¿Por qué fallan los Programas de Compliance?

noviembre 19, 2019

Formación y medición: El Yin y el Yang de un sistema de Compliance eficaz

 

Artículo desarrollado en conjunto entre Garberí Penal y Play Compliance

En marzo de 2018 la Harvard Business School Review publicó el artículo “Por qué fallan los programas de compliance y cómo arreglarlo” en el cual los autores Hui Chen y Eugene Soltes señalaron que desde hace más de 40 años, las empresas en Estados Unidos gastan mucho dinero en sus programas de Compliance pero todavía las fallas éticas en los negocios continúan.

Para ello, Hui Chen, abogada del Departamento de Justicia de los Estados Unidos elaboró un  listado de preguntas para evaluar un programa de compliance:

  • ¿Qué entrenamiento han recibido los empleados que se desempeñan en funciones de control relevantes?
  • ¿La compañía ofreció entrenamiento a medida para empleados de alto riesgo?
  • ¿Se ha ofrecido en un lenguaje y forma apropiados para la audiencia a la que se dirige?
  • ¿La empresa ha medido la efectividad de la formación?

Diseñar e implementar un programa de Compliance es fundamental para mitigar riesgos tanto legales como reputacionales. Pero este programa de Compliance no tiene ningún efecto si los directivos y empleados no lo conocen. Mucho peor, es que no conozcan sus efectos. 

Vayamos a un caso real. Somos una multinacional y nos hemos propuesto abrir una Mesa de Contratación para xx producto. Empieza el proceso de comparativa de proveedores, servicios, atención al cliente, etcétera., lo que nos lleva a analizar la página web de cada uno. 

Por un lado, una empresa, que en adelante llamaremos empresa “A”, tiene una página web donde se publicitan sus productos, datos de contacto y operativa general, entre otros aspectos. Por otro lado, la empresa, que en adelante llamaremos “B”, cuenta con una página web con “cultura de compliance”, es decir, se han creado apartados para añadir, por ejemplo, el organigrama de la empresa, la Política de Distribución de Dividendos, su Código Ético y Política Anticorrupción, y por supuesto, un Canal Ético abierto a trabajadores, proveedores y clientes, con el fin principal de conocer cualquier irregularidad que pueda tener lugar. Maravilloso ¿no? 

Pero vamos un poco más allá. En las redes sociales, esta empresa “B” ha emitido una gacetilla de prensa en el que comunica a la sociedad en general y a los terceros con quienes se vincula en particular, que la totalidad de la plantilla ha participado en una campaña global de formación en valores éticos, anticorrupción y conflictos de interés, generando comentarios positivos y “likes” a gran escala. 

Si queremos que los directivos y empleados de la compañía internalicen los valores y principios y tengan herramientas necesarias para tomar buenas decisiones, adquiere enorme importancia contar con un plan de formación y sensibilización en Compliance a medida de la compañía. 

La experiencia nos lleva al mismo punto de partida: ¿Cómo convencer a los empleados del valor que tiene el Programa de Compliance? ¿Cuál es el elemento diferenciador para que la formación tenga mayor efecto? La respuesta es clara: la formación tiene que ser inductiva y participativa. Práctica y dinámica. Divertida. Educando desde el ejemplo, desde casos reales y cotidianos. 

Pero, ¿cuál es el mejor método para lograrlo? Seguramente el que nos lleve a tener una “experiencia compliance” … y todos los caminos conducen a uno: el desarrollo de una estrategia de formación y sensibilización en los valores y políticas internas de la compañía. A su medida. Teniendo en cuenta el sector de actividad, la cantidad de trabajadores, ubicación geográfica de los mismos, el acceso o no a equipos informáticos. Pero hay más aspectos a tener en cuenta: la formación debe enfocarse en la política de compliance global de la empresa o en riesgos y políticas concretas como antritrust, blanqueo de capitales, conflictos de interés y anticorrupción, entre otros. 

El Compliance que no se mide, no existe 

Si la esencia del Compliance reside en transmitir los valores y la cultura de buen cumplimiento normativo a los miembros de la organización, lo que permite cerrar el ciclo y demostrar que los esfuerzos de la organización están rindiendo frutos, es poder medir la evolución del sistema en el tiempo.

Durante su paso por el Departamento de Justicia de los Estados Unidos, Chen, que es una de los principales referentes en Compliance de nuestra era, contribuyó a la elaboración de parámetros para la evaluación de programas de Corporate Compliance. En otras palabras, métricas

Las métricas deben ir atadas a los objetivos de Compliance, y alimentar un ciclo de mejora continua que permita a la organización ir evolucionando positivamente hacia el cumplimiento en sus sistemas. Las preguntas que surgen de inmediato son:

¿Qué debe medirse?

Cada programa o sistema de Compliance es diferente, por lo cual la respuesta dependerá de la organización, de su tamaño, sus riesgos y sobre todo de sus objetivos

Si por ejemplo el objetivo de una organización es que su personal conozca y cumpla con el contenido de sus políticas comerciales, ¿basta con que la empresa las entregue o las publique en su página web? Posiblemente no; tendremos que valorar positivamente que sus políticas estén publicadas, pero si no se ha realizado una formación y no se ha medido en qué grado el personal ha asimilado el contenido de las políticas que le competen, no se están cumpliendo los objetivos

¿Cuándo debe medirse?

Cada vez que se mide un aspecto del programa o sistema de Compliance de la organización, se está haciendo una fotografía del momento. Con el paso del tiempo, la realidad puede ir cambiando y al igual que con las fotos, se harán cada vez más evidente las diferencias entre la situación actual y la anterior. 

Si por ejemplo transcurre un año desde nuestra última formación en prevención de la corrupción, es muy posible que en ese período haya habido cambios legislativos, cambios de personal, o se detecten nuevas prácticas que no se consideraron en la formación previa.  

Las métricas registran que se realizó una formación y puede que hasta haya registro del grado en que fue asimilada por el equipo, pero ¿está vigente todavía?

¿Quién debe hacer la medición?

La medición requiere imparcialidad, y por ello las grandes multinacionales confían en sus áreas de Auditoría Interna para evaluar la calidad de sus controles, o contratan a servicios de auditoría externa teniendo en cuenta el alto grado de especialidad que requiere la materia de Compliance. Otras empresas medianas y más pequeñas optan directamente por esta alternativa.

 Cuando el trabajo de medición se realiza por una consultora independiente, gana credibilidad todo el sistema.

Conclusiones

Volviendo al ejemplo del inicio, la pregunta es… ¿Existe alguna duda sobre cuál será la empresa elegida como proveedora? No hay ninguna fórmula mágica que garantice el éxito en una formación. Pero la experiencia nos lleva a definirla en cinco palabras: cultura, entrenamiento, incentivos, refuerzo y sanción, y de la suma de ello, lograr el mejor mix. 

Asimismo, el buen trabajo que se realice a nivel de formación para trasladar los objetivos de Compliance al personal, destacaría aún más cuando se realice una medición objetiva e imparcial de los avances del sistema y del grado en que ha permeado la formación. De esta manera, el ciclo de mejora continua estará siempre en evolución y su empresa tendrá documentado el progreso.

PLAY COMPLIANCE es la primera consultora especializada al 100% en sensibilización y formación en Compliance destinada a directivos y trabajadores en organizaciones que operan en múltiples jurisdicciones a través del diseño y elaboración de formaciones in company, como también mediante plataforma online de formación propia

GARBERÍ PENAL es un Despacho especializado en Derecho Penal Económico y Compliance Penal, que cuenta con un equipo de abogados y consultores que diseña, implementa y audita sistemas de gestión de Compliance Penal.

Para más información, puede contactar con Sandra Soler o Jimena Alguacil de PLAY COMPLIANCE; o con Alex Garberí o José Alejandro Cuevas de GARBERÍ PENAL.

 

Artículo desarrollado conjuntamente con:

El Retorno de la Inversión en Compliance

septiembre 23, 2019

Aunque en muchos casos se considera un coste, el Compliance es en realidad una inversión de las organizaciones, que permite rentabilizar mejor el negocio mediante la implementación de una metodología de trabajo eficaz, basada en la prevención y en la toma de mejores decisiones.

Por esta razón, al momento de valorar la implementación de un sistema de Compliance se debe tener en cuenta no sólo el gasto económico que implica o los recursos que se están destinando, sino también se debe plantear como objetivo, el diseñar un proyecto que genere un impacto positivo en la organización, tal como comenta Lynn Haaland en esta entrevista a Forbes.

Entre los indicadores que pueden ayudar a cuantificar el retorno de la inversión en Compliance, se pueden tener en cuenta los siguientes:

  1. Incremento en la eficacia y en la eficiencia dentro de la organización.
  2. Ahorro por reducción de riesgos legales y sanciones evitadas.
  3. Generación de nuevas y mejores oportunidades de negocio.
  4. Mayor retención de personal e incremento del employee engagement.

Si considerando estos ámbitos nos encontramos con que el Compliance no genera un ROI (Return of Investment), no sólo será un problema de costes, sino que, según el caso, pudiéramos estar en presencia de un Fake Compliance.

  1. Incremento en la eficacia y en la eficiencia dentro de la organización.

Cuando el sistema de Compliance se integra en la organización, se implementan procesos y controles dirigidos a estandarizar la operativa conforme a unas buenas prácticas en materia de cumplimiento normativo.

Estas buenas prácticas van más allá del “cumplir con la ley” y en muchas veces se adoptan estándares internacionales, normas sectoriales, o simplemente se documentan los estándares que la propia organización defina como propios y se replica una manera de trabajar, que se difunde a todos sus miembros.

Esta estandarización contribuye a una mayor eficacia y eficiencia, particularmente en los procesos productivos. Al documentarse la manera de hacer las cosas, informar adecuada y suficientemente al personal, y establecer un seguimiento a las incidencias, se reducen los improvistos y por tanto la organización obtendrá un mejor resultado, apoyado en uno de los elementos de su sistema de Compliance.

2. Ahorro por reducción de riesgos legales y sanciones evitadas.

La materialización de un riesgo legal puede generar un impacto tal que haga tambalear a cualquier organización. Quizás grandes corporaciones pueden aguantar sanciones milmillonarias y sus gastos asociados, pero basta un incidente de cierta relevancia para poner en jaque a una empresa mediana o pequeña. Cuando se calcula el coste de implementar y mantener un sistema de Compliance, usualmente será una fracción mínima de lo que representaría el impacto económico de una sanción (y los gastos asociados a la incidencia).

Probablemente nadie piensa en lo que cuesta el airbag del coche hasta el momento en que se activa durante un accidente y evita una tragedia. Lo mismo ocurre con el Compliance, puede ser considerada un coste, pero sin duda será marginal en comparación con lo que puede ocurrir en la empresa si no se implementan controles oportunos.

Si bien este es un elemento que resulta complejo a la hora de cuantificar, lo cierto es que toda organización que cuente con un sistema de Compliance, es menos propensa a incurrir en una infracción al cumplimiento normativo, o si incurriese, puede hacer valer su sistema de Compliance para obtener una reducción de la pena, siempre que demuestre que se actuó con diligencia. El diferencial entre el coste del Compliance y el impacto máximo que se hubiere podido sufrir de no tener los controles oportunos implementados, es dinero que le ha ahorrado la función de cumplimiento a su organización.

3. Generación de nuevas y mejores oportunidades de negocio.

Implementar un sistema de gestión de Compliance es reflejo de una mentalidad de negocios acorde a nuestros tiempos y a las exigencias de una sociedad en donde se espera cada vez más de las empresas.

Los clientes exigen responsabilidad a las marcas que consumen; las grandes marcas que acaparan la visibilidad del público comparten con sus proveedores esa responsabilidad y le exigen que cumplan con sus estándares y/o superen procesos de homologación o auditoría. Lo que puede ser un fenómeno social, está afectando a toda la cadena de producción y por tanto las empresas deben adecuarse a esa realidad.

En ese sentido, aquellas organizaciones que ya cuenten con un sistema de gestión de Compliance, tendrán una ventaja competitiva frente a aquellas que no lo tienen o no alcanzan un nivel de madurez suficiente.

Adicionalmente, las empresas que ya tienen implementado un sistema de Compliance mejoran su eficiencia, ya que se han visto obligadas a reflexionar tanto sobre sus valores como su forma de trabajo. Aunque puede parecer irrelevante, este proceso contribuye a la facilitación de los objetivos de negocio y a la elección de socios que estén alineados con nuestra organización.

4. Mayor retención de personal e incremento del employee engagement.

Tener en cuenta el factor humano es fundamental para el éxito de los sistemas de Compliance, y por ello resulta esencial que los órganos de gobierno y el top management fomenten una cultura ética dentro de la organización, generando así un clima laboral atractivo para el personal.

Las organizaciones que tienen un alto índice de empleados motivados son más productivas, debido a que sus trabajadores son más propensos a asumir una mayor carga laboral. Tal como reseña Gallup en este artículo, tener la cultura correcta no es sólo sobre tener a los empleados contentos, sino es una estrategia de negocios orientada a mejorar los resultados.

El Compliance, como parte del sistema de gestión de la organización, contribuye desde la construcción de una cultura ética que favorece el desarrollo profesional de los trabajadores.

Como conclusión, siempre debemos recomendar a las organizaciones apostar por sistemas de Compliance eficaces, cuyos resultados se midan periódicamente a través de indicadores objetivos, reales y cuantificables.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal,  contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

¿Cómo identificar un Fake Compliance?

septiembre 9, 2019

Estos son algunos de los signos distintivos de un Compliance de mala calidad conocidos como Fake o Falso Compliance que se ofrecen en el mercado. Se trata de servicios que, en definitiva, son con toda seguridad “ineficaces” y por tanto, dinero lanzado a la basura. Los criterios que a continuación se exponen van a tenerse en cuenta por un tribunal, llegado el caso.

  • Un buen sistema de Compliance requiere profesionales capacitados.

Cuando el proveedor del servicio no justifica la capacitación de los profesionales que intervienen en la elaboración del servicio. Dada la especialidad de la materia denominada Compliance, el profesional o profesionales que participan en el servicio deben estar en posesión de conocimientos muy específicos que poder acreditar mediante las correspondientes titulaciones (licenciaturas, estudios superiores, certificaciones de reconocidio prestigio, masters, etc.). Es una mala señal que no nos muestren o nos digan quién va a ser el responsable de diseñar o implementar nuestro Compliance y qué conocimientos tiene.

  • Cuidado con contratar a consultores anónimos.

Dada  la diversidad de aspectos y materias que abarca el Compliance (siempre, atendiendo al alcance acordado), deben intervenir diversos profesionales de muy distintas áreas del conocimiento. Desde auditores hasta abogados, especializados en materias concretas, pasando por economistas, asesores de empresa y de comunicación, investigadores y propiamente especialistas en diseño de sistemas Compliance, en función del proyecto deberemos interesarnos por el equipo que va a encargarse de nuestro Compliance. Es una mala señal no ofrecer esta información al cliente y por eso hay que preocuparse cuando no se pone a nuestra disposición la información relativa a los profesionales que intervendrán.

  • “Compliance en menos de treinta minutos o le devolvemos su dinero”.

Como esa, hay más de una oferta de servicios de Compliance circulando. Diseñar un sistema de Compliance requiere conocer en profundidad la organización (cuentas y fiscalidad, trabajadores, relación con terceros, contratos, proveedores y los procesos con los que se ejecuta la actividad, por citar algunas cuestiones), así como tener contacto directo con el personal de todas las instancias. Mal se puede adquirir ese conocimiento y comprensión de la realidad de la empresa, a través de cuatro documentos que se envían al consultor por correo electrónico, o mediante la cumplimentación de tres formularios, y que luego le presenten una docena de documentos estandarizados a la empresa como “Compliance”, lo que nos lleva al siguiente punto.

  • El Compliance sin cultura organizacional, no es Compliance.

Cuando el proveedor del servicio sólo entrega papeles, y aparece una vez al año para cobrar y enviarnos el documento “actualizado”, no está haciendo “el Compliance”, sino generando documentos que por sí solos no son suficiente. El Compliance no es un documento, ni un manual, ni un Código, ni un certificado de “estar al corriente con las obligaciones legales” que muchas veces es, además, idéntico al que reciben otros clientes de ese proveedor. Las soluciones así enfocadas son sencillamente, un timo. El compliance es un conjunto de soluciones ofrecidas en cada caso con arreglo a un análisis de los riesgos de la organización y un concienzudo trabajo de conocimiento de la empresa.

  • “Paga un Compliance y llévate dos”.

Otra frase que se asemeja a algunas afirmaciones que hay en el mercado y que viene acompañado de promesas de servicios “todo incluido” mediante el pago de una cuota mensual “low cost”. No es que un servicio de Compliance no pueda abonarse de distintas formas, de lo que se trata es de asegurarse que la solución que nos venden contiene los elementos necesarios para ser eficaz, y, además, es un proyecto hecho a medida para nuestra empresa.

Evidentemente, el precio variará en función de la complejidad de la organización y sus riesgos, y también es cierto que pueden proponerse soluciones distintas en cada caso en función del presupuesto de la empresa, pero ambas cosas deben ser “proporcionales” a las necesidades de la organización y su capacidad económica.

Por poner un ejemplo, el que crea que pagando doscientos euros (200,00€) al mes durante dos años tiene la papeleta solventada comete un gran error; siempre hay que verificar qué servicios abarca esa cuota y leer la “letra pequeña”, no sea que el comercial venda una cosa y luego se entregue otra muy distinta. Otra cosa es que, por un importe similar, se desarrolle alguno de los elementos de Compliance que, junto con otros que se gestionan interna o externamente, forme parte de un sistema. Un consultor honesto, le aclarará este aspecto desde el principio y no le venderá la idea de que por 200€ al mes en servicios de Compliance, el empresario puede “dormir tranquilo”.

lo que no es lo mismo que se nos presente un presupuesto de cuatro mil € por un Compliance (que puede estar bien dimensionado y ser eficaz, en función del tipo de empresa), y abonarse en cómodas cuotas mensuales. La diferencia estará siempre en el “contenido”, que es lo que debe preocuparnos. Olvídense del “pague 200 € al mes, su Compliance y duerma tranquilo”.

  • El proveedor del servicio nos ofrece contratar un software Compliance y “encargarse de todo”.

La función de Compliance, esto es, de tutela del sistema de cumplimiento, requiere estar en el día a día de la empresa y eso sólo puede hacerse desde dentro, con personal capacitado, preparado y que conozca el día a día de la empresa. Los asesores o consultores pueden jugar el papel de auxiliares en el rol de consultoría, ayudando a resolver problemas, pero jamás suplir la función de supervisión y control del compliance. Desconfíe de ofertas que le propongan cargar toda la información que deberá enviarles la empresa en un software, y contemple aquellas que, a través de una solución digital, le permitan compartir información con el consultor para la resolución de problemas y asesoramiento.

  • El proveedor del servicio le asegura la infalibilidad del Compliance.

El Compliance es una herramienta para ayudar a las organizaciones a mitigar riesgos, mejorar el control interno y dotarlas de una cultura ética y transparencia que contribuya a mejorar su bienestar e imagen y evitar la comisión de ilícitos y delitos. Pero no debe caerse en la falacia de que disponiendo de Compliance la empresa está a salvo de cualquier sanción o mala praxis. Es sólo el esfuerzo constante en construir una cultura ética de cumplimiento y preventiva lo que genera la eficacia del Compliance ante los tribunales. Por ello debe desconfiar de quienes le aseguren que su empresa estará a salvo de cualquier eventualidad con el producto que le van a suministrar.

 

Identifica un Fake Compliance

Hablando de Compliance, por tanto, debemos ponernos en manos de verdaderos profesionales que nos ofrezcan una solución diseñada a medida para nuestra organización. Y eso, tiene un coste, que aunque no tiene porque ser elevado, jamás puede contemplarse en soluciones estandarizadas “low cost”. Por eso decimos que en Compliance, lo “barato”, sale caro.

 

Alex Garberí Mascaró es Socio Fundador y Director de Garberí Penal: Compliance y Defensa Penal.

 

No sabes nada, Compliance Officer

mayo 29, 2019

Foto: Flickr.

Pero lo bueno, es que hasta de la fantasía se pueden ir aprendiendo lecciones que ayuden a cualquier responsable de cumplimiento en su día a día.

Game of Thrones ha sido un fenómeno cultural, no sólo por el interés que ha generado en los millones de televidentes y lectores que nos hemos enganchado a la saga, sino por un reflejo particular de la relación de los humanos con el poder. Entre otras cosas, nos enseña que el bien y el mal, como absolutos, rara vez existen y que las decisiones -más que las intenciones- tienen consecuencias.

Para no perdernos en el universo de personajes de George RR Martin en su Canción de Hielo y de Fuego, vamos a quedarnos con algunas lecciones de los personajes que ejercieron el liderazgo como Reyes de Westeros. Si además de los que aparecen abajo identificáis alguna otra lección que podamos trasladar al Compliance, fantástico porque así abriremos el debate.

Por mantener la buena práctica de advertir, os comento que, si no habéis visto la última temporada de Game of Thrones, debo advertir que hay ligeros spoilers a continuación.

1. Robert Baratheon y la importancia de implementar un sistema de Compliance.

El Rey Robert Baratheon gobernó Westeros por años, y tuvo una gestión regular, pero solvente. Su muerte desencadenó los eventos que transcurrieron durante ocho temporadas en la serie de HBO y cuyo desenlace aún desconocemos en la saga de George RR Martin.

Pero antes de morir, nos deja varias lecciones sobre la importancia de contar con un sistema de gestión de Compliance, que se asemejan a lo que puede ocurrir en organizaciones pequeñas o familiares que concentran sus procesos y conocimiento de la compañía en una sola persona y que no están preparadas para enfrentar cambios o situaciones imprevistas.

Robert lograba resultados con lo justo, pero no se involucraba en la gestión diaria del Reino, ni se preocupó por fomentar una buena cultura corporativa, elementos que habrían permitido una sucesión ordenada y la continuidad de su gestión una vez fue dado de baja, mediante la participación de un equipo gestor competente. En su lugar, su Consejo actuó distribuyéndose parcelas de poder que interactuaban entre sí sólo cuando había un beneficio de por medio.

Un Compliance Officer en su Consejo habría detectado que Littlefinger no era un tesorero apto, e incluso habría podido dar una respuesta a la denuncia puesta por Ned Stark sobre el incumplimiento de requisitos del sucesor de Robert, el Rey Joffrey.

2. Joffrey y la ausencia absoluta de tone-from-the-top.

Joffrey representó el liderazgo tóxico propio de empresas que no sólo no fomentan una cultura corporativa sino que premian las conductas delictivas y desplazan intencionalmente cualquier control que pueda existir.

Y aunque pueda parecer exagerado, hay líderes que toman decisiones con un criterio similar al que exhibió Joffrey:

  • Sanciones a empleados sin cumplir con un procedimiento debidamente documentado y de forma totalmente arbitraria.
  • Prácticas de mercado agresivas para eliminar a la competencia, incumpliendo la normativa en la materia.
  • Incumplimiento del deber de informar a los stakeholders sobre el estado de la Compañía.

3. Tommen y la hypegiaphobia.

A diferencia de Joffrey, Tommen Baratheon no era un Rey autoritario, sino más bien todo lo contrario. Durante su corto reinado, pudimos apreciar las dificultades que se le presentaban a la hora de tomar decisiones.

En cada reunión con sus directivos, le veíamos dudoso y altamente influenciable, lo cual representa un error garrafal en materia de cumplimiento normativo. Sea en el caso del líder de la organización o del Compliance Officer, este tipo de conductas genera un riesgo importante, porque paraliza y deja expuesta a la organización ante hechos que no se están controlando adecuadamente.

Alain Casanovas identifica este miedo irracional a la responsabilidad en materia de Compliance como hypegiaphobia y lo relaciona con la aversión a los riesgos. En efecto, esta situación es nada deseable en posiciones de liderazgo porque en ese intento de evitar cualquier tipo de riesgo, lo que se consigue es renunciar al control y dejar que sean circunstancias externas las que condicionen el resultado.

4. Cersei Lannister y la gestión de la reputación.

Hay estrategias comerciales que resultan rentables a corto plazo, pero que socavan la reputación de la organización frente a aliados que resultan estratégicos a mediano y largo plazo o frente a los propios clientes.

Si a los trabajadores, por ejemplo, se le imponen condiciones excesivamente duras, confiándose en la necesidad de éstos, puede que se vean obligados a aceptar por un tiempo, pero en el momento que encuentren una alternativa, no dudarán en realizar un cambio.

De igual forma los clientes, cuando ven que el servicio que reciben no es óptimo, serán más susceptibles a valorar otras alternativas, especialmente cuando se les hace una oferta y luego no se cumple. Esto puede derivar no sólo en baja de clientes sino en eventuales reclamos legales que terminarán incendiando las líneas telefónicas de atención al consumidor.

Cersei Lannister aprovechó cada oportunidad para concentrar el poder de gestión en sus manos, y en el camino fue socavando su reputación y confiabilidad como líder. Perdió la confianza de todos sus stakeholders y a pesar de contar con recursos económicos para afrontar tiempos difíciles, su mala reputación fue uno de los factores clave de su pérdida de liderazgo.

Desde el área de Compliance se gestiona información clave que permite a una organización tener la visibilidad para mejorar la toma de decisiones, no sólo desde el punto de vista legal sino considerando también el impacto organizacional. Si Cersei hubiera contado con un Compliance Officer que le mantuviera al tanto de los riesgos reputacionales que implicaba el incumplimiento de su contrato de envío de soldados al Norte, o le hubiese explicado que la ejecución de rehenes es una violación al Convenio de Ginebra sobre Derechos Humanos, quizás habría tomado otras decisiones.

5. Daenerys Targaryen y el fake Compliance.

Todo lo que puede llevar a que una organización apoye la gestión de un líder, se puede destruir con una mala decisión, y llegado a ese punto puede ser tarde para recuperar el liderazgo.

Daenerys Targaryen decidió, voluntariamente, cometer un acto contrario al marco legal y con ello terminó alienando a gran parte de sus trabajadores, que se sintieron traicionados por la organización de la cual formaban parte.

Esas son las consecuencias de un fake Compliance. Cuando en una organización existe un Código de Conducta, unas políticas corporativas y se pone de manifiesto una cultura de cumplimiento, pero ésta no es cumplida por la propia dirección, hay una brecha que puede terminar condenando a toda la organización.

Y esto es lo que suele ocurrir en las grandes organizaciones que ya cuentan con un sistema de Compliance implementado, pero se toman decisiones que demuestran poco compromiso con ese sistema. Lo hemos visto recientemente en el sector automotriz, farmacéutico y tecnológico.

De allí la importancia de que el Compliance se gestione de manera coherente y cohesionada con los objetivos de la organización, integrándose en los procedimientos que deben cumplir todos los empleados, mandos intermedios y la alta dirección.

Conclusiones:

La guardia del Compliance Officer nunca termina, pero se puede hacer más sencilla si reforzamos el muro de cumplimiento normativo de la organización, teniendo en cuenta las lecciones aprendidas:

  1. Implantar un sistema de Compliance permite dotar a la organización de un mecanismo de defensa, dando visibilidad al más alto nivel de la organización y dotando de credibilidad las acciones ejecutadas para que la gestión no se vea perjudicada por eventuales situaciones de riesgo que escapen de su control. Aquí encontrarás más información.
  2. El tone-from-the-top es un elemento esencial para la eficacia del sistema de Compliance. El liderazgo debe tener una conducta ejemplar, pues de lo contrario se propicia un clima de malas prácticas que afecta no sólo al liderazgo, sino al resto de la organización. Entre otras cosas, para construir el tone-from-the-top se requiere formación.
  3. Tanto las posiciones de liderazgo como los responsables de Compliance deben ser conscientes de los riesgos inherentes a la actividad que realizan y gestionarlos de manera oportuna. Tener a las personas clave en los cargos claves, y una estrategia que permita a todos los responsables conocer las implicaciones de sus decisiones es esencial para la sostenibilidad del negocio. En nuestro mailing gratuito, Compliance Think, encontrarás varias guías sobre la gestión de los riesgos penales y cómo debe actuar el Compliance Officer.
  4. La reputación debe gestionarse, pues es el activo más importante de una organización. En ese sentido, debe tenerse en consideración que el beneficio no se mide únicamente en rendimiento económico y considerar los intangibles que inciden en la sostenibilidad del negocio: Buenas relaciones con los proveedores, nivel engagement del personal, baja conflictividad laboral, consideración de las Administraciones Públicas, valoraciones en rankings de reputación que repercuten en la imagen de la organización frente a los clientes y usuarios, etc.
  5. El fake Compliance puede tener un impacto enorme en una organización, y los líderes que no actúen de forma coherente con la legislación y las buenas prácticas pueden terminar respondiendo personalmente por sus incumplimientos, y las organizaciones deberán sanearse para continuar existiendo, a riesgo de terminar sometida a penas y sanciones. Y la mejor solución para poder contar con un sistema de Compliance eficaz, es con la asesoría de expertos en la materia.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal,  contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

Conociendo las claves del Compliance Tributario

mayo 21, 2019

Confirma tu asistencia.

 

Nos complace invitarles el próximo jueves 13 de junio a las 9.15h a nuestro desayuno informativo sobre Compliance Tributario, para darles a conocer cómo puede verse afectada su organización y qué beneficios puede obtener de la implementación de un sistema de gestión de Compliance Fiscal, ajustado a la Norma UNE 19602.

El evento no tiene coste alguno y contamos con un número de plazas reducido, por lo que nos gustaría conocer su disponibilidad y de esta forma confirmar su asistencia respondiendo al correo electrónico indicado al final.

Agenda:

  • 09:15  Bienvenida
  • 09:30 Qué es el Compliance Fiscal y cómo afecta a las pequeñas y medianas empresas.
  • 10:00 Claves y beneficios de contar con un buen sistema de Compliance Fiscal.
  • 10:30 Networking

El encuentro se dará en la sala de conferencias de Cores & García Pedrerol Abogados, ubicada en C/ del Consell de Cent, 357, 6º 1ª, Barcelona, 08007.

¿Quiénes somos?

Garberí Penal es un despacho especializado en Derecho Penal Económico y Compliance, pionero en el diseño e implementación de sistemas de Compliance. Cuenta con experiencia en empresas grandes, pequeñas y medianas dentro de los sectores industrial, comercial y de servicios.

Cores & García Pedrerol Abogados es un despacho especializado en derecho tributario y mercantil formado por más de veinte profesionales, que ofrece asesoramiento y soluciones para empresarios en aquellas áreas de práctica de mayor incidencia en el día a día de un negocio.

Ambas firmas colaboran en alianza para la prestación de un servicio integral en materia de Compliance Fiscal.

Confirmar asistencia:

Puede confirmar su asistencia antes del día 11 de junio de 2019 en la dirección de correo electrónica indicada a continuación: info@garberipenal.com

El Compliance Officer como arquitecto de decisiones

marzo 26, 2019

El Compliance tiene como propósito impulsar conductas y comportamientos orientados al cumplimiento dentro de las organizaciones y para lograrlo el Compliance Officer debe aprovechar todas las herramientas a su disposición.

Dentro de la psicología social aplicada a la economía se encuentra la Nudge Theory, o teoría del empujón, y es una de las más útiles para el Compliance Officer en su tarea de generar cultura de buen cumplimiento normativo.

¿Qué dice la Nudge Theory? (Teoría del ’empujón’)

Esta teoría fue propuesta por Richard Thaler, ganador del premio Nobel de la Economía por sus aportes en el campo de la psicología social en la economía.  De forma muy resumida, el concepto de nudge acuñado por Thaler propone que los humanos podemos ser “empujados” a tomar mejores decisiones que nos beneficien a largo plazo, y explica los distintos sesgos que regularmente nos conducen a que tomemos decisiones menos acertadas.

Se han hecho muchos experimentos sobre el tema; los expertos han demostrado cómo somos más propensos a mantener una dieta más saludable cuando hay un arquitecto de decisiones detrás de los comedores o supermercados que coloca las frutas o vegetales estratégicamente y en porciones que nos resultan más atractivas.

Esos sesgos, que cada uno de nosotros vamos formando de manera inconsciente pero que pueden ser identificados, son los que nos llevan entre otras cosas a escoger comida rápida por encima de un menú saludable, o a posponer una tarea que ayudará a nuestro desarrollo personal y profesional por ver repeticiones de Friends. Como consecuencia de esos sesgos, en muchas ocasiones sobrevaloramos el beneficio a corto plazo y subestimamos las consecuencias de nuestras acciones (o inacción) a largo plazo.

La arquitectura de las decisiones dentro de una organización.

Si trasladamos esa misma teoría al contexto de una organización, el reto está en ayudar al personal a que tome mejores decisiones, contribuyendo tanto al crecimiento sostenible de la organización como a su desarrollo personal, en un entorno en el cual el beneficio a corto plazo puede ser generar problemas a largo plazo.

Un ejemplo crítico en materia de Compliance puede ser el de un empleado que piense que pagando un soborno está ayudando a la empresa a cumplir con un objetivo de facturación y que ese beneficio a corto plazo -una mayor rentabilidad inmediata-, supera las consecuencias a largo plazo para su organización (que le multen, sancionen o pierda oportunidades de negocio a futuro), y para él (despido y cárcel).

En otros casos hay directivos o altos cargos que, aun siendo conscientes de que hay una normativa que deben cumplir y que su infracción trae consecuencias, deciden incumplir porque no son capaces de apreciar el impacto real de ese riesgo sobre la organización y sobre ellos mismos.

La mayoría de las personas saben que pagar un soborno está mal, aun cuando desconozcan con exactitud la severidad de las consecuencias; la mayoría de las veces, los directivos y altos cargos saben que deben cumplir la ley. Sin embargo, en determinadas circunstancias, toman las decisiones equivocadas porque los sesgos le desvían la atención y su escala de incentivos no está en el lugar correcto.

Es en esos momentos en que los ‘nudges’ o empujones son un recurso crítico de Compliance, y debe utilizarse para influir positivamente en el proceso de toma de decisiones de los miembros de la organización.

El Compliance Officer como arquitecto de decisiones

Thaler y su colega Cass Sunstein hablan en su bestseller Nudge sobre la arquitectura de decisiones. Entienden que las entidades públicas u organizaciones privadas tienen un interés en generar un mayor beneficio para los ciudadanos y que por tal motivo tienen la responsabilidad de ayudarles sin imponer una prohibición o restricción. Este principio trasladado a una organización convierte al Compliance Officer en un arquitecto de decisiones por excelencia.

Desde que se concibe el sistema, el C.O. está tomando decisiones dirigidas a influir en la conducta de los miembros de la organización en todos sus niveles, y por tanto es esencial conocer los distintos sesgos a los que se enfrenta y que condicionarán la efectividad del sistema, para poder así generar una verdadera cultura de cumplimiento.

Algunos ejemplos de ‘nudges’ en el Compliance:

Uso de semáforos en la evaluación de riesgos:

Una evaluación de riesgos puede ser presentada al Consejo de Administración como un largo informe con un completo análisis de todas las áreas de la organización, sus procesos y las conductas potencialmente riesgosas, descritas a lo largo de más de 200 páginas con 1200 filas y 14 columnas de Excel. Y a nivel de contenido, podría ser un documento impecable.

Sin embargo, los directivos tienen un tiempo muy limitado y además deben cumplir con otras responsabilidades, por lo cual entregar un documento de estas características sin una guía que sirva de resumen ejecutivo, puede condenar al sistema de Compliance a al cajón del olvido, aunque estos directivos sean conscientes de la importancia de la evaluación y las acciones que de ella derivan.

Para ‘empujar’ a los directivos hacia una mayor comprensión de los riesgos (y por tanto a que actúen de manera más informada), se puede utilizar un mapa de riesgos que sintetiza la información y la refleja en una matriz de probabilidad e impacto, con un sistema de semáforo para ilustrar las áreas en que se ubican los principales riesgos, marcando en rojo las áreas de riesgo alto, en amarillo las de riesgo medio y en verde las de riesgo bajo, como reflejamos a continuación:

Matriz de Riesgos - Nudge, Compliance y Arquitectura de Decisiones

En la elaboración del Código de Conducta y políticas corporativas:

Es muy frecuente -especialmente para quienes venimos del mundo jurídico- pensar que la prohibición es la medida más contundente que se puede tomar para prevenir una conducta. Bajo esa premisa, bastaría con establecer en el Código de Conducta un redactado de este estilo:

 “X no tolerará ningún tipo de conducta corrupta y queda terminantemente prohibido que sus directivos o empleados realice cualquier tipo de pago a funcionarios públicos.”

Sabemos que en la realidad este tipo de enunciados, por contundentes que parezcan, son insuficientes, y en la mayoría de los casos en que una empresa se ha visto involucrada en escándalos de corrupción, había un Código Ético o una Política Anticorrupción que ya lo prohibía (y en el 100% de los casos esa prohibición viene dada por Ley de forma expresa).

Pero los buenos Códigos de Conducta y políticas anticorrupción están llenas de pequeños ‘nudges’ para ayudarnos a no sólo a conocer sino a interiorizar todas esas normas, en algunos casos de forma imperceptible.

Tomemos como ejemplo el Código de Conducta de Johnson & Johnson:

  • En sus primeras páginas encontramos un Credo Corporativo, en el cual la primera persona del plural está siempre presente: “…Somos responsables con nuestros empleados, los hombres y mujeres que trabajan con nosotros en todo el mundo.”
  • Tiene una representación gráfica de un árbol de decisiones que explica los pasos a seguir en caso de encontrarnos en una situación de duda.
  • Las conductas se describen en un contexto de negocios en el cual se identifica el por qué la importancia de la responsabilidad en la toma de decisiones.

El estilo de redacción, la disposición de los contenidos y hasta las ilustraciones buscan que los lectores puedan contextualizar mejor lo que se espera de ellos, y son mucho más que meros elementos decorativos.  Lo mismo ocurre con las formaciones, que mientras más didácticas y menos técnicas son más efectivas a la hora de transmitir los mensajes clave.

Integración del Compliance en los procesos informáticos:

En ocasiones, los controles de Compliance pueden ser tan sencillos como pedir al empleado que confirme que ha cumplido con un proceso de verificación.

Supongamos el caso de un empleado que debe verificar la documentación de identidad de los clientes de una agencia bancaria, como parte del esquema de prevención de blanqueo de capitales, y enviar un comprobante de que realizó la revisión pertinente en cada caso. Es posible que deba realizar decenas de operaciones al día y al ser una tarea repetitiva, se incrementa el riesgo de error o inefectividad del control.

Una manera de facilitarle el trabajo al empleado es incluir una alerta en la herramienta de gestión que le recuerde que debe verificar la documentación y le impida avanzar de pantalla hasta que marque con un “check” que efectivamente realizó ese paso. Un ejemplo de este tipo de ’empujones’ en otro contexto, es lo que hace Gmail cuando escribimos la palabra “adjunto” pero olvidamos hacer la carga del archivo:

Este tipo de recursos debe utilizarse con criterio; implementar controles de forma estratégica mejora la gestión. No obstante hay que evitar la saturación de los procesos con excesivas alertas y recordatorios, dado que puede ser contraproducente y provocar el efecto contrario al deseado.

El arquitecto de decisiones detrás del Compliance debe asumir que el sistema de gestión se dirige a personas, y que como humanos no siempre somos capaces de tomar la mejor decisión aún cuando tengamos la información a nuestra disposición. Un ser éticamente perfecto ni siquiera necesitaría de Compliance, porque la ley sería suficiente; pero los humanos necesitamos toda la ayuda posible, y mientras más fácil y a nuestro alcance se encuentre el buen cumplimiento, mejores será el diseño del sistema de Compliance.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal,  contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

Nuevos delitos que afectan a las organizaciones

marzo 22, 2019

Confirma tu asistencia.

La reciente reforma al Código Penal español, a través de la Ley Orgánica 1/2019 de 20 de febrero, representa un área de especial atención para pequeñas, medianas y grandes organizaciones de carácter público y privado, que pueden responder penalmente por nuevos posibles delitos que han sido añadidos a la norma.

Esta reforma tiene especial relevancia para las organizaciones en materia de información privilegiada, delitos contra el mercado y malversación, y la modificación de algunas conductas que pueden generar riesgo a las personas jurídicas.

La sesión se llevará a cabo el próximo martes, 9 de abril, con el propósito de informar a las personas responsables del área de cumplimiento normativo y consultores externos sobre la ampliación el catálogo de delitos.

¿A quién va dirigido?

Abogados, Compliance Officers, responsables de cumplimiento normativo, asesores de empresa y consultores. Todos aquellos profesionales que desarrollan su actividad en organizaciones privadas o despachos profesionales interesados en conocer más sobre la reciente reforma del Código Penal y la ampliación de la lista de delitos por los que pueden ser condenadas las empresas en jurisdicción española.

Agenda:

  • 09:00 Bienvenida
  • 09:15 Responsabilidad Penal de la Persona Jurídica: nuevo listado de ilícitos del Código Penal español. (Álex Garberí Mascaró, Abogado Penalista, Socio Fundador de Garberí Penal).
  • 10:00 Debate
  • 10:30 Networking

Lugar: Travessera de Gracia 66, 2º- 2ª, 08006 Barcelona.

Requerimos la confirmación de tu asistencia al gga@garberipenal.com

El ecosistema del Compliance

febrero 6, 2019

 

La Real Academia Española define un ecosistema como una “comunidad de los seres vivos cuyos procesos vitales se relacionan entre sí y se desarrollan en función de los factores físicos de un mismo ambiente”. Y cuando pensamos en Compliance, no hay mejor manera de visualizar los distintos elementos y su interacción que bajo esa misma premisa.

Cada ecosistema de Compliance debe tener unas características en cuanto a su dinámica y funcionamiento, que van más allá de la existencia de los elementos previstos en el artículo 31 bis del Código Penal o incluso en la Norma UNE 19601 sobre Sistemas de Gestión de Compliance Penal. También existen ciertos elementos de riesgo que nos permiten detectar cuándo la eficacia del ecosistema de Compliance está en peligro.

Y entender tanto las características, como los elementos que ponen en peligro al ecosistema, es esencial para poder trabajar en su eficacia.

1. Características de un ecosistema de Compliance eficaz

Cada ecosistema tiene su dinámica particular.

El Compliance es un bosque, y como tal se conforma de distintos componentes según la realidad en que sea implementado. De la misma manera que en algunos bosques se dan pinos y en otros robles, cada sistema de Compliance puede requerir enfoques distintos, y lo que funciona en uno no necesariamente se da en el otro.

Por eso hay que tener en cuenta el ambiente en el que se desarrolla el sistema, identificar claramente a las partes interesadas, cómo se relacionan con la organización y cómo pueden afectarle.

En ese sentido, nunca será igual la política de prevención de blanqueo de capitales de una entidad bancaria, que la de una joyería, aunque ambos sean sujetos obligados a implementar medidas de control.

Esto es lo que la Norma UNE 19601 define como el contexto de la organización, y es esencial comprenderlo antes de implementar un sistema de Compliance.

Los elementos del ecosistema de Compliance interactúan entre sí.

Las multinacionales y grandes empresas suelen publicar algunos de los documentos de su sistema de Compliance, y muchos de ellos difieren en estructura y contenidos. Mientras en algunos el Código de Conducta es extenso y contiene parámetros de conducta, otros optan por un documento más sencillo a manera de decálogo y detallan otros aspectos en sus políticas sustantivas.

Ambas vías pueden ser válidas cuando el contexto es el adecuado y se adapta a la dinámica de la organización, y eso no lo sabremos si no evaluamos todos los elementos del sistema en su conjunto y cómo es la interacción entre ellos.

Por lo tanto, es difícil determinar cuál documento es más eficaz que el otro, porque, aunque tengan estructuras y contenidos distintos, pueden estar obteniendo resultados similares. Usualmente cuando hay una falla dentro del sistema de Compliance, no será por la manera en que esté redactado un documento o el contenido específico de una formación, sino porque todos los elementos que se conjugaron no interactuaron adecuadamente para prevenir la conducta indebida.

Cada elemento cumple una función específica.

En un ecosistema marítimo interactúan entre otros el plancton, las algas, erizos, peces, cangrejos, tiburones y ballenas. Cada uno cumple una función y prescindir de sólo uno de esos elementos puede alterar totalmente el ecosistema, haciendo que los demás perezcan.

Lo mismo ocurre con el Compliance.

  • El Código Ético plasma los valores y preceptos que reflejan la ética de la organización, y suele ser el canal por excelencia para comunicar lo que se espera, a grandes rasgos, de los trabajadores en las distintas áreas de interés y bloques normativos.
  • Pero ello puede ser insuficiente cuando no se desarrollan los principios y se transforman en conductas concretas, o bien en el mismo documento o mediante políticas de primer nivel.
  • Esas políticas a su vez dependen de la existencia de unos controles específicos para poder materializarse y no convertirse en letra muerta o en textos abstractos de poca aplicabilidad en la práctica.
  • Toda esta dinámica debe responder a una realidad concreta, reflejada en un análisis de riesgo y a su vez ser comunicada y reforzada por distintos medios a los trabajadores.
  • Alguien debe ser responsable de coordinar todos los esfuerzos, de manera de capturar toda la información necesaria para que el sistema funcione y hacer llegar los inputs a los distintos jugadores que forman parte de este.

Se trata de un verdadero sistema en forma de ciclo, que se alimenta de la propia información que genera y en donde cada elemento debe cumplir un propósito. Cuando falta alguno de los elementos, el sistema pierde eficacia.

Los elementos del ecosistema de Compliance interactúan con el resto de la organización.

Los elementos del ecosistema de Compliance deben interactuar con los procesos operativos y estratégicos de la organización. Si no hay una integración adecuada, el ecosistema no será eficaz y no recibirá la información que requiere para subsistir, ni tampoco podrá gestionar adecuadamente los riesgos que debe atender.

El ecosistema de Compliance debe romper con los silos aislados, y establecer un entorno de colaboración con áreas afines como Auditoría Interna, Legal, Prevención de Riesgos Laborales o Protección de Datos, así como con los responsables de las áreas de negocio. La información es el oxígeno del ecosistema de Compliance.

Es en este punto donde suele haber más dificultades prácticas, ya que hay sistemas cuyos elementos pueden estar teóricamente bien diseñados, pero es en la integración con el resto de la organización donde se generan los problemas o pueden generarse lagunas y brechas que son aprovechadas por algunos miembros para cometer conductas ilícitas.

2. ¿Cuándo estamos ante un ecosistema de Compliance en peligro de extinción?

La presencia del factor humano es el elemento que más afecta a un ecosistema natural, y desafortunadamente ocurre lo mismo en los ecosistemas de Compliance. El mejor Código de Conducta, la mejor política, el mejor control y la mejor formación, pueden no ser suficientes para evitar que se cometa una conducta contraria a la legalidad o las políticas de la organización.

Pero en algunos casos, puede haber señales o red flags que nos indiquen que estamos en presencia de un ecosistema de Compliance en peligro, y en esos casos es necesario intervenir para preservar su eficacia.

Algunas señales de que el ecosistema de Compliance está en peligro pueden ser:

  • El ecosistema de Compliance no está fundamentado en un análisis de riesgos previo.
  • El Código de Conducta o las Políticas son robustas y técnicamente correctas, pero no hay evidencia de seguimiento o control.
  • El Código de Conducta o las Políticas hacen referencia a documentos inexistentes en la organización (esto puede ser señal de que se ha copiado el documento de otra organización y no hay correspondencia).
  • Quien responde por la supervisión del sistema de Compliance no tiene acceso a la alta dirección, está sujeto a la supervisión de una función operativa y/o no cuenta con potestades de independencia y autonomía.
  • No se realizan formaciones adecuadas al personal, con un contenido y tono adecuado para cada quien.

Estos son sólo algunos indicadores, pero no son los únicos. En este enlace podréis descargar un checklist con 20 indicadores a valorar, y que pueden servir para detectar fallas en el ecosistema de Compliance.

3. La preservación adecuada del ecosistema de Compliance.

Como hemos visto en los párrafos anteriores, estamos hablando de una serie de elementos que interactúan entre sí y que a su vez están interconectados con el resto de la organización. Esto nos lleva a destacar la importancia del balance dentro de los sistemas de gestión de Compliance Penal.

Por ejemplo, un ecosistema de Compliance en el cual se dote a la organización de decenas de políticas escritas, puede sufrir de problemas en su implementación, por las dificultades que puede haber en el seguimiento. Este escenario quizás funcione en empresas grandes o multinacionales, pero en organizaciones más pequeñas es algo totalmente contraproducente.

Por otra parte, en otro ecosistema de Compliance pueden haber riesgos altos de una conducta y bajos de otra, en donde los esfuerzos de prevención deberán ser distintos según cada caso y proporcionales, y habrá que definir los controles específicos aplicables en cada caso.

Recordemos que el Compliance debe contribuir al logro de los objetivos de negocio; por tanto, es clave que el sistema funcione en equilibrio y con la debida proporcionalidad. Es en esta área donde está el reto más difícil de los profesionales de Compliance: Diseñar, implementar y mantener el  ecosistema, encontrando el punto de balance de los distintos elementos y velar por su adecuada integración en la organización.

 

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal, por favor contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

Alianza Garberí Penal y Cores & García Pedrerol Abogados

febrero 5, 2019

Garberí Penal y Cores & García Pedrerol Abogados suscriben una alianza estratégica para la oferta de servicios de Compliance Penal y Compliance Fiscal.

 

alianza cores garberi

Àlex Garberí Mascaró, Socio Fundador y Director del Área Penal y Compliance en Garberí Penal y Victor Cores, Socio en Cores & García Pedrerol.

Como resultado del proceso de expansión emprendido por ambas firmas, y con el propósito de ofrecer un servicio  acorde con las necesidades de sus clientes, Garberí Penal Cores & García Pedrerol Abogados suscribieron el pasado 23 de enero de 2019 un convenio de colaboración estratégica entre ambos despachos.  

La alianza entre las firmas tiene por objeto combinar la alta especialización en Compliance Penal de Garberí Penal con el conocimiento y experiencia de Cores & García Pedrerol Abogados en materia fiscal y mercantil, para abarcar así una oferta más actualizada de servicios jurídicos.

El Compliance Penal y el Compliance Fiscal o Tributario, con la  aprobación de la “Norma UNE 19602 sobre sistemas de gestión de compliance fiscal“, son herramientas de necesario conocimiento en todas las compañías de cualquier dimensión que deseen, además, fortalecer su imagen de firma con altos estándares de gestión ética y de control interno.

Garberí PenalCompliance & Defensa Penal es una Firma Boutique que ha logrado el reconocimiento como firma pionera en el sector del cumplimiento normativo y especialmente en Compliance Penal. Junto a las alianzas forjadas desde 2016 con firmas nacionales e internacionales, ahora se incorpora como aliado el equipo profesional de Cores & García Pedrerol Abogados. 

Por su parte, Cores & García Pedrerol Abogados es una firma con 40 años de experiencia  que ofrece  asesoramiento en el ámbito jurídico y tributario, tanto a nivel empresarial como personal. Actualmente está formada por unos veinte profesionales especializados en las áreas de práctica de mayor incidencia en el día a día de un negocio (fiscal, mercantil, laboral, concursal, procesos civiles, protección de datos, etc). 

Alex Garberí Mascaró, socio director de Garberí Penal, celebra el acuerdo destacando que “reafirma el compromiso de Garberí Penal con la creación de una cultura ética que abarque todas las áreas de cumplimiento”; mientras que Víctor Cores Kuijlaars, socio de Cores & García Pedrerol Abogados  señala que “si la globalización nos lleva inexorablemente a un proceso de normalización que puede abrir nuevas formas de comunicación entre contribuyente y Administración Tributaria, nosotros queremos acompañar a nuestros clientes en este nuevo camino “.

Si su despacho desea más información sobre el  Programa de Alianzas Estratégicas de Garberí Penal puede solicitarla al correo electrónico  o contactar con sus expertos llamando al teléfono al 937 004 455 de 08:30 a 19:00, de lunes a viernes.

Buenas prácticas de Compliance en el ámbito del Marketing Digital

noviembre 13, 2018

José Alejandro Cuevas Sarmiento & Gabriela Granja Aroca

 

La estrategia digital de una organización suele estar conformada por la gestión de un ecosistema que combina, entre otros, las siguientes acciones:

  • Gestión de las redes sociales de la organización para la difusión de mensajes de la marca.
  • Campañas de Mailing para envío de información de interés a la comunidad digital.
  • Campañas de anuncios publicitarios en la red de display y campañas de social ads para generar visibilidad sobre productos o servicios.
  • Posicionamiento Orgánico (SEO) y generación de contenido de valor para estimular el interés en tópicos que llaman la atención al público y potenciales clientes.
  • Promociones para fidelizar a clientes actuales o atraer a potenciales clientes.

Todas esas acciones contribuyen a dirigir tráfico orgánico o de pago a una landing page o página web corporativa o ecommerce que generará nuevos leads, que se conviertan en clientes que luego vamos a fidelizar a través de esos mismos canales. Es un proceso que se repite y que se representa en un gráfico de funnel o embudo que abarca, según la clasificación, una fase de awareness o visibilidad; una fase de consideración; una de preferencia y compra; una de fidelización y una de advocacy o recomendación.

Ahora bien, dentro de la gestión de este embudo existen distintos tipos de riesgos legales y reputacionales que pueden afectar a toda la organización, y así como el especialista en marketing debe conocer en qué redes sociales debe participar para alcanzar los objetivos del plan de marketing digital, también es necesario que comprenda los riesgos que usualmente pueden ir asociados a cada etapa. Desde el punto de vista de la función de Compliance, también es necesario conocer el propósito de cada acción y qué rol juega dentro de la estrategia de marketing digital, para así poder establecer los controles necesarios de manera precisa y suficiente.

1. Awareness

En esta fase la marca está haciendo llegar su mensaje a través de canales de difusión masiva a sus clientes, en espera de levantar un interés en sus productos o servicios. Es el momento en que la marca da a conocer su propuesta de valor y busca un mensaje que impacte y genere recordación a sus clientes. Para ello suele recurrirse a publicidad online o Redes Sociales.

El objetivo de las marcas en esta fase es captar la atención de potenciales clientes, y se conjugan dos elementos que constituyen un dolor de cabeza para todo profesional del marketing digital:

  • Incremento masivo del volumen de información disponible en Internet.
  • Disminución del nivel de atención de los usuarios en los entornos digitales.

Esta situación deja un espacio muy pequeño al cual apuntan todas las marcas que desean captar nuestra atención y para ello pueden recurrir a promesas, contenidos o tácticas de alto riesgo:

Un ejemplo de esta situación fue la que vivió Cartoon Network en 2007, cuando utilizó un dispositivo led como parte de una campaña de marketing de guerrilla, que terminó siendo confundido con un artefacto explosivo, y que hizo movilizar a las autoridades para “desactivarlo”.

En 2007, se generó un caos en la ciudad de Boston por esta imagen LED. Foto de AP / Todd Vanderlin

 

Si bien la campaña logró el tan deseado efecto de viralización por la reacción de las autoridades -hoy evidente, pero en aquel momento no tanto-, Turner Broadcasting, matriz del grupo del cual forma parte Cartoon Network, debió desembolsar 2 millones de dólares en compensación a la ciudad de Boston por los gastos. Además, la situación provocó la renuncia del gerente general y vicepresidente ejecutivo de la filial.

Pero no todos los ejemplos deben ser tal alarmantes para generar un riesgo importante a la organización: Tan sólo el hecho de realizar afirmaciones que resulten confusas o puedan ser consideradas engañosas por los usuarios respecto de los atributos del producto, pueden afectar a la marca y dinamitar su intento de generar reacciones positivas.

2. Consideración

En esta etapa la marca se aproxima a sus usuarios y busca construir una relación más cercana, para conocerle mejor y hacerle llegar propuestas más personalizadas.

La marca ya no se preocupa tanto por captar la atención de su potencial cliente sino de conocerlo mejor, por lo cual los riesgos van más asociados a la forma en que nuestros departamentos de marketing analizan el comportamiento de los usuarios, cómo captan la información y qué hacen con ella después.

El uso de formularios para captar leads, cookies, píxeles y otras tecnologías similares para monitorizar la conducta de los usuarios mientras navegan una página web, permiten a las organizaciones conocer qué ítems le han generado interés al usuario o cuánto tiempo ha pasado leyendo sobre tal servicio, lo cual es una data muy valiosa para cualquier organización, pues puede utilizar esa información para luego enviarle publicidad específicamente a ese usuario sobre el contenido que le interesa.

El mayor riesgo en esta área es la protección de datos personales, pues esa trazabilidad de información personal si bien está permitida, debe ser consentida por los clientes, y es una de las áreas en donde el Reglamento General de Protección de Datos que entró en vigor el pasado 23 de mayo de 2018 ha hecho mayor énfasis. Instalar cookies o píxeles en el ordenador de un usuario sin su consentimiento previo, puede acarrear severas sanciones a las organizaciones.

Otro riesgo importante en el mismo ámbito viene de la gestión de esa información. La compraventa de bases de datos, o la cesión de información a terceros para el envío de información comercial sin la previa autorización del cliente, puede constituir una infracción al RGPD o incluso delito según el caso y la jurisdicción en que se materialice la conducta.

Este es precisamente el problema que se ha suscitado en el caso de Facebook y Cambridge Analytica, en el cual se acusa a la primera de haber permitido -o no haber puesto diligencia suficiente para evitar a la segunda-, el acceso a datos de usuarios, que posteriormente fueron presuntamente utilizados para el envío de mensajes publicitarios y propaganda de corte político.

El escándalo de Cambridge Analytica y Facebook por el uso de información ha generado preocupación en Estados Unidos y Europa. Imagen tomada de Shop Catalog.

Por lo tanto, si en fase de awareness hay que cuidar el mensaje y las tácticas, en la consideración hay que atender cuidadosamente a la gestión de la información y el consentimiento del usuario.

 

3. Preferencia y Compra

En esta fase se habla también de la conversión, y es el momento en el cual el potencial cliente cierra la transacción y se convierte en cliente. Aquí podemos distinguir entre dos supuestos: Si se trata de un e-commerce o de un negocio tradicional que tiene un canal digital.

En el primer caso, es posible que los usuarios ni siquiera conozcan a quién está detrás de la web a la cual están comprando. En el segundo caso, conlleva la desvirtualización de la relación digital y su transformación en una relación contractual ordinaria. Aunque en ambos escenarios es posible, en el primer caso se crea un terreno fértil para los supuestos de estafa y los ilícitos relacionados con los medios de pago.

Respecto a las estafas, es sumamente importante tener en cuenta las expectativas que se generan en el usuario con la oferta previa a la compra. Si lo que se ofrece es radicalmente distinto a lo que se entrega, la marca se estará exponiendo a cantidad de reclamos de usuarios descontentos, y en casos extremos podrá recibir demandas por delito de estafa, que conllevan responsabilidad penal y civil. Por ello los mensajes siempre deben ser coherentes, razonados y no generar falsas expectativas sobre la calidad o prestaciones de los productos o servicios.

En cuanto a los medios de pago, deben vigilarse especialmente dos conductas:

  1. Los usuarios deben estar claramente informados del precio real de los productos o servicios que están adquiriendo, no debiendo incluirse conceptos ocultos en la “letra pequeña” de las condiciones.
  2. La información de cuentas y/o tarjetas suministrada por los usuarios y el historial de compra constituyen información sensible que debe estar encriptada y debidamente resguardada para evitar ataques de terceros. Hoy en día este es uno de los riesgos de seguridad informática más grandes que existen. Uno de los escándalos más grandes en este sentido fue el que sufrió Ashley Madison en 2015.

4. Fidelización

Los riesgos no terminan al cerrarse la compra, pues las marcas que emprenden estrategias para fidelizar a sus clientes también deben gestionar los riesgos que se derivan de estas actividades.

Cada vez es más frecuente ver que se utilicen las Redes Sociales para lanzar promociones de productos, sorteos y obsequios. En algunos países, la materia está legislada y se debe cumplir ciertas formalidades, mientras que en otros existen mayores libertades en la campaña, sin que ello exima del riesgo a las organizaciones.

Recientemente, una franquicia de Domino’s Pizza en Rusia inició una campaña ofreciendo 100 pizzas gratis por 100 años a todo el que se hiciera un tatuaje del logo de Domino’s Pizza. La promoción, que estaba prevista durase dos meses, duró apenas pocos días, porque más de 300 personas se tatuaron para reclamar el codiciado premio. La marca tuvo que retirar la promoción para controlar los daños.

Esto evidentemente pone a las marcas en un compromiso, pues debe cumplir con la promesa que está realizando, so pena de realizar conductas que vulneren los derechos de sus consumidores que repercuta en su reputación y en una eventual responsabilidad civil.

5. Advocacy

La última etapa del funnel de marketing digital busca que los clientes se conviertan en promotores activos de la marca y la recomienden a terceros. Aunque en algunos casos eso ocurre de forma orgánica y sin que la marca pague nada a cambio, hoy en día es común ver a influencers de Redes Sociales, que acumulan miles o millones de seguidores y están más que felices de promocionar a las marcas que más le gustan a cambio de una contraprestación. Esos influencers que cobran por promuever una marca, se convierten en sus socios de negocio.

Como tal, los socios de negocio pueden afectar no sólo la reputación de la marca (como puede haber pasado en el caso de Colin Kaepernick con Nike), sino también generarle responsabilidades legales como cualquier otro proveedor que presta un servicio o se convierte en imagen de la marca.

En el caso de los influencers de Redes Sociales, hay que tener en cuenta además que el control de la marca sobre el mensaje o  cómo se transmite suele ser poco, lo cual potencial el riesgo; excepto que exista un contrato escrito y lo suficientemente específico.

Conviene recordar el caso de Oprah Winfrey en 2012, cuando decidió recomendar a sus seguidores de Twitter la tableta Surface de Microsoft como parte de un acuerdo publicitario; recomendación que publicó desde su iPad.

 

Oprah recomienda la tableta Microsoft Surface… Desde su iPad. Tomado de TechCrunch.

 

Riesgos trasversales de Compliance en el embudo de Marketing Digital

Hay ciertas conductas que resultan transversales a todo el embudo de Marketing Digital, y que habría que vigilar en todo momento:

 

  • Uso de imágenes de terceros: Las imágenes, logotipos y fotografías están protegidos por derechos de autor y salvo que así lo haya autorizado el autor, sólo pueden ser utilizados con fines comerciales bajo su autorización expresa. Incluso en los casos en que hay cesión de derechos, siempre debe reconocerse la autoría de la obra. Al publicar contenido en blogs o Redes Sociales se debe respetar siempre este derecho y abstenerse de tomar imágenes cuya difusión y distribución no esté expresamente autorizada.

 

  • Publicación de textos de terceros: Ocurre lo mismo que con las imágenes, y por tanto antes de utilizar textos de terceros en blogs o publicaciones de Redes Sociales, debe solicitarse autorización, suscribirse un contrato, o como mínimo citar a la fuente. Conductas como tomar un artículo de otro blog y reproducir fragmentos o el texto íntegramente sin mencionar la fuente, puede ser considerado plagio y tener severas implicaciones legales.

 

  • Uso de herramientas informáticas que requieran compra de licencia: El seguimiento del viaje del cliente suele realizarse a través de varias herramientas informáticas: CRM, herramientas para la medición de datos y analíticas, aplicaciones de envío de correo masivo, e incluso las aplicaciones para el diseño de los artes que se utilizan. Las marcas deben contar con las licencias correspondientes para el uso de cada una de esas herramientas, pues no hacerlo conlleva riesgos penales, civiles y reputacionales.

 

  • Compra de Bases de Datos: Además de ser una práctica poco eficaz desde el punto de vista de negocio, la compra de bases de datos de contactos conlleva riesgos legales respecto del origen y la manera en que se obtuvo la información. Si el que captó los datos no solicitó la autorización del usuario para cederlos, esos datos no pueden ser cedidos y por tanto el comprador de la base de datos no podrá utilizarlos.

 

Buenas prácticas de Compliance en el Marketing Digital

Los riesgos en el ámbito del Marketing Digital usualmente conllevarán un impacto importante que puede traducirse en una crisis reputacional, demandas o reclamos, o en multas por infracciones. El sentido del marketing es capturar la atención del público para generar posibles clientes, y si esta acción se ejerce de manera errónea, descuidada o incluso si se actúa de manera correcta pero pero el público no lo percibe así, la marca, su reputación y su responsabilidad quedan expuestas.

Y esto es algo que debe gestionarse y evitarse, dado que hoy más que nunca los usuarios exigen y esperan un alto estándar por parte de sus marcas favoritas.

A continuación, algunas buenas prácticas para que las marcas eviten riesgos legales, en función de la estrategia que adopten y la fase del embudo de marketing que estén trabajando:

Compliance en el Funnel de Marketing Digital

Infografía elaborada por Gabriela Granja para Garberí Penal.

 

En resumen, el área de marketing debe identificar los riesgos legales y reputacionales que se derivan de cada fase de su actividad y adoptar buenas prácticas para su prevención. Somos conscientes de que la promoción en ocasiones debe ser arriesgada y agresiva para capturar el interés de posibles clientes y así mejorar las ventas, pero eso no implica que deba asumirse conductas que puedan generar consecuencias inesperadas e impactar negativamente la reputación o las arcas de la organización en forma de demandas, reclamos judiciales, multas o sanciones.

En Garberí Penal, asesoramos a las organizaciones en la prevención de riesgos penales en toda su organización. Contamos con un equipo especializado para evaluar los riesgos en el ámbito del marketing digital, analizando su estrategia, sus tácticas y estableciendo un plan de acción eficaz. Contáctanos para más información.