Para que un Programa de Compliance funcione y sea efectivo para la Compañía es necesario que se tenga la convicción de crear un Programa que sea abarcativo y no funcional. Con esto me refiero a que no sirve poner un parche a las posibles contingencias a las que se enfrenta la Compañía en la que trabajamos, sino que es necesario armar un programa integral y con el propósito de cuidar los intereses de la misma. En primer lugar, resulta necesario tener el correcto Tone at the Top. Si los líderes de la Compañía no están comprometidos a cumplir con el Programa que se desarrolle, el mismo al final del día será de imposible cumplimiento. Es necesario que los líderes alienten a sus equipos a cumplir, que premien a aquellos que cumplen y que se sancione a los que no. Sin un mensaje claro del Tone at the Top el programa que se desarrolle difícilmente perdure en el tiempo. ¿Simplemente porque si los líderes no motivan a cumplir, por qué habríamos de hacerlo? No podemos confiar en los buenos samaritanos. En segundo lugar, no existe un Programa de Compliance exitoso sin la correcta evaluación de riesgos. Es decir, si creemos que implementando únicamente un Programa de Anticorrupción estamos desarrollando un buen Programa de Compliance, claramente no estamos entendiendo que Compliance es mucho más que Anticorrupción. Es necesario que los expertos en las distintas materias con las que lidia la Compañía se sienten a evaluar cuáles son los riesgos que son necesarios cubrir y atacar. Es necesario entender a qué riesgos está expuesta la Compañía para luego armar un Programa que sea abarcativo y que determine de qué manera se mitigarán los riesgos detectados. Por supuesto que un buen Programa de Compliance debe contener temas de Anticorrupción, pero desde ya que ese no es el único riesgo. Ahora bien, no alcanzará con una correcta identificación de los riesgos si no evaluamos correctamente como mitigar dichos riesgos. Para ello, resulta necesario que construyamos un programa de entrenamiento y comunicación. No podemos pretender que los empleados comiencen a estar en Compliance si no les explicamos por qué resulta necesario cumplir con la normativa local e internacional. Si no les comunicamos cuáles son las consecuencias para la Compañía para el caso de no cumplir; si no les comunicamos cómo cumplir, que alertas mirar, que tener en cuenta a la hora de actuar, difícilmente logremos una correcta adhesión al Programa. Tampoco podemos pretender que los empleados de la Compañía conozcan y entiendan la importancia de estos riesgos si no los entrenamos, si no les explicamos los riesgos, si no les indicamos cómo deben actuar para estar en Compliance, si no les damos ejemplos, si no despejamos sus dudas; básicamente si no les enseñamos como se debe actuar para estar en Compliance. Y por supuesto que para el caso de un eventual requerimiento de la autoridad de aplicación siempre estaremos mejor parados si podemos demostrar que efectivamente la Compañía comunicó y entrenó a sus empleados.  Por otro lado, creo que es necesario que se evalúe de manera correcta si la Compañía cuenta con las políticas y procedimientos adecuados. Y con esto no me refiero a tener que sentarnos a escribir innumerables documentos, sino evaluar si tenemos los documentos correctos. ¿Tenemos documentos que establezcan los estándares correctos? ¿Que reflejen lo indicado en los entrenamientos? ¿simplemente tenemos documentos extensos e ilegibles para hacer un check de box? No resultará útil tener documentos que sean incomprensibles y que hagan de su lectura algo imposible, porque en definitiva no permitirá que la Compañía esté en cumplimiento si nadie lee o entiende dichas políticas y procedimientos.  Un punto muy importante dentro de todo Programa de Compliance es el monitoreo. Si como Compañía tenemos entrenamientos, comunicaciones, políticas, procedimientos, etc. pero no tenemos un programa de monitoreo que nos permita detectar y corregir errores ningún sentido tiene todo lo demás. Es necesario que monitoreemos el cumplimiento de los procedimientos establecidos, que detectemos posibles incumplimientos y que se trabaje en la corrección de errores. Por otro lado, el monitoreo no debiera ser únicamente correctivo sino que también debería ser preventivo. Es decir, que no debemos únicamente monitorear el Programa para detectar incumplimientos, por supuesto que es necesario, pero igualmente necesario es poder prevenir incumplimientos, poder detectar correcciones en las políticas, sistemas a implementar, entrenamientos faltantes, etc. Necesitamos como Compañía tener visibilidad de si estamos cumpliendo o no. Si no se tiene visibilidad seguramente no demos cumplimiento en su totalidad al Programa y parte de dicha visibilidad es también poder prevenir a tiempo y corregir. En todo Programa de Compliance debemos necesariamente dar la posibilidad a los empleados de que puedan denunciar los incumplimientos detectados. Es necesario que les demos las herramientas para indicar si “algo” no se está cumpliendo o si “alguien” no está cumpliendo. Y cuando menciono “herramientas” hablo de darles herramientas serias, es decir líneas de teléfono o e-mails a los que puedan denunciar de manera anónima el posible incumplimiento de un reporte, un par o un superior. Si sólo les damos la posibilidad de que denuncien un incumplimiento indicando su nombre, créanme que seguramente la mitad, o más, de los incumplimientos que tiene la Compañía no están siendo reportados. Y esto tiene una simple explicación, miedo a “represalias”. Un empleado tiene que saber que puede denunciar un incumplimiento detectado sin que eso afecte su trabajo y hacerlo de manera anónima es una gran garantía de ello. Por último, me gustaría destacar un punto muy importante que debe existir en todo Programa de Compliance, y este punto es el de la evaluación anual de riesgos. Es importante que un tercero nos evalué y nos indique si tenemos el Programa correcto, que nos indique si tenemos las políticas adecuadas, si estamos dando los entrenamientos necesarios, si estamos comunicando lo que se debe comunicar, si estamos monitoreando lo que corresponde. Y esto es importante que lo haga un tercero porque nosotros no podemos evaluarnos a nosotros mismos. Un tercero debe mirar a detalle nuestro Programa en forma anual, marcar nuestros errores, elaborar planes de acción adecuados, identificar nuevos riesgos, e indicarnos si estamos trabajando en un buen Programa de Compliance o no. Es importante entender que si se quiere dar seriedad a un Programa de Compliance estos puntos como mínimo deberían estar; si sólo estamos poniendo un parche a los efectos de cumplir con un objetivo global  o mostrarle a la autoridad que nos investiga que “algo” estamos haciendo, no estamos buscando estar en Compliance, estamos simplemente armando un área, invirtiendo tiempo, presupuesto y gente en un Programa que en un corto plazo seguramente fracasará y al final del día no estamos protegiendo los intereses de la Compañía. Cuando una compañía tiene claros los beneficios que se esperan con la implementación de su programa y están enfocados más en “ganar” que en “dejar de perder” el enfoque de los miembros de la empresa es totalmente distinto ¿Qué te gusta más? ¿luchar por dejar de perder o por ganar?. En este camino, hay varios estudios que ponen de manifiesto el valor tangible de una cultura de integridad en las organizaciones, hablemos entonces de algunos beneficios clave: 1. La disminución de conductas inapropiadas y riesgos. De acuerdo con un estudio que realizó Corporate Executive Board Company (CEB CELC) con miles de empleados en compañías de diferentes ramos y de alcance internacional, las empresas en las que los empleados viven una cultura de integridad más favorable son nueve veces menos propensas a observar una conducta inapropiada que los empleados que han respondido que viven una cultura de integridad menos favorable. La forma en la que miden este factor es directamente con la pregunta ¿ha observado en la empresa una conducta inapropiada en los últimos 12 meses? 2. Aumento del compromiso y rendimiento en los empleados De acuerdo con Corporate Executive Board, los gerentes que demuestran un comportamiento ético y basado en valores corporativos incrementan de un 9% a un 12% el compromiso y rendimiento de sus empleados, reduciendo al mismo tiempo un 78%, el número de empleados que observan conductas inapropiadas y un 69% el número de empleados que temen represalias. Piensen en un líder que los haya inspirado y que haya estado dispuestos a dar más allá de lo requerido, ¿era una persona ética? 3. Una buena reputación en una compañía eleva el apoyo público, las ventas, la motivación de los empleados y la resiliencia. De acuerdo con Reputation Institute, una reputación destacada incrementa 6.5% de las recomendaciones, 5% la inclinación a comprar y la hace 15 veces más propensa a atraer los mejores talentos. Reputation Institute identifica siete dimensiones en la reputación de una empresa: 1) productos y servicios; 2) innovación; 3) lugar de trabajo; 4) buen gobierno; 5) ciudadanía Corporativa; 6) liderazgo y 7) desempeño. La cultura de integridad y cumplimiento impacta en la práctica, la mayoría de estas dimensiones. 4. La atracción y retención de talento De acuerdo con Edelman Trust Barometer, el 17% de los candidatos para un trabajo busca ética como uno de los cinco atributos más importantes. El 61% de las personas encuestadas cree que las prácticas éticas son importantes para crear confianza, aunque sólo el 32% de los encuestados indicó que las organizaciones demuestran prácticas de ética. De acuerdo con Millenials at work un estudio realizado por PWC, la reputación de la organización es el segundo factor que influyó en que los candidatos aceptaran su actual trabajo y las empresas más exitosas en cuanto a atracción de talento millenial son innovadoras por naturaleza y nunca han pensado que “las cosas se deberían de hacer como siempre se hacen”. Estas compañías no buscan contratar específicamente a millenials, pero su estilo de cultura atrae a esta generación, por lo tanto, son capaces de escoger los mejores talentos jóvenes a su alrededor. 5. La mejora de resultados financieros a largo plazo De acuerdo con Corporate Executive Board, las compañías con una muy buena cultura de integridad, tienen retornos de inversión que son 16 puntos porcentuales más altos que las compañías con una cultura de integridad inferior. Una buena percepción de los empleados de la cultura de integridad puede mejorar el desempeño de la compañía a través del incremento del compromiso, productividad, colaboración, flujo de información y una mejor reputación. 6. Precio Premium Aproximadamente un tercio de los encuestados en cinco países por Financial Times en 2007 aceptó que pagaría entre un 5% y un 10% más sobre el precio normal por productos éticos, aunque en el mercado las marcas que poseen productos éticos son escasas. 7. Confianza La integridad es la característica más importante de las cinco que se consideran necesarias para la formación de la confianza según Edelman. Por lo tanto, la oportunidad de crear confianza para los negocios está en el ámbito de la integridad y del compromiso. "¿Es como un seguro o un blindaje corporativo?" La Ley 27401 ha incorporado la responsabilidad penal de personas jurídicas y sancionarlas por la comisión de delitos que se cometan a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se determine que, además, EXISTIÓ INOBSERVANCIA DEL DEBIDO CONTROL EN SU ORGANIZACIÓN. En ese contexto, la implementación de un PDC será la base de una defensa penal exitosa, ya que en este programa se establecen las medidas que la empresa ha venido tomando para la OBSERVANCIA DEL DEBIDO CONTROL DE LA ORGANIZACIÓN. "¿Si la víctima es la empresa?" No se habla mucho de los beneficios del PDC en los casos donde la empresa sea víctima del delito, cuando en la realidad, resulta ser una herramienta imprescindible para imputar responsabilidad penal, ya que la incorporación de códigos de ética, responsivas, descripciones de puestos, (por decir algunas) será imprescindible para poder acreditar que el autor del delito tuvo el conocimiento de que su actuar fue indebido. Muchas empresas se preguntan qué hacer para tener un programa de Cumplimiento efectivo. Lo primero que deben saber es que no existen recetas únicas ni fórmulas “mágicas” para que el programa sea exitoso. Lo segundo es que ningún programa, por muy sofisticado y comprehensivo que sea, elimina por completo el riesgo de corrupción.

El concepto de Buen Gobierno Corporativo (BGC) existe desde hace tiempo como un atributo fundacional en cualquier organización saludable. Es un sistema de gobernanza basado en altos estándares de transparencia, profesionalismo y eficiencia, que generan confianza en el mercado y elevan, a largo plazo, el valor y la competitividad de la empresa u organización. Se trata también de una forma transparente y profesional de relación entre el directorio de una empresa, la gerencia y el resto de la organización. Esta fórmula apunta a blindar los intereses de los stakeholders, especialmente de los accionistas, de los conflictos éticos que puedan poner en peligro la sostenibilidad en el largo plazo y la rentabilidad a corto de sus empresas. Está orientado a hacer rentable su inversión y resguardar su patrimonio. Por ello, debe garantizar el acceso a la información oportuna y de calidad que permita participar en la toma de decisiones positivas para la reputación y la rentabilidad de largo plazo de la empresa. Esto es también recogido por la OECD en sus Principios de Gobierno Corporativo a países miembros del G20. Si bien el BGC ha estado vigente durante mucho tiempo como una forma de organización interna transparente, ésta no comprendía ninguna obligación legal o regulatoria por parte de las empresas. Respondía más bien a un típico modelo de estructura interna proveniente del directorio de una empresa, como normas corporativas o de seguridad. Era simplemente una buena manera de funcionar y, valgan verdades, en nuestros países recién cobró impulso en los últimos años y dista de ser una práctica realmente extendida. El concepto de compliance, como veremos, no resulta intercambiable con el de BGC, ya que el modelo impone, a través de normas regulatorias impuestas por el gobierno, una estructura de gobernanza interna proveniente de agentes externos. Son la dificultad o la imposibilidad de los gobiernos de perseguir legalmente a las empresas después de casos de corrupción, los que hacen urgente el cumplimiento por parte de las empresas de ciertos requisitos (legales) para hacer negocios. Así, surge el compliance, el nuevo corporate governance, como lo denomina Sean J. Griffith de Fordham Law School, el cual se va convirtiendo en una exigencia regulatoria cada vez más rigurosa para prevenir la comisión de delitos. El término inglés compliance está referido al cumplimiento normativo, interno y externo de empresas a través de la gestión de estrategias corporativas para prevenir conductas delictivas de las organizaciones. Entre estas se encuentran la regulación de buenas prácticas, la creación de un Código de Ética, regulación del mercado de valores, la prevención de riesgos, la protección de datos, el mapeo de riesgos de sobornos, de blanqueo de capitales, etcétera. Si bien este nace como una obligación legal para lograr la exención o prevención de responsabilidad penal de la persona jurídica y sus consecuencias, el compliance puede verse con un enfoque más amplio. La falta de cumplimiento puede dar lugar a la pérdida de la reputación corporativa, lo que para una empresa se traduce en pérdidas económicas y de valor financiero, cuando no en una sentencia de muerte. Pero, su valor no sólo está centrado en cumplir con un requisito, sino en una oportunidad de gestionar las empresas en el marco de una cultura ética y transparente con nuevas oportunidades de eficiencia. Aunque el objetivo de los directores de cumplimiento en cualquier empresa es asegurar el cumplimiento de la legislación e impulsar el comportamiento ético de todos sus miembros, la investigación del autor evidencia que la realidad a la que se enfrentan en los países desarrollados y los emergentes suele ser algo distinta. Por tanto, aunque hay una serie de aspectos comunes a cualquier programa de ética y cumplimiento, las prioridades, el enfoque del trabajo y la ejecución deben adaptarse en consecuencia. Los principales riesgos de un país emergentes no coinciden con los de la Unión Europea, algo que suele obviarse en los códigos de conducta de las multinacionales. Buena parte de las dificultades a las que se enfrentan los responsables de cumplimiento en los países emergentes tienen que ver con cuestiones del entorno que afectan directamente a la cultura organizacional, especialmente el tono ético que transmite la alta dirección. Un reciente informe de Transparency International expone la necesidad de que las grandes multinacionales de los países emergentes adopten medidas mucho más enérgicas para detener la corrupción. Según el informe, el 75% de las empresas analizadas obtuvieron una puntuación de menos de 5 sobre 10 en las evaluaciones de transparencia, lo que genera un entorno propicio para la corrupción en su actividad. La Argentina rankea en el puesto número 107 en un total de 168 en el índice de Tranparency International, que mide cómo es percibido un país en materia de corrupción. “Los niveles insignificantes de transparencia que muestran las grandes empresas de mercados emergentes siembran dudas sobre cuánto le interesa al sector privado detener la corrupción y frenar la pobreza en los lugares donde se desarrollan. Si bien muchas empresas afirman que desean combatir la corrupción, estos enunciados no son suficientes. Las acciones dicen mucho más que las palabras“, explica José Ugaz, presidente de Transparency International. Además, según un estudio de BDO Argentina el 68% de las compañías sostiene que no está al tanto del cumplimiento de normas vigentes. Esta dato surge de una encuesta entre más de 400 ejecutivos CEOs, directores y gerentes sobre el fraude, tanto de origen nacional, y subsidiarias locales de empresas multinacionales. Argentina es uno de los diez países entre 115 encuestados por PwC donde a la mayor cantidad de empresas se les solicitó pagar una coima para hacer un negocio. Además, varias compañías manifestaron que creen que perdieron una oportunidad porque su competidor efectivamente pagó esta coima. Desde ya, la legislación pena tanto el cohecho activo como pasivo. “El delito puede ocurrir siempre, en cualquier organización”, dice Jorge Bacher, socio de PwC al diario La Nación. “El mejor código de ética que se escribió fue el de Enron, que colapsó en 2001. Sin embargo, las leyes vinculadas a estos temas y sancionadas en otros países pueden tener un impacto trasnacional (ha pasado de multinacionales sancionadas por coimas en los países de origen). La U.S. Foreign Corrupt Practices Act (FCPA, podés leerla abajo), de los Estados Unidos prohíje el pago de sobornos por parte de compañías y ciudadanos estadounidenses o compañías extranjeras registradas en la bolsa de valores de los Estados Unidos a funcionarios de gobierno en cualquier país del mundo. Ha pasado que empresas multinacionales con capital estadounidese que operan en la Argentina  han sido sancionadas a la luz de esta normativa. Y también europeas con leyes similares. Para una muestra de los casos de Estados Unidos, ver esta página. Por otro lado, la ley Sarbanes-Oxley que desde junio de 2002 sigue vigente para las compañías de todo el mundo listadas en NYSE y Nasdaq de los Estados Unidos impone a las compañías la necesidad de garantizar que la información financiera sea fiable través de una rigurosa certificación referida a la calidad del control interno sobre el reporte financiero”. Además, cada empresa puede adoptar sus propios reglamentos, normativa ética, de compras, etcétera y lo que es más importante, tener oficiales de compliance que se encarguen por velar que la operatoria se ajuste a estas buenas prácticas (a veces obligatorias y otras como parte de una mejor ética en la organización). La situación de la transparencia y el compliance en América Latina presenta desafíos propios de la región y aún queda mucho por hacer, ya que en los países desarrollados hay una mayor cantidad de regulaciones y controles institucionalizados de calidad que facilitan el trabajo de los COs, en mercados emergentes, y en especial en nuestro país y en la región, la situación es mucho más compleja.  En primer lugar se debe dar cuenta de la enorme porción de la economía informal que opera en estos países, difícilmente adecuable a normas internacionales. Además, el compliance no está tan arraigado en la cultura empresaria local como sí sucede en economías más desarrolladas. Finalmente, los frecuentes cambios políticos que suceden en la región han derivado en un caos de normas y regulaciones, y una tendencia a la creación de “zonas grises”. Esto hace necesario “un notable trabajo de conciliación entre la realidad local y las políticas y estándares globales”.. Pero ha habido señales de cambio, basado en iniciativas de varios países. Brasil es uno de los ejemplos más claros, que a raíz del enorme escándalo de corrupción entre el sector privado y el sector público que involucró a la estatal Petrobras, a la constructora Odebrecht y prácticamente toda la cúpula del PT, logró aprobar la ley 12846/13, conocida como “Ley anticorrupción”. Esta norma, que hizo a las empresas responsables de prácticas de corrupción, fue la primera en el país en prever la existencia de mecanismos internos de integridad, auditoría y incentivo para la denuncia, y fomentó la aplicación de códigos de ética y conducta, como destaca un informe del estudio de abogados Pinheiro Neto. Chile también está tomando medidas activas y mantiene desde hace tiempo una legislación relacionada con el compliance, como la ley Ley 20.393 que desde 2009 establece la responsabilidad de las personas jurídicas en delitos de cohecho, lavado y terrorismo. También existen en el país normas que regulan la libre competencia y la formación de monopolios. Incluso para todas transparentar las compras que realiza el Estado se desarrolló e implementó la plataforma Chilecompra, donde figuran los llamados a licitación de todas las adquisiciones que realiza el sector público y las ofertas de los privados. En Colombia se ha visto un avance significativo en los últimos años, como sostiene un informe del estudio Brigard & Urrutia. En concreto se han aprobado nuevas regulaciones en materia de prevención de riesgos de lavado de activos, financiación del terrorismo, corrupción y administración desleal en el sector privado. Pero la región sigue reportando niveles de transparencia bajos. De acuerdo a datos de la organización Transparencia Internacional, América Latina registró en 2017 en promedio un puntaje 37,6 en percepción de la corrupción, en una escala que va del 0 para países extremadamente corruptos y 100 para aquellos perfectamente “limpios”. Esto es inferior al promedio mundial de 43 puntos, y muy por debajo del promedio de Europa Occidental, que llega a 66. De acuerdo a este índice la región más corrupta del mundo es el África Subsahariana, con un puntaje de 32. En América Latina, Uruguay y Chile tienen los mejores desempeños, que alcanzan un puntaje de 70 y 67, ubicándose en los puestos 23 y 26 de un total de 180 países, respectivamente. Argentina tuvo un puntaje de 39 con el puesto 85, mientras que Brasil y Colombia llegaron a los 37 puntos y compartieron el puesto 96. Venezuela es el país latinoamericano peor posicionado, con un puntaje de 18 en el puesto 169.

Los reguladores (por ahora) no prescriben como se deben realizar, en los EEUU sin embargo piden que tengan en cuenta la naturaleza y seriedad de una posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y su priorización. Además ya preguntan con qué metodología se ha hecho. Cumplir con la exigencia de los reguladores no es el único beneficio de un buen mapeo de riesgos de É&C: •             Sirve para entender la exposición a riesgos, la probabilidad y las razones de ocurrencia y su impacto. •             Permite priorizar esfuerzos de mitigación de riesgos y designar los “dueños” para su gestión. •             Permite aplicar los recursos de É&C dónde más se necesitan en vez de dispersarlos por toda la organización equitativamente •             Permite focalizar los entrenamientos y la comunicación en temas y en áreas de la organización •             Indica qué comportamiento/resultados incentivar •             Es una excelente demostración de la Alta Dirección de que É&C es un tema al cual se le da importancia •             Sensibiliza a toda la organización por el tema de É&C •             Probablemente aparezcan riesgos desconocidos que de otra manera no se hubieran mitigado Los puntos esenciales a observar al realizar un mapeo de riesgos de É&C y la definición de los mitigantes tendría los siguientes títulos y temas: •             Cada Mapeo es diferente. Pero todos tienen algo en común: la metodología. El dueño del proceso es el Compliance Officer. •             Trabajar con un grupo multidisciplianrio y multijerárquico. Es de importancia que el (o los) grupos de trabajo incluyan no solo las diferentes áreas directa e indirectamente expuestas a riesgos de É&C, sino también a los diferentes niveles, empezando con la Alta Dirección hasta los niveles operativos, que a menudo ven con mayor claridad ciertos riesgos que los niveles gerenciales no. Además, un grupo diverso sufre menos de ceguera motivada. •             Se utilizan los datos y demás información disponible de la línea de denuncias, entrevistas de salida, políticas y procesos, informes de auditorias y reportes de Compliance. Se realizan entrevistas individuales, encuestas y talleres. •             En un primer paso se elabora un inventario de riesgos de É&C y se analizan sus determinantes. Puede servir de base un listado abarcativo de posibles riesgos para despertar la sensibilidad. Ejemplos son Leyes & Regulaciones: FCPA; Anti Trust, regulaciones de la industria; Prevención de Lavado de Activos (PLA) y Financiamiento del Terrorismo (FT); Seguridad de datos; riesgos en la Cadena de Valor, riesgos del Programa de É&C; riesgos de Compliance en RRHH; riesgos de la Organización; riesgos del Modelo de Negocio; riesgos de Conflictos de Interés, etc. •             Típicamente surgen para cada riesgo varios determinantes. Los determinantes más importantes y a la vez más difíciles de encontrar y describir son los relacionados a la cultura: La presión por resultados; el Tone at the Top (y en el Medio); la consistencia de los valores con los incentivos; la justicia interna; el clima de transparencia así como el rol y la posición del Compliance Officer, las políticas y procesos, el entrenamiento y la comunicación. •             Para priorizar los riesgos inventariados hay que medir su probabilidad de ocurrencia y su impacto. Cómo hacerlo resulta a veces difícil. Una cuantificación no siempre es posible. Estimaciones se pueden mostrar en escalas (bajo/ medio/ alto…). •             Se otorgan prioridades a los riesgos de mayor impacto, o a los riesgos crecientes y se asignan acciones de mitigación, responsables y planes de acción. La definición de quién es el dueño de los riegos de É & C es crucial en la determinación de la estructura y forma de trabajo del área de Compliance y se debe reflejar en la job description del Compliance Officer. Una centralización de la mayoría de los riesgos de É&C en el área de Compliance (como pasa en la mayoría de los casos) lleva a que  Compliance adquiera una posición más activa en el día a día de los negocios de la compañía y requiere mayores recursos, tanto de personal calificado como de recursos financieros. Lo que habrá que evitar es la combinación al revés: Centralización de la responsabilidad por los riesgos de É&C sin los recursos necesarios para poder ejercer esta función efectivamente. Más allá de las dificultades de realizar un mapeo en sí, se suman cuestiones complejas a resolver mirando sus resultados: Un mapa de riesgos de É&C suele abarcar una gran variedad de temas provenientes de muchas áreas de la organización. Para poder adjudicar los recursos para la mitigación a los riesgos más importantes, hay que priorizarlos. ¿Quién lo hace? La respuesta a esta pregunta importa: la relevancia y los recursos que se le da a su mitigación depende de la prioridad otorgada y ésta depende de la evaluación por su responsable. Por más que el Compliance Officer es el responsable del proceso, la responsabilidad por los riesgos es compartida a través de la organización. Además, el mismo programa de Compliance y la organización de Compliance deben evaluarse como áreas de riesgo. Parece aconsejable que la priorización esté a cargo de una comisión integrada por los responsables de Riesgo, Compliance, Legales y Auditoría Interna. Como es por todos sabido, desde julio de 2015 el Plan de Prevención de Delitos o Compliance Program ha pasado de ser un documento/política presente en las grandes compañías, de mayor o menor valor, a un quebradero de cabeza para PYMES. En efecto, el Código Penal fuerza a todas las empresas a demostrar que han puesto en marcha medidas para prevenir y descubrir delitos en su seno. No obstante, la establece de forma genérica el contenido del Plan de Prevención dirigido a atenuar, en su caso, la responsabilidad de la empresa. Por tanto, hemos decidido elaborar la serie de artículos “Compliance en Práctica” con el objetivo de arrojar luz al respecto y facilitar a las empresas la implantación de las medidas exigidas por la ley. El Mapa de Riesgos es una herramienta dirigida a prever los riesgos a los que está expuesta la empresa mediante su identificación y segmentación. El Mapa puede centrarse en un tipo de riesgo y área de la compañía, o como es más habitual, ser transversal, cubriendo desde riesgos financieros (un aumento de la competencia que afecte negativamente nuestras ventas) a reputacionales (un uso inadecuado de los medios de comunicación de la empresa), pasando por los penales (insolvencias punibles).   El procedimiento de identificación de Riesgos Identificación de los riesgos. Dentro de los riesgos legales, el detalle dependerá, entre otras cosas, del tamaño y sector de la compañía. Como es lógico, una empresa de gestión de residuos está expuesta a la comisión de un delito medioambiental en mayor grado que el resto de empresas. No obstante, determinados riesgos son comunes a todas las compañías, a modo de ejemplo: una inadecuada llevanza de la contabilidad y de los libros oficiales, contingencias fiscales y laborales, no contar con las licencias necesarias, etc. Criterios de evaluación de riesgos. De cara a asignar recursos para prevenir y cuantificar los riesgos (y posibles delitos), estos se suelen clasificar según su: Impacto económico. Probabilidad de que se materialicen, por ejemplo, podrían clasificarse como “probable”, “posible” y “remoto”. Área de la empresa. Variará según su naturaleza, pero podríamos pensar en producción, administración, legal e incluso órganos de la empresa tales como el órgano de administración y la junta general. Una vez identificado los riesgos, estos deberían ir acompañados tanto de medidas de prevención, como de medidas correctoras.   ¿Cómo la valoración del riesgo de cumplimiento es diferente de otras valoraciones del riesgo? Las organizaciones realizan valoraciones del riesgo para identificar los diferentes tipos de riesgo organizacional. Por ejemplo, pueden realizar valoraciones del riesgo de la empresa para identificar los riesgos estratégicos, operacionales, financieros, y de cumplimiento ante los cuales la organización está expuesta. En la mayoría de los casos, el proceso de valoración del riesgo de la empresa está centrado en la identificación de los riesgos de la “apuesta de la compañía” – los que podrían impactar la capacidad de la organización para lograr sus objetivos estratégicos. La mayoría de las organizaciones también realizan valoraciones del riesgo de auditoría interna para ayudar en el desarrollo del plan de auditoría interna. La valoración tradicional del riesgo de auditoría interna es probable que considere los riesgos del estado financiero y otros riesgos operacionales y de cumplimiento. Si bien esos tipos de valoraciones del riesgo típicamente tienen la intención de identificar riesgos importantes relacionados-con-el-cumplimiento, no están diseñados para de manera específica identificar los riesgos del cumplimiento legal o regulatorio. Por consiguiente, si bien las valoraciones del riesgo de cumplimiento ciertamente deben estar vinculadas con los procesos de riesgo de la empresa o de auditoría interna, generalmente requieren un enfoque más centrado. Esto no es para decir que no pueden ser completadas concurrentemente, o que deben ser esfuerzos aislados – la mayoría de las organizaciones pueden ser capaces de combinar las actividades que respaldan varias valoraciones del riesgo, quizás siguiendo un proceso inicial de identificación y valoración del riesgo de cumplimiento.   Entienda sus principales riesgos de Cumplimiento. La valoración del riesgo de cumplimiento puede ayudar a que la organización entienda el rango completo de su exposición ante el riesgo, incluyendo la probabilidad de que pueda ocurrir un evento de riesgo, las razones por las cuales pueda ocurrir, y la potencial severidad de su impacto. Una valoración del riesgo de cumplimiento efectivamente diseñada también ayuda a que las organizaciones prioricen los riesgos, mapeen los riesgos para con los propietarios aplicables del riesgo, y de manera efectiva asignen recursos para la mitigación del riesgo.   Elabore una estructura y una metodología Dado que el conjunto de los potenciales riesgos de cumplimiento que enfrenta la organización típicamente es muy complejo, cualquier valoración robusta debe emplear tanto una estructura como una metodología. La estructura establece el panorama del riesgo de cumplimiento de la organización y lo organiza en dominios de riesgo, mientras que la metodología contempla maneras tanto objetivas como subjetivas para valorar esos riesgos. La estructura necesita ser comprensiva, dinámica, y personalizable, permitiéndole a la organización identificar y valorar las categorías del riesgo de cumplimiento ante las cuales puede estar expuesta. Algunos riesgos de cumplimiento son específicos para una industria u organización – por ejemplo, las regulaciones de seguridad del trabajador para los fabricantes o las reglas que gobiernan el comportamiento de los representantes de ventas en la industria farmacéutica. Otros riesgos de cumplimiento trascienden industrias o geografías, tales como los conflictos de intereses, acoso, privacidad, y retención de documentos. Una estructura efectiva también puede esbozar y organizar los elementos de una estrategia efectiva de administración del riesgo que pueda ser aplicada a cada dominio del riesgo de cumplimiento.   Aplique la metodología y realice la valoración del riesgo. Usar una metodología objetiva para evaluar la probabilidad y el potencial impacto de cada riesgo ayudará a que la organización entienda su exposición ante el riesgo inherente. “Riesgo inherente” es el riesgo que existe en ausencia de cualesquiera controles o estrategias de mitigación. Al principio, ganar un entendimiento preliminar del riesgo inherente le ayuda a la organización a desarrollar una visión temprana de su estrategia para la mitigación del riesgo. Y cuando las organizaciones identifican el riesgo inherente deben considerar los orientadores clave del riesgo que pueden ser organizados en las siguientes cuatro categorías amplias: • Impacto legal – La acción regulatoria o legal producida contra la organización o sus empleados que podría resultar en multas, sanciones, encarcelamiento, incautación de productos, o exclusión. • Impacto financiero – Impactos negativos con relación a la línea de resultados de la organización, precio de la acción, ganancias futuras potenciales, o pérdida de confianza del inversionista. • Impacto de negocios – Eventos adversos, tales como embargos o paradas de plantas, que de manera importante podrían interrumpir la capacidad de la organización para operar. • Impacto reputacional – Daño a la reputación o marca de la organización – por ejemplo, mala prensa o discusión en los medios sociales de comunicación, pérdida de confianza del cliente, o moral disminuida del empleado. Es importante proporcionar medidas tanto cuantitativas como cualitativas para cada categoría. Sin embargo, tal y como ocurre con todas las valoraciones del riesgo, la medición precisa puede probar ser esquiva. En el caso de riesgos con impacto financiero directo, el valor monetario actual puede ser medible con relación al riesgo. Otra manera para evaluar el riesgo es usar una escala crítica que señale la extensión del impacto de que ocurra un no cumplimiento. La extensión del impacto puede ser descrita en términos cualitativos. Por ejemplo, para el impacto reputacional, impacto bajo puede ser mínimo para la no cobertura de prensa, mientras que impacto alto puede ser prensa negativa extensiva en los medios de comunicación nacionales.   Determine el riesgo residual Si bien es imposible determinar toda la exposición que la organización tiene frente al riesgo, la estructura y la metodología del riesgo les ayudan a la organización a priorizar qué riesgos desea administrar de manera más activa. Desarrollar una estructura y una metodología le ayuda a las organizaciones a determinar la extensión en la cual las actividades de mitigación del riesgo existentes en la organización (por ejemplo, prueba y monitoreo o programas de entrenamiento del empleado) son capaces de reducir el riesgo. Las actividades efectivas de mitigación del riesgo pueden reducir la probabilidad de que ocurra el evento de riesgo, así como también la potencial severidad del impacto para la organización. Cuando la organización evalúa el riesgo inherente a la luz de su ambiente de control y sus actividades de control, el grado de riesgo que resulta es conocido como el “riesgo residual.” Si las estrategias existentes de mitigación del riesgo son insuficientes en la reducción del riesgo residual a un nivel aceptable, esto es un indicador de que las medidas adicionales están en orden.   ¿Qué hace que la valoración del riesgo de  cumplimiento sea de clase mundial? Si bien cada valoración del riesgo de cumplimiento es diferente, las más efectivas tienen una serie de cosas en común. Para realizar una valoración de clase mundial, considere las siguientes prácticas líderes: • Obtenga input de un equipo multidisciplinar: La valoración del riesgo de cumplimiento requiere la participación de especialistas en temáticas profundas provenientes del departamento de cumplimiento y de toda la empresa. Son las personas que viven y alimentan el negocio – que están en funciones específicas, unidades de negocio, y geografías – quienes entienden plenamente los riesgos ante los cuales la organización está expuesta, y que ayudarán a asegurar que todos los riesgos clave sean identificados y valorados. Además, si la metodología es diseñada en un vacío sin consultar los propietarios del riesgo, el output del proceso carecerá de credibilidad cuando se llegue a implementar los programas de mitigación. • Construya a partir de lo que ya se ha hecho: Más que empezar desde cero, busque maneras para aprovechar el material existente – tal como valoraciones del riesgo de la empresa, reportes de auditoría interna, y revisiones de la calidad – e integre el contenido del riesgo de cumplimiento cuando sea apropiado. Asegure comunicar, a los grupos que usted busque comprometer, las diferencias entre las valoraciones del riesgo de cumplimiento y otras valoraciones. De manera clara, el output de cada proceso de valoración del riesgo debe informar y conectarse con cada uno de los otros. • Establezca propiedad clara para los riesgos específicos y oriente hacia mejor transparencia: Una valoración comprensiva del riesgo de cumplimiento ayudará a identificar a los individuos responsables por administrar cada tipo de riesgo, y hace más fácil que los ejecutivos consigan manejar las actividades de mitigación del riesgo, los esfuerzos de mitigación, y las exposiciones emergentes ante el riesgo. • Haga que la valoración se pueda llevar a la acción: La valoración prioriza los riesgos y además señala cómo deben ser mitigados o remediados. Los esfuerzos de remediación deben ser universalmente entendidos y viables a través de las fronteras. Asegure que el output de la valoración del riesgo pueda ser usado en la planeación operacional para asignar recursos y que también puede servir como el punto de partida para los programas de prueba y monitoreo. • Solicite input externo cuando sea apropiado: Por definición, la valoración del riesgo confía en el conocimiento de los riesgos emergentes y el comportamiento regulatorio, los cuales no siempre son bien conocidos al interior de la organización. Conseguir experticia externa puede ayudar a informar la valoración y asegurar que incorpora un entendimiento detallado de los problemas emergentes de cumplimiento. • Trate la valoración como un documento vivo, que respira: Una vez que usted asigna recursos para mitigar o remediar los riesgos de cumplimiento, la potencial severidad de esos riesgos cambiará. Lo mismo ocurre para los eventos en el entorno de negocios. Todo esto debe orientar los cambios a la valoración misma. • Use lenguaje plano que hable a una audiencia general de negocios: La valoración necesita ser clara, fácil de entender, y que se pueda llevar a la acción. Evite absolutos y análisis legal complejo. • Periódicamente repita la valoración del riesgo: Las valoraciones efectivas del riesgo de cumplimiento se esfuerzan por asegurar un enfoque consistente que continúe siendo implementado con el tiempo, e.g., cada uno o dos años. Al mismo tiempo, la inteligencia frente al riesgo requiere análisis continuo y escaneo del entorno para identificar los riesgos emergentes o las señales de alarma temprana. • Aproveche los datos: Mediante incorporar y analizar los datos clave (e.g., estadísticas de la línea directa, registros de transacciones, hallazgos de auditoría, reportes de excepciones del cumplimiento, etc.), las organizaciones pueden ganar un entendimiento más profundo de dónde los riesgos existentes o emergentes pueden residir dentro del negocio. Muchas organizaciones están considerando inversiones en tecnologías, tales como herramientas analíticas y de monitoreo de la marca, para ayudar a aprovechar y analizar los datos para fortalecer sus capacidades de detección del riesgo. Adicionalmente, las organizaciones están considerando inversiones en datos, incluyendo monitoreo de medios de comunicación tradicionales / mención negativa, datos de medios sociales de comunicación, realización de encuestas, y otras fuentes de datos. Valore para el éxito. El constantemente cambiante entorno regulatorio incrementa la vulnerabilidad de la mayoría de las organizaciones ante el riesgo de cumplimiento. Esto es particularmente verdadero para las organizaciones que operan en una escala global. La complejidad del panorama del riesgo y las sanciones por el nocumplimiento hacen que para las organizaciones sea esencial realizar valoraciones completas de su exposición ante el riesgo de cumplimiento. Una buena valoración del riesgo de ética y cumplimiento incluye tanto una estructura comprensiva como una metodología para evaluar y priorizar el riesgo. Con esta información en la mano, las organizaciones podrán desarrollar estrategias efectivas de mitigación y reducir la probabilidad de un evento importante de nocumplimiento o de falla de la ética, separándose de sus competidores en el mercado. Anexo. Fases de la evaluación de Riesgos. El programa de evaluación de riesgos debe de centrarse sólo en los posibles delitos que puede cometer la empresa; muchas de ellas no tendrán riesgos en el delito de trata de seres humanos pero otras empresas por ejemplo sí que pueden tener este riesgo. En este sentido más adelante escribiré un artículo especifico sobre qué podemos realizar un análisis de riesgos. En ese artículo tan sólo vamos a analizar los riesgos penales ( y sólo los que la empresa pueda tener un beneficio directo o indirecto) Pero podemos realizar análisis sobres riesgos legales, o incluso sobre delitos que la empresa aunque no vaya a obtener un beneficio directo o indirecto queramos tenerlo en cuenta; por ejemplo, en empresas donde se trabajar con niños, puede ser que exista un riesgo que monitores puedan abusar de niños; en este sentido la empresa no obtendría ningún beneficio directo o indirecto, pero si pasa en nuestra empresa este delito, el daño a la imagen es grandísisimo y por tanto forme parte de nuestro análisis de riesgo. La gestión de riesgos en la empresa tiene 3 Fases. a) La primera fase es la identificación de los riesgos. Antes de comenzar a realizar el análisis de riesgos debemos de ser conscientes de que el sistema que sigamos para analizar los riesgos debe de ser simple; he visto como muchos consultores, o compliance officer,  se hacen unos líos mentales bastantes importantes y al final eso no vale para nada, porque hay empresas que son más pequeñas, o porque directamente la dirección no entiende nada y se termina por no utilizar; Deberemos de seguir la máxima de la sencillez a la hora de realizar nuestro sistema de análisis de riesgo, y luego más adelante mejorarlo poco a poco. Una vez sabido esto debemos de identificar los riesgos penales que la empresa puede estar expuesta y no hay otra manera que analizar la empresa en profundidad, tenemos que empezar por analizar la empresa de una forma genérica: PRIMERO: Analizaremos el contexto de la empresa en su conjunto; Cual es el objeto social de la misma (podemos verlo en las escrituras de la empresa), las actividades que hacen, los productos que venden, y cuáles son los canales de distribución de los mismos, incluso las zonas geográficas puede ser un buen indicador ( si la empresa actúa en zonas donde hay grupos criminales puede ser que  tenga un riesgo de cometer determinados delitos si los grupos criminales les piden financiación) SEGUNDO: Debemos de seguir analizando quienes son los socios, los proveedores, clientes, etc… por si podemos detectar algún riesgo. Analizaremos si la empresa tiene contratos con Administraciones públicas ( para comprobar y analizar que no podamos cometer un delito de tráfico de influencias por ejemplo, o en general contra la Administración pública). Concretamente suelo poner mucho énfasis en los procesos operativos; Por ejemplo si alguien está encargado de la compra de un material a un proveedor, como se hace todo ese proceso. Desde que se pide hasta que entra en la empresa; Imaginemos que nuestro empleado de compras necesita dinero para su familia y pide comisiones para comprar con ese proveedor. En este sentido me gusta analizar todos los procesos de la empresa, compra, ventas, marketing, cajas, departamento financiero etc.. Es muy importante a la hora de realizar la identificación de riesgos penales el que tengamos delante un organigrama de la empresa y podamos ir departamento por departamento. TERCERO: Igualmente conviene hacer un inventario de personal apoderado, y de quien toma las decisiones, y como se hace de forma detallada. Número de empleados de la empresa (cuantos más empleados en la empresa, más probabilidad de poder cometer un delito. CUARTO: Detectar si la empresa presta servicios de con algún impacto medioambiental, o maneja explosivos, sustancias inflamables o corrosivas; en general analizar si la empresa tiene alguna actividad de riesgo. Ya hemos hablado de destripar a la empresa en todos sus sentidos; en el análisis de riesgos podemos ver un ejemplo de ello: imaginemos un hospital; un hospital que necesita muchas medicinas, mucho material quirófano, medicamento etc.. hay siempre alguien que está encargado de decir que se ha agotado tal medicamento, quizás haya otro que sea quien lo encargue, y más tarde llega a un proveedor, o varios proveedores que encargan este productos que se agotado. Entre medias estoy seguro que alguien se encarga de pedir varios presupuesto al mejor postor. Todos estos procesos hay que conocerlos y analizarlos, porque de este destripamiento, es donde se ven los posibles riesgos; QUINTO: Una de las partes fundamentales de la evaluación de riesgos es saber que tenemos que tener en cuenta los factores externos de la empresa. Si la empresa por ejemplo opera en países que tienen un alto grado de corrupción, nos dará una pista de posibles delitos que la empresa puede cometer; también como factor externo podemos tener que la empresa esté en un sector en el que el perfil del sector sea un factor de riesgo bastante alto; por ejemplo empresas de transporte que viajan a otros países. También debemos de analizar la situación económica de la empresa: Otro aspecto a valorar de cara a determinar la probabilidad de comisión de un delito del que la empresa pueda resultar penalmente responsable es la situación económica en la que se encuentre, entendiéndose que cuando una entidad atraviesa dificultades económicas puede existir un mayor grado de probabilidad de comisión de delitos a partir de la realización de acciones de las que la empresa pueda obtener un beneficio económico o ventajas frente a sus competidores. Por ejemplo, en estas circunstancias podría incurrirse en delitos que pudieran afectar a competidores (daños informáticos, propiedad industrial, etc.) o delitos relacionados con el órgano regulador (cohecho o tráfico de influencias) para tratar de posicionarse nuevamente en el mercado. En un primer momento si sólo realizamos el análisis de riesgos sobre el titulo del delito, no estaría mal, pero está claro que es mejor descender un poco en las diferentes formas de cometer esos delitos para que refleje la realidad de la empresa; y pongo un ejemplo: Puede ser que en nuestra empresa nos aplique el delito contra la salud pública porque tratamos alimentos y puede ser que exista un riesgo en el sentido de dar alimentos caducados o en mal estado, ( la empresa obtendría un beneficio a la hora de ahorrarse una compra de alimentos en buen estado) tenemos claro que el delito contra la salud pública lo tenemos identificado, pero está claro que dentro del delito contra la salud pública tenemos el delito de tráfico de droga, y por tanto aunque nos aplique el delito contra la salud pública, no nos aplica el delito de tráfico de drogas. Pues bien, una vez realizado este análisis general de la empresa tendremos lo que se llama la IDENTIFICACIÓN DE LOS RIESGOS, y el análisis especial mediante el checklist, tendremos un inventario de posibles delitos que la empresa puede cometer. Tenemos lo que podemos denominar una brocha gorda de posibles delitos. Ahora tenemos que analizar estos riesgos que hemos identificado; b) La segunda fase es hacer un análisis de los riesgos. De los posibles delitos que hipotéticamente la empresa puede ser que cometa, debemos de analizar,  preguntarnos la probabilidad que esa empresa cometa ese tipo de delito, y en el caso de que esa probabilidad se de, el impacto que tendría en nuestra empresa; •             La probabilidad de que ese delito pueda ocurrir en nuestra empresa puede calcularse en base a: el número de empleados que tiene la entidad y los controles que tienen puestos para que ese delito no se cometa o incluso valorando si ese delito ha sido cometido en la empresa con anterioridad. Por ejemplo, tener a los trabajadores, trabajando en una situación con mucho peligro. El riesgo lo vamos a valorar de 1 a 5. Si en la empresa hay 100 trabajadores yo creo que la probabilidad es muy alta, le doy un valor de 5. Y además me dicen en la empresa que no cumplen con la Prevención de riesgos laborales, pues le doy otro 5. Por tanto, la media de 5 y 5 es 5, la probabilidad de que cometan ese delito es 5, o lo que es lo mismo, muy alta. En cambio, si la empresa me dijera que tiene implantada la Ley de prevención de Riesgos Laborales, le daría en ese aspecto del 1 al 5, un 2, dependiendo de cómo tengan implantado esta prevención. •             En cambio el impacto podemos manejar valores como la Imagen, es decir, el daño reputacional que nos hace a la empresa en caso de que en la empresa ese delito ocurra. Los riesgos operacionales como que nos cierren la empresa, Las posibles sanciones que podemos obtener si se comete el delito; Igualmente podemos valorarlo del 1 al 5; La media de la probabilidad y del impacto nos da el resultado final; Resultado que previamente teníamos que haber definido que todo lo que sea superior a 3 o a 4, vamos a considerarlo como un riesgo, y por tanto vamos a implantar controles para prevenir ese delito. c) Por ultimo y tercera fase la evaluación del  riesgo. Una vez detectados los riesgos que la empresa puede cometer, tenemos que pasar al siguiente paso que es poner procedimientos para que no sucedan.

Cuando se habla de riesgos que se derivan de las acciones de los empleados de la empresa se incluyen las malas prácticas de empleados deshonestos, así como su falta de conocimientos/experiencia/ profesionalidad y por lo tanto, las graves consecuencias económicas y para la reputación de la empresa, eso sin mencionar el número de litigios a los que la empresa se puede enfrentar y el aumento de los fraudes internos con consecuencias insospechadas. En lo relativo a la toma de decisiones comerciales, los riesgos se focalizan en operaciones relacionadas principalmente con nuevas inversiones, procesos de fusión y adquisición, alianzas con nuevos socios comerciales, decisiones sobre expansión, colaboración con nuevos proveedores e incluso con determinados clientes. Se trata en definitiva de decisiones que, debido a sus características y repercusión, pueden marcar el éxito o el fracaso de una empresa. El Compliance propone un enfoque basado en una cultura empresarial ética, el control de riesgos corporativos y en la prevención del fraude interno. El conocimiento es poder, y teniendo esta premisa en cuenta, se hace necesario contar con protocolos eficientes que permitan la toma de decisiones bien informadas y conseguir así reducir los riesgos y cumplir con la normativa vigente. Las organizaciones dedican considerables recursos a sus áreas de compliance. La discusión sobre las formas más efectivas del uso de estos recursos está lejos de haber concluido. Los reguladores al principio exigieron normas y controles. Al ver que no alcanzaba se agregó “ética” como elemento requerido en los programas de compliance. Ahora se pide cada vez más la “cultura adecuada” como elemento necesario. Es algo extraño que los reguladores tengan que exigir a las empresas la observación de principios éticos y el desarrollo de una cultura propicia, para que ellas presten atención a algo tan básico para su sustentabilidad y declamado con tanto entusiasmo en todos los códigos de conducta y folletos de responsabilidad social empresaria. La bienvenida llegada de la ética y cultura al trabajo en Compliance o “Ética & Compliance”o “Integridad & Compliance” o como se llame el área hoy en las organizaciones, origina discusiones sobre definiciones, alcance y consecuencias y desborda sus capacidades y recursos. Ni la ética ni la cultura de la compañía son definidas por el Área de Compliance. La cultura de la organización la define la Alta Dirección. En consecuencia debe haber un mayor rol del Directorio y de RRHH en este tema que requiere una mayor cooperación entre Directorio y Área de Compliance. Agregan a la incertidumbre de cómo enfrentar mejor los cambios tecnológicos como Big Data y Data Analytics que amenazan con sus irrupciones muchos modelos de negocio y traen enormes cambios al mundo respecto de cómo gestionan hoy las empresas los riesgos, compliance y auditoria. Ante este panorama del ocaso del sistema normativo de compliance y el mar de aspectos semi-nuevos y nuevos a integrar en el trabajo, conviene dar un paso atrás para ordenarse al menos en el importante tema de prevención: viendo el tema desde el resultado deseado, se pueden resumir muchos de los esfuerzos de “Ética & Compliance” a la pregunta: ¿Cómo hago para que mi gente tome buenas decisiones en situaciones difíciles? Se plantea como un tema de guía y educación en el proceso de la toma de decisiones. Guiar y educar a los empleados (desde los directores para abajo) en cómo tomar buenas decisiones involucra necesariamente a la cultura, la ética y las normas, así como los sesgos cognitivos de las personas. Partir de los esfuerzos de prevención de casos de compliance desde la educación en la toma de decisiones y no desde el entrenamiento en normas y regulaciones tiene efectos positivos más allá de prevenir más efectivamente decisiones no deseadas. Contribuye a tomar mejores decisiones en la compañía en general y permite formas de capacitación atractivas para los participantes: cortas, frecuentes, interactivas y concretas, basadas en la resolución de dilemas. Las buenas decisiones dependen en un grado importante de la habilidad de ver y considerar muchos aspectos diferentes en el momento de tomar decisiones. Viendo y tomando en consideración más aspectos de un tema, ayuda a compensar los “blind spots” de cada uno, causados por nuestros sesgos y rigideces en el planteo del problema. Así aumenta la probabilidad que se tomen en cuenta temas éticos y otros tópicos en el proceso de toma de decisión corporativo. Por eso es esencial promover desde el Directorio y liderando con el ejemplo, un clima de tolerancia y pluralismo en la organización. En este contexto, una “cultura corporativa” muy arraigada puede no ayudar: cementa la manera de ver las cosas siempre de la misma manera y no es propicia a opiniones nuevas y diferentes. En otras palabras: para un mejor compliance quizás necesitemos más guía y educación en el proceso de toma de decisiones y mayor tolerancia al descenso en la organización. Se abren dos vías de trabajo: 1.            Capacitación a los individuos en cómo tomar decisiones éticas. Este apoyo incluye las herramientas metodológicas, el pensamiento crítico, el uso correcto de las matrices de decision y técnicas para la de-sesgación así como la práctica de la toma de decisiones éticas en situaciones de presión, extorsión y tentación. 2.            Medidas para fomentar la pluralidad de opiniones en la organización. Si las decisiones requieren de varias intervenciones están expuestas a varios actores y, así, a multiples perspectivas, debilitando rutinas engranadas. Lideres que invitan al descenso tienden a desafiar planteos tradicionales de problemáticas. Un famoso ejemplo en este sentido es el de Alfred P. Sloane que dijo en el directorio de General Motors: “Veo que estamos todos de acuerdo. Vamos a retomar este tema y decidir cuando hayamos tenido un tiempo para desarrollar las diferencias de opinión y, quizá, ganar mayor comprensión de lo que esta decisión significa para nosotros. Los programas de cumplimiento en el marco estrictamente mercantil, esto es, como elemento cuya aprobación ha de integrarse en el adecuado cumplimiento del deber de diligencia del ordenado empresario que el administrador social debe satisfacer, y cuya infracción podría dar lugar a acciones de responsabilidad frente a administradores sociales. En dicho precepto en el marco de las decisiones estratégicas o de negocio, se protege la actuación de los administradores sociales cuando actúan de buena fe, informados, sin interés particular, y con sujeción a un procedimiento de toma de decisiones. Este proceso o procedimiento de toma de decisiones bien puede servir de nexo, entre el programa de cumplimiento penal con el deber de diligencia del administrador social en el plano normativo, más allá, de su lógica conexión teórica. Cuando la falta de adopción o la adopción ineficaz de un programa de cumplimiento ocasiona daños a una compañía (imposición de multas, reclamaciones civiles, pérdidas de oportunidades de negocio…) puede afirmarse que los administradores han infringido sus deberes de diligencia en la gestión de la empresa social. Sin embargo, en este último trabajo no puedo compartir los criterios de los que parte cuando plantean inicialmente que: La finalidad última del derecho penal cuando sanciona a las personas jurídicas es incitar a sus dirigentes a que adopten un sistema de autorregulación interno que les lleve a prevenir, detectar y sancionar las infracciones de sus empleados y dirigentes.  Como también todos sabemos, para que el derecho penal sea eficaz éste no puede actuar como una suerte de “llanero solitario”. Las armas del derecho penal, por muy temibles que parezcan, en realidad son un tigre de papel si no van acompañadas de otros controles sociales o jurídicos que empujen en la misma dirección La asociación que existe actualmente entre responsabilidad penal (o sancionadora) de personas jurídicas y programas de cumplimiento quizás puede dar a entender que, en este caso, al legislador se la ha ido la mano y ha utilizado la responsabilidad penal como prima ratio, sin ensayar antes otros medios de coacción, con idéntica finalidad. Entiendo que la cuestión en este planteamiento será que la toma de decisiones sujetas a la discrecionalidad empresarial tenga un procedimiento previamente establecido para la toma de decisiones en su propio programa de cumplimiento normativo o, ¿por qué no?, en sus estatutos, que: a) Desde una óptica de un consultor pueda “positivizar” a través de una norma de soft law – estatutos o programa de cumplimiento; y, b) desde una óptica penal, esa toma de decisiones previamente establecida y conocida por cada uno de los cargos/puestos/órganos, según sus competencias y funciones en la organización, permita la acreditación del cumplimiento y eficaz ejecución de los programas de cumplimiento a efecto de su posterior acreditación ante un juzgado de lo penal.

Discriminación y acoso laboral son un problema eterno en las organizaciones con serias consecuencias para ellas y los individuos. Las víctimas sufren desde problemas emocionales hasta de salud física y las organizaciones sienten baja satisfacción laboral, bajo compromiso con la empresa, baja motivación, baja productividad y alta rotación de personal. No sorprende que la discriminación laboral esté entre las top 5 preocupaciones de los Compliance Officers. Sin embargo, hay pocas empresas en el país que dedican políticas y procesos destinados a la prevención de la discriminación laboral, reaccionando más bien ad hoc a casos cuando estos ocurren. Falta el paso de esta posición reactiva a una proactiva, que proteja tanto al individuo cómo a la empresa contra daños reputacionales y financieros y que mejore motivación y productividad. Este paso se inicia conjuntamente entre el Área de Ética & Compliance y RRHH y abarca aspectos culturales y formales: La piedra fundamental es la cultura. El Tone at the Top y la cultura organizacional, tan importantes para la efectividad de cualquier programa de ética y compliance, necesariamente abarcan también los temas de discriminación laboral y acoso. La cultura organizacional no puede ser una en la lucha contra la corrupción y otra diferente en temas de discriminación. Es única y cualquier falencia en un aspecto, daña gravemente a su credibilidad general en la organización. Los temas de discriminación y acoso se deben incorporar en el programa de ética & compliance (el código de conducta, mensajes de liderazgo de la Alta Dirección, el entrenamiento etc.). El Compliance Officer coordina y supervisa todos los aspectos de ética & compliance en la organización (y el que reporta y discute estos temas con el Directorio). Por ende, es el que debe velar por la calidad, la consistencia y las sinergias  de las múltiples expresiones de los valores de la organización, tanto en los temas de anti-corrupción, como  en los de discriminación, acoso, y otros tantos como privacidad de datos, etc. La política anti-discriminatoria y anti-acoso se formula por escrito en un lenguaje de fácil comprensión, con ejemplos de actitudes prohibidas y elementos clave claramente definidos (como las consecuencias y castigos). Se comunica a todos los empleados y terceras partes. La política escrita y difundida es importante pero no tendrá efectos sin una sistemática educación en la temática para todos los empleados, desde la Alta Dirección hasta los puestos operativos. Conviene explicar qué es discriminación y describir casos de acoso (más allá del acoso sexual) así como sus efectos dañinos para los individuos y la organización a fin de asegurar que todos tengan un claro entendimiento del tema, de su importancia acorde a los valores que rigen el comportamiento en la organización. La sensibilidad del tema requiere especial atención para brindar la educación de una manera que, más allá de las formalidades de la política, pueda conseguir una comprensión emocional y promover cambios en la actitud de las personas. Dentro de la política que rige para denuncias como las líneas de reporte, conviene incorporar las denuncias por discriminación y acoso, y la protección y no retaliación de los denunciantes. Como está comprometida la persona misma de la víctima (y del denunciado) de discriminación y acoso, es aún más importante que las investigaciones de denuncias se realicen con celeridad, profundidad e imparcialidad. Los incentivos para las empresas de empezar (o continuar) con una política clara de anti-discriminación y acoso son grandes: la sociedad está cambiando. Su tolerancia ante ciertos comportamientos discriminatorios y de acoso disminuye y los riesgos reputacionales y legales aumentan. Los incentivos para las empresas de empezar (o continuar) con una política clara de anti-discriminación y acoso son grandes: Mejoras en la motivación de sus empleados y su productividad así como la mitigación de riesgos reputacionales y legales. Además, la discriminación y acoso laboral deben ser incluidos y evaluados en el mapeo de riesgos de Ética y Compliance de la compañía. Una vez mapeados, implementar medidas para mitigar los riesgos detectados y monitorearlos.   Criminal compliance y trata de personas. Se dice que “en actividades especialmente sensibles, se procede incluso a establecer por vía reglamentaria parámetros mucho más concretos sobre la manera de prevenir el riesgo de realización de determinadas conductas delictivas. Esta regulación estatal intervencionista se presenta, por lo general, en ámbitos en los que el creador del riesgo puede llegar a tener una situación de conflicto de intereses que podría influirle al momento de fijar internamente los criterios de prevención. Así sucede, por ejemplo, con el lavado de activos en el ámbito financiero o con la contaminación ambiental en el sector minero.” Consideremos que el compliance criminal, como un ejercicio de autorregulación regulada, permitiría esclarecer cuándo determinadas acciones y omisiones de la empresa y sus empleados, suponen o no una defraudación de expectativas. Ahora bien, esa valoración de las acciones se debe hacer ex ante, en el rubro, y conforme el saber de expertos. Pues “(l)as capacidades que se asignan al observador objetivo imaginario dependen de la situación y de los bienes puestos en peligro”. Esta situación particular, en el caso del fenómeno en comento (trata macrocriminal), vendría dada –consideramos– por el análisis de contexto y la determinación de patrones de macrocriminalidad. Pero a su vez debería ser positivizada en regulaciones estatales, que brinden y acerquen esa heteroregulación (como sucede en caso de lavado de activos). Y ello así porque, como lo detallamos en el capítulo anterior, una regla privada no puede determinar o codeterminar el reproche penal. Es verdad que la empresa, preocupada por prevenir delitos, o aun más, por no intervenir en la comisión de ilícitos, puede realizar una evaluación de riesgos; así valorará, conforme el giro de su empresa, las interrelaciones que tenga con otros sujetos públicos o privados, así como su ubicación geoespacial y el alcance (nacional o trasnacional) de sus operaciones, cuáles son los principales riesgos, para así intentar la neutralización de los mismos. Ahora bien, eso no quiere decir que exista por parte de la empresa, un ejercicio de clarividencia y que por ende pueda aspirar anticipar todas las modalidades, que pueden darse, por ejemplo, en ámbito de lavados de activos. Esto se reconoció como inviable y es por eso que la historia de la regulación de este tipo de ilícito, se ha visto nutrida copiosamente por diversos instrumentos extra-penales, internacionales y nacionales. Con los mismos se fue acercando al destinatario de la norma, y en especial, a quienes están principalmente obligados a cooperar en la prevención de este delito, las especificidades para detectar las actividades vulnerables (mismas que son un reflejo de las tipologías de lavado que se han podido inferir tras el estudio inductivo de las modalidades propias, en cada contexto y en cada ámbito). Sin contar con estos afluentes, la persona obligada a autorregular el tema dentro de un sistema de compliance, difícilmente podría cumplir con su deber. En otras palabras, la empresa (y en su caso, como lo vimos, el empresario) debe proceder a inventariar los riesgos de infracción de la norma, tratando de simplificar (por medio del señalamiento de conductas y/o la ejemplificación) los ámbitos en los que se puede llegar a concretar el quebrantamiento de las expectativas. Al plasmar el sujeto en su programa de cumplimiento, los riesgos que infiere y las conductas que regula, a fin de que la empresa, sus empleados y directivos no incurran en estos, lo que realiza, no es otra cosa que la precisión de las expectativas de expectativas, precisión que no suma elementos de fondo (la prohibición ha sido ya cristalizada por el legislador) sino antes bien, ejemplifica y baja el mandato estatal en su ámbito específico de experticia (derecho de medio ambiente, derecho económico, etc.); todo lo anterior en cumplimiento de la colaboración que el Estado le requiere a través de la adopción de un programa de cumplimiento. Ahora bien, el compliance tiene diversos afluentes. Éstos, como se analizó, provienen de fuentes penales, extrapenales y meta-penales. Cada uno de ellos integra desde nuestra concepción el sistema de compliance y, por ende, deben verse reflejados en la estructura y contenido del Programa criminal. Si hablamos del delito de trata podemos detallar que, desde el ámbito internacional, existen diversas regulaciones que brindan directrices aplicables a la materia. A saber, en primer lugar, están los tratados internaciones y convenciones aplicables, más las directrices. Los mismos contienen obligaciones y pautas, así como algunas precisiones sobre actividades riesgosas y mecanismos que el Estado debería utilizar (en algunos casos, reglar) a fin de prevenir, detectar y combatir los ilícitos.   Pautas para una Política sobre Acoso Laboral. Definiciones. Acoso laboral: conducta, declaración o solicitud que, realizada con una cierta reiteración, puede considerarse ofensiva, humillante, violenta o intimidatoria, siempre que se produzca en el lugar de trabajo o con motivo de la relación profesional que une al acosador con la persona acosada y que implique el insulto, el menosprecio, humillación, discriminación o coacción de la persona afectada, pudiendo llegar a lesionar su integridad a través de la degradación de las condiciones de trabajo. Declaración de principios. El principio de igualdad de trato, especialmente entre mujeres y hombres, supone la ausencia de toda discriminación, directa o indirecta, por razón de género, y, especialmente, las derivadas de la maternidad, la asunción de obligaciones familiares y el estado civil. Las conductas constitutivas de acoso constituyen un acto discriminatorio y no perjudican únicamente a las personas directamente afectadas, sino que repercuten igualmente en su entorno más inmediato. Toda persona tiene derecho a recibir un trato correcto, respetuoso y digno, y a que se respete su intimidad y su integridad física y moral, no pudiendo estar sometida bajo ninguna circunstancia, ya sea por nacimiento, raza, edad, genero, orientación sexual, religión, opinión o cualquier otra condición o circunstancia personal o social, incluida su condición laboral, a tratos degradantes, humillantes u ofensivos. En virtud de ese derecho, la empresa declara que: rechaza y prohíbe cualquier práctica de este tipo en el trabajo, haciendo expreso pronunciamiento de tolerancia cero respecto a estas acciones, así como de facilitar los medios precisos para prevenir y hacer frente, en su caso, a las consecuencias derivadas de este tipo de conductas. Todos los directivos y mandos velarán por el mantenimiento de un entorno laboral exento de riesgos y se comprometen a adoptar las medidas necesarias, tanto organizativas como de formación y comunicación, para prevenir la aparición de conductas de acoso en la Empresa. Los directores, gerentes, jefes y empleados deben procurar un entorno laboral libre de situaciones de acoso, incluyendo especialmente acoso sexual, acoso por razón de género y acoso moral. Tipos de acoso laboral El acoso laboral puede clasificarse según su modalidad y según el tipo de vínculo que hay entre la persona acosadora y la persona acosada. 1. Clasificación según modalidad: 1.Acoso sexual: cualquier comportamiento verbal, no verbal o físico, de naturaleza sexual que tenga el propósito o produzca el efecto de atentar contra la dignidad de una persona, en particular cuando se crea un entorno intimidatorio, degradante u ofensivo. 2. Acoso por razón de género: cualquier comportamiento reiterado y prolongado en el tiempo, realizado en función del sexo de una persona, con el propósito o el efecto de atentar contra su dignidad y de crear un entorno intimidatorio, degradante u ofensivo. 3. Acoso moral (mobbing): toda conducta abusiva o de violencia psicológica, dirigida de forma reiterada y prolongada en el tiempo, hacia una o más personas por parte de otra/s que actúan frente aquella/s desde una posición de poder (no necesariamente jerárquica). Dicha exposición se da en un marco de una relación laboral y supone un riesgo importante para la salud. 2. Clasificación según vínculo: Existen tres tipos de acoso según vínculo establecido: • Acoso horizontal: entre compañeros/as. • Acoso vertical descendente: mando – subordinado/a. • Acoso vertical ascendente: subordinado/a – mando. 3. Tipos de conductas de acoso laboral Las conductas que pueden manifestar una situación de acoso laboral pueden ser muy diversas. No obstante, de forma resumida tienen la consideración de acoso laboral: a) El abuso de poder. b) El contacto físico deliberado y no solicitado, comentarios, gestos o insinuaciones de carácter sexual no consentido, solicitud de favores sexuales, menosprecio en razón del género por ser una mujer u hombre y cualquier otro comportamiento que tenga como causa o como objetivo la discriminación, el abuso o la humillación de las personas relacionadas en esta norma. Requisitos para la existencia de acoso laboral Para que exista acoso laboral deben darse todos los siguientes requisitos: 1. Comportamiento de acoso no deseado por la persona que lo recibe, 2. Comportamiento de: • naturaleza sexual, o con connotaciones sexuales, o • por razón de género de una persona, o • por otras causas subjetivas por parte del acosador (moral/mobbing). 3. Con finalidad de atentar contra la dignidad o crear un entorno intimidatorio, hostil, degradante, humillante u ofensivo. 4. Con una pauta de comportamiento prolongada en el tiempo. Debe tenerse en cuenta que determinados comportamientos aislados o infrecuentes, si son graves, pueden bastar para ser calificados como acoso laboral, por parte del Comité de Ética y de Prevención Penal. Prevenir el acoso laboral Se han definido las siguientes medidas para prevenir el acoso laboral: Formación y comunicación El Comité de Ética y de Prevención Penal difundirá esta norma y facilitará oportunidades de comunicación y formación para: • Todos los directivos y empleados de AUSOL (incluidos los becarios). • Personal perteneciente a las empresas que prestan sus servicios en la sede o instalaciones de la empresa.   Funciones y responsabilidades Directivos y mandos Los directivos y mandos tienen las siguientes funciones y responsabilidades: • Dar ejemplo tratando a todas las personas con respeto y educación, evitando cualquier comportamiento o actitud que pueda ser ofensivo, molesto o discriminatorio. • Garantizar el cumplimiento y el seguimiento de las orientaciones y principios que establece esta norma. • Prevenir situaciones de acoso laboral del equipo que tengan a su cargo. En caso de comprobar la existencia de posibles indicios de acoso laboral deberán investigar y gestionar la posible existencia del mismo. Si comprueba la veracidad de los indicios deberán realizar la correspondiente comunicación al Comité de Ética y de Prevención Penal a través de los canales establecidos. • Responder adecuadamente a cualquier persona que les comunique una situación de acoso laboral, verificando la posible existencia y si se comprueba la veracidad de la situación de acoso laboral comunicarla al Comité de Ética y de Prevención Penal a través de los canales establecidos. • Cooperar con el Comité de Ética y de Prevención Penal en la investigación de una comunicación por acoso. • Mantener la confidencialidad de los casos comunicados. Área de Recursos Humanos •Requerir a los proveedores de servicios de coaching y de análisis de riesgos psicosociales que si detectan situaciones de riesgo relacionadas con acoso laboral lo comuniquen de forma inmediata al Comité de Ética y de Prevención Penal a través de los canales establecidos. Empleados • Mostrar respeto y consideración hacia todas las personas con las que nos relacionamos y evitar todas aquellas acciones que puedan resultar ofensivas, discriminatorias o abusivas. • Cooperar con el Comité de Ética y de Prevención Penal en la investigación de una comunicación por acoso. • Comunicar a través de los canales establecidos las situaciones de acoso laboral que detecten. • Mantener la confidencialidad de los casos comunicados. Servicio médico • Disponer de mecanismos de detección de acoso laboral, tales como protocolos específicos elaborados al efecto. • En caso de detectar acoso laboral el personal médico deberá comunicar el hecho al Comité de Ética y de Prevención Penal a través de los canales establecidos. Actuar ante el acoso laboral Cualquier Director o empleado de la Empresa, ya sea en calidad de persona acosada o persona que detecta una situación de acoso laboral deberá ponerlo en conocimiento a través de los siguientes canales de notificación / consulta o denuncia: Canal de información Canal Ético Consecuencias En caso de que el Comité de Ética y de Prevención Penal compruebe la existencia de acoso laboral, la propuesta de resolución será puesta en conocimiento del área de Recursos Humanos o del Directorio de la Empresa según la categoría de la persona acosadora de acuerdo con la Política de Cumplimiento, con la finalidad de: Resolver la relación laboral o mercantil que une a la persona acosadora con AUSOL. Aplicar las medidas organizativas adecuadas que no signifiquen un perjuicio profesional para la persona acosada, a los efectos de mitigar aquellas situaciones de acoso laboral no acreditadas. No premiar a las personas como p.ej. promociones. Sin embargo, si el Comité de Ética y de Prevención Penal llega a la conclusión de que el acoso laboral comunicado constituye un ilícito penal lo pondrá inmediatamente en conocimiento de la Autoridad Judicial pertinente. Asimismo, en caso de que la Inspección de Trabajo y Seguridad Social detecte una situación de acoso laboral no conocida por la Empresa, así como ante la existencia de sentencias firmes de la Jurisdicción Laboral o Penal (es decir que ya no quepa la posibilidad de recurrirlas), que declaren la existencia de acoso en la Empresa, procederá a resolver la relación laboral o mercantil que une a la persona acosadora.

La protección de los datos personales existe desde hace casi medio siglo. El Derecho a la Protección de los Datos Personales ha sido definido como el área del derecho que ampara los datos personales y que constituye un conjunto de reglas que guía a compañías y organizaciones en el uso que se hace de la información personal, es decir, la que identifica individuos. La ley 25.326 introdujo la protección de datos personales en el derecho argentino y a la vez reglamentó la acción constitucional de hábeas data (art. 43, CN). El Derecho a la Protección de los Datos Personales es la respuesta a la acumulación y tratamiento de datos personales en archivos y ordenadores. Consiste en otorgar a los individuos una facultad de control sobre sus datos personales, a través de toda una serie de reglas y principios que incluyen la calidad de ciertos datos, el consentimiento para su tratamiento, acciones judiciales, limitaciones a los bancos de datos en su contenido, en el tiempo y en la forma de su tratamiento, en las cesiones o transferencias a terceros y en la intervención de agencias especializadas del Estado destinadas a tutelar estos derechos. Todo esto implica obligaciones para empresas y particulares que tratan datos personales. Hoy en día no existe empresa que no tenga bases de datos. Por lo tanto, resulta crítico para cualquier empresa el cumplir con normas de protección de datos. Los datos personales son un bien preciado para la empresa, puede tratarse de un listado de empleados o de clientes, o un futuro plan de marketing. A su vez los datos personales deben ser amparados contra accesos no autorizados de empleados infieles, de competidores o de hackers. Estas reglas que comentamos fueron creciendo y madurando y luego de décadas, el derecho de la protección de datos personales se ha vuelto un elemento más de la moderna empresa. Una empresa que no tiene una política de privacidad y de seguridad informática carece de elementos necesarios para brindar una reputación seria en el mercado. Se expone a serias responsabilidades legales en caso de que algo ocurra con los datos que custodia. El mejor ejemplo de ello son el efecto “reputacional” negativo que tiene un data breach en la empresa. El compliance en materia de protección de datos implica al menos asegurarse de las siguientes situaciones dentro de una empresa: — Debe existir una base legal para cada procesamiento de datos personales que realice la empresa (generalmente consentimiento, pero puede ser interés público o interés legítimo del responsable del tratamiento). — La empresa debe contar con una política de privacidad que indique de qué forma se tratarán los datos personales. — Las cesiones y transferencias internacionales de datos personales a países que no tienen legislación adecuada deben tener un fundamento legal y contener resguardos para la protección de los datos personales. — Se deben aplicar las medidas de privacidad como norma general —privacy by default— y desde el primer momento en el que se plantea un tratamiento de datos —privacy by design— para un nuevo producto o servicio a lanzar al mercado. Una correcta aplicación del principio de responsabilidad proactiva exige que se evalúen los riesgos que entrañan aquellas actividades susceptibles de incumplir la normativa de protección de datos, y que se apliquen las medidas preventivas necesarias para minimizar dichos riesgos. — Con el Reglamento aparece el concepto de la evaluación del impacto de actividades en materia de datos: el art. 35, RGPD Europeo establece que “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”. Es decir, en aquellos casos en los que exista un riesgo de incumplir la normativa, se tendrá que evaluar el potencial impacto que dicho incumplimiento tendría, en caso de producirse, en los derechos y libertades de las personas físicas afectadas . — Aparece el concepto de chief privacy officer o data protection officer, o Delegado de Protección de Datos (Data Protection Officer, DPO (10)): la figura del DPO (art. 37 del Regla- mento) tiene por objeto: i) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento; ii) supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; iii) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el art. 35; iv) cooperar con la autoridad de control; v) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, y realizar consultas, en su caso, sobre cualquier otro asunto (art. 39.1 del Reglamento).   Política de Protección de Datos. Esta Política de Protección de Datos complementa el Código de Conducta y aplica a todos los directores, síndicos, empleados, contratistas y terceros que actúan en representación de la Empresa o sus sociedades controladas. La Empresa exige a sus directores, síndicos, empleados y terceros que actúan en su representación que observen esta Política con el máximo alcance permitido por la ley. La Empresa se compromete a respetar los derechos de privacidad, proteger la información, las redes, los sistemas y los dispositivos de la Empresa que tenga en su poder contra riesgos o ataques cibernéticos, manteniendo la transparencia y garantizando el uso adecuado de la información recabada. Una de las prioridades de la Compañía consiste en recabar, manejar, almacenar, procesar y proteger información personal de manera responsable, en cumplimiento de la normativa aplicable. Declaración de la Política de Protección de Datos. La Empresa no tolerará violaciones de las leyes aplicables en materia de privacidad o protección de datos ni incumplimientos de las políticas de la Compañía. Todos los directores, síndicos y empleados tienen la obligación de mantener la confidencialidad de la información comercial de carácter privada y de proteger la información personal recopilada. La Empresa requiere que toda la información que tiene en su poder se almacene de forma segura y se use solo para fines legítimos. Las violaciones a la Política de Protección de Datos de la Empresa pueden traer aparejadas medidas o sanciones disciplinarias. La Compañía espera que todos los terceros representantes, proveedores y clientes con quienes hace negocios cumplan con todas las leyes aplicables en materia de protección y privacidad de los datos. Limitaciones al uso, almacenamiento y procesamiento de los datos recabados. La Empresa puede recabar información personal e Información Personal Sensible (IPS), en la medida de lo permitido por la ley aplicable y de acuerdo a esta Política. La Compañía puede transmitir información personal, incluida IPS, en forma global y a terceros para fines comerciales legítimos conforme a la ley aplicable. La Empresa conservará información personal por el plazo estrictamente necesario y procederá a eliminarla de modo tal de evitar la pérdida, el robo, el uso indebido o el acceso no autorizado a la misma. Limitaciones aplicables a la Información Personal Sensible: la Compañía restringe en forma razonable el acceso a la información de la Empresa, incluida IPS, a los individuos autorizados que deban acceder a la misma para propósitos comerciales legítimos, entre ellos, cuestiones de índole laboral e impositiva. Ciberseguridad y protección de datos. En el marco de esta Política de Protección de Datos y de la Política del Sistema Integrado de Gestión, la Empresa procura proteger sus sistemas y dispositivos de red y toda la información de la Empresa. La Compañía utiliza distintas defensas cibernéticas para proteger sus sistemas de red contra ataques, incluyendo firewalls y software antivirus. la Empresa exige que el acceso a sus sistemas sea seguro y esté protegido con contraseña, obliga a sus empleados a cambiar sus contraseñas periódicamente, y mantiene otros controles de acceso adecuados. Asimismo, la Empresa sólo permite acceder a sus redes y servicios de red a empleados y terceros que actúen en su nombre, y que estén específicamente autorizados a tales efectos. Registros y gestión de la información. La Empresa toma medidas adecuadas para conservar sus registros comerciales y su información de conformidad con la normativa aplicable. La Compañía realiza periódicamente copias de seguridad de los correos electrónicos y documentos de la Compañía almacenados en el servidor. Los correos electrónicos y documentos se almacenan por el período definido en los procedimientos de clasificación de la información de la Empresa. Todos los registros financieros se conservan por un plazo de cinco (5) años y los registros legales e impositivos se conservan por un plazo de diez (10) años, de conformidad con las leyes aplicables en Argentina. El Departamento de Tecnología de la Información lleva un registro de todos los informes de incidentes de protección y privacidad de los datos por un plazo mínimo de cinco (5) años, además de registros de investigaciones sobre informes de incidentes y la resolución final de los mismos. Esta sección de Preguntas y Respuestas responde a las preguntas comunes sobre la Política de Protección de Datos. ¿Qué es la información personal? La información personal es toda información relacionada con una persona identificable, por ejemplo, el nombre, la dirección, el correo electrónico, el número de teléfono, la fecha de nacimiento, o el documento nacional de identidad de una persona, que, por sí sola o en combinación con otra información, puede ser utilizada para identificar, contactar o localizar a una persona específica. ¿Qué es la información personal sensible? La información personal sensible (o “IPS”) es toda información personal de carácter privado, confidencial, o bien de naturaleza sensible. La IPS puede incluir información financiera, por ejemplo, números de cuentas bancarias o tarjetas de crédito; información médica o sobre el estado de salud de un paciente; datos personales sobre menores; números de seguro social u otros números de identificación personal. ¿Qué se puede hacer para ayudar a proteger a la Empresa contra riesgos cibernéticos? La Empresa confía en que sus directores, síndicos, empleados y terceros actuando en su representación, tomarán medidas para mitigar riesgos cibernéticos, por ejemplo, vulneración de datos, y protegerán cabalmente la información de la Empresa: Prevenir el acceso no autorizado y no compartir información de la Empresa Limitar el acceso a la información de la Empresa a las personas autorizadas para propósitos comerciales legítimos; Usar contraseñas seguras y modificarlas periódicamente, de acuerdo a los procedimientos de la Empresa; Cerciorarse de que sus equipos tengan instalada la última actualización del software de seguridad; Usar los dispositivos, el hardware y el software aprobados o proporcionados por la Empresa para todas las cuestiones de índole laboral; No enviar información de la Empresa por correo electrónico a su dirección de correo electrónico personal y no almacenar o guardar información de la Empresa en dispositivos no aprobados, por ejemplo, unidades USB; Mantener protegidos archivos físicos y copias impresas, las oficinas y áreas de almacenamiento de la información; Evitar y denunciar correos electrónicos, mecanismos de ingeniería social u otros intentos de suplantación de identidad (phishing) para obtener información de la Empresa en forma indebida; y No revelar información personal, información comercial de naturaleza confidencial o sensible, secretos comerciales u otra información privada relacionada con la Empresa o sus empleados. ¿Qué incidentes se deben denunciar? Los empleados pueden denunciar sus sospechas de incidentes de ciberseguridad o privacidad de los datos, incumplimientos de la ley, o violaciones de las políticas de la Empresa de acuerdo con la Política de Reporte de Cumplimiento. ¿Cómo se deben denunciar sospechas de violación? Cualquier persona puede denunciar una sospecha de incidente o violación de ciberseguridad a la Empresa. Se pueden realizar denuncias anónimas a través del Formulario de Reporte de Compliance disponible en el sitio web de la Empresa, bajo la sección “Contacto” o por correo electrónico a conducta.empresarial@empresa.com.ar. No obstante, si quien denuncia se identifica, la Compañía puede hacer un seguimiento con quien denuncia para asegurarse de que se resuelva el incidente y dar feedback. Los empleados, deben informar todas las sospechas de violaciones relacionadas con protección de datos a su supervisor, al Departamento de Tecnología de la Información, la Mesa de Ayuda de Tecnología de la Información, o a Recursos Humanos. También pueden realizar una denuncia ante el Auditor Interno o el Director de Asuntos Legales y Compliance, o bien enviar una denuncia por escrito a conducta.empresarial@empresa.com.ar. Se investigarán todas las denuncias relacionadas con quejas o incidentes de privacidad o protección de datos y se abordarán conforme a la Política de Reporte de Compliance y los procedimientos relacionados en materia de cumplimiento y tecnología de la información.

Actualmente, la evolución exponencial de los avances tecnológicos en entornos globales, se encuentra generando disrupción y cambios de paradigma continuos. El impacto que estos cambios generan en las organizaciones, pueden vislumbrarse en las decisiones y estrategias que los Directivos / Ejecutivos de Tecnología o CIOs (Chief Information Officers) adoptan para sostener su competitividad.  El escenario global actual no enfatiza la preponderancia ni el impacto de una tecnología particular, sino más bien, el rol transformacional que la digitalización está teniendo en los procesos, la estrategia y la cultura organizacional. Las principales barreras que atentan contra estos cambios (falta de visión estratégica, incertidumbre respecto de dónde iniciar el proceso hacia la digitalización, carencia de habilidades en la organización – según el cuadro a continuación): Cabe resaltar que las principales áreas funcionales que se encuentran mayormente enfocadas en extraer beneficios de la digitalización son: Finanzas y Contabilidad, Data & Analytics, TI y Customer Care. A nivel de industria, puede contemplarse que, globalmente, Servicios Financieros (63%) y Telecomunicaciones (28%) se encuentran liderando los esfuerzos de digitalización. Esto demuestra la relevancia estratégica de la tecnología como medio para alcanzar la diferenciación en industrias ampliamente comoditizadas. Asimismo, cabe destacar que las áreas funcionales de Finanzas (65%) y Data & Analytics (56%) son las que mayor enfocan sus inversiones en disrupción digital, afectando significativamente el compromiso de Gerentes de Unidades de Negocio y Altos Ejecutivos (principales responsables de liderar estas iniciativas). A nivel de liderazgo, se espera que la digitalización contribuya y permita robustecer la colaboración en la organización. Para ello, y para lograr mayor agilidad intra-organizacional, resultará clave: Reducir el tiempo invertido en tareas transaccionales y operacionales para liberar mayor tiempo a la colaboración. Mejorar el ownership y el accountability crossfuncional para los proyectos e iniciativas de negocio, realizando hincapié en la planificación. Optimizar los esfuerzos por identificar de qué manera cada función involucrada puede colaborar en resolver problemáticas clave, tales como la comunicación y el trabajo en equipo. Involucrar más recursos y personal a estas iniciativas desde la generación de ideas, hasta la resolución de problemas, así como también, comprometer a los clientes para participar de estas iniciativas (ej: vía plataformas de crowdsourcing). Cabe destacar el hecho de que estas tecnologías pueden generar impacto en áreas tales como: a) Experiencia de cliente; b) Mejoras en el modelo de negocio de la organización; c) Capacidad para resolver problemáticas operacionales complejas. Como resultados clave, se destacan: 1 - Los líderes de las organizaciones tecnológicas admiten que sus compañías no se encuentran enteramente preparadas para el impacto de la digitalización. Si bien es cierto que gran parte de los encuestados siente que la disrupción posee un efecto positivo en términos de posibilitar alcanzar nuevos mercados y crear modelos operativos más flexibles (combinando servicios cloud, de Data & Analytics y de pagos digitales), los ejecutivos también temen que esta flexibilidad abra las puertas a nuevos competidores fuera de la industria. Actualmente, muchas organizaciones como Amazon, Google y Microsoft han aprovechado esta visión para diversificar su portafolio de soluciones de valor. 2 - El sector de alta tecnología está invirtiendo en una amplia gama de tecnologías disruptivas, apostando a incrementar la efectividad operativa y mejorar la experiencia de cliente. La combinación de tecnologías tales como Internet de las Cosas y Data & Analytics está reduciendo la brecha necesaria para alcanzar los objetivos de productividad y mejorar la experiencia del cliente. El uso de Inteligencia Artificial y software de automación robótica para gestionar transacciones, predecir necesidades del cliente y priorizar proyectos que impulsen el crecimiento de estas tecnologías se está tornando crítico en la agenda de los ejecutivos de tecnología. 3 - Las compañías de alta tecnología aún tienen dudas sobre qué tecnologías disruptivas oficiarán como agentes de cambio en un mercado cambiante. Entre la Realidad Virtual / Realidad Aumentada, la impresión 3D y la robótica, resulta complejo definir la ecuación que maximice las utilidades derivadas de este tipo de iniciativas. No obstante, es cierto que resulta fundamental emplear indicadores críticos de desempeño para monitorear la utilización de los recursos detrás de estas inversiones, comprendiendo cómo estas TICs asisten en la reducción de costos operativos y en la mejora de la experiencia de cliente. 4 - Las tecnologías disruptivas no se encuentran priorizadas en la cima de la agenda de los líderes de la industria. En este sentido, dado su potencial transformador, se está tornando cada vez menos común que este portafolio de iniciativas dependa exclusivamente del área de Tecnología Informática. En este sentido, resulta fundamental contar con patrocinio de la Alta Dirección, principalmente, al momento de encarar decisiones de inversión. La agilidad estratégica para encarar estas iniciativas actuará como ingrediente fundamental en un mundo en donde los tiempos son breves y la capacidad de fracasar rápido oficia de aliado. Finalmente, otro punto de dolor radica en la disponibilidad de personal calificado para capitalizar el conocimiento y tomar las decisiones con el timing adecuado; representará un desafío fundamental en el camino hacia el éxito a partir de la flexibilidad. Robotic Process Automation como alternativa disruptiva Las tecnologías digitales han evolucionado de tal forma que, a través de la utilización de robots e IA, se pueden ejecutar procesos transaccionales, de aprendizaje y razonamiento como lo haría cualquier ser humano. El cambio dramático que ha sucedido a través del tiempo lo evidencia perfectamente. En este sentido, resulta clave que las organizaciones comiencen a ser conscientes del valor agregado que cualquier tecnología de gestión disruptiva podría aportar al negocio. Las tecnologías digitales están cambiando lo que hacemos y como lo hacemos, y de esta forma se transforman en la influencia más significativa desde la revolución industrial con beneficios antes impensados. Estamos cada vez más inmersos en el marco de una economía de servicios en donde las características salientes de la propuesta de valor de las organizaciones deben rondar atributos tales como: adaptable, ágil, escalable, con decisiones basadas en datos, orientación a la experiencia del cliente, optimizando costos, entre otras. Ante este escenario, las organizaciones están comenzando a vislumbrar un cambio a partir de RPA (Robotic Process Automation). RPA es un software para ejecutar actividades que normalmente son ejecutadas por humanos. Una vez configurados, estos “robots” ejecutan una secuencia de actividades siguiendo un conjunto de instrucciones y reglas. Herramientas avanzadas de RPA incluyen procesamiento de lenguaje natural y habilidades de aprendizaje cognitivo. Entre los beneficios claves de esta tecnología, RPA tiene el potencial de: — Impactar múltiples funciones de negocio. Se estima que el ahorro para las funciones de TI puede alcanzar hasta el 60%; — Reducir significativamente los costos de transacción derivado de gestiones operativas; — Facilitar acceso a herramientas transformacionales que pueden combinar conocimiento de negocio, de procesos y de la industria en soluciones creativas y disruptivas a problemas cotidianos; — Brindar información adicional para respaldar un proceso de toma de decisiones más rápido; — Generar relaciones más sólidas y receptivas con los clientes sobre temas clave; — Ayudar a la colaboración, fomentando asociaciones más sólidas y mejorando la responsabilidad cross-funcional de las iniciativas del negocio. Los factores clave que impactan la adopción son diversos: nivel del cambio/impacto, datos (estructurados vs desestructurados), costos, cronogramas de desarrollo / implementación y horizonte en la realización de beneficios. En la imagen que figura a continuación, puede vislumbrarse la evolución de los paradigmas detrás de RPA: 1 - En un nivel inicial, se apunta a la automatización básica de procesos, empleando tecnologías basadas en workflows o macros de Excel. Más allá de las implicancias técnicas de este tipo de tecnologías menos complejas, tanto la organización de IT como las áreas de negocio deben hallarse listas para encarar este proyecto de adopción. 2 - En un segundo nivel, yace la automación avanzada de procesos, apuntando al procesamiento de datos no estructurados. Aquí, el potencial de Big Data, Analytics y otras herramientas predictivas resulta clave para identificar patrones de negocio claves y aportar valor a la gestión ejecutiva. 3 - Finalmente, en su nivel más avanzado, se vislumbra la automación cognitiva, en donde las firmas comienzan a invertir esfuerzos en el entrenamiento de robots para ejecutar actividades transaccionales. El entrenamiento incluye reconocimiento y procesamiento de lenguaje natural, auto-aprendizaje y aprendizaje basado en evidencia, entre otros. Algunas características de los 3 niveles de automación son las siguientes: 1. Automación básica de procesos: Automación de transacciones; Trabaja con datos estructurados y parámetros definidos; Robots actúan de forma autónoma; Trabajan en la camada de presentación; Fácil diseño, testes rápidos e implementación con baja inversión; Factor humano reemplazado; Proveedores: Automation Anywhere, Blue Prism, UiPath, Redwood 2. Automación avanzada de procesos: Incorpora el trabajo con datos desestructurados y soporta elementos de auto aprendizaje; Permite la captura de conocimiento tácito de procesos y lo aplica en el aprendizaje; Basado en evidencias, utiliza la alta probabilidad de resultados deseados; Disponibilidad de alto volumen de datos para modelar escenarios; Acelera el análisis humano; Proveedores: IPSoft, Arago, Ignio, Workfusion 3. Automación cognitiva: Algoritmos avanzados permiten automación de procesos de naturaleza cognitiva; Soluciones incorporan capacidades de auto aprendizaje avanzado; Pueden generar hipótesis cognitivas y analytics predictivo avanzado; Plataformas de alta inversión y largos plazos de implementación; Reduce el error humano; Proveedores: Watson, Holmes, Amelia, Celaton Como próximos pasos en este sendero de complejidad, vertiginosidad y disrupción, resulta recomendable trabajar sobre las siguientes líneas de acción: 1 - Comenzar pequeño pero pensar en grande: identifique procesos con los cuales definir una prueba de concepto (POC – Proof of Concept) para comenzar a testear la funcionalidad de RPA. 2 - Pruebe, seleccione, entrene y escale: en este orden, evalúe, en función de los resultados obtenidos en las pruebas piloto, la impronta de implementar RPA, escalando en función de resultados favorables obtenidos y ajustando de acuerdo a los desvíos / incidencias registrado en las pruebas efectuadas. 3 - Involucre el área de TI desde el inicio: sin la asistencia del área de TI, será complejo obtener resultados concretos; esta iniciativa deberá enmarcarse en el portafolio de proyectos estratégicos de las áreas de Tecnología de las organizaciones. 4 - Tecnología, proceso y dato deben ser evaluados como parte integral de la estrategia. Esto implica que será relevante contar, tanto el proveedor de la solución tecnológica (si se decide obtener de manera externa), así como también, con procesos robustamente mapeados, definidos y detallados a nivel funcional. En este sentido, resulta más que recomendable definir una Oficina de Transformación de Procesos (una PMO – Project Management Office aumentada) con capacidad de gestión y de seguimiento, a efectos de monitorear el trabajo integral de los actores y reportar directamente al CIO sobre los avances obtenidos. 5 - Consiga el buy in de los Ejecutivos: obtener el patrocinio de la Alta Dirección será clave en el ámbito de una iniciativa estratégica como esta. Para esto, será clave elabordar un Business Case (Caso de Negocios) que se nutra de KPIs claves más allá de retornos comunes y corrientes. Será clave identificar aspectos tales como: a) Cantidad de FTEs (Full Time Equivalents) que se reducirían como resultado de la implementación; b) Ahorro de costos medidos como % de la facturación; c) Impacto en EBIT/EBITDA; d) Otros indicadores típicos tales como ROI (Retorno sobre la Inversión), VAN (Valor Actual Neto), PRD (Periodo de Repago Descontado), etc. El riesgo de terceros y el compliance. Los riesgos de terceros son uno de los temas que más preocupan a los Compliance Officers. No sorprende dado que el 90% de las investigaciones en temas de corrupción involucran a un tercero: distribuidor, proveedor, consultor, etc. En consecuencia, los reguladores exigen mayores esfuerzos para minimizarlos. El Departamento de Justicia de los EEUU incluyó el tema en su documento publicado este año como uno de los 11  clave para evaluar la efectividad de programas de compliance. La SEC demostró sus  ventajas desistiendo en algunos casos de investigaciones contra empresas por tener un sólido programa de due diligence de sus proveedores/distribuidores. Está claro: la tercerización de procesos no conlleva la tercerización de riesgos: estos se comparten a lo largo de la cadena de valor. No queda otra que invertir en los procesos de compliance de las terceras partes y su debido control. Esto incluye: Due diligence inicial y monitoreo continuo Flowing down (de políticas de compliance a los subsiguientes niveles de proveedores/distribuidores) Entrenamiento y comunicación Documentación y procesos Derechos de auditoría y terminación Los pilares de un buen programa de compliance en la cadena de valor son conocidos y se ven reflejados en un sinnúmero de guías. O la del WEF acá: en la práctica sin embargo aparecen muchos problemas. Estos problemas empiezan con dudas respecto de cómo realizar la evaluación de los riesgos que constituyen los terceros (ver acá nuestro comentario sobre mapeo de riesgos en el NL No. 157) y qué profundidad se debe dar a la due diligence en cada caso. Cómo se la puede automatizar para ganar velocidad y bajar complejidad y costos y cómo establecer un adecuado proceso de monitoreo periódico. A estos problemas materiales se agregan problemas por la cantidad de relaciones cliente – proveedor que tiene cada empresa. Por un lado es relativamente fácil imponerle a un proveedor o distribuidor un determinado proceso de compliance y monitorear su cumplimiento. Solo que las empresas no trabajan con un proveedor y un distribuidor sino con cientos si no miles. La gran cantidad de relaciones con proveedores y distribuidores y sobre todo la cantidad de niveles entre cliente final y proveedor original, complican la situación todavía más. Cada empresa suele tener su propio código con sus propias imposiciones a sus proveedores que difiere parcialmente de las políticas de otros clientes/proveedores.  Cada empresa es parte de varias cadenas de valor y por ende expuesta a diferentes políticas de su mundo de clientes y proveedores. Parece una jungla de requerimientos que no siempre son posibles de cumplir (como el flow down a todas las demás empresas ad infinitum) y que causan costos enormes (administración, documentación, negociación de todas las obligaciones, controles, y defensa contra abusos etc.). Especialmente las empresas grandes juegan un juego de transferencia de riesgos: el que puede, el más fuerte, intenta transferir sus riesgos contractualmente al más débil. Cada uno intenta imponer su propio código para mantener el control sobre sus obligaciones y las de los demás, además de protegerse contra abusos de otros, que pueden estar escondidos en cláusulas legales del propio código y/o en los contratos mismos, como derechos de claw back, indemnizaciones etc., en casos de incumplimientos incluso menores. De cara a esta situación y para evitar que simplemente se firmen todos los papeles que llegan, es recomendable desarrollar protocolos para el tratamiento de códigos de terceros: estándares de cláusulas (in)aceptables; procesos de escalación para cláusulas sensibles; procesos de solución vía negociación o la imposición del código propio. En este contexto hay que definir quién se ocupa del tema en la organización: en las empresas se observan diferentes soluciones. Muchas veces el Compliance Officer coordina un grupo con Legales, Riesgos y RRHH que define estos lineamientos.

Popularizado por Mancur Olson a mediados de la década del ‘60 en su búsqueda a la solución de la paradoja del free rider, el término “acción colectiva” es utilizado en diferentes contextos para explicar la necesidad de crear incentivos que impulsen a individuos a cooperar para la provisión de bienes públicos. La paradoja es la siguiente: todos los miembros de un grupo pueden beneficiarse de los esfuerzos de cada miembro y cada miembro puede, a su vez, beneficiarse de la acción colectiva. Pero si uno o varios miembros del grupo no cooperan, sea para aprovecharse de la contribución de los restantes – el caso del free rider –, o por la incertidumbre sobre el comportamiento de los demás – el caso del dilema del prisionero –, los beneficios de la acción colectiva se pierden. En el marco de las iniciativas para reducir la corrupción, el término ha sido aplicado especialmente para diseñar estrategias para el sector privado en contextos de corrupción estructural. En este caso, la paradoja podría expresarse así: la mayoría de los actores privados se beneficiaría de un mercado que opere libre de prácticas corruptas y ello podría lograrse si cada uno se abstuviera de intercambiar beneficios indebidos. Sin embargo, la incertidumbre sobre el comportamiento de los restantes miembros del grupo impide la cooperación necesaria para mejorar el ambiente de negocios. Las claves para la solución de estas paradojas se distribuyen entre la generación de incentivos individuales que alienten la cooperación –económicos, legales, reputacionales, etc. – y la generación de mecanismos que permitan aumentar la confianza entre el grupo de jugadores que se beneficiaría de la acción colectiva. En la escasa literatura que existe sobre programas de acción colectiva para reducir la corrupción, el problema es usualmente planteado como un dilema para las compañías multinacionales cuyos países de origen prohíben el pago de sobornos a funcionarios públicos extranjeros, por la desventaja competitiva que enfrentan frente a las compañías (internacionales o domésticas) que no se motivan por tales reglas – aunque formalmente existan. Sin embargo, las posibilidades de cooperación del sector privado son mucho más amplias. En el nivel global, el modelo más común es el de los llamados estándares industriales, es decir, un acuerdo entre los jugadores más importantes de una misma industria. Con diferentes resultados, ha habido iniciativas de este tipo en la industria bancaria, en la industria de defensa, la industria de “logística” y la industria de la salud. En el nivel local, el modelo más común de acción colectiva es el que ha sido popularizado por la organización Transparencia Internacional con el nombre de “Pactos de Integridad”. A diferencia de los estándares industriales, estos acuerdos se dirigen a prevenir la corrupción específicamente en el ámbito de las compras y contrataciones públicas. Se trata de acuerdos mediante los cuales un organismo público – nacional, sub-nacional o local – encargado de administrar una licitación y quienes compiten para obtenerla establecen reglas para evitar el ofrecimiento y aceptación de sobornos, los acuerdos de precios entre competidores y/u otras prácticas que afectan la competencia. El cumplimiento de los pactos de integridad es, en general, monitoreado por miembros de la sociedad civil. El acuerdo puede incluir sanciones por incumplimiento de alguna de las obligaciones acordadas, con independencia de las acciones penales o administrativas previstas por la legislación, que en general se basan en la idea de afectar la reputación del incumplidor y, a veces, la posibilidad de participar como oferente en contratos futuros. En la última década se han implementado, en el mundo, decenas de pactos que difieren en el nivel de monitoreo y en la posibilidad de aplicar sanciones. Algunas iniciativas sectoriales de alcance global utilizan esta herramienta cuando se presenta la oportunidad en contextos domésticos. Los ejemplos más conocidos son la Iniciativa de Transparencia de las Industrias Extractivas, la Iniciativa de Transparencia en el Sector de la Construcción, y la Red de Integridad por el Agua. Todos estos esfuerzos involucran al Estado, al sector privado y a la sociedad civil y combinan herramientas que se acercan a los estándares industriales, a la hora de fijar principios generales, y a los pactos de integridad, a la hora de implementarlos en cada país. En Argentina, Poder Ciudadano (el capítulo argentino de Transparencia Internacional) ha realizado con éxito, el monitoreo del proceso licitatorio para la adjudicación de contratos de recolección de residuos en dos municipios de la Provincia de Buenos Aires – Morón y Esteban Echeverría – y en la Ciudad de Buenos Aires. Recientemente, el Centro de Gobernabilidad y Transparencia del IAE facilitó un acuerdo de transparencia entre cinco operadores del mercado de transporte de energía en Argentina. Existen, por supuesto, muchas otras posibilidades de cooperación dentro del sector privado para aumentar el alcance del estándar internacional y, de ese modo, contribuir a la reducción de prácticas que lo contradicen. Aplicar y mejorar continuamente un programa anticorrupción es un gran logro de parte de las empresas, independientemente de su tamaño. Un programa anticorrupción efectivo ofrece una base firme para combatir la corrupción en el entorno empresarial. Sin embargo, las empresas podrían enfrentar el riesgo de ser rebasadas por otros competidores que no observan las mismas normas anticorrupción. Las empresas también pueden tener que hacer frente a solicitudes o extorsiones relacionadas con la corrupción por parte del sector público (lado de la demanda). Este tipo de riesgos está particularmente presente en el caso de las pequeñas y medianas empresas, pero también es relevante para las empresas muy grandes en un mundo globalizado y altamente competitivo. Una manera en que las empresas pueden abordar esos riesgos es involucrarse en actividades de “acción colectiva” con otros aliados que pueden enfrentar los mismos desafíos. La acción colectiva es un proceso colaborativo y sostenido de cooperación entre las partes interesadas. Ésta aumenta el efecto y la credibilidad de la acción individual, convierte a los actores individuales en una alianza de organizaciones con ideales similares y nivela el terreno entre los competidores. La acción colectiva puede complementar o temporalmente reemplazar y fortalecer las leyes y prácticas anticorrupción locales86. La acción colectiva es un método comprobado con el que se puede combatir la corrupción aplicado en distintas industrias y países. Las iniciativas de acción colectiva pueden asumir varias formas, desde acuerdos a corto plazo hasta iniciativas a largo plazo con aplicación externa. Las empresas que participen en las iniciativas pueden tratar de alcanzar sus objetivos comunes, en un esfuerzo conjunto y concentrado, de manera mucho más efectiva de lo que lo harían individualmente. Las iniciativas de acción colectiva pueden constituirse únicamente dentro del sector privado (v. gr., PYMES que soliciten normas estandarizadas para los proveedores a las empresas grandes) o pueden involucrar alianzas del sector público con el privado (v. gr., abordar colectivamente desafíos individuales, como los pagos de facilitación, o presionar para un mejor entorno normativo y comercial). Las instituciones nacionales e internacionales, como las asociaciones comerciales, pueden desempeñar una función importante en la facilitación de esas iniciativas. Con la acción colectiva, las empresas de todos los tamaños pueden convertirse en agentes del cambio con respecto a las políticas y los procedimientos anticorrupción, estimulando los esfuerzos de los sectores privado y público por reducir la corrupción y participar de forma efectiva. La acción colectiva es un área en la que se contempla mucha actividad, en particular en el contexto del Business 20 (B20). Los lectores interesados pueden seguir el trabajo del Grupo de Trabajo B20 sobre la Mejora de la Transparencia y el Combate de la Corrupción. Las “Acciones Colectivas” son una herramienta desarrollada por Transparency International y el Banco Mundial. La idea de la acción colectiva es simple: Las compañías trabajan con sus competidores y otros stakeholders, para crear condiciones adecuadas en un mercado determinado, con miras a que se respeten las reglas que promueven una competencia justa, donde las decisiones se toman en base a razones de negocio, como calidad y precio, y no por motivos indeseables como p.ej. sobornos. El concepto de Acción Colectiva se sustenta en esfuerzos mancomunados de empresas de un sector. Es un camino largo, que muchas veces requiere de una lenta construcción de la confianza mutua y de acuerdos en varias etapas. Es una estrategia que puede utilizar el sector privado, y que impacta en el clima de negocios a través de la acción coordinada de las empresas que buscan cumplir con  estándares de comportamiento acordados entre ellas. La Acción Colectiva ayuda a crear un entorno homogéneo de buenas prácticas y minimiza las oportunidades para operar fuera del estado de derecho, nivelando el campo de juego para actores de distintos tamaños y poder, incluyendo las pequeñas y medianas empresas y sus respectivas cadenas de valor. Participar de una acción colectiva brinda beneficios a sus participantes y a todas las organizaciones del entorno. De acuerdo al World Bank Institute, una acción colectiva contribuye de modo positivo en los siguientes aspectos: Incrementa el impacto y la credibilidad de la acción individual de las empresas; Fomenta la inclusión de “jugadores” individuales vulnerables (ej: las PyMEs) dentro de una alianza de organizaciones similares; Nivela el campo de juego entre los competidores; Complementa temporalmente sistemas judiciales débiles. Una acción colectiva puede ser útil especialmente en entornos donde no todas las empresas de un sector, cuentan con programas de compliance formales. Y también donde compiten empresas grandes con otras de tamaño menor, que operan de manera más informal y, muchas veces, con menos respaldo financiero que les permita resistirse a solicitaciones indebidas.   Tipos de acciones colectivas y sus variables. Existen cuatro tipos principales de acciones colectivas, que están determinadas por características específicas: Pactos de integridad, Declaraciones anticorrupción, Coaliciones de empresas certificantes, Iniciativas basadas en principios.   Estas cuatro categorías pueden ser clasificadas de acuerdo a dos criterios fundamentales: plazos temporales (largo o corto plazo) y nivel de compromiso (light o de enforcement externo). La “declaración” y la “iniciativa basada en principios”, son compromisos de las empresas de carácter ético, carecen de controles externos. Muchas veces es un paso inicial, sobre el cual se construye la confianza necesaria para una etapa de compromiso mayor. Un “pacto de integridad” consiste en un contrato escrito formal entre un conjunto de empresas oferentes y un cliente, que participan de un proyecto específico (ej: un proceso licitatorio) en el cual, tanto el proyecto en su diseño como en su implementación, son supervisados por un monitor. Por su parte, “las iniciativas basadas en principios” y “la coalición de empresas certificantes”, son iniciativas a largo plazo, para perseguir la instalación de estándares éticos en un sector de la industria o área específica. En la Argentina, se llevaron adelante un par de estas iniciativas con los municipios de Morón y Esteban Echeverría. En el 2012 se firmaron Acuerdos de Acciones Colectivas en el sector del transporte de energía eléctrica y en el de prótesis e implantes. Actualmente en curso en Brasil, la acción colectiva “Jogos Limpos” que lleva adelante el Instituto Ethos en conjunto con Global Compact, busca crear condiciones niveladoras en los procesos licitatorios relacionados con el desarrollo de la Copa del Mundo de 2014 y los Juegos Olímpicos de 2016. La Acción Colectiva es una de las herramientas más prometedoras para combatir la corrupción y otras formas de comportamiento inadecuado, desde y para el sector privado, que se adapta a las necesidades y las posibilidades de cada caso. Típicamente, en su primera etapa contiene Acuerdos de estándares de comportamiento en áreas claves Un Comité de Ética que actúa en caso de quejas mutuas y tiene la facultad de sancionar comportamientos que violan los estándares de la acción colectiva y sirve como plataforma de intercambio de mejores prácticas A través de revisiones periódicas y con la confianza que aumenta entre las empresas participantes, pasa a incluir, auditorías y sanciones más fuertes para casos de incumplimiento.

La delincuencia organizada transnacional no queda estancada; antes bien, es una industria siempre cambiante que se adapta a los mercados y crea nuevas formas de delincuencia. En resumen, es un negocio ilícito que trasciende las fronteras culturales, sociales, lingüísticas y geográficas y que no conoce fronteras ni reglas. El tráfico de drogas sigue siendo la forma más lucrativa de negocio para los delincuentes, ya que tiene un valor anual estimado en 320.000 millones de dólares. En 2009 la UNODC calculó que el valor anual aproximado de los mercados mundiales de cocaína y opiáceos ascendía a 85.000 millones de dólares y 68.000 millones de dólares, respectivamente. La trata de personas es un delito mundial en el que los hombres, las mujeres y los niños son tratados como productos con fines de explotación sexual o del trabajo. Si bien las cifras varían, según una estimación de la Organización Internacional del Trabajo (OIT) realizada en 2005, el número de víctimas de la trata en un momento dado era de alrededor de 2,4 millones y las ganancias anuales de unos 32.000 millones de dólares. Sin embargo, las estimaciones más recientes y precisas de la OIT sobre las tendencias generales del trabajo forzoso nos inducirían a pensar que el alcance del problema es mucho mayor. En Europa la trata de mujeres y niños, principalmente, con fines de explotación sexual genera 3.000 millones de dólares por año y conlleva 140.000 víctimas en un momento dado y una corriente anual de 70.000 víctimas. El tráfico ilícito de migrantes es un negocio bien organizado que moviliza a las personas alrededor del mundo por conducto de redes y grupos delictivos y a lo largo de diversas rutas de tráfico. Los grupos delictivos organizados pueden ofrecer a los migrantes un "paquete de viaje" en el que el trato que reciben a lo largo de la ruta corresponde al precio que pagan a los traficantes. En el proceso de tráfico sus derechos suelen ser violados y es posible que los roben, los violen, los secuestren o incluso los dejen morir en algunos casos, cuando los riesgos aumenten demasiado para los traficantes. A muchos de los traficantes no les importa si los migrantes se ahogan en el mar, mueren de deshidratación en el desierto o fallecen sofocados en un contenedor. Ese comercio está avaluado en miles de millones de dólares por año. En 2009 se generaron unos 6.600 millones de dólares de resultas del tráfico ilegal de 3 millones de migrantes de América Latina a América del Norte[7], en tanto que el año anterior el traslado ilegal de 55.000 migrantes de África a Europa generó 150 millones de dólares. El tráfico ilícito de armas de fuego genera de 170 millones a 320 millones de dólares por año y pone en manos de delincuentes y pandillas armas cortas y rifles de asalto. Es difícil calcular el número de personas que caen víctimas de esas armas ilícitas; no obstante, en algunas regiones (por ejemplo en América) existe una firme correlación entre los índices de homicidios y el porcentaje de homicidios perpetrados con armas de fuego. El tráfico ilícito de recursos naturales abarca el contrabando de materias primas, entre ellas diamantes y metales raros (con frecuencia desde zonas de conflicto). Mientras tanto, el tráfico ilícito de madera en el Asia sudoriental genera ingresos anuales por valor de 3.500 millones de dólares. Además de financiar grupos delictivos, esa clase de actividad clandestina en última instancia contribuye a la deforestación, el cambio climático y la pobreza rural. El comercio ilegal de flora y fauna silvestres es otro negocio lucrativo para los grupos delictivos organizados, en el que los cazadores furtivos consiguen pieles y partes del cuerpo de los animales para exportar a mercados extranjeros. El tráfico de marfil, cuernos de rinocerontes y pieles y huesos de tigres de África y el Asia sudoriental a Asia produce 75 millones de dólares por año de ganancias mal habidas y pone en peligro la existencia de algunas especies. Los grupos delictivos organizados también comercian plantas raras y animales vivos, amenazando su propia existencia para atender a la demanda de coleccionistas o consumidores desprevenidos. Según el Fondo Mundial para la Naturaleza (WWF), los traficantes trasladan ilegalmente más de 100 millones de toneladas de pescado, 1,5 millones de pájaros vivos y 440.000 toneladas de plantas medicinales por año. La venta de medicamentos adulterados es motivo de honda preocupación, ya que entraña un comercio potencialmente letal para los consumidores. Aprovechando la expansión del comercio legítimo de productos farmacéuticos de Asia a otras regiones en desarrollo, los delincuentes comercian medicamentos fraudulentos provenientes de Asia, en particular al Asia sudoriental y África, por valor de 1.600 millones de dólares. En lugar de curar a los enfermos, esos medicamentos pueden provocar la muerte o crear resistencia a la medicación utilizada para tratar enfermedades infecciosas mortales como el paludismo y la tuberculosis. Además de los métodos de tráfico tradicionales, los delincuentes siguen desarrollando un comercio electrónico lucrativo de medicamentos fraudulentos en los países desarrollados y los países en desarrollo por igual, lo que también puede repercutir en la salud de los consumidores. La delincuencia cibernética abarca varios sectores, pero uno de los más lucrativos es el hurto de identidad, que genera alrededor de 1.000 millones de dólares por año. Los delincuentes aprovechan cada vez más la Internet para sustraer información privada, ingresar a cuentas bancarias y obtener detalles de las tarjetas de pago en forma fraudulenta.   Definiendo el Crimen Organizado. La complejidad, las manifestaciones múltiples y la ilicitud del crimen organizado hacen que su definición no sea una tarea sencilla, y por ello no suele haber consenso respecto de la misma. No obstante, puede afirmarse que existen dos orientaciones principales para definir al crimen organizado: una intensiva y una extensiva. La primera intenta ofrecer características que todo crimen organizado posee necesaria y suficientemente, mientras que la segunda se encarga de mencionar todos los delitos que caen en esta categoría. Dentro de las definiciones intensivas, Hagan (2006) detalla cuales son las características que más se iteran entre los autores que definen el crimen organizado, mencionando la previsión de lucro, la división del trabajo, la organización jerárquica, el uso de la violencia y algún nivel de complicidad con la esfera estatal. Por su lado, Rojas Aravena (2008) señala que la delincuencia organizada se diferencia de la “común” porque rebasa los controles gubernamentales; establece líneas de operaciones basadas en un sistema complejo de tipo empresarial; persigue el poder económico y social; posee una marcada orientación transnacional y una fuerte especialización. Desde una perspectiva más jurídica, es meritorio mencionar la definición que realiza la Convención contra la Delincuencia Organizada Transnacional, también llamada Convención de  Palermo, que fue adoptada en 2000 y entró en vigor el 29 de septiembre de 2009, que brinda la siguiente definición de “grupo delictivo organizado” en su artículo 2: “Por “grupo delictivo organizado” se entenderá un grupo estructurado de tres o más personas que exista durante cierto tiempo y que actúe concertadamente con el propósito de cometer uno o más delitos graves o delitos tipificados con arreglo a la presente Convención con miras a obtener, directa o indirectamente, un beneficio económico u otro beneficio de orden material.” (ONU, 2004) En cierto sentido, el Código Penal argentino se halla en correspondencia con tal definición, aunque lo hace respecto de la tipificación de asociación ilícita, en su artículo 210: “Será reprimido con prisión o reclusión de tres a diez años, el que tomare parte en una asociación o banda de tres o más personas destinada a cometer delitos por el solo hecho de ser miembro de la asociación. Para los jefes u organizadores de la asociación el mínimo de la pena será de cinco años de prisión o reclusión.” Por otro lado, las definiciones extensivas consisten en listas de delitos que son tipificados como parte de la delincuencia organizada. No existe una lista determinada, pero pueden mencionarse el narcotráfico, el tráfico de armas, la trata de personas, el tráfico de órganos, el tráfico de bienes culturales, la falsificación de moneda, los delitos ambientales, los delitos cibernéticos, el lavado de dinero y muchos otros. Desde esta perspectiva, Buscaglia (2013), identifica veintitrés dimensiones o modalidades del crimen organizado, incluyendo al lenocinio, la extorsión, el homicidio calificado, el secuestro extorsivo y el robo de vehículos. Esta distinción entre definiciones intensivas y extensivas es útil en términos teoréticos, pero también jurídicos, puesto que las leyes que intentan atacar y/o prevenir la delincuencia organizada, suelen seguir alguno de los modelos, y ello tiene implicancias disímiles. En general, las leyes que no emplean listas de delitos suelen tener varias ventajas, puesto que pueden generarse nuevos delitos de manera constante y más aun con el desarrollo de la tecnología. Además, es habitual que los grupos dedicados al crimen organizado no siempre se aboquen a una única actividad, sino que por el contrario suelen realizar varias de manera simultánea, e incluso mutar sus actividades predilectas dependiendo de los incentivos que reciban. De cualquier modo, ambos tipos de definiciones son necesarias para todo tipo de análisis, y si bien aquí se detallarán algunas características propias de cualquier tipo de delito organizado, en el pormenor de cómo se desarrolla el mismo en Argentina, será productivo repasar algunos de los más relevantes delitos y sus peculiaridades. Asimismo, más allá de lo establecido por la Convención de Palermo, el foco del presente trabajo no está puesto en las pequeñas asociaciones criminales que pueden constituirse por tres personas, sino en los grandes grupos que realizan consecutivamente delitos de manera articulada. En términos generales, puede aseverarse que un grupo dedicado al crimen organizado, como se entenderá en este trabajo, posee, al menos, las siguientes características: El medio para alcanzar el fin es el desarrollo de actividades ilícitas: la gama de actividades que pueden desarrollar estos grupos es muy amplia, y si bien se centran en acciones ilegales, no debe descartarse que muchos grupos posean fuertes interconexiones con empresas u otras organizaciones lícitas. Su fin es el ánimo de lucro: si bien quienes integran bandas criminales pueden influenciar al poder político y social, su telos no es otro que la obtención y distribución entre sus miembros de recursos materiales. Temporalidad: se entiende que un grupo dedicado al crimen organizado no es aquel constituido para realizar un único delito, sino que debe tener cierta continuidad en el tiempo y constancia en el desarrollo de sus actividades. Estructura: todo grupo dedicado al crimen organizado tiene algún tipo de organización, por lo que se constituye a través de cierta estructura. Las actividades delictivas implican un alto riesgo, y más aún cuando es un número elevado de personas las que las desarrollan. Para ello, es necesario generar lazos de confianza –usualmente por medio de la existencia de vínculos familiares, étnicos o socioculturales que brindan una identidad común- o, de no ser posible, de coerción, que aseguren la fidelidad de los miembros. La literatura se ha explayado suficientemente en lo relativo a la estructura de los grupos criminales. Un informe de la UNODC (2012), sintetiza los distintos patrones de organización delictiva en los siguientes tipos: Lazos familiares; Mafias; Pandillas; Modelos mixtos con participación de miembros ajenos al grupo; Grupos con conexiones con organizaciones terroristas o paramilitares y Células y redes complejas. Algunas de las estructuras usualmente más difundidas en Latinoamérica son los denominados “carteles”, que suelen manejar porciones de territorio, y las “Bacrim” o bandas criminales, típicas de Colombia. Altos niveles de sofisticación: en comparación con la delincuencia tradicional, la desarrollada por grupos organizados suele caracterizarse por su elevado nivel de sofisticación, con métodos y técnicas elaboradas y, en ocasiones, estandarizadas. Esta elevada sofisticación va de la mano de una alta capacidad de mutabilidad, pues dado que las organizaciones criminales no se rigen por normas formales, no padecen una dependencia de la trayectoria fuerte, haciendo que puedan cambiar y transformarse de manera mucho más rápida que las instituciones estatales. Violencia: la violencia es usual en las actividades de los grupos criminales, sin embargo, no siempre la emplean. Inclusive ciertos estudios intentan demostrar que los grupos criminales tratan de reducir al máximo los niveles de violencia con el objetivo de disminuir la visibilidad pública y, por ende, la presión estatal (Kessler, 2011). En términos teóricos, puede decirse que la violencia surge ante dos tipos de  circunstancias: cuando distintas bandas criminales se enfrentan por el control de un negocio o un territorio, o cuando una o más bandas se enfrentan con el Estado. Esto es así porque al tratarse de grupos ilícitos, no poseen formas institucionalizadas de resolver sus conflictos, por lo que recurren a métodos no institucionalizados, dentro de los cuales el más obvio es la violencia. Por el contrario, cuando una organización posee el monopolio dentro de un territorio determinado, la probabilidad de que la violencia sea elevada es relativamente baja. En este sentido, puede generarse una situación paradójica según la cual, cuando un Estado pretende enfrentar a las organizaciones, el nivel de violencia puede ser más alto que cuando las deja actuar libremente, aunque esta dicotomía se da sólo cuando se posee una concepción de combate a la criminalidad únicamente vinculada al accionar policial. De cualquier modo, aun cuando las circunstancias permiten que los niveles de violencia efectiva a los que recurren estos grupos sean bajos, éstos siempre operan bajo la lógica de una violencia latente que amenaza con aparecer cuando ello resulte necesario (pueden producir temor en la sociedad -e incluso en los operadores estatales- aun en períodos en que no recurren materialmente a la violencia). Corrupción: casi cualquier organización delictiva de envergadura posee al menos algún vínculo con las esferas estatales, principalmente con funcionarios públicos o aquellos agentes encargados de hacer cumplir la ley mediante el potencial uso de la fuerza, como policías u oficiales penitenciarios. El desarrollo de actividades delictivas de gran tamaño sería imposible sin estos vínculos de complicidad, que se ven facilitados por los altos niveles de ganancia que estas actividades suelen poseer. Lavado de Dinero: las enormes ganancias que producen las actividades vinculadas al crimen organizado requieren de otras actividades que sirvan para hacer pasar ese dinero por lícito casi de manera inexorable, y por supuesto esta cuestión se asocia muy fuertemente con la corrupción. Una dimensión cada vez más transnacional: las actividades delictivas organizadas adquieren cada vez más un carácter transnacional, pues los grupos suelen operar de manera simultánea y coordinada en diferentes países, tanto de una misma región como del globo entero. En este sentido es que ha surgido el concepto de “Crimen Organizado Transnacional”, y la problemática es cada vez más aprehendida como una cuestión “interméstica”, es decir, que abarca tanto dimensiones domésticas como internacionales. Esto entra muchas veces en conflicto con el concepto westphaliano de soberanía, y con la forma de resolver problemas que ese modelo trae aparejado. Implica fuertes costos para los Estados y las sociedades: dado el carácter ilícito del crimen organizado, cualquier estimación de sus costos es siempre aproximada, pero no por ello debe dejar de verse su importancia. Así por ejemplo, Rojas Aravena (2011) sostiene que los costos directos asociados al crimen –no sólo al organizado- en Brasil se han estimado entre un 3 y un 5% del PBI al año. Por su parte, Carrillo-Flores (2007) ha informado que el costo para Latinoamérica varía ente un 2 y un 15% del PBI de los países8. De cualquier manera, como se verá, no sólo el costo económico es importante, pues no debe dejar de notarse el importantísimo efecto que el crimen organizado acarrea sobre las instituciones en general y sobre la democracia en particular, erosionando además la confianza de la ciudadanía y consecuentemente, el desarrollo humano. Además, la violencia que trae aparejado el delito también posee amplios costos directos sobre la policía, el sistema de salud, el sistema de justicia criminal, la vivienda, los servicios sociales y los derechos humanos en general, y costos indirectos en la salud, la economía y la sociedad (Buvinic, Morrison y Shifter, 1999). Efecto cucaracha, que refiere a la tendencia de las organizaciones criminales a fragmentarse y dispersarse. Las organizaciones de menor tamaño y con cabecillas menos identificables suelen ser más difíciles de desmantelar que las grandes organizaciones con un líder visible. Un caso típico es el de Colombia, que luego de la caída de los carteles de Medellín y Cali, fue testigo del surgimiento de una multiplicidad de organizaciones más dispersas.   La Convención Internacional de Palermo (Italia) unificó criterios y doctrinas al respecto, que hasta entonces se encontraban dispersas, avanzando en la dilucidación de factores directamente implicados con la delincuencia organizada transnacional. Por grupo estructurado se entenderá un grupo no creado fortuitamente para la comisión inmediata de un delito y en el que no es necesario que se haya asignado a sus miembros funciones formalmente definidas ni exista continuidad en la condición de miembro o una estructura desarrollada. Por delito grave se entenderá la conducta que constituya un delito punible con una privación de libertad máxima de al menos cuatro años o con una pena más destacada. Por bienes se entenderá los activos de cualquier tipo, corporales o incorporales, muebles o inmuebles, tangibles o intangibles, y los documentos o instrumentos legales que acrediten la propiedad u otros derechos sobre dichos activos. Por producto del delito se entenderá los bienes de cualquier índole derivados u obtenidos directa o indirectamente de la comisión de un delito. Por embargo preventivo o incautación se entenderá la prohibición temporal de transferir, convertir, enajenar o mover bienes y la custodia o control transitorio de éstos por decisión de un tribunal o autoridad competente. Por decomiso se entenderá la privación con carácter definitivo de bienes por disposición de un tribunal o de otra autoridad. Por entrega vigilada se entenderá la técnica consistente en dejar que remesas ilícitas o sospechosas salgan del territorio de uno o más Estados, los atraviesen o entren en el mismo, con el conocimiento  y bajo supervisión de sus delegados, a fin de investigar delitos e identificar a las personas involucradas en la comisión de éstos. Por organización regional de integración económica se entenderá una organización constituida por países soberanos de una región determinada, a la que sus Estados miembros han transferido competencias en las cuestiones regidas por la Convención y que ha sido debidamente facultada, de conformidad con sus procedimientos internos, para firmar, ratificar, aceptar o aprobar la Convención o adherirse a ella; las referencias a los “Estados Parte” con arreglo a la  Convención se aplicarán a esas organizaciones dentro de los límites de su competencia. Por delito determinante se entenderá todo delito del que se derive un producto que pueda pasar a constituir materia delictiva definida en el artículo sexto de la Convención, cuyo tenor literal, en lo concerniente a la penalización del blanqueo del producto del delito, dice: Cada Estado Parte adoptará, de conformidad con los  principios fundamentales de su derecho interno, las medidas legislativas y de otra índole que sean necesarias para tipificar como delito, cuando se cometan intencionalmente: a) La conversión o la transferencia de bienes, a sabiendas de que éstos son producto delictivo, con el propósito de ocultar o disimular su origen ilícito o ayudar a cualquier persona involucrada en la comisión del delito determinante a eludir las consecuencias jurídicas de sus actos. b) La ocultación o disimulación de la verdadera naturaleza, origen, ubicación, disposición, movimiento o propiedad de bienes o del legítimo derecho a éstos, a sabiendas de que son producto del delito. c) Con sujeción a los conceptos básicos de su ordenamiento jurídico: I.- La adquisición, posesión o utilización de bienes, a sabiendas, en el momento de su recepción, de que son producto del delito. II.- La participación en la comisión de cualesquiera de los delitos tipificados con arreglo al presente artículo, así como la asociación y la confabulación para cometerlos, el propio intento, la ayuda, la iniciación, la facilitación y el asesoramiento en Como en el caso de la delincuencia o crimen organizado transnacional, tampoco existe una definición universal y unánime del término “terrorismo”, sea nacional o internacional. Sin embargo, la descripción con mayor grado de aceptación es la que define el fenómeno terrorista como el uso ilegal y extremo de la violencia, motivada inicialmente por aspiraciones políticas, que se caracteriza por inducir terror en la población civil para imponer decisiones o comportamientos que de otra forma no se producirían. Dentro de estos procedimientos estratégicos se incluirían la imposición de condiciones de muy diversa índole: políticas, económicas, lingüísticas, de soberanía, religiosas, etc. Cuando este tipo de técnicas es utilizado por gobiernos oficiales, se calificaría como terrorismo de Estado o guerra sucia. Si bien la mayoría de las definiciones actuales de terrorismo comparten un elemento habitual: la conducta violenta inspirada originalmente en ambiciones políticas, ciertos actos pueden estar ocasionados por otros factores como doctrinas religiosas fanatizadas. Es posible que algunas organizaciones, llegado su ocaso, deriven en facciones incontroladas con ausencia de jerarquía que orienten su actividad en la obtención de beneficios económicos mediante la práctica de delitos denominados socialmente de “comunes”. De conformidad con el Consejo de la Unión Europa, se entenderá por acto terrorista la acción intencionada que, por su naturaleza o su contexto, pueda perjudicar gravemente a un país o a una organización internacional, tipificada como delito según el derecho nacional y cometida con el fin de: I) Intimidar gravemente a una población II) Obligar indebidamente a los gobiernos o a una organización internacional a practicar un acto o a abstenerse de realizarlo III) Desestabilizar gravemente o destruir las estructuras políticas fundamentales, constitucionales, económicas o sociales de un país o de una organización internacional; esto es: a) Atentados contra la vida de una persona que puedan causar la muerte b) Atentados contra la integridad física de una persona c) Secuestro o toma de rehenes d) Causar destrucciones masivas a un gobierno e instalaciones públicas, transportes e infraestructuras, incluidos los sistemas de información, plataformas, lugares públicos o propiedades privadas que puedan poner en peligro vidas humanas o producir gran perjuicio económico e) Apoderamiento de aeronaves y buques u otros medios de transporte colectivo o de mercancías f) Fabricación, tenencia, adquisición, transporte, suministro o utilización de armas de fuego, explosivos, armas nucleares, biológicas y químicas e investigación y desarrollo de estas últimas. g) Liberación de sustancias peligrosas o provocación de incendios, inundaciones o explosiones cuyo efecto sea poner en peligro vidas humanas h) Perturbación o interrupción del suministro de agua, electricidad u otro recurso natural fundamental, cuyo efecto sea poner en peligro vidas humanas i) Amenaza de llevar a cabo cualesquiera de las acciones enumeradas en los apartados (“a”) a (“h”) j) Dirección de un grupo terrorista k) Participación en las actividades de un grupo terrorista, incluido el suministro de información y materias, o mediante cualquier forma de financiación con conocimiento de que esa participación contribuirá a las acciones delictivas del grupo. Los posibles “géneros” de terrorismo de acuerdo con sus objetivos e ideologías, se podrían estimar las siguientes categorías, relacionadas por orden alfabético y con las lógicas cautelas en la interpretación de definiciones que pueden variar/transmutar en diferentes partes del mundo: a) Anarquista b) Antiglobalización c) Comunista/socialista d) Derechista conservador e) Derechista reaccionario f) Izquierdista g) Medioambiental h) Nacionalista/separatista i) Racista j) Religioso El crimen organizado tiene un alto impacto sobre los negocios. Algunos de ellos son la piratería, el fraude y el impacto de ambos en  la competencia y  el comercio por lo  que  es  muy  difícil  para  un  negocio  legítimo poder competir con precios  que aparecen como "subsidiados" o bien que no tienen que ver con  la realidad  de  la producción. Para las Instituciones el daño es mayor, posee cada vez mayores costos. El Banco Interamericano de Desarrollo (BID) señalaba los altos porcentajes del Pffi que debe destinar el Estado  o  que pierde  el Estado  frente al crimen organizado, ya sea para  mitigar  los efectos de  éste o bien  para recuperar personas por  medio  del sistema salud  o tornar control de áreas en las que operan  los señores de las drogas. La intimidación que sufren las distintas instituciones y el grado de corrupción que las corroe de manera importante expresan otros costos y otras formas de daño.  En esto se afecta de manera muy importante a la democracia porque le produce un desprestigio sustantivo; se reduce el apoyo, se deslegitiman los procesos, se produce un constreñimiento a la participación política y se incrementa la impunidad de los actores que usan la corrupción, todo ello en un contexto de una democracia debilitada. Los altos niveles de delincuencia incrementan varios de los costos de las empresas. Por ejemplo, los costos de planilla aumentan a causa de  que  las  organizaciones  se  ven obligadas  a  contratar  directa  o  indirectamente  personal  adicional  para  llevar  a  cabo labores  específicas  en  seguridad  y  control,  en  el  resguardo  de  los  activos  y  en  la  protección  de  personas.  Esto  incluye  a  vigilantes,  personal  administrativo  de  control  y personal de apoyo a los sistemas de seguridad, funciones que, en general, agregan muy poco valor a los productos de la empresa .A  mayores  niveles  de  inseguridad,  aumenta  la  utilización  de  equipos  y  dispositivos  de seguridad  tales  como  rejas,  alarmas,  tarjetas  de  identificación  electrónicas,  armas,  cajas fuertes, etc., y aumenta el pago total en primas de seguros a causa del uso de menores deducibles y de mayores coberturas, y por el incremento de  los precios en las primas por  la mayor siniestralidad. El efecto  directo  de  los  delitos  en  contra  de  la  empresa  también  incrementan  los  costos. Los  robos  de  inventario,  de  herramientas,  de  equipos,  de  mobiliario,  de  vehículos  y  de maquinaria, las estafas y otros delitos financieros, los pagos por secuestro y extorsión, el pago de comisiones ilícitas por corrupción, los atentados y daños intencionales en contra de instalaciones físicas, pueden ser costos importantes. Adicionalmente, la mayor rotación de personal  por  problemas  de  despidos  por  delitos  internos  incrementa  los  costos  de selección, de reclutamiento y de capacitación. La alta inseguridad impacta negativamente el nivel de inversiones locales y extranjeras. A nivel de país, la inseguridad aumenta el riesgo ambiental percibido por el inversionista, lo que  aumenta  el  retorno  mínimo  esperado  y  limita  las  posibilidades  de  inversión.  En ocasiones, cuando el riesgo personal percibido es muy alto, y se añaden consideraciones familiares,  los  inversionistas  tienden  fuertemente  a  renunciar  de  invertir  en  ese  país,  a favor de otros destinos de potencial similar, pero con menores riesgos.

La Ley 27.401 de Responsabilidad Penal de las Personas Jurídicas en su art. 23 punto II también le consigna un alto valor definiéndolo como “El apoyo visible e inequívoco al programa de integridad por parte de la alta dirección y gerencia”. El borrador de la Guía para programas de integridad de la Oficina Anticorrupción lo trata como el primero entre los elementos, enumera 10 puntos claves y aclara a continuación el punto más importante: “…el liderazgo ético aparezca impregnado en los procesos, se refleje en el discurso de los integrantes y por, sobre todo, en la toma de decisiones relevantes.” En resumen y sin vueltas: El Tone at the Top no es un sonido, es la CONDUCTA at the Top que debe ser adecuada, comunicada y comprendida por todos. Una pena que en la Alta Dirección de muchas empresas no lo tienen claro. En encuestas y conversaciones, Compliance Officers nombran como obstáculo interno principal en su actividad la falta de sensibilidad de la Alta Dirección para la importancia del Tone (y Conducta) at the Top.  Las consecuencias son graves, falta la base para una cultura de integridad, sin la cual ningún programa de compliance puede funcionar. Quizás, una de las consecuencias más visibles es la falta del Tone at the Middle que para la operación del negocio es crucial; los empleados perciben cómo la empresa quiere que se hagan las cosas observando a sus jefes directos.  Es una suerte de transmisión en cascada: cada nivel jerárquico recibe los valores de la compañía por el comportamiento de sus jefes inmediatos. Si esta cadena no comienza bien y no contiene ejemplos cotidianos en la toma de decisiones, el Tone at the Top escrito y declamado no sirve para nada. Existen señales de alarma: Si los Compliance Officers se lamentan de la falta del Tone at the Middle, algo anda mal con el Tone at the Top. El Tone/Conduct at the Top debe tener cuatro elementos esenciales, consistentes entre sí: 1. Liderazgo con el ejemplo: La demostración con las decisiones que el código de conducta vive. También cuando resulta difícil. 2. Justicia interna: Es el termómetro más sensible por el cual los empleados miden la cultura de integridad de la organización. 3. Integridad como valor absoluto y no como ecuación de riesgo beneficio: Ciertas conductas en esta organización no se toleran nunca. Tampoco cuando el beneficio es grande y el riesgo percibido bajo. 4. Sistemas de incentivos que no incentivan con objetivos financieros a corto plazo la toma de atajos para ganarse el bono de fin de año. No es muy difícil observar si estos cuatro elementos están dados. Si falta uno o varios, habrá que actuar. La sensibilización del directorio y la Alta Dirección es un importante primer paso. Deben seguir otros pasos a dar con la Alta Dirección y el Directorio: •             Educación/Entrenamiento en Integridad y Compliance en forma periódica •             Inclusión de un director con conocimientos profundos de la materia •             Responsabilidad explícita por el programa de integridad •             Apoyo visible para el programa de integridad y el Compliance Officer Por el futuro de la organización, o si se quiere al menos para mitigar sus riesgos de ética & compliance, contar con una adecuada Conducta/Tone at the Top es esencial. Sus cuatro elementos son la base de su análisis y los cuatro pasos mencionados pueden servir para remediar eventuales deficiencias. Los directores representan a los accionistas, votan temas de importancia para la compañía y nombran y monitorean al management, mientras que éste último realiza las actividades clave y reporta al Directorio. Esto vale tanto para compañías grandes como para medianas y chicas. Deben conocer la compañía y su operación para poder supervisar/monitorear las operaciones adecuadamente. No son ejecutores y no deben mezclar su actividad de director con la del ejecutivo. Frecuentemente la línea divisora entre ejecutivo y director es delgada, especialmente si se trata de directores internos de la compañía. El Directorio tiene una responsabilidad de supervisión: si conoce una situación y toma una mala decisión, esta no es justiciable. Pero si desconoce un problema y por eso dejan de tomar una decisión, los directores son responsables ante la justicia por falta de supervisión. La ley requiere que investiguen en caso de que se presenten “red flags” (o bandera roja). Son responsables por la falta de acción, si saben o deberían saber de un acto indebido. Si, por ejemplo, en la cultura de una compañía se observa una tendencia a priorizar el crecimiento de ventas en forma agresiva y con una supervisión débil del Directorio, o un sistema de compensación para la Alta Dirección que incluye altos bonos por la superación de targets financieros a corto plazo, el riesgo de que el Management use atajos y comportamientos no éticos para alcanzar sus objetivos es alto y constituye por consiguiente una bandera roja importante. Esta responsabilidad de supervisión del programa de compliance de la organización ha convertido compliance en un tema crucial para los Directorios. Compliance se encuentra normalmente bajo el título organizacional de “Gobierno, Riesgo y Compliance (GRC), pero está moviéndose hacia GCL: Gobierno, Cultura y Liderazgo, uniendo un fuerte liderazgo a una efectiva y persuasiva cultura corporativa. Con este enfoque, compliance se aleja de ser un intento meramente legalista de balancear el comportamiento de la empresa y sus individuos sobre la cornisa entre lo todavía legalmente aceptable y el abismo de la ilegalidad, y se orienta hacia un enfoque de valores. Sin un involucramiento activo de la Alta Dirección, el compromiso de toda la organización y un efectivo sistema de comunicación, el programa de compliance está destinado al fracaso. El Compliance Officer (CO) de la organización tiene un rol crucial en el buen gobierno corporativo. Tiene la responsabilidad por el diseño, la implementación y la conducción del programa de compliance. Es el Guía y Consejero para directores y ejecutivos en temas de compliance. Es un “trendspotter” que ayuda al directorio y al CEO a identificar cambios en lo que la sociedad acepta y espera del comportamiento de las empresas. Así puede evitar gaps entre la forma tradicional de hacer negocios de la empresa y las expectativas de los stakeholders externos que, si no se cierran a tiempo, se pueden convertir en comportamiento inadecuado y dañino para la organización. Apoya al CEO y al Directorio para la creación y promoción de valores y estándares de la organización en temas de compliance y es el coach del CEO y de los directores para elaborar y ajustar un adecuado “tone at the top”. Si el CO es eficiente y cumple con su rol, les cubre las espaldas a los directores y contribuye a una cultura de integridad. Si no lo es, contribuye a que los directores tengan problemas legales y de reputación, además de problemas y costos impredecibles para la compañía. Los CO tienen un valor genuino en el Gobierno Corporativo: Compliance es una de las responsabilidades fundamentales del directorio. Delega la función -aunque no puede delegar la responsabilidad- al CO. El trabajo exitoso del CO determina de esta manera en gran medida la confianza de los mercados de capitales en la compañía, lo cual, a su vez, es esencial para su éxito. Los directores protegen los intereses de los accionistas. Este deber de protección se circunscribe en dos pilares que lo explicita y a la vez limita: la así llamada “Duty of Care” en la toma de decisiones, que no es otra cosa que la actuación de buena fe y el empleo de la misma diligencia como en asuntos propios. En este contexto, es de importancia el segundo pilar que puede proteger a los directores frente a los accionistas, la “Business Judgement Rule”: este principio significa que las decisiones tomadas en base a información adecuada y en buena fe no son pasibles de ser juzgadas judicialmente. Los tribunales no deciden sobre decisiones de negocio, si los directores actúan en base a información adecuada y de buena fe. Pero el Directorio tiene una responsabilidad de supervisión: si conoce una situación y toma una mala decisión, esta no es justiciable.  Pero si desconoce un problema y por eso dejan de tomar una decisión, la “Business Judgement Rule” no aplica y los directores son, por ende, responsables ante la justicia por falta de supervisión. La ley requiere que investiguen en caso de que se presenten “red flags” (o banderas rojas). Son responsables por la falta de acción, si saben o deberían saber de un acto indebido. Si, por ejemplo, en la cultura de una compañía se observa una tendencia a priorizar el crecimiento de ventas en forma agresiva y con una supervisión débil del Directorio, o un sistema de compensación para la Alta Dirección que incluye altos bonos por la superación de targets financieros a corto plazo, el riesgo de que el Management use atajos y comportamientos no éticos para alcanzar sus objetivos es alto y constituye por consiguiente una bandera roja importante.  En resumen: la protección de la “Business Judgement Rule” no depende de los resultados de una decisión tomada sino de la calidad del proceso que terminó en la decisión tomada. No sorprende que haya ganado fuerza en los últimos tiempos la propuesta de darle al Compliance Officer un asiento en los directorios de las empresas, siendo un representante mismo de compliance en el órgano central del gobierno corporativo de la organización. Es decir, brindarle a la posición del jefe de compliance de la empresa un estatus superior que le permita evaluar y monitorear de manera directa los aspectos de cumplimiento con respecto a la dirección estratégica de su organización. Aunque muchos ven lejos la materialización de esta idea, no deja de ser un indicador de la creciente preocupación por la importancia crítica y sensible que esta función conlleva para el gobierno corporativo de la empresa. Por lo pronto, el CO ya está tenido en cuenta como parte de los ejecutivos con más poder dentro de la empresa y la tendencia ha venido para quedarse; los directorios parecen ser la lógica próxima instancia de integración de CO. Este enfoque requiere de los directores que (se) hagan preguntas clave para poder cumplir con su responsabilidad de supervisar la efectividad del sistema de compliance.  Algunas de ellas son: •             ¿El “tone at the top” tal como se comunica a todos los empleados, se vive en la realidad o es una mera declamación? •             ¿La cultura empresarial apoya y ayuda a una toma de decisiones éticas? •             ¿Se realizan entrenamientos y comunicaciones adecuados a ejecutivos, empleados y directores? •             ¿Se hacen evaluaciones periódicas de la efectividad del programa de compliance? •             ¿Se realizan periódicamente mapeos de los riesgos de ética & compliance de la compañía? •             ¿Existe un Compliance Officer con recursos adecuados y un acceso directo al Directorio? •             ¿Incluye el código de conducta declaraciones sobre la responsabilidad frente a empleados, clientes, proveedores, accionistas y la comunidad? •             ¿Se distribuyó el código de conducta dentro y fuera de la organización, incluyendo la cadena de valor? •             ¿Existe un proceso que asegure que el Directorio esté permanentemente informado sobre temas de compliance y las decisiones tomadas al respecto? •             ¿Forman los temas de compliance parte de las agendas de las reuniones del Directorio? •             ¿Existe un sistema efectivo de denuncias? •             ¿Se revisan el código de conducta y el sistema de compliance anualmente en concordancia con eventuales actualizaciones por cambio en normas y regulaciones y lo que la sociedad espera del comportamiento de las empresas? •             ¿Se realizan regularmente encuestas entre los empleados sobre el estado de su programa de compliance? Sin un involucramiento activo de la Alta Dirección, el compromiso de toda la organización y un efectivo sistema de comunicación, el programa de compliance está destinado al fracaso. En     las     empresas     familiares, los miembros   una   familia   suelen   actuar dentro  de  los  órganos  de  gobierno  y  la gestión,  o  bien  como  administradores únicos   en   muchos   casos,   o   como administradores  solidarios,  o  como  un Consejo  de  Administración  formado  en su  totalidad  por  miembros  de  la  familia. Ello  puede  dificultar  que  la  labor  de compliance officer pueda ser desempeñada  por  el  propio  órgano  de administración. La solución debe de pasar ineludiblemente por nombrar un compliance  officer distinto al órgano de administración  y  por  supuesto  sin  lazos familiares   con   los   socios,   o   con   los miembros del órgano de administración. No   se   trata   de   que   una   pequeña empresa  afronte  la  contratación  de  un nuevo   trabajador   con   esas   funciones específicas  sino  que  un  trabajador,  por ejemplo el responsable de la gestión de calidad en la empresa, pueda compaginar    dicha    función    con    las nuevas atribuciones.Como alternativa puede establecerse un Comité  de  Cumplimiento,  como  órgano colegiado. El Código Penal no especifica   que   el   encargado   de   la supervisión   y   cumplimento   deba   ser únicamente    unipersonal (compliance officer).  Dicho  Comité  de  Cumplimiento podría estar formado tanto por miembros   provenientes   de   la   familia, socios   o   miembros   del   órgano   de administración,  como  de  trabajadores  o asesores  externos  sin  lazos  familiares con  la  empresa  familiar,  para  asegurar estos    últimos    la    independencia    del órgano de supervisión y vigilancia.

Big Data es la increíblemente gran cantidad de datos que se producen constantemente: Datos financieros, reportes, facturas, órdenes de compra, encuestas, actividades online, emails, medios sociales y en un futuro cercano los datos del internet of things. Tanto individuos como empresas, gobiernos y máquinas los producen en un volumen que según algunas fuentes cada segundo equivale a los datos almacenados en todo el internet desde hace 20 años. El enorme volumen, la gran variedad de fuentes no comunicadas entre ellas y la velocidad de su creación eran hasta hace un tiempo un obstáculo insuperable para su almacenamiento y análisis. Esto está cambiando gracias a la creciente utilización de sistemas “cloud”. Las empresas pueden ahora almacenar o tener acceso a datos en forma rápida y económica lo que les permite descubrir temas y relaciones entre datos no estructurados provenientes de diferentes “silos” que no tienen ninguna relación aparente entre sí. Big Data utiliza conceptos que no son nuevos para los Compliance Officers. Se utilizan “data” tanto en Compliance como en Auditoría desde hace mucho tiempo. Pero ahora Big Data permite acceder a más datos y sobre todo incluir a datos no estructurados, tanto internos como externos (emails, medios sociales y en un futuro cercano del “internet of things”, los celulares, autos, televisores y electrodomésticos que comunican automáticamente a través de internet los aspectos más variados de la vida de las personas, los comportamientos de consumidores y clientes, etc). Sin embargo, los datos no estructurados son solo una inferencia, y requieren para su interpretación además del análisis de su contexto, la determinación de qué se mide y cómo hacerlo.  Big Data Análisis es un enorme paso en esta dirección que permite profundizar y acelerar la búsqueda de temas de compliance en la gran bola de datos. Big Data Análisis es el camino para incrementar la efectividad del programa de compliance y a la vez bajar costos, dos puntos no menores y en rara complementariedad: Big Data Análisis permite abandonar muchos procesos manuales, a veces intuitivos y reemplazar el uso de la “regadera” que aplicaba el mismo esfuerzo y la misma cantidad de recursos a todo el espectro al cubrir y enfocar las acciones y recursos dónde tiene sentido: indica en que temas focalizar mejor el mapeo de riesgos de compliance, ayuda a segmentar audiencias para los entrenamientos y seleccionar temas relevantes para diferentes funciones en la empresa y la cadena de valor. Además, automatiza el monitoreo y gran parte de las auditorías. Pero Big Data no solo mejora el conocimiento y la comprensión de lo ya ocurrido sino que permite una mejor prevención. Además de focalizar las actividades de Compliance mejor en las áreas de riesgos y adaptar los entrenamientos a las necesidades porque muestra tendencias y advierte lo que puede pasar en el futuro, tanto en las áreas de la empresa, en determinados negocios, en los empleados y la cadena de valor. Algunos ejemplos de uso de Big Data Análisis, citados en el Risk & Complance Journal del Wall Street Journal el 8 de Septiembre 2016, son la detección de anomalías para descubrir potenciales riesgos, análisis de textos para descubrir temas de compliance en documentos no estructurados; análisis de redes para encontrar links entre entidades, y análisis visuales para crear representaciones visuales para interpretar mejor huellas en datos escondidos.