce fácilmente a situaciones de riesgo que propician la adopción de decisiones contrarias a las normas y los estándares éticos.   La organización empresarial como factor de riesgo (aspectos criminológicos). Compliance y Criminologia. Para diseñar el mapa de riesgos penales de la empresa es necesario conocer la estructura empresarial y su modelo organización. Una de las herramientas imprescindibles es la información que proporcionan los directivos y empleados. La criminología, en este punto, aporta conocimientos, tanto sobre técnicas de obtención de información cuanto sobre conductas delictivas, que resultan imprescindibles para la obtención de los datos necesarios para la elaboración del mapa de riesgos. Una vez recopilados los datos, es especialmente importante saber analizarlos y disponer de las herramientas necesarias para extraer la información más relevante y delimitar el mapa de riesgos penales específicos de la empresa. En este sentido, es transcendental la decisión de qué instrumento metodológico utilizar, ya que la información que se obtenga puede variar considerablemente en función de los métodos seleccionados. La técnica metodológica tiene que ser válida y fiable para que se adecue a las características de la empresa, ya que, de lo contrario, supondrá no detectar posibles riesgos y dará lugar a la elaboración de un PPD inadecuado y, por ende, inefectivo. Además del mapa de riesgos, otro aspecto que ha de contener el programa son las medidas de detección y prevención del delito, es decir, una vez que se conozcan los delitos susceptibles de ser cometidos en una determinada empresa e identificadas en qué actividades concretas pueden ocurrir, es necesario implantar un modelo preventivo eficaz. En este sentido, es necesario el conocimiento de las políticas en materia de prevención de delitos que aporta la investigación criminológica, puesto que orientan sobre los tipos de prevención más adecuados para cada empresa en función de sus propios riesgos y necesidades.   Criminología Corporativa. Es un concepto acuñado por José Luis Prieto en 2009 y se define como la especialización que tiene como objetivo gestionar la seguridad integral de las organizaciones y sus integrantes a través de la identificación, medición, control y prevención de los eventos delictivos o nocivos que tiene lugar en el contexto socio-laboral. La participación del criminólogo en empresas y organizaciones consiste en integrar las teorías explicativas del comportamiento antisocial y delictivo, con el riesgo y la gestión de la seguridad organizacional; para asegurar la continuidad del negocio, detectar amenazas, mitigar daños y prevenir Pérdidas. Prevención de Pérdidas. El criminólogo corporativo que se especializa en esta área se encarga de examinar todas las condiciones que pueden producir pérdidas, desarrollar estrategias para minimizar los riesgos dentro de la empresa, e implementar planes que sean prácticos y consistentes con los objetivos del negocio. Prevención de Pérdidas es el proceso de identificación de vulnerabilidades de una empresa, considerando éstas, desde la integridad de sus empleados y/o clientes, sus procesos de negocios, hasta las condiciones físicas y entorno de sus instalaciones, para pasar a determinar los riesgos que pueden impactarlas y, entonces determinar el impacto de cada riesgo así como la evaluación de la pérdida. Los criminólogos que se dedican a este sector contribuyen en desarrollar e implementar procedimientos para reducir al mínimo la pérdida de la mercancía, el dinero o activos de la empresa tanto como sea posible. El diseño de los planes se enfoca en mantener un servicio de excelencia al cliente y proveer la máxima seguridad de los empleados, pero además aunque suene contradictorio, evitar perdidas causadas por mismos clientes y empleados. Seguridad Corporativa. Toda compañía, sea pequeña, mediana o grande, cuenta con una serie de medidas y recursos para evitar incidentes (intencionados o accidentales). Pero esta protección, además de mitigar los riesgos, ha de ser eficiente en costes y proporcional a las características de la empresa. Por ello, algunas compañías cuentan con un área de seguridad según sus necesidades: Departamentos de Seguridad Corporativa, informática, patrimonial, perimetral, Etc. Esta actividad incluye pero no se limita a los sistemas de control de accesos, iluminación, diseño de espacios preventivos (aplicando CPTED), sistemas de alarma y monitoreo, video vigilancia y respuesta a incidentes. Investigaciones. Detectar de forma temprana al culpable de un delito es la mejor forma de evitar que se extienda la percepción de impunidad y de existencia de oportunidades claras de robo en la empresa. En esta actividad, el criminólogo es el profesional responsable de conducir la integración, detección, comprobación y resolución exitosa de situaciones relativas a la falta de honradez de clientes, empleados o proveedores. Por ejemplo: Prevención de Conductas y factores de Riesgo. Consiste en la evaluación de los riesgos, la adaptación persona-puesto, la sustitución de lo peligroso, anteponer la protección colectiva a la individual, dar las debidas instrucciones a los trabajadores, considerar las capacidades profesionales, prever las distracciones o imprudencias no temerarias, algunos ejemplos son: Acoso en sus diferentes manifestaciones (sexual, laboral), accidentes, abuso de sustancias, violencia, etc. Diseño de Políticas estándares y planes específicos de Seguridad. Las políticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización, también describen cómo se debe tratar un determinado problema o situación.       Riesgos vinculados a la corrupción (pública y entre particulares). Estándares internacionales. En 1977 fue aprobada una Ley en los Estados Unidos de América llamada Ley de Prácticas de Corrupción en el Extranjero (“Foreign Corrupt Practices Act” o “FCPA” por sus siglas en inglés). La FCPA ha adquirido en los años recientes una importancia que probablemente pocos imaginaban en aquél momento. De manera general, la FCPA establece obligaciones relacionadas con el pago de sobornos y obligaciones contables. Uno de los aspectos particulares de esta Ley es que se trata de una regulación de Derecho Público que, sin embargo, tiene un claro alcance extraterritorial. La Ley de Prácticas Corruptas en el Extranjero de EE.UU. (FCPA) establece que es ilegal que las personas y compañías en EE.UU. paguen sobornos a los funcionarios de gobierno extranjeros (fuera de EE.UU.), con la finalidad de obtener y retener oportunidades de negocio o para obtener cualquier ventaja indebida. Esta ley prohíbe los sobornos directos e indirectos por medio de intermediarios. También requiere que las compañías de EE.UU y fuera de este país que cotizan en los EE.UU. (emisores) cumplan con las disposiciones contables. Dichas disposiciones, las cuales fueron diseñadas para operar conjuntamente con las disposiciones anti soborno de la FCPA, requieren que los emisores lleven sus libros y tengan registros detallados que reflejen las transacciones de la empresa de manera precisa y razonable, y que elaboren y mantengan un sistema adecuado de controles contables internos. En la práctica, las disposiciones contables se han interpretado de manera amplia para incluir la contabilidad o los registros contables falsos para cualquier acto ilícito, incluyendo los sobornos comerciales que se pagan tanto dentro como fuera de los EE.UU. Las compañías que violan esta ley pagando sobornos están sujetas a acciones penales y civiles, que pueden resultar en multas, suspensión y exclusión de contratos de procura con el gobierno, mientras que los empleados y directores pueden estar sujetos a sentencias de prisión. La UK Bribery Act (en adelante “UKBA”) aprobada en Abril de 2010, y en vigencia desde Junio del año 2011, es una ley dictada por el Parlamento del Reino Unido que pretende robustecer la normativa antisoborno. En efecto, ha sido calificada como la más dura, a nivel mundial, de las legislaciones comparadas en este tema: establece penas privativas de libertad de hasta 10 años y su aplicación es casi universal: solamente es necesario que se constate la situación de hecho sancionada por la UKBA por un individuo u organización que esté de algún modo relacionado con el Reino Unido. Al respecto, cabe desde ya destacar que el artículo 12 de la UKBA determina la jurisdicción sobre las contravenciones de los artículos 1, 2 y 6 cometidas dentro del Reino Unido (artículos que establecen los delitos de soborno y cohecho a un funcionario público extranjero, respectivamente), pero extiende su jurisdicción a las contravenciones cometidas fuera de él, cuando son ejecutadas por personas de nacionalidad británica o que residan en el Reino Unido. A su vez es sumamente relevante tener presente que el artículo 7, relativo a la responsabilidad corporativa, no establece estas limitaciones a su alcance: el artículo 12 N° 5 prescribe que al respecto no importa si estos actos de cohecho han sido cometidos dentro o fuera del Reino Unido, sólo requiere que la organización responsable realice toda o parte de su actividad comercial dentro del Reino Unido. La Ley Antisoborno del Reino Unido prohíbe cuatro tipos de actividades diferentes: •             Sobornar a otra persona. •             Aceptar un soborno. •             Sobornar a funcionarios públicos extranjeros (fuera del Reino Unido). •             Ser una empresa comercial y no contar con procedimientos adecuados para evitar sobornos. A diferencia de la FCPA, la Ley Antisoborno del Reino Unido no tiene excepciones por pagos de facilitación – pequeñas "dádivas"- hechos a los funcionarios del gobierno y no tiene prohibiciones de "libros y registros". Aparentemente, esta ley tiene un nexo jurisdiccional aún más amplio que la FCPA, ya que abarca cualquier acto cometido en cualquier parte del mundo por parte de una empresa comercial que tiene negocios en el Reino Unido. Además, prohíbe de manera explícita el soborno comercial. También responsabiliza directamente a una compañía que no cuenta con un programa antisoborno eficaz para evitar el acto del soborno. La ley Antisoborno del Reino Unido va más allá de la FCPA, ya que, bajo las leyes de EE.UU., y según el concepto de respondeat superior, la compañía es responsable de los actos cometidos por un empleado en su representación, sin importar si cuenta o no con un programa de cumplimiento anticorrupción eficaz. Sin embargo, esta disposición enfatiza la importancia de contar con tal programa. Bajo la Ley Antisoborno del Reino Unido, el hecho de tener un programa de cumplimiento anticorrupción eficaz parece ser un mecanismo de defensa contra las acciones penales. En la FCPA, contar con dicho programa puede disminuir la gravedad de la multa o del castigo, bajo los Lineamientos Federales para Sentencias de EE.UU. En la Argentina existen normas jurídicas que abordan el problema de la corrupción. La mayoría de ellas consisten en la ratificación de la entrada en vigencia de convenciones internacionales que nuestro país ha suscrito. La primera de ellas fue la Ley 24.759, del año 1996, que aprueba la Convención Interamericana contra la Corrupción, cuatro años después, la ley 25.319 aprobó la Convención sobre la Lucha contra el Cohecho de Funcionarios Públicos Extranjeros en las Transacciones Comerciales Internacionales impulsada por la OCDE, y en el año 2006 se aprobó la ley 26.097 que aprueba la Convención de las Naciones Unidas contra la Corrupción. En el medio, la ley 25.188, vigente desde el año 1999, regula la Ética en el Ejercicio de la Función Pública, estableciendo, entre otras cosas, la obligatoriedad de la presentación de declaraciones juradas de ingresos para los funcionarios electos o no, y la ley 25.233 del año 2000, modificatoria de los ministerios, creó la Oficina Anticorrupción en el ámbito del Ministerio de Justicia y Derechos Humanos. Hoy existen, además de la Oficina Anticorrupción, otros organismos encargados de tareas vinculadas con la corrupción: la Sindicatura General de la Nación, la Auditoría General de la Nación y la Fiscalía de Investigaciones Administrativas. Las tres desarrollan sus tareas en el ámbito de la Administración Nacional, estableciendo normas, controlándolas y realizando investigaciones de corrupción e irregularidades respectivamente. Se debe tener en cuenta que a la hora de definir la efectividad de un programa de cumplimiento habrá que considerar si la conducta delictiva es una reiteración de la misma empresa, lo que implicaría que ésta no actualizó adecuadamente los procedimientos internos adoptados, infringiendo uno de los criterios básicos de efectividad ya descritos. La conducta anterior de la empresa sería especialmente relevante a la hora de determinar cómo se configura su ámbito de responsabilidad, que en gran medida vendrá dado por la previsibilidad de riesgos que puedan derivarse de su funcionamiento, por lo que se entiende que conductas que hayan ocurrido con anterioridad tendrán un tratamiento diverso en esta sede de constatación de previsibilidad.   Peculiaridades en materia de la FCPA.   La Ley de Prácticas Corruptas en el Extranjero FCPA, un cuerpo normativo de carácter Federal que prohíbe expresamente a individuos o personas jurídicas -de nacionalidad estadounidense- el pago de sobornos y prácticas corruptas a funcionarios de gobierno, autoridades Estatales y figuras políticas en países extranjeros. La ley FCPA establece dos disposiciones principales: 1. Prohibición de soborno: Las disposiciones anti-soborno prohíben que un asunto doméstico (una persona o entidad corporativa de los Estados Unidos) realice pagos corruptos o promesas de pago a oficiales extranjeros con el fin de obtener o retener negocios. 2. Disposición de “libros y registros contables”: exige que las personas jurídicas norteamericanas con actividades comerciales fuera de Estados Unidos lleven libros y registros precisos y un sistema de control contable interno. El Departamento de Justicia es responsable de la supervisión penal de estas disposiciones, mientras que la Comisión de Bolsa y Valores (SEC) es responsable de la observancia civil. La ley FCPA ha sido destinada para evitar y disuadir a individuos y empresas de cometer actos de corrupción, ergo, el catálogo de penas que ostenta es severo. Las sanciones son aplicadas bajo regímenes distintos dependiendo del sujeto sobre el cual recaigan las consecuencias pecuniarias. Para individuos, las sanciones civiles serán de hasta $100,000 dólares, las multas penales de hasta $5 millones y/o hasta 20 años de privación de libertad. Para las entidades –entiéndase personas jurídicas-, las sanciones civiles serán de hasta $25 millones de dólares30, 5 millones para las personas naturales, y/o la devolución de las ganancias ilegitimas.   Elaboración de mapas de riesgos.   La organización debería identificar los riesgos de compliance relacionando sus obligaciones de compliance con sus actividades, productos, servicios y aspectos relevantes de sus operaciones, con objeto de identificar situaciones en las que pueden ocurrir incumplimientos de compliance. La organización debería identificar las causas y las consecuencias de los incumplimientos de compliance. La organización debería analizar los riesgos de compliance considerando las causas y las fuentes de los incumplimientos de compliance y la gravedad de sus consecuencias, así como la probabilidad de que ocurran los incumplimientos de compliance y las consecuencias asociadas. Las consecuencias pueden incluir, por ejemplo, daño personal y ambiental, pérdidas económicas, daño reputacional y responsabilidades administrativas. Los riesgos de compliance deberían reevaluarse periódicamente y en todo caso cuando haya: •             actividades, productos o servicios nuevos o modificados; •             cambios en la estructura o en la estrategia de la organización; •             cambios externos significativos, tales como circunstancias económico-financieras, condiciones de mercado, pasivos y relaciones con los clientes; •             cambios en las obligaciones de compliance •             incumplimiento(s) de compliance. El Mapa de Riesgos es una herramienta dirigida a prever los riesgos a los que está expuesta la empresa mediante su identificación y segmentación. El Mapa puede centrarse en un tipo de riesgo y área de la compañía, o como es más habitual, ser transversal, cubriendo desde riesgos financieros (un aumento de la competencia que afecte negativamente nuestras ventas) a reputacionales (un uso inadecuado de los medios de comunicación de la empresa), pasando por los penales (insolvencias punibles). De cara a asignar recursos para prevenir y cuantificar los riesgos (y posibles delitos), estos se suelen clasificar según su:  Impacto económico. Probabilidad de que se materialicen, por ejemplo, podrían clasificarse como “probable”, “posible” y “remoto”. Área de la empresa. Variará según su naturaleza, pero podríamos pensar en producción, administración, legal e incluso órganos de la empresa tales como el órgano de administración y la junta general. Una vez identificado los riesgos, estos deberían ir acompañados tanto de medidas de prevención, como de medidas correctoras   Diseño de medidas para afrontar riesgos (posibilidades frente a la identificación de los mismos).   Par a mitigar riesgos en la empresa, se debe planificar una acción preventiva a partir de una evaluación de riesgos. Dicho proceso se compone de varias etapas: Análisis del riesgo: Mediante el cual: Se identificará el riesgo, por Departamentos. Se estima el riesgo valorando la probabilidad y la consecuencia de que se materialice el riesgo ( que se cometa un delito en el seno de la empresa) Valoración del riesgo: Se emite un juicio sobre la tolerabilidad del riesgo en cuestión. Si de la evaluación resulta que el riesgo es Importante o moderado, hay que controlar el riesgo, eliminándolo o reduciéndolo, mediante medidas de control. Pasemos a analizar las etapas en las que se desarrolla el proceso de evaluación de riesgos legales. Se hará una identificación de los riesgos por Departamentos. Hay que tener en cuenta que el legislador ha establecido de forma taxativa una lista de delitos que pueden ser cometidos por las personas jurídicas. Para valorar la probabilidad de que el riesgo se materialice se graduará con el siguiente criterio: Probabilidad alta: riesgos que se encuentran en el día a día de la empresa Probabilidad media: riesgos que existen de forma habitual Probabilidad bajo: riesgos que difícilmente aparecerán en la empresa Para valorar la consecuencia de que el riesgo se materialice, deberá considerarse las consecuencias jurídicas que para la empresa: Extremadamente dañino: delitos que podrían suponer la suspensión o disolución Dañino: reservado para el resto de delitos Ligeramente dañino: delitos que supondrían penas de contenido económico El cuadro que a continuación se expone supondría un ejemplo práctico para estudiar los niveles de riesgo: CONSECUENCIAS LIGERAMENTE DAÑINO DAÑINO EXTREMADAMENTE DAÑINO PROBABILIDAD PROBABILIDAD BAJA  Trivial Moderado Moderado PROBABILIDAD MEDIA  Moderado Moderado Importante PROBABILIDAD ALTA  Moderado Importante Importante  El resultado de los niveles de riesgo nos llevaría a establecer las medidas de prevención y control teniendo en cuenta los esfuerzos de la empresa para eliminar el riesgo o reducirlo y la urgencia en llevar a cabo tales medidas. Se muestra en la tabla siguiente:  RIESGO   MEDIDAS DE ACCIÓN Trivial No se requiere una acción específica más allá del cumplimiento del Código Ético de la empresa MODERADO Se deben considerar soluciones rentables que no supongan una carga económica importante IMPORTANTE Se deben hacer esfuerzos para reducir el riesgo, determinando los recursos financieros precisos. Las medidas para reducir el riesgo deben implantarse en un periodo determinado

El código de conducta. 1. Códigos de ética: contienen enunciados de valores y principios referidos al propósito de la corporación, a sus obligaciones y responsabilidades hacia los stakeholders y a las normas que deberán conformar el comportamiento de sus integrantes. 2. Códigos de conducta: constituyen enunciados de reglas expresadas de forma afirmativa o negativa acerca de aquello que pueden o no pueden hacer los integrantes de la corporación. Pueden fijar penalidades por incumplimiento y fijar los procedimientos para hacer cumplir las normas y apelar en caso de disenso o conflicto de intereses. Para diseñarlo es preciso seguir estos pasos: Se designa un comité de ética, con no más de siete personas y no menos de tres. Los integrantes deben ser de primer nivel y saber consensuar. Este equipo debe redactar el contenido del código para comunicarlo a la alta dirección. Se define qué hacer en casos que propicien conflictos de interés, cumplimiento de las leyes locales; así como establecer criterios de privacidad, confidencialidad, comunicación interna, ceses laborales y llamados de atención. El comité presenta el borrador preliminar para que la alta dirección lo revise y apruebe para su promulgación final. Esto simboliza una declaración pública acerca de aquello en lo que se está comprometiendo. Se define la vía para comunicar el conjunto de normativas del código. No hacerlo equivaldría en convertirlo en letra muerta. Se otorga credibilidad al código al estar vinculado a estímulos y sanciones que deberán cumplirse para que no pierda impacto y credibilidad. Se designa una comisión de honor, compuesta por empleados de reconocida trayectoria en la organización. Se capacita al talento y personal de la organización para que entiendan la importancia de asumir un código de ética, así como disponer de un comité de ética y considerar ampliamente al comité de honor. El Comité establece comunicación con todas las áreas de la organización. La realización de seminarios podría ayudar a permear en todos los niveles, al igual que los comunicados y boletines. Se implementan mecanismos de denuncia y certificaciones internas.   La formación del personal en valores.   Los valores son las creencias del individuo o del grupo acerca de lo que se considera importante en la vida, tanto en los aspectos éticos o morales como en los que no lo son. Dan el fundamento sobre el cual se formulan juicios y se realizan elecciones. Pueden derivarse del conocimiento, de consideraciones estéticas o de consideraciones morales. Se adquieren desde la más temprana edad, casi junto con el lenguaje y con los comportamientos de socialización, y se consolidan y amplían con la educación y el acceso a los medios culturales e informativos. Muchas veces permanecen implícitos y la persona no tiene claras sus prioridades valorativas. Debe enfatizarse el hecho de que los valores son el fundamento para un razonamiento moral sólido y la clave para la resolución de dilemas éticos. Así como los individuos adhieren a determinado conjunto de valores que deberían orientar su vida y sus acciones también lo hacen las instituciones y las organizaciones. Se han definido a los valores corporativos como “a corporation’s institutional standards of behavior”. Es importante intentar definir la forma en que se generan los valores corporativos. Y si los mismos serán el resultado de una decisión colectiva de los órganos de gobierno de la empresa o serán una consecuencia de la cultura organizacional vigente en la misma. A pesar de que en el presente es cosa común que las empresas exterioricen su “Misión, Visión y Valores”, en muchos casos los valores generados por la cultura organizacional permanecen implícitos, aunque en los hechos los mismos pueden resultar mucho más determinantes del comportamiento ético de una organización que aquello que pueda aparecer en los textos escritos. Y también es importante la presencia de un líder ético. A pesar de la eventual presencia de textos escritos, de videos alusivos a la ética e integridad de la corporación, el real comportamiento de sus integrantes puede ciertamente diferir de lo que marcan tales textos o imágenes25. En un estudio se comprobó que varias empresas habían externalizado distintos valores y diferentes palabras para describir lo que se consideraba un comportamiento ideal de liderazgo. Pero todas esas diferencias en textos escritos no se traducían en absoluto en diferencias en el comportamiento de los líderes. La conclusión respecto del éxito o del fracaso en el desempeño de las empresas radica siempre en las personas y nunca en las palabras. Los valores corporativos son los siguientes: Satisfacción al cliente.  Implica tomar un enfoque proactivo hacia las necesidades y deseos del cliente, tratando de cumplir con sus expectativas. Integridad. Adherir a principios éticos y morales. Ser honestos y libres de influencias corruptas. Accountability. Ser responsable hacia alguien por alguna actividad y responder por sus resultados. Respeto por otros. Miramiento, consideración y deferencia hacia terceros. Ser educado y tolerante de las diferencias, con especial consideración a la dignidad, privacidad y libertad de otros. Comunicación abierta. Significa que cualquiera en igualdad de condiciones puede tener acceso y compartir los recursos de comunicación en la empresa, facilitando las relaciones interpersonales. Rentabilidad. Generar beneficios monetarios en la organización. Trabajo en equipo. Esfuerzo cooperativo y coordinado por parte de un grupo de personas que operan en conjunto como un equipo para alcanzar un objetivo común. Innovación/cambio. Introducción de nuevas cosas, productos o métodos. Transformar o modificar productos, procesos o métodos. Aprendizaje continuo. Proveer oportunidades de aprendizaje de conocimientos y habilidades para todas las edades, focalizado menos en el conocimiento y más en la forma de aprender. Proveer una estructura ágil para facilitar la adaptación a los cambios rápidos originados en la aceleración del progreso científico y tecnológico y también como respuesta a los cambios de roles y situación que se habrán de encontrar en el curso de la vida laboral. Medio de trabajo positivo. Ambiente laboral agradable con buenas relaciones interpersonales con estímulos positivos y reconocimiento del mérito en el desarrollo de las respectivas carreras laborales. Diversidad. Medio laboral no discriminatorio inclusivo de todas las minorías y géneros. Servicio comunitario. Servicios prestados en forma voluntaria por individuos o por organizaciones en beneficios de la comunidad y/o de sus instituciones. Confianza. Expectativa positiva respecto de la integridad, fuerza, habilidad, seguridad de una persona o cosa. Obligación o responsabilidad impuesta sobre una persona a la cual se le concede autoridad para desempeñar ciertas funciones. Responsabilidad social. Búsqueda del éxito comercial de modo que se respeten los valores éticos, la gente, las comunidades y el medio ambiente. Obligación de una empresa de maximizar su impacto positivo y minimizar su impacto negativo sobre los stakeholders. Seguridad/protección. Libertad respecto de daños o riesgos en el lugar de trabajo. Adopción de las medidas pertinentes para asegurar que no se sufran lesiones o daño. Empowerment. Proceso por el cual se incrementa la capacidad y habilidades de individuos o grupos para mejorar sus procesos de elección y decisión y facilitar la transformación de tales elecciones en acciones y resultados. Satisfacción del empleado con el empleo. Conformidad del empleado con las condiciones en que se desarrollan sus actividades y con la actitud de los dirigentes hacia los empleados y las oportunidades que se les ofrece para su desarrollo de carrera. Diversión/entretenimiento. Organización de las actividades de modo que no se vuelvan rutinarias y constituyan una ocupación agradable para la mente, que relajen, estimulen, den placer y no produzcan stress. Equidad (justicia con imparcialidad). Medio caracterizado por la justicia y la imparcialidad donde se procede de acuerdo con los criterios de la ética y del juego limpio más allá de lo que establezcan las leyes y las normas escritas. Disposición de dar a cada uno lo que merece de acuerdo con los principios del justo comportamiento. Veracidad. Observancia habitual de la verdad en el discurso y en los enunciados escritos. Actuar de acuerdo con la verdad, los hechos y la realidad con fidelidad, lealtad y sinceridad. Se establece que las personas, a lo largo de su vida, modifican gradualmente su razonamiento moral y, conforme lo hacen, moldean su manera de pensar hacia una forma más autónoma, la cual adquiere su máxima expresión cuando dicho perfil de pensamiento alcanza los niveles superiores, en los que las decisiones y acciones tomadas se acercan e, incluso, se identifican con la decisión/acción moralmente correcta. Sin embargo, pese a ser un proceso, no todos los individuos pueden llegar a ocupar tales estadios de desarrollo moral. Más bien, la gran mayoría de las personas no alcanzan tales niveles en su razonamiento moral y, éstas, con total seguridad, requieren de la aprobación de un grupo más amplio de personas que tomarán como referentes: familia, amigos, líderes espirituales y compañeros de trabajo, entre otros. Así, los factores organizacionales pueden desempeñar un papel importante en el comportamiento ético en dos cuestiones: el establecimiento de la intención moral y la participación en la conducta moral. En este sentido, las personas que conforman los entornos organizacionales son altamente influyentes respecto a la intención ética del empleado, en especial, aquellas personas que poseen cierto poder y autoridad en la empresa. Podemos, por tanto, inferir que la Alta Dirección tiene un poderoso poder de afectación sobre el grado de moralidad conductual que se sucede en la empresa la Alta Dirección para influir en el comportamiento ético/no ético del empleado. Puede suceder que, aún cuando la Alta Dirección sí tenga una dimensión moralmente buena, debido a la distancia existente entre ambos, ésta no sea percibida por el resto de miembros organizacionales. De esta forma, esta persona, moralmente buena en realidad y con comportamiento consecuente, es muy probable que sea considerada como amoral o éticamente neutral. Por tanto, no es suficiente con ser una persona moralmente buena, sino que se ha de transmitir dicha buena moralidad y la importancia de la misma a todos los niveles de la organización y esto se consigue mediante el desarrollo de la figura de directivo moralmente bueno, pilar básico sobre el que se sustenta un líder ético. De ahí la necesidad de trabajar los valores de las personas y alinearlos con las expectativas de cada organización, sin dar por hecho que se traen desde casa y que son todos iguales. Sin embargo, la formación en el ámbito del Compliance tiene también un objetivo que trasciende lo comentado hasta ahora: es un factor clave para que cada persona de la organización conozca las obligaciones de cumplimiento que le son propias. Es decir, constituye una herramienta esencial para adquirir conciencia de que las obligaciones de Compliance son inherentes a la actividad que cada individuo desarrolla y, por ello, tienen una dimensión personal inevitable. El hecho de que exista una función de Compliance no supone una traslación de esas responsabilidades individuales hacia un equipo de especialistas, sino tan solo que ciertas personas, por su perfil profesional y experiencia, prestan soporte a los propietarios reales de los riesgos de incumplimiento. Un error conceptual frecuente sobre Compliance, es pensar que dicha función asume los cometidos de cumplimiento que en verdad afectan a cada una de las personas de la organización, circunstancia que es materialmente imposible y, por lo tanto, también in-gestionable.   Canales de denuncia (interna y externa).   Entre todas las medidas de carácter legal, técnico y organizativo que deben adoptar las empresas en la elaboración de un programa de “Compliance” se encuentra la creación de un Canal de Denuncia o Línea Whistleblowing, que permite la comunicación de posibles incumplimientos de las normas internas de la empresa y/o de las normas legales que deben obedecer. Estos sistemas permitirán a las empresas implantar las pertinentes medidas de investigación y sancionar todos aquellos hechos punibles que se detecten. Una línea de denuncias / línea ética es un canal de comunicación, anónimo y confidencial, disponible para los miembros de una organización y terceros relacionados (empleados, clientes, proveedores, etc.) para reportar fraudes, irregularidades y cualquier otra situación que viole el código de ética de la organización y afecte sus buenas prácticas y clima laboral. La línea Whistleblowing (Golpe de silbato, dar una alerta). En un contexto empresarial significa revelar una irregularidad. La persona que lo realiza es un alertador. “Revelación por parte de miembros (antiguos o actuales) de la organización, de prácticas ilegales, inmorales o ilegítimas bajo el control de sus empleadores” (Miceli, M.; Near, J., 1992). Desde 1989 ya existe la Whistleblower Protection Act, SOX es una ley que se centra en la calidad de la información financiera, obligando a sujetarse a las cotizadas a mayores niveles de control interno, siguiendo las disposiciones COSO, la creación de la Public Company Accounting Oversight Board (Comisión encargada de supervisar las auditorías de las compañías que cotizan en bolsa), y la regulación de Whistleblowing, con fuertes provisiones antirepresalias (retaliation). Este tipo de herramientas reducen la sensación de impunidad que a veces se percibe en algunas empresas,  derivada de la imposibilidad de poner en evidencia conductas no éticas de alguno de sus miembros. La diferencia entre la Línea de Denuncias – Línea Whistleblowing, es que la primera apunta a recibir denuncias de empleados, directivos, socios, clientes y stakeholders. Mientras que la segunda busca recibir denuncias de miembros de la empresa que informen comportamientos, acciones o hechos que puedan constituir violaciones tanto de las normas internas de una compañía como de las leyes, normativas o códigos éticos que rigen la actividad de dicha entidad, de ahí la mayor protección legal que tienen los denunciantes.   Diseño de sistema de control interno. Especial énfasis en control del gasto y utilización de recursos financieros. El control interno es un proceso efectuado por el Directorio, la Gerencia y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: - Eficacia y eficiencia de las operaciones. - Fiabilidad de la información financiera. - Cumplimiento de las leyes y normas aplicables. El control interno son acciones de control incorporadas a las funciones de la organización, dentro de cada ciclo operativo del ente, que permite controlar para el logro de los objetivos. El control interno lo lleva a cabo el Directorio, la Gerencia y los demás miembros de la entidad. Son las personas quienes establecen los objetivos de la entidad e implementan los mecanismos de control. Por lo tanto, debe haber un vínculo estrecho entre las funciones de cada individuo, la forma de ejecución, con los objetivos de la entidad. El control interno por muy bien diseñado que esté, solamente puede aportar un grado razonable de seguridad a la empresa. Las cosas que lo afectan son: - Las decisiones pueden ser erróneas. - Relación costos beneficios. - Fallas humanas por errores o equivocaciones. - El control interno puede equivocarse cuando dos o más personas se lo proponen. - La alta dirección puede eludir el control interno si lo estima oportuno.   Los objetivos pueden ser generales o específicos. Por lo general toda entidad tiene como objetivos: Operacionales: Referente a la utilización eficaz y eficiente de los recursos de la entidad. Información financiera: Referente a la preparación y publicación de estados financieros fiables. Cumplimiento: Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables.   El control interno consta de cinco componentes que se relacionan entre sí y son necesarios para cumplir con los objetivos. - Entorno de control. - Evaluación de los riesgos. - Actividades de control. - Información y comunicación. - Supervisión.   La eficacia es la razonabilidad del cumplimiento de los objetivos. El control interno puede considerarse eficaz cuando: - Dispone de información adecuada sobre hasta qué punto se están logrando los objetivos operacionales de la entidad. - Se preparan en forma fiable los estados financieros. - Se cumplen las leyes y normas aplicables.   Estas características dan ventajas y desventajas y depende de la estructuración de los controles para que aporten al cumplimiento requerido. Principales temas que requiere atención el control interno: - El ambiente de control es muy importante y fija el tono del control interno en una compañía. - En la determinación de qué controles son necesarios, una compañía debe considerar los riesgos existentes y luego identificar los controles requeridos para mitigar tales riesgos, en lugar de focalizarse solamente en los controles específicos. El foco debe estar puesto sobre los controles que mitigan los riesgos relacionados con los estados financieros. - Las actividades de control requieren un mínimo nivel de formalización. Ello es necesario a fin de que todos comprendan sus responsabilidades, cómo los controles operan y la importancia del proceso de control. - La tecnología de la información puede ser el facilitador de un control interno eficaz. A pesar de que la tecnología de la información generalmente ha sido mencionada como una fuente de riesgo de control. - La supervisión de la eficacia del control interno puede darse de muy diferentes maneras que abarcan el monitoreo sobre la marcha, incluyendo el monitoreo efectuado por ejecutivos que tienen un conocimiento directo y explícito de las actividades del negocio. Esos controles generalmente son llevados a cabo por la gerencia en las compañías pequeñas. - Los empleados pueden y deben comprender los objetivos relacionados con la información financiera, los riesgos y su responsabilidad personal por el control.

El estatuto del oficial de cumplimiento. La obligatoriedad de las funciones de «Compliance» no sólo abarcará el desarrollo de políticas concretas sobre el cumplimiento de conductas morales y éticas implementadas por la empresa, sino que, de manera especial y adicional, abarcará todas aquellas obligaciones de naturaleza legal que impliquen un riesgo para aquella, que haya que prevenir o evitar, y en su caso, una vez producido, solventar. Su labor será gestionar riesgos legales, y consecuentemente será el responsable de las labores de información e investigación de todo hecho relacionado con el cumplimiento de las normas de la empresa. Por tanto, ya sea de oficio o como consecuencia de una denuncia en el buzón de ético o denuncias (que hace referencia al término anglosajón «Whistleblowing»), el «Compliance Officer» deberá iniciar las diligencias de verificación y comprobación de los incumplimientos detectados o denunciados. Es precisamente en este marco donde surge la figura del Oficial de Cumplimiento, o —ya que intentamos reproducir los sistemas jurídicos anglosajones—: el «Compliance Officer». Por ello, el «Compliance Officer» deberá participar en la elaboración de los modelos de organización y gestión de riesgos, y asegurar su buen funcionamiento, estableciendo sistemas apropiados de auditoría, vigilancia y control en el ámbito de la empresa o persona jurídica en la cual desempeñe su función. La atribución de estas funciones profesionales ha provocado la proliferación de la existencia de «Compliance Officer», como la persona o el profesional responsable de la supervisión y gestión de cuestiones relacionadas con el cumplimiento. Generalmente, entre sus funciones se encuentran las de diseñar y aplicar controles, normativas y procedimientos internos que permitan garantizar el cumplimiento de la legislación y normativa aplicables, gestionar las auditorías e investigaciones sobre cumplimiento y normativas o responder a las solicitudes de información de los organismos reguladores. Además, esta figura puede supervisar el cumplimiento de los códigos de conducta voluntarios de las compañías. Debe tenerse presente que, en el ejercicio de su función profesional, el «Compliance Officer» siempre deberá contar, con los recursos —humanos, económicos, y otra índole—suficientespara el adecuado ejercicio de su función, y para que su labor sea realmente eficaz y efectiva en el seno de cualquier empresa o persona jurídica. En dicho precepto se determinan, igualmente, los principios rectores y los valores superiores que deben informar la profesión y el ejercicio de la función de «Compliance Officer», que no son otros que aquellos criterios significados por las pautas de la confidencialidad, la libertad, la autonomía, la dignidad y la integridad, en el ejercicio de sus funciones, valores estos, que se consideran irrenunciables en el ejercicio de su función. En esta nueva versión regulatoria de la profesión, se pretende potenciar la responsabilidad individual y personal del «Compliance Officer», de modo que la misma no quede diluida entre sociedades profesionales, u otra forma de ejercicio colectivo de la profesión, debiéndose tener en consideración, que siempre ha de ser un «Compliance Officer» quien asuma la responsabilidad de las decisiones, que en el ámbito de su actuación se tomen en cualquier persona jurídica, con independencia del modo de actuación o de organización con que el mismo se prevalga para el desarrollo de su función.   Requisitos organizativos. Las principales competencias de un compliance officer: Analizar riesgos: evaluar la actividad de la compañía y determinar los posibles peligros a los que se expone la misma en cuanto a infracciones y sanciones. Este primer paso es fundamental para desarrollar una estructura de supervisión y control para prevenir cualquier anomalía que impida el correcto desarrollo de la actividad empresarial. Control interno contingencias: seguimiento continuo de las acciones llevadas a cabo dentro de la empresa u organización y ejecutar un control rutinario sobre estas. El control cotidiano del trabajo realizado en las diferentes áreas o departamentos de la entidad resulta imprescindible para corregir a tiempo las posibles desviaciones o ejecuciones llevadas a cabo de manera anormal. Seguimiento de los controles y su eficacia: evaluación de los controles realizados y verificar su eficacia para garantizar el buen funcionamiento de la entidad y no incurrir en alguna posible irregularidad por parte de los empleados o directivos. Impartir formación a empleados: ofrecer charlas formativas, jornadas y cualquier tipo de información para que los miembros de la empresa conozcan y estén al tanto de los ‘errores’ que pueden cometer, qué deben hacer para evitarlos y, en todo caso, qué canales deben emplear para denunciarlos. Denuncia de infracciones y sanciones: delatar las posibles irregularidades que realicen los empleados y establecer un sistema de sanciones para mitigar las posibles reincidencias por parte de estos. Establecer canales de denuncia (whistle-blowing) para alertar las eventuales contigencias que se produzcan en el ámbito laboral.     Responsabilidad penal del oficial de cumplimiento. El oficial de cumplimiento podrá responder a título de autor por el delito ajeno que no ha impedido si tenía al respecto una posición de garantía y si su actitud subjetiva se corresponde con la exigida por el correspondiente delito: si omitió dolosamente si el delito es de exclusiva comisión dolosa; si su omisión fue descuidada en el supuesto de que se sancione la comisión imprudente. Para ostentar tal posición de garantía será necesario que se trate de un delegado de la empresa en relación con un deber de garantía de la empresa. Si el oficial no es garante, porque no lo sea la empresa en relación con el delito de que se trate o porque no sea un delegado de la misma, nuestro oficial podrá aún responder penalmente a título de partícipe por un delito de empresa si la infracción de sus deberes – de no garantía - facilitó la comisión de tal delito. La responsabilidad penal del oficial de cumplimiento puede ser: A título de autor. Si tal fuera el diseño de las funciones del oficial de cumplimiento, lo que nos preguntamos ahora es si su incumplimiento puede significar una contribución al delito de otro y ser castigada como tal, y, ya antes, si alguna de ellas puede ser considerada como una función de garantía que pudiera deparar una responsabilidad a título de autor. En relación con esto último viene a colación, en primer lugar, la función de supervisión. Recuérdese que cuando un garante primario (el empresario) delega un deber de garantía en uno secundario - que pasa a ser un nuevo garante -, no desaparece el deber del primero, sino que ve transformado su contenido. A título de partícipe. Hacía referencia anteriormente al diseño cauto que usualmente se está haciendo de las funciones del oficial de cumplimiento, ciñéndolas al asesoramiento en materia de riesgos o al impulso del mismo a través de la realización de mapas de riesgos penales – por ejemplo, por la auditoría interna de la empresa -, a la supervisión de los titulares de deberes secundarios de garantía, o al desarrollo del procedimiento sancionador de las irregularidades, recibiendo o canalizando las denuncias e investigándolas o promoviendo su investigación. Mientras que, como se ha señalado, las funciones delegadas del oficial consistentes en la supervisión o en la detección de riesgos pueden constituir funciones de garantía, las funciones de detección e investigación de delitos no lo son de garantía. Su incumplimiento sólo puede tener un significado contributivo al delito de otro, que para que sea penado requiere su carácter previo a la consumación de tal delito46 y la conciencia de tal contribución. Esto sucederá significativamente cuando el oficial de cumplimiento investido para tales tareas decida no investigar un delito que se está cometiendo o que se va a cometer y del que tiene conocimiento a través de una denuncia, de una investigación interna rutinaria o de su percepción personal.

Investigaciones internas corporativas. Las investigaciones internas son un componente fundamental para el mantenimiento de un sistema general de cumplimiento de la legalidad y para garantizar su verdadero seguimiento. Ellas no sólo permiten disuadir a futuros transgresores de incurrir en conductas ilícitas, sino que también ayudan a detectar falencias en la organización empresarial y en el “compliance management”. Así, para garantizar el buen funcionamiento de este “compliance management” es debido realizar investigaciones internas. Sin embargo, no resulta nada sencillo encontrar en la legislación alemana, estadounidense y española un deber legal que obligue a las empresas a someterse a un proceso de auto-limpieza. En los EE.UU., donde de las actuales tendencias solamente puede inferirse un deber de control y de adopción de medidas preventivas. Sin embargo, como se expuso más arriba las indagaciones empresariales no pueden ser asimiladas a las de control en sentido estricto. En definitiva, es posible concluir que tampoco en los EE.UU. existe un deber legal directo de realizar investigaciones internas. Pese a ello, el sistema americano se ha diseñado de tal manera que las empresas que ponen en marcha procesos de auto-limpieza cuentan con incentivos tan importantes –rebaja de la pena o levantamiento de la acusación– que en el fondo las empresas están fácticamente compelidas a investigar. Los marcos de referencia modernos en materia de Compliance adoptan enfoques híbridos, apostando por una mezcla aquilatada de elementos de vigilancia, control y disciplinarios, junto con medidas destinadas a mejorar la integridad de las personas, tales como la formación y la sensibilización. Los estudiosos condicionados por la aproximación tradicional de Compliance verán en estos últimos una suerte de “controles preventivos”, cuando realmente son medidas orientadas a reducir la necesidad de controlar a las personas gracias a la mejora de su integridad. Un proveedor o subcontratista puede aparentar e incluso ser técnicamente adecuado, pero no observar conductas alineadas con los objetivos de cumplimiento de la organización. Por ello, los parámetros técnicos para su selección no son necesariamente apropiados desde la perspectiva de Compliance. Los marcos de referencia en materia de cumplimento no abogan por generar procedimientos de validación adicionales, sino utilizar los existentes para incardinar en ellos los elementos de juicio apropiados. Cada vez es más frecuente que las empresas dispongan de un mapa de riesgos, ilustrando aquellos que las amenazan, contribuyendo así a fijar medidas para evitarlos, trasladarlos, compartirlos, mitigarlos o gestionarlos. Puesto que son mapas generales, también deberían figurar en ellos los riesgos asociados al incumplimiento de las normas o los estándares éticos que afectan a la organización. Puesto que los hechos denunciados pueden abocar a la adopción de medidas legales contra ciertas personas, es claro que éstas utilizarán todos los argumentos a su alcance para desautorizar el proceso de investigación y cuestionar la legalidad de las evidencias obtenidas en su desarrollo. Cuando no existe un procedimiento para canalizar las denuncias y articular su investigación, se puede argumentar la arbitrariedad y subjetividad de quienes lo han ordenado y/o ejecutado. La actividad del responsable de Compliance se focaliza en el conocimiento del acervo empresarial (entendido este como base común de derechos y obligaciones nacidos de los principios ético-sociales y objetivos de la empresa); de las normas existentes en aplicación de dichos principios y objetivos; de las declaraciones y resoluciones adoptadas en el marco del interés social y de los actos en materia de Política empresarial, a diferencia del Asesor no tanto por su capacidad consultiva, como por su capacidad de influencia en el órgano de administración e interesados, para obtener el resultado, y mayormente caracterizado por su independencia tanto en la apariencia como en realidad. El responsable del cumplimiento debe incardinarse, en la estructura corporativa, junto al órgano de dirección, con plena actuación autónoma, y el mismo nivel que aquéllos que forman parte del control interno, con quienes se correlacionará interactivamente, pues utiliza una mismo lenguaje y mismas herramientas de gestión; y unido al hecho de que como responsable del aseguramiento de que los valores de una organización es siempre parte del proceso de pensamiento y del proceso de toma de decisiones corporativas, tendremos argumentos suficientes para justificar la citada ubicación en el cuadro corporativo. La empresa la obligación de actuar con diligencia debida y establecer medidas de vigilancia y control, implantando un modelo de prevención de riesgos penales. El control con anterioridad a la existencia del delito podrá́ suponer exención penal.

Aspectos centrales de la prevención del fraude interno. Hablar de corrupción o fraude nos remite necesariamente a conceptos reñidos con lo lícito, lo recto o lo legal y como consecuencia de ello, a la búsqueda de mecanismos eficaces de control y combate contra dichos fenómenos. Es frecuente, aunque no necesariamente correcto, que se asocie a la corrupción con el sector público y al fraude con el sector privado, sin embargo, consideramos que ambos fenómenos constituyen manifestaciones independientes que en algunos casos pueden presentarse de manera complementaria, sin que esto implique algún tipo de relación causa efecto. Existen distintas definiciones de fraude en los sectores privado y público y en las instituciones académicas. En el Black’s Law Dictionary el fraude se define como “una tergiversación consciente de la verdad o la ocultación de un hecho material para inducir a otros a actuar en perjuicio propio”. Análogamente, la ACFE define el fraude como “todo acto u omisión intencionados dirigidos a engañar a otros, como resultado de lo cual la víctima sufre una pérdida y/o el autor obtiene un beneficio”. La definición que se ofrece en las Normas Internacionales de Auditoría (ISAS) es la de “un acto intencionado realizado por una o más personas de la dirección, los responsables del gobierno de la entidad, los empleados o terceros, que conlleve la utilización del engaño con el fin de conseguir una ventaja injusta o ilegal”. El Grupo de Auditores Externos de las Naciones Unidas, los Organismos Especializados y el Organismo Internacional de Energía Atómica se refirió al término “fraude” en una guía de auditoría publicada en 1996 como “un acto intencionado cometido por uno o más miembros de la administración, empleados o terceros que tenga como consecuencia la presentación de información errónea en los estados financieros.”.

Seguridad informática y monitorización. La función de Compliance se ocupará de monitorizar el Programa de Compliance que debe operar, de modo que se mantenga adecuado para prevenir, detectar y gestionar el riesgo de incumplimiento de las obligaciones de Compliance sobre las que se proyecta. A los efectos de desarrollar una adecuada supervisión del Programa de Compliance, sus responsables y, en caso de concurrir, el máximo representante de la función de Compliance, fijarán y desarrollarán supervisiones periódicas, así como planes de visita in-situ que les permita constatar su efectiva aplicación en las localizaciones, funciones o unidades de negocio que se hallen dentro del perímetro de aplicación del Programa o Programas de Compliance. Entre las materias sujetas a revisión para garantizar una adecuada aplicación del Porgrama o Programa de Compliance figurarán: - El adecuado entendimiento de las obligaciones de Compliance por parte de las personas a las que afecten. - El adecuado cumplimiento de las políticas, procedimientos y controles establecidos por la organización para facilitar el cumplimiento de las obligaciones de Compliance, especialmente aquellas que vengan establecidas en el marco legal de aplicación. Dentro de sus cometidos de monitorización, la función de Compliance, prestará especial atención a que se comprendan y existan medidas organizativas razonables para el cumplimiento de las obligaciones de Compliance relacionadas con: - Los procesos de selección, contratación y mantenimiento de la relación contractual con empleados y terceros. - Los procesos relacionados con lo establecido en las normas y reglamentos de conducta. - Los procesos relacionados con la gestión de los conflictos de interés. - Los procesos relacionados las restricciones a operaciones con clientes, proveedores o socios de negocio en general - Los procesos relacionados con las restricciones o salvaguardas en operaciones con terceros y las operaciones vinculadas, incluyendo la de los socios, administradores y altos directivos con la sociedad o respecto de sus activos y propios títulos. - Los procesos relacionados con la creación y difusión de nuevos servicios y productos o reevaluación de los existentes, así como relacionados con la información o publicidad relativa a los mismos. - Los procesos relacionados con comunicaciones a las autoridades, incluyendo organismos reguladores, supervisores y otras instancias administrativas o judiciales.  La función de Compliance coordinará las acciones de supervisión y monitorización que desarrolle respecto del Programa de Compliance que debe operar, con las actividades de supervisión y monitorización que estén llevando a cabo otras áreas o Programas de Compliance o incluso de las que desarrollen otras áreas de control o supervisión de la organización no integradas dentro de la función de Compliance. Cuando la organización disponga de una superestructura de Compliance coordinando diferentes áreas o Programas de Compliance, corresponde a su máximo representante la coordinación de las actividades de supervisión y monitorización. En cuanto a la concurrencia de varios Programas de ComplianceLa función de Compliance incluirá las acciones desarrolladas y los resultados obtenidos de las actividades de monitorización, en los reportes operativos, memorias anuales o reportes urgentes, según proceda. La organización procurará establecer uno o varios canales a través de los cuales empleados y eventualmente terceros puedan realizar comunicaciones confidenciales relacionadas con el Código Ético, Código de conducta o norma de alto nivel equivalente. La función de Compliance intervendrá en la supervisión de la tramitación de reclamaciones o denuncias a través de los canales internos que tenga establecida la organización. Sus responsables [y, en caso de concurrir, el máximo representante de la función de Compliance estarán directamente involucrados en estos cometidos. La función de Compliance velará para que los canales internos de denuncia sean fácilmente accesibles, conocidos, confidenciales y garanticen los derechos de que sean titulares las personas cuyos datos sean tratados, garantizando la no adopción de represalias frente a comunicaciones realizadas de buena fe.