Asuntos legales · Gestión de riesgos

Novedades del DoJ: nuevas expectativas en Compliance y mayor foco en el control interno

KPMG Tendencias
15 octubre, 2024
5 min

Autores: Alain Casanovas, socio responsable de Compliance en KPMG España, Alicia Burgueño, directora de Gobierno, Riesgo y Cumplimiento de KPMG en España, y Valvanera Campos, asociada en Legal Compliance de KPMG Abogados.

El Departamento de Justicia de los Estados Unidos (DoJ) publicó el pasado septiembre la más reciente actualización de su guía para la Evaluación de Programas de Compliance (Evaluation of Corporate Compliance Programs). Un documento al que, aunque elaborado para el mercado americano, los profesionales de las funciones Compliance y de Control Interno recurren como soporte adicional para anticiparse y poder analizar si los Modelos de supervisión existentes en sus organizaciones se alinean o no con esos “nuevos” ámbitos o puntos de atención y, de esta forma, establecer y definir nuevos controles y planes de mitigación que permitan mejorar el control interno y aportar mayor valor estratégico a las organizaciones, reduciendo cualquier potencial riesgo emergente y favoreciendo la consecución de los objetivos de las organizaciones.

¿Cómo surge esta guía y con qué objetivo?

Sus orígenes se remontan al año 2017, cuando el DoJ dio a conocer una brevísima guía (siete páginas) para ayudar a fiscales en la evaluación de programas de Compliance para la prevención del soborno. Se recogían entonces 11 puntos que sintetizaban preguntas clave a formular para satisfacerse de la idoneidad y efectividad de estos programas. Dos años más tarde, se actualizó el documento, estructurándose en tres grandes bloques de cuestiones (diseño, implementación y eficacia) que, a su vez, contemplaban cuestiones clave para valorar cada uno de esos aspectos.

Desde la primera publicación del documento, el DoJ ha mostrado una aproximación proactiva y actualizada sobre lo que cabe esperar de los programas de corporate compliance

El documento inicial, difícil hoy de localizar, ayudaba a estructurar una entrevista forense altamente significativa. Se perdió tal orientación en su primera revisión en 2019, a costa de desarrollar contenidos, mejorar estructura y ganar dimensión didáctica. Desde entonces, el DoJ ha seguido vertebrando su análisis alrededor de estos tres apartados, actualizándose en los años 2020, 2023 y, ahora, 2024.

Desde la primera publicación del documento, el DoJ ha mostrado una aproximación proactiva y actualizada sobre lo que cabe esperar de los programas de corporate compliance para que merezcan reconocimiento y eventual trato de favor. El DoJ desarrolla esta labor meticulosamente, consciente de que sus orientaciones son consideradas buenas prácticas en la esfera internacional. Además de constituir un contenido de gran utilidad para las Áreas de Control, lo es también para los Auditores Internos de cara a enfocar los planes de supervisión considerando aquellos ámbitos donde se están manifestando los riesgos emergentes.

Principales novedades incorporadas en el ECCP con respecto a versiones anteriores

Uno de los cambios incorporados en la nueva versión del documento del DOJ recoge la importancia de la gestión de las tecnologías y los sistemas ya que, aunque no son conceptos nuevos, sí que se ha demostrado como una de las áreas de mayor riesgo de las organizaciones y donde los controles suelen ser más difíciles de gestionar y mantener (ITGCs, IPEs, controles automáticos, etc.), con una variable añadida adicional que es la incorporación de la Inteligencia Artificial y su impacto en las evaluaciones de riesgos de Compliance.

Otro de los cambios que introduce es la potenciación de los mecanismos de whistleblowing, que se alinean con el último impulso de su programa piloto de recompensas (Corporate Whistleblower Awards Pilot Program). Y, en tercer lugar, la accesibilidad por parte de la propia función de compliance a bases de datos y dotación de recursos tecnológicos comparables con otras áreas de la organización.

Mejora de contenidos existentes

Además, se mejoran contenidos ya presentes en versiones anteriores del documento. A destacar los siguientes:

  • La necesaria evolución de la formación a los empleados sobre la base de las lecciones aprendidas, tanto de los problemas anteriores de la propia organización como de los problemas de otras empresas en sectores y zonas geográficas afines. El DoJ exige un extra de atención a incidentes de sus competidores y/o empresas vecinas, enlazándolo con su actual programa piloto (Compensation Incentives and Clawbacks Pilot Program) que promueve sistemas de compensación para premiar actitudes alineadas con el cumplimiento de los programas de corporate compliance.
  • La importancia de la participación de la función de compliance en los procesos de fusión y adquisición (M&A) de negocios, incluyendo la fase de integración correspondiente. Es una materia relacionada con el criterio en 2023 de Safe Harbor Policy.
  • Otras cuestiones relacionadas, por ejemplo, con la monitorización, evaluación y supervisión continua de la efectividad del programa y especial énfasis de inclusiones específicas del rol de la función de compliance, debiendo estar acreditada su cualificación y categoría.
¿Necesitas asesoramiento para adaptarte a las novedades del DoJ?
Te ayudamos

Foco en gestión de Riesgos y Control interno

Y es que las principales modificaciones que incorpora la última guía de evaluación de los Programas de Cumplimiento Corporativos del DOJ, se orientan al refuerzo de la adecuada gestión de riesgos y la implementación de mecanismos de control y se pueden resumir en los siguientes puntos para alinearse con la vanguardia en el ámbito de control y el cumplimiento distribuidos en:

  1. Refuerzo de la gestión y evaluación de Riesgos como elemento clave y base de todo el Modelo de Control. Identificación continua de riesgos nuevos y emergentes considerando las circunstancias internas y externas que afectan a la organización, así como la definición de medidas adecuadamente diseñadas (que cubran el objetivo de control de forma precisa) e implementadas para mitigar los riesgos.
  2. Identificación, utilización, control y monitorización del uso de tecnologías (tanto tradicionales como emergentes) y sistemas en todos los ámbitos de la organización. Se considera el riesgo relacionado con el adecuado uso de todo tipo de tecnologías y sistemas (incluyendo los nuevos riesgos emergentes de la Inteligencia Artificial). El control y seguimiento de los controles relacionados con los accesos, la gestión de cambios, la seguridad, etc. (la adecuada gestión de los ITGCs) y la necesidad de supervisar y monitorear su uso adecuado por el personal (es decir, que se emplee para lo que esté diseñada) y de desarrollar controles internos apropiados.
  3. Monitorización continua en la gestión de riesgos de tercera parte. Se refuerza la necesidad de realizar una supervisión continua del desempeño de los proveedores a lo largo de toda la vida del servicio prestado.
  4. Participación de las funciones de Control y Compliance en los Procesos de M&A desde la evaluación de los Modelos de Control. Una de las principales fuentes de riesgo en las organizaciones que integran compañías se deriva de la ausencia de una adecuada evaluación de los modelos de control de las empresas objeto de integración en los procesos de M&A (que incrementan el riesgo de responsabilidad del “sucesor”) y de los fallos en la integración de las mismas en los modelos de controles. Es decir, resulta clave realizar un análisis de la transacción y la entidad ex -ante y ex -post, para asegurar que el modelo de control interno existente en la organización adquirida es adecuado y se integra de forma completa y adecuada en la organización adquirente.
  5. Profesionales adecuadamente formados en gestión de riesgos y controles. Asegurar la disponibilidad de personal y recursos adecuados para gestionar los riesgos de cumplimiento de manera proporcionada en comparación con los recursos del resto de áreas de la empresa (lo que muestra la importancia que el departamento de cumplimiento tiene para la organización en comparación con el resto de áreas de negocio y de la organización).
  6. Evaluación continua y supervisión de la efectividad del Programa de Cumplimiento. Cómo y con qué frecuencia la empresa evalúa y mide el éxito y la eficacia de su programa de cumplimiento. Es decir, se refuerza la importancia que se otorga a la evaluación periódica del funcionamiento y efectividad de los Modelos de Control y Cumplimiento

La principal conclusión en materia de control que emana de las modificaciones introducidas en esta actualizada guía es que las áreas de Compliance y control interno de las organizaciones, que han ido adquiriendo nuevas funciones con el incremento normativo y el creciente aumento de riesgos de diferente naturaleza, tienen que asumir, de forma ordenada, estructurada y más profesionalizada un carácter transversal para abordar sus respectivas responsabilidades. Solo así podrán gestionar de forma integrada y sinérgica (evitando duplicidades e ineficiencias) los diferentes riesgos provenientes de diferentes dominios, definiendo nuevos mecanismos de control.

Artículos relacionados