SISTEMA DE GESTIÓN

DE COMPLIANCE
CONTENIDO
1. SISTEMAS DE GESTIÓN DE COMPLIANCE.............................................................. 3
2. ANTECEDENTES ............................................................................................................ 5
2.1. Normas ISO y guías internacionales sobre sistemas de compliance..............5
2.2. Situación actual en los principales ordenamientos............................................6
3. ELEMENTOS..................................................................................................................12
3.1. Liderazgo y cultura de compliance....................................................................... 13
3.2. Función del compliance........................................................................................... 15
3.3. Evaluación de riesgos............................................................................................... 18
3.4. Políticas y controles.................................................................................................. 19
3.5. Comunicación, formación y sensibilización....................................................... 21
3.6. Supervisión y verificación....................................................................................... 22
3.7. Sistema disciplinario................................................................................................ 24
4. ¿A QUÉ CUESTIONES DEBE RESPONDER UN SISTEMA INTEGRAL DE
CUMPLIMIENTO?..............................................................................................................25
5. EL FUTURO DEL COMPLIANCE: ¿QUÉ NOS ESPERA?.........................................27

BIBLIOGRAFÍA...................................................................................................................30

2
 01
SISTEMAS DE GESTIÓN
DE COMPLIANCE
La base sobre la que se asienta un sistema de gestión de compliance penal o progra-
ma de compliance de una organización se deben indicar en su política de compliance.
Esta política de compliance tiene que ser aprobada por la dirección y debe decla-
rar y anunciar, tanto interna como externamente, cuáles son los compromisos y los
principios generales en materia de compliance de la organización, en línea con sus
valores y estrategias.

Como veremos, la UNE-ISO 37301:2021 sobre sistemas de gestión de compliance en

su apartado 5.2 establece los contenidos que debe tener una política de compliance
en una organización. La política de compliance no es una política única, sino que
debe ser apoyada por otras políticas, procedimientos y protocolos. Un programa
de compliance es un documento detallado en el que se explica cómo se van a llevar
a cabo en la organización los compromisos y obligaciones que han establecido en
la política de compliance. El programa de compliance debe incluir un conjunto de
elementos sin los cuáles no sería posible llevar a cabo con eficacia los compromisos
adquiridos.

3
Figura 1: Política de cumpliento y procedimientos
de la función de cumplimiento (Elaboración propia)

4
 01
ANTECEDENTES
2.1. NORMAS ISO Y GUÍAS INTERNACIONALES
SOBRE SISTEMAS DE COMPLIANCE
El compliance comienza a despertar interés dentro de la Organización Interna-
cional de Normalización (ISO) en el año 2013, año en el que dando respuesta a
las necesidades del mercado se decidió empezar a trabajar en una norma que
pueda convertirse en referente internacional para las organizaciones a la hora
de entender qué es el compliance y cómo gestionar los riesgos de cumplimiento
a los que se enfrentan.

De esta manera, en el año 2015 se publicó la norma “UNE-ISO 19600:2015 Sis-

temas de gestión de compliance”. Esta norma proporcionaba únicamente reco-
mendaciones en materia de compliance y no era certificable. Por eso, pocos años
después de su publicación se comenzó a trabajar en la revisión para transfor-
marla en una norma también de requisitos y certificable. Es así como finalmente
se llega en el año 2021 a la publicación de la “Norma ISO 37301:2021 Sistemas
de gestión de compliance. Requisitos con orientación para su uso”, que anula y
sustituye a la Norma ISO 19600:2015.

La nueva normativa ofrece una visión más madura y evolucionada del

compliance, y permite a las organizaciones demostrar su compromiso para
cumplir con las leyes y con otros compromisos asumidos de forma voluntaria
a través de una certificación. En este documento se especifican los requisitos y
se proporcionan directrices para establecer, desarrollar, implementar, evaluar,
mantener y mejorar un sistema de gestión de compliance eficaz dentro de
cualquier organización, independientemente del tipo, tamaño y naturaleza de
la actividad. Es decir, es válido tanto para organizaciones del sector público,
como para el privado e incluso organizaciones sin fines de lucro. Por ello, esta
norma se constituye hoy en un estándar internacional que no puede dejar de
tenerse en cuenta a la hora de diseñar un sistema de compliance dentro de una
organización.

5
 Existen además distintas guías publicadas por organismos nacionales e inter-
nacionales en las que se definen cuáles son los elementos esenciales que debe
contener un programa de compliance:

• Sentencing of organizations, federal sentencing guidelines (2012): Este docu-

mento fue publicado por la United States Sentencing Commission y establece
los ocho elementos esenciales que debe contener un programa de compliance
para ser efectivo.

• A resource guide to the FCPA U.S. foreign corrupt practices act (2012): Esta
guía fue publicada por la Criminal Division of the U.S. Departament of Justice
and the Enforcement Division of the U.S. Securities and Exchange Commis-
sion e indica un total de diez marcas distintas para determinar si un programa
de compliance es eficaz.

• Guidance about procedures which relevant commercial organisations can put

into place to prevent persons associated with them from bribing (Section 9 of
the bribery act 2010): Esta guía fue publicada por el Ministerio de Justicia del
Reino Unido y desarrolla seis principios necesarios en los que se debe basar un
programa de compliance eficaz.

• Good practice guidance on internal controls, ethics and compliance (2010):

Este documento fue publicado por la OCDE Council e indica un total de doce
buenas prácticas para asegurar un programa de compliance eficaz.

2.2. SITUACIÓN ACTUAL EN LOS PRINCIPALES

ORDENAMIENTOS
A lo anterior se añade la normativa de cada uno de los países que contempla la
responsabilidad penal de la persona jurídica y establecen los requisitos mínimos
que deben contemplar los programas de compliance. Esta normativa específica
debe ser considerada muy especialmente al momento de diseñar un sistema de
compliance en organizaciones que operan dentro de esos países. Se mencionan a
continuación algunos ejemplos:

Francia: Ley Sapin II

a. Se tiene un código de conducta integrado en el resto de políticas internas de

la compañía. El mismo no sólo debe incluir normas éticas y de anticorrupción,
sino que debe ser el libro de cabecera de los empleados.

6
b. Hay un canal de denuncias o “Whistleblower channel”. Se introduce uno de
los marcos de protección más fuertes. La ley expresamente exige que los de-
nunciantes sean “personas desinteresadas y de buena fe” y que tengan conoci-
miento de primera mano de los hechos. Se garantiza su anonimato castigando
con penas de multa y prisión a los divulgadores. A diferencia de lo que ocurre
en los Estados Unidos y España, en Francia la Ley Sapin II apoya financiera-
mente (pero sin incentivo) a los denunciantes en una cantidad determinada
por la autoridad independiente. Sin embargo, se exige que el denunciante ago-
te la vía interna, comunicando los hechos en primer lugar a la empresa y así
permitir que ésta reaccione rápidamente ante las acusaciones. Una vez ago-
tada esta instancia, tendrá abierta la posibilidad de comunicarlo a la agencia.

c. Se realizan evaluaciones de riesgo de corrupción.

d. Hay diligencia en la selección de terceras partes tales como clientes, provee-

dores e intermediarios.

e. Se realizan controles contables adecuados, tanto interna, como externamen-

te.

f. Se lleva a cabo la formación y capacitación a trabajadores en posición de ries-

go alto.

g. Existe una lista de sanciones disciplinarias.

h. Se llevan a cabo auditorías internas del programa.

España: Código penal artículo 31 bis

1. El apartado quinto del artículo 31 bis enumera los requisitos que deben cum-
plir estos modelos de organización y gestión para operar como eximentes de
la responsabilidad penal de la persona jurídica:

2. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos
que deben ser prevenidos.

3. Establecerán los protocolos o procedimientos que concreten el proceso de

formación de la voluntad de la persona jurídica, de adopción de decisiones y
de ejecución de las mismas con relación a aquellos.

4.Dispondrán de modelos de gestión de los recursos financieros adecuados para

impedir la comisión de los delitos que deben ser prevenidos.

5. Impondrán la obligación de informar de posibles riesgos e incumplimientos al

organismo encargado de vigilar el funcionamiento y observancia del modelo
de prevención.

7
6. Establecerán un sistema disciplinario que sancione adecuadamente el incum-
plimiento de las medidas que establezca el modelo.

7. Realizarán una verificación periódica del modelo y de su eventual modifica-

ción cuando se pongan de manifiesto infracciones relevantes de sus disposi-
ciones, o cuando se produzcan cambios en la organización, en la estructura de
control o en la actividad desarrollada que los hagan necesarios.

México

1. Se realiza un diagnóstico de administración o prevención de riesgos penales,

el cual es actualizable periódicamente según la naturaleza de las actividades
organizacionales.

2. Se detalla la descripción y perfil del órgano permanente de control encargado

expresamente del seguimiento, verificación y supervisión del cumplimiento
normativo.

3. Se realiza redactado con un lenguaje ordinario y común para todo el perso-

nal de la empresa, incluidos clientes y proveedores para que sea comprensible
para todos los niveles de puesto.

4.Hay un canal de denuncias internas y un debido sistema disciplinario

(whistleblower), ya sea insourcing y outsourcing.

5. Existe un programa para la debida selección y contratación de personal acor-

de con la naturaleza y perfiles laborales, así como un plan de formación y capa-
citación constante y verificable.

6. Existen palancas de control, supervisión y vigilancia a nivel de personas, data

o información, procesos, subprocesos y del sistema organizacional y operacio-
nal en su conjunto.

7. Hay un sistema de gestión de recursos financieros y materiales, es decir, un

control de costos de cumplimiento regulatorio reflejado, registrado o asenta-
do en los estados financieros. Esto es fundamental, pues si no cuesta el com-
pliance penal, se presume que es cosmético.

Perú: Artículo 17 de la Ley 30.424

1. Se elige un encargado de prevención (oficial de cumplimiento), designado por

el máximo órgano de administración de la persona jurídica y que ejerza sus
funciones con autonomía.

8
2. Se lleva a cabo la identificación, evaluación y mitigación
de riesgos para prevenir la comisión de delitos a través de
la persona jurídica.

3. Hay una implementación de procedimientos de denuncia.

4.Se promueve la difusión y capacitación periódica del mo-

delo de prevención.

5. Hay una evaluación y monitoreo continuo del modelo de

prevención.

Argentina: Artículo 23 de la Ley 27.401

a. Conforme a las pautas establecidas en el segundo párra-

fo del artículo precedente, el programa de integridad de-
berá contener al menos los siguientes elementos:

b. Un código de ética o de conducta, o la existencia de po-

líticas y procedimientos de integridad aplicables a todos
los directores, administradores y empleados, indepen-
dientemente del cargo o función ejercidos, que guíen la
planificación y ejecución de sus tareas o labores de forma
tal de prevenir la comisión de los delitos contemplados
en esta ley;

c. Reglas y procedimientos específicos para prevenir ilíci-

tos en el ámbito de concursos y procesos licitatorios, en
la ejecución de contratos administrativos o en cualquier
otra interacción con el sector público;

d. La realización de capacitaciones periódicas sobre el pro-

grama de integridad a directores, administradores y em-
pleados.

Asimismo, también podrá contener los siguientes elemen-

tos:

1. El análisis periódico de riesgos y la consecuente adapta-

ción del programa de integridad;

2. El apoyo visible e inequívoco al programa de integridad

por parte de la alta dirección y gerencia;

3. Los canales internos de denuncia de irregularidades,

abiertos a terceros y adecuadamente difundidos;

9
4.Una política de protección de denunciantes contra represalias;

5. Un sistema de investigación interna que respete los derechos de los investi-

gados e imponga sanciones efectivas a las violaciones del código de ética o
conducta;

6. Procedimientos que comprueben la integridad y trayectoria de terceros o

socios de negocios, incluyendo proveedores, distribuidores, prestadores de
servicios, agentes e intermediarios, al momento de contratar sus servicios du-
rante la relación comercial;

7. La debida diligencia durante los procesos de transformación societaria y ad-

quisiciones, para la verificación de irregularidades de hechos ilícitos o de la
existencia de vulnerabilidades en las personas jurídicas involucradas;

8. El monitoreo y evaluación continua de la efectividad del programa de integri-

dad;

9. Un responsable interno a cargo del desarrollo, coordinación y supervisión del

programa de integridad;

10. El cumplimiento de las exigencias reglamentarias que sobre estos programas

dicten las respectivas autoridades del poder de la policía nacional, provincial,
municipal o comunal que rija la actividad de la persona jurídica.

Chile

La Ley 20.393 se encargó de contemplar determinados requisitos copulativos

para entender que estamos en presencia de un modelo de organización adecua-
do y que se han cumplido los deberes de organización y supervisión. Aquí el pro-
grama de integridad deberá contener al menos los siguientes elementos:

11. Designación del encargado de prevención

12. Medios y facultades del encargado de prevención

13. Reporte a la administración de la empresa

14. Establecimiento de un sistema de prevención de delitos

15. Protocolos, reglas y procedimientos específicos

16. Procedimientos de administración de los recursos financieros

17. Procedimientos de auditoría de los recursos financieros

10
18. Obligaciones, prohibiciones y sanciones

19. Código de ética

20. Reglamento interno de orden, higiene y seguridad

21. Inclusión de normativa en los contratos de trabajo

22. Inclusión de normativa en los contratos con proveedores

23. Sistema de denuncias

24. Comunicación de normativa a todos los trabajadores

25. Supervisión del modelo

11
 03
ELEMENTOS
Los elementos esenciales que nosotros consideramos que debe contener un
programa de compliance son:

Figura 2: Elementos esenciales de un

programa de compliance (Elaboración propia)

12
 Figura 3: Alcance, diseño, implantación
y supervisión (Elaboración propia)

3.1. LIDERAZGO Y CULTURA DE COMPLIANCE

El primer elemento indispensable para que cualquier programa de compliance
sea eficaz, cualquiera sea el tamaño o las características de la organización,
es que exista un compromiso y un apoyo firmes explícitos y visibles de la alta
dirección hacia compliance, lo que en inglés se conoce como “Tone from the top”.

La alta dirección debe promover una cultura en la organización en la que los

incumplimientos no sean aceptables bajo ningún concepto. La cultura de
compliance es un concepto desarrollado, por ejemplo, en la mencionada Norma
UNE-ISO 37301 Sistemas de Gestión de Compliance en cuyo apartado 5.1.2
destaca la importancia de la cultura de compliance y en el apartado A.5.1.2 del
anexo se indican los parámetros por los que se puede medir el grado de cultura
de compliance de una organización.

El compromiso de la alta dirección debería manifestarse, por ejemplo, en la

declaración formal, documentada y formulada por los administradores, en la que
se manifieste su firme compromiso en favor de los objetivos de compliance. Esta
declaración debería hacerse pública, tanto dentro como fuera de la organización,
por ejemplo, en el código de conducta.

13
Un código de conducta es tan sólo el vehículo para facilitar la comunicación y la
comprensión de políticas, normativas, valores, etc. de la organización a todos
los niveles de la misma. La cuestión es que si no existe nada que comunicar o lo
que se comunica no está fundamentado en un programa sólido de acciones y
medidas, se vuelve un papel vacío y sin contenido.

Figura 4: Consejo de administración y

comité de auditoría (Elaboración propia)

Figura 5: Roles principales de las áreas

implicadas (Elaboración propia)

14
 Figura 6: Líneas de defensa
(Elaboración propia)

3.2. FUNCIÓN DEL COMPLIANCE

Si bien el compliance afecta a todos los miembros de la organización y debe ser
vista como una parte integral de sus actividades de negocio, la gestión del riesgo
de compliance siempre será más efectiva si cuenta con una función específica
con empleados especializados.

En organizaciones con un determinado tamaño es necesario que existan

profesionales de alto nivel que tengan específicamente asignadas las
responsabilidades relacionadas con el programa de compliance. Las prácticas
internacionales recomiendan que se designe a un individuo como compliance
officer, para que sea el punto de contacto para todas las actividades de compliance
de la organización. Para llevar a cabo correctamente las tareas asignadas, el
compliance officer debe cumplir con los requisitos definidos en el apartado 3.1
del capítulo 3.

Alternativamente, las organizaciones pueden tener un comité de compliance

multifuncional que coordine las funciones de compliance de toda la organización.
Con carácter general y sin entrar en particularidades, existen algunas preguntas
básicas y comunes que debemos plantearnos:

• ¿Cómo se ha nombrado o designado?

• ¿Existe un acta de junta de socios o de la alta dirección que aprueba la posición
de responsable sobre el cumplimiento, define sus funciones y responsabilida-
des?
• ¿Cómo se protege la posición?

15
• ¿Cuál es la retribución en comparación con otros puestos directivos en la or-
ganización?
• ¿Qué lugar ocupa en los organigramas habituales de la organización?
• ¿Cómo se garantiza la libertad e independencia?
• ¿Participa con regularidad en las reuniones de la alta dirección?
• ¿Se le han asignado funciones que impliquen toma de decisiones?
• ¿Cómo se gestionan los posibles conflictos de intereses?

En cuanto a los responsables, su clasificación varía en los términos siguientes:

• Compliance officer (CO)

• Chief compliance officer (CCO)
• Chief ethics and compliance officer (CECO)

En relación a los niveles de compliance, el nivel más complejo lo encontraríamos en

las superestructuras de compliance, entendidas estas como aquellas estructuras
que sobre una base piramidal aglutinan diversas áreas de compliance individual
que son finalmente coordinadas y aglutinadas en un área de gestión centralizada.

Figura 7: CCO (Elaboración propia)

16
Para el adecuado desempeño de su labor, el compliance officer necesita de los
recursos que habrán de ser de índole:

• Personal: La labor de compliance deberá contar con personal suficiente para

su desempeño. Si bien la situación óptima es que exista un compliance officer
dedicado en exclusiva a esta labor ello, no quita que según el tipo de organi-
zación pueda contar con colaboradores directos en el área o bien con otros
colaboradores que compaginen la labor de compliance con aquella otra propia
que desempeñen en otras áreas de la organización.

• Económica: La labor de compliance requiere contar con recursos económicos

suficientes para realizar su labor. Así, será conveniente que cuente con un pre-
supuesto independiente que deberá abarcar aquellos costes asociados con la
función (como por ejemplo la formación interna y externa, contratación de ba-
ses de datos especializadas para la función, modificación de sistemas para im-
plantar el componente de compliance, asesoría externa, etc.). El presupuesto
conviene que se gestione independientemente por el director de compliance,
verificando al final del ejercicio su empleo adecuado.

Esta dotación de medios suficientes es una cuestión fundamental, pues es uno

de los aspectos que eventualmente enjuiciará un tribunal a la hora de valorar si
la persona jurídica cuenta con un adecuado sistema de protección. En lo refe-
rente a la retribución del compliance officer, esta debe ser acorde con su respon-
sabilidad (alta) y dar de esa manera igualmente señal de la valoración (alta) de la
función dentro de la organización.

Figura 8: Herramientas de compliance

management (Elaboración propia)

17
3.3. EVALUACIÓN DE RIESGOS
Realizar una evaluación de riesgos correcta y adaptada a la organización es un
elemento esencial para desarrollar un programa de compliance efectivo. Las or-
ganizaciones deben, necesariamente, analizar los riesgos específicos a los que
se enfrentan, que varían en función de su tamaño, estructura, actividad, áreas
geográficas con objeto de asignar los recursos prioritariamente a las áreas que
en su caso concreto conllevan un mayor riesgo.

Las organizaciones sólo tratan de identificar los riesgos de dentro hacia afue-
ra, es decir, conductas que se podrían dar en el personal de la organización y
podrían afectar o incidir en terceros. No deberíamos olvidar los riesgos de fue-
ra hacia adentro, es decir, aquellas conductas promovidas por personal ajeno
a nuestra organización pero que podrían invocar conductas irregulares. Estas
pueden ser cuestiones como por ejemplo la obtención de información protegi-
da. Cabe tener en cuenta también la importancia del análisis del contexto, iden-
tificar las operaciones que realiza la organización y los riesgos en relación a los
mismos, clientes y transacciones, alianzas, consorcios empresariales, compra de
empresas, etc.

En el análisis del riesgo, es necesario documentar toda una serie de aspectos re-
feridos al por qué y al cómo de su elaboración. Es conveniente dejar constancia
de cómo se llegó a las conclusiones finales, puesto que en caso contrario puede
darse el supuesto de que resulte necesario el justificar el por qué se incluyeron
ciertos riesgos y otros no y no poder argumentar lo que alguien en su momento
elaboró y ya no puede fundamentar porque está en la empresa o no recuerda
qué motivo dicha decisión. Deberían incorporar:

• Conclusión alcanzada respecto a cada riesgo (analizada desde la perspectiva

de la probabilidad y del impacto)

• Determinación del autor de dicha conclusión (proveniente del análisis interno

por un individuo o grupo de la organización o por el contrario, obra de un ase-
sor externo)

• El proceso seguido para alcanzar dicha conclusión

• La determinación de los sujetos afectados por el riesgo

18
 Figura 9: Mapa de riesgos de cumplimiento (Elaboración propia)

3.4. POLÍTICAS Y CONTROLES

Políticas, procedimientos y controles internos bien documentados constituyen
el cuarto elemento esencial que debe contener un programa de compliance. Una
vez identificados y evaluados los riesgos es necesario implementar controles
para gestionarlos. Las políticas y procedimientos internos, los procesos opera-
tivos, las circulares e instrucciones de trabajo y otros controles que se puedan
implantar constituyen formas de gestionar los riesgos.

Por otro lado, el plan de controles implica el establecimiento de acciones de con-

trol o controles con los objetivos a eliminar, mitigar, trasladar, vigilar y prevenir
el riesgo. Este plan de control debe contemplar los controles mínimos que debe-
ría tener un programa de compliance, tales como el control contable y financiero,
diligencia debida, relación con los socios de negocio, compromisos en materia
de cumplimiento y establecimiento de canales de denuncia e investigación.

Todas las políticas y procedimientos internos deben estar por escrito

en el idioma de trabajo de los empleados, deben estar redactados
en un lenguaje claro y práctico y deben estar accesibles a todos. Los
códigos de conducta de las empresas generalmente son los cimientos
en los que se fundamenta un programa de compliance y contienen un
compendio de las principales políticas y procedimientos internos que
existen en la organización. 19
La organización debería definir quién tiene la responsabilidad y la autoridad
para aprobar la aplicación de los controles o su modificación. Los controles dise-
ñados deben tener los criterios definidos, y debe tener documentados una serie
de indicadores:

• Cómo se espera que operen

• Quien, cuanto y donde se van a aplicar
• Métrica de funcionamiento, aplicación y eficacia de cada control

Figura 10: Sistema de control interno y

modelo de gobierno (Elaboración propia)

20
3.5. COMUNICACIÓN, FORMACIÓN Y
SENSIBILIZACIÓN
Para garantizar que las políticas y procedimientos están realmente imbuidos en
la empresa es necesario que exista suficiente comunicación y formación sobre
los preceptos que contienen, de forma que todas las personas afectadas sepan
en todo momento qué deben hacer y cómo lo tienen que hacer.

Las acciones de comunicación, formación y sensibilización son otros de los ele-

mentos esenciales de un programa de compliance. Los programas de formación y
la forma en la que se difunden y se comunican las políticas y los procedimientos
deben estar diseñados conforme a las características de las personas a las que
se dirigen y los roles que se desempeñan.

La formación y sensibilización a los recursos humanos es básica y esencial, y re-

quiere un trabajo directo y estrecho con los departamentos de recursos huma-
nos. Una de las grandes carencias es el tipo de formación que se imparte. Esto
es porque es demasiado genérica y no ha sido diseñada a medida de la organiza-
ción.

Figura 11: Plan de formación, comunicación

y herramientas (Elaboración propia)

21
 Figura 12: Objetivos del plan de formación (Elaboración propia)

3.6. SUPERVISIÓN Y VERIFICACIÓN

La revisión del programa de compliance debe ser monitorizado, evaluando la
aplicación de los controles, evaluando periódicamente su efectividad, habilitan-
do un canal ético de denuncias internas o externas mediante el cual se puedan
comunicar prácticas o comportamientos irregulares en el seno de la empresa e
investigar adecuadamente los hechos denunciados, corrigiendo y adaptando los
controles cuando sea necesario.

Adicionalmente, es necesario realizar verificaciones periódicas del programa de

compliance y sobre todo siempre que se vayan a producir cambios sustanciales
en la organización con el objeto de verificar si se han puesto de manifiesto in-
fracciones relevantes de sus disposiciones, si se han producido novedades le-
gislativas, pero fundamentalmente, cambios en la organización, estructura de
control o actividad como expansión geográfica, apertura de una nueva línea de
negocio, etc.

El programa de compliance planteará una necesidad continua de revisión y mejo-

ra continua. Medir y evaluar un plan puede ser muy complicado si no se aborda
de manera adecuada. Debemos plantearnos ciertos interrogantes:

22
• ¿Está funcionando nuestro programa de compliance de acuerdo a lo esperado?
• ¿Se están aplicando las medidas de control con la intensidad esperada?
• ¿Se están alcanzando los objetivos establecidos para el período de supervi-
sión?
• ¿Se está monitoreando el programa de compliance?

En muchísimos casos, la organización no es capaz de aportar ninguna evidencia

de revisión, supervisión o similar del programa de compliance en los últimos años
ya que no se han realizado modificaciones, mejoras o cambios desde que se di-
señó. En muchos casos, la única evidencia formal es la formación periódica del
personal. Es importante que el compliance officer informe periódicamente a la
alta dirección continuamente y se actualicen los controles implementados.

Figura 13: Cuadro de mando de riesgo de cumplimiento y legales (Elaboración propia)

Figura 13: (Elaboración propia)

23
3.7. SISTEMA DISCIPLINARIO
Para que un programa de compliance sea aplicado de manera efectiva es nece-
sario que existan consecuencias para los incumplidores y en el caso de que haya
incentivos, que favorezcan su cumplimiento.

Por lo tanto, deberían existir medidas disciplinarias que castiguen a las perso-
nas que incumplan las políticas y procedimientos de la organización, de forma
proporcionada a la infracción cometida y que dichas medidas disciplinarias se
apliquen adecuadamente en tiempo y forma.

Paralelamente, sería oportuno que existan medidas de incentivo que fomenten

y promuevan la observancia del programa de compliance por parte de las perso-
nas que están bajo su ámbito de aplicación, como por ejemplo contemplar los
cumplimientos como medida positiva en las evaluaciones del rendimiento de los
empleados y en el cómputo del bonus anual.

24
 04
¿A QUÉ CUESTIONES
DEBE RESPONDER UN
SISTEMA INTEGRAL DE
CUMPLIMIENTO?

Figura 14: ¿A qué cuestiones debe responder un

sistema integral de cumplimiento? (Elaboración propia)

25
Fases

Figura 15: Fases del sistema de gestión

de compliance (Elaboración propia)

Funciones

• La función de compliance debe cuidarse de que se incorporen en las políticas

de la organización los aspectos de cumplimiento, en las descripciones de
los puestos de trabajo, de organizar formación, mecanismos de reporte de
compliance, etc.

• Identificar las obligaciones de compliance y trasladarlas en políticas, procedi-

mientos y procesos.

• Integrar las obligaciones de compliance en las políticas, procedimientos y pro-

cesos existentes.

• Impartir u organizar formación recurrente de forma que los empleados rele-

vantes dispongan de formación regular.

• Promover la inclusión de las responsabilidades de compliance en las descrip-

ciones de los puestos de trabajo y procesos de medición del rendimiento res-
pecto del equipo directivo.

• Establecer un sistema de reporte de compliance y de mantenimiento de la do-

cumentación de compliance.

• Desarrollar procesos para gestionar información como quejas o retroalimen-

tación a través de canales de denuncia y otros mecanismos.

• Establecer indicadores de rendimiento para medir y seguir las conductas de

compliance.

• Analizar las conductas de compliance para valorar la necesidad de acciones co-

rrectivas.

• Identificar los riesgos de compliance y gestionar aquellos riesgos que corres-

pondan a terceras partes como agentes, distribuidores, consultores y contra-
tistas.

26
 05
EL FUTURO DEL
COMPLIANCE: ¿QUÉ NOS
ESPERA?
Aunque aún queda mucho camino por recorrer en lo que tiene que ver con la apli-
cación del compliance, lo cierto es que cada vez más empresas en diferentes regio-
nes del mundo perciben esta tarea como prioritaria, especialmente entre las altas
esferas directivas. Por ejemplo, muchas de ellas ya cuentan con un inventario de
riesgos de cumplimiento, así como elementos de control interno (tal como los códi-
gos éticos o códigos de conducta).

En toda organización, es probable que los ojos se pongan en blanco cada vez que
haya un nuevo requisito de cumplimiento, una actualización de cumplimiento u
otra necesidad del programa de integridad con impacto legal. No porque la gente
esté en contra de hacer negocios de la manera correcta, sino por la carga, el tiempo,
el costo y la distracción que traen estas cosas.

Una conversación que probablemente no se lleva a cabo o que se descarta rápida-

mente es que estos programas y actividades de cumplimiento no sólo sirven para
proteger a los pacientes y los riesgos, sino que también tienen importantes bene-
ficios comerciales. Considerando que las necesidades y cargas del cumplimiento
nunca desaparecerán, es hora de aceptarlas y no sólo como un costo de hacer ne-
gocios, sino por los muchos beneficios que brindan.

Es importante enfatizar que no sólo las multinacionales o las empresas

de referencia en los sectores de la industria pueden aplicar la figura del
compliance. También puede suponer un valor agregado para muchas
pymes o negocios locales, los cuales tarde o temprano tendrán que
enfrentarse a temas normativos o de regulación, como lo hemos vivido
con las exigencias del regreso a una “nueva normalidad” pospandemia.
27
Reducen el riesgo organizacional e individual, evitan
problemas legales y multas, que a menudo representan cientos
de millones o incluso miles de millones de dólares y esto es
algo bueno. Estos son dólares que podrían haberse invertido
en más investigación, educación de pacientes, programas de
acceso o devueltos a los accionistas. Además de esos costos
duros, también hay costos más suaves que provienen de la
atención negativa de los medios y las percepciones adversas
del público y los clientes.

Los programas de integridad han obligado a una gran limpieza

de la nomenclatura y las definiciones, incluida la armonización
de sistemas y datos, y han garantizado la claridad sobre
qué son las cosas y cómo se llaman. También obligan a la
documentación completa, veraz y oportuna de actividades
y gastos. Esta claridad y buena disponibilidad de datos o
transparencia están generando una mayor visibilidad, que es
fundamental para las decisiones informadas de inversión y
planificación.

De la misma forma nos regala la eficiencia operativa. Las

personas creativas, por naturaleza, siempre están ideando
nuevas formas de lograr resultados. El problema es que cada
nueva idea, proceso, programa, sistema y función tiende a
acumularse prestando muy poca atención a lo que ya existe
o cómo se hacen las cosas. Por supuesto, la creatividad y la
innovación son críticas para todas las empresas, pero hay algo
que decir para reducir la duplicidad y racionalizar funciones,
roles y actividades. La mayor visibilidad del cumplimiento
permite esta simplificación, lo que da como resultado una
máquina de negocios más eficiente.

Te ofrece resultados en una caja de herramientas más pequeña

y mejor organizada. Hay algo que decir sobre una situación en
la que el número de opciones es menor que infinito. Las nuevas
definiciones y categorías más precisas y claras proporcionan
buenos filtros y puntos de referencia con los que se puede
probar cada nueva actividad, programa o función propuesta.
Con más frecuencia que nunca se preguntan por qué una
actividad propuesta es importante o valiosa en primer lugar.

Por último, mencionaré el resultado que se ha logrado a

través de los años en la implementación de los programas de
integridad, ayudando enfáticamente a realizar la misión de
una empresa. Las declaraciones de misión de la mayoría de
las empresas incluyen información sobre la responsabilidad

28
corporativa, la importancia de los empleados y clientes y los beneficios que aportan
a la sociedad. Comportarse de maneras que no son consistentes con sus valores
declarados puede hacerlos no sólo inútiles, sino también dañinos. Los programas
de cumplimiento ayudan a una empresa a actuar de manera coherente con estos
valores. Esto se debe a que cuando se diseñan adecuadamente, las políticas y
pautas tienden a abordar no sólo leyes y regulaciones externas, sino también las
aspiraciones internas y externas de una empresa. En otras palabras, no se trata sólo
de lo que es o no es legal o se requiere, sino también de hacer lo correcto.

La implementación de los programas de integridad nos recuerda que la transparencia

es un buen negocio. Innumerables veces en mi carrera, he experimentado y sido
testigo de la reacción favorable que genera la transparencia cuando los clientes y
colaboradores reciben la historia completa, abierta y honesta. Todos hemos visto
casos de lo que sucede cuando este no es el caso y lamentablemente muchas puertas
se han cerrado como resultado. Los beneficios incluyen la capacidad de atraer y
retener grandes talentos, un menor costo de contratación y rotación de empleados
y por supuesto, el valor incalculable de un fuerte compromiso de los empleados.

Te invito a crear tu propia reflexión y a compartir que los programas de integridad

no son una moda: son una necesidad que mejora nuestro entorno. Ahora es el
momento de detonar la acción.

29
BIBLIOGRAFÍA
CÓDIGO PENAL (reforma de 2015), artí-
culo 31 Bis. España.

LEY Nº 20393. (Publicada el 2 de diciem-

bre de 2009). Chile.

LEY N.° 27401, ARTÍCULO 23. (Publicada

el 1 de diciembre de 2017). Argentina.

LEY N.° 30424, ARTÍCULO 17. (Publicada

el 21 de abril de 2016). Perú.

ORGANIZACIÓN INTERNACIONAL DE
NORMALIZACIÓN (2021). Sistemas
de gestión de compliance. Requisitos
con orientación para su uso (Norma
ISO nº 37301:2021).

Las imágenes de portada fueron tomadas

de Shutterstock.

30