El Departamento de Justicia de los EE.UU. (DOJ) actualiza nuevamente la Guía para la evaluación de programas de compliance corporativo

El Departamento de Justicia de los EE.UU. (DOJ) actualiza nuevamente la Guía para la evaluación de programas de compliance corporativo

June 3, 2020

El 1 de junio de 2020, la División Penal del Departamento de Justicia de los Estados Unidos (“DOJ” o el “Departamento”) publicó una versión actualizada de su documento Evaluación de los programas de compliance corporativo (la “Guía”), que sirve como referencia para los fiscales a la hora de evaluar los programas de compliance corporativo en el contexto de las investigaciones del DOJ. El Departamento revisó por última vez la Guía en abril de 2019, lo cual cubrimos en una alerta anterior. Al igual que en el caso de la versión previa de la Guía, la revisión de junio de 2020 sigue aplicándose a todas las investigaciones de la División Penal y a las fiscalizaciones relacionadas con organizaciones empresariales.

Las revisiones de la Guía de junio de 2020 son de naturaleza gradual. Sin embargo, resaltan las expectativas del DOJ con respecto a lo que constituye un programa de compliance efectivo y los niveles cada vez más exigentes bajo los cuales los programas de compliance serán evaluados en el contexto de una investigación del DOJ. Las revisiones también pueden sugerir que los fiscales del DOJ investigarán aún más rigurosamente el diseño y los recursos actuales e históricos del programa de compliance en el curso de una investigación.

Aunque la revisión de la Guía no refleja un cambio radical, sí continúa la tendencia del Departamento de esperar que las compañías estén en condiciones de responder a preguntas detalladas sobre el diseño, la dotación de recursos y la implementación de sus programas de compliance, y de poder demostrar su eficacia mediante criterios objetivos respaldados por datos concretos. En tiempos de la pandemia de COVID-19, el Departamento envía una señal clara de que las compañías deben seguir dedicando los recursos adecuados a la evaluación y mejora continua de sus programas de compliance.

1. La dotación de recursos del programa de compliance y el empoderamiento de los profesionales de compliance ahora se identifican como una pregunta fundamental.

Quienes estén familiarizados con la versión de abril de 2019 de la Guía recordarán que esta se organizó en torno a tres “preguntas fundamentales” del Manual de Justicia que los fiscales deben preguntar al evaluar la eficacia de los programas de compliance corporativo.[1] Si bien las tres “preguntas fundamentales” del Manual de Justicia permanecen sin cambios,[2] el Departamento ha incorporado explícitamente consideraciones sobre la dotación de recursos del programa de compliance y el empoderamiento de los profesionales de compliance al introducir esos conceptos en una de las “preguntas fundamentales”.

En particular, para responder a la pregunta “¿Se está aplicando el programa de manera honesta y de buena fe?”, el DOJ preguntará ahora si “el programa [dispone de] recursos suficientes y está empoderado para funcionar de manera eficaz”, en lugar de preguntar si “el programa [está] siendo implementado de manera eficaz”. Aunque se trata de un cambio sutil de redacción, esta revisión indica un mayor enfoque en si una compañía ha dedicado los recursos adecuados a su programa y ha empoderado suficientemente a sus profesionales de compliance.

Más concretamente, al elevar la pregunta sobre la dotación de recursos del programa y empoderamiento de los profesionales, el DOJ podría estar enviando el mensaje a las compañías de que necesitan invertir más en sus programas de compliance. Este mensaje puede resultar particularmente útil para los profesionales de compliance que enfrentan presiones presupuestarias y que deben presentar justificaciones económicas para las inversiones en el programa durante la pandemia de COVID-19.

Si bien el enfoque del DOJ en la dotación de recursos y la importancia de los programas de compliance no es nuevo, anticipamos que este cambio, al igual que otros descritos a continuación, podría resultar en que los fiscales examinen estas áreas con mayor rigor en una investigación, y es posible que las compañías deban estar aún más preparadas para responder preguntas difíciles sobre los presupuestos, la plantilla de personal y la autonomía del programa de compliance.

2. Las revisiones enfatizan un análisis específico de la compañía basado en riesgos.

Los profesionales de compliance conocen los principios de que los programas de compliance deben basarse en el riesgo y adaptarse a las circunstancias particulares de una compañía determinada. Desde hace tiempo, los reguladores también reconocen estos conceptos, y la revisión de la Guía reafirma a los fiscales que el programa de compliance de cada compañía debe evaluarse caso por caso.

En este sentido, la revisión de la Guía compromete al DOJ a realizar una determinación “razonable e individualizada” de la eficacia de un programa de compliance corporativo en función de cada caso, siendo el concepto de razonabilidad una nueva y bienvenida adición. En otra adición, en la Guía se instruye a los fiscales para que consideren “diversos factores, incluidos, entre otros, el tamaño, el sector, la huella geográfica, el panorama regulatorio y otros factores, tanto internos como externos a las operaciones de la compañía, que podrían afectar su programa de compliance”.

La revisión de la Guía también da instrucciones a los fiscales para que consideren las “circunstancias de la compañía” al evaluar el programa de compliance en el marco de las tres “preguntas fundamentales” y el resto de la Guía.  De manera similar a su enfoque para evaluar las cuestiones de privacidad de datos extranjeros que pueden surgir en una investigación, en una nota al pie de página, la revisión de la Guía añade que, al evaluar las “circunstancias de la compañía”, los fiscales deben considerar si “ciertos aspectos de un programa de compliance pueden verse afectados por leyes extranjeras”. Además, insta a los fiscales a cuestionar, de una parte, las premisas de una compañía para llegar a sus conclusiones sobre leyes extranjeras y, de otra parte, cómo se abordaron las concesiones hechas a las leyes extranjeras, manteniendo al mismo tiempo la integridad y eficacia del programa de compliance de la compañía.

3. La Guía incluye expectativas adicionales de las evaluaciones de riesgos (y del programa de compliance).

Varias de las revisiones clave de la Guía se refieren a las evaluaciones de riesgos, uno de los temas que los fiscales evaluarán bajo las tres “preguntas fundamentales”.

En primer lugar, el Departamento instruyó a sus fiscales para que “se esfuercen por entender por qué la compañía ha elegido establecer el programa de compliance de la manera en que lo ha hecho, y por qué y cómo el programa de compliance de la compañía ha evolucionado con el tiempo”.

En segundo lugar, la revisión de la Guía da instrucciones a los fiscales para que consideren si las evaluaciones periódicas de riesgos se limitan a una “foto instantánea” o se basan en un “acceso continuo a datos e información operativa en todas las funciones”, y si las evaluaciones periódicas de riesgos han dado lugar a “actualizaciones en las políticas, los procedimientos y los controles”.

Conjuntamente, estas adiciones pueden dar lugar, durante una investigación, a un examen más profundo del razonamiento de los profesionales de compliance sobre el diseño y la implementación del programa de compliance y a una revisión más detallada de las evaluaciones históricas de riesgos y del programa de compliance, lo cual incluye, precisamente, cómo una compañía respondió a los puntos identificados durante dichas evaluaciones. Y la referencia al “acceso continuo a datos e información operativa en todas las funciones” indica un mayor énfasis en el aprovechamiento de la tecnología y los datos en los programas de compliance, un tema que aparece varias veces en la Guía actualizada.

En una tercera adición a los criterios de valoración de la Guía para las evaluaciones de riesgos, el DOJ da instrucciones a los fiscales de considerar si las compañías disponen de un proceso para incorporar a las evaluaciones periódicas de riesgos las “lecciones aprendidas” a partir de los problemas previos de una compañía o de los problemas a los que se enfrentan las compañías que operan dentro del mismo sector o geografía. Si bien no se trata de un cambio importante en las “mejores prácticas”, las compañías deben asegurarse de que los ejercicios de evaluación de riesgos y del programa de compliance tomen en cuenta tanto el perfil de riesgo individualizado de la compañía (por ejemplo, lo aprendido en investigaciones anteriores) como las lecciones que pueden aprenderse de compañías afines.

En una revisión final en la sección de evaluación de riesgos de la Guía, el DOJ escribió que los fiscales pueden acreditar la calidad y eficacia de un programa de compliance basado en riesgos que dedica los recursos apropiados a operaciones de alto riesgo, incluso si no logra evitar una infracción. En la versión anterior de la Guía, esta última cláusula se limitaba a casos en los cuales la empresa no logra evitar una infracción “en una área de bajo riesgo,” lo que el DOJ suprimió de la versión actual de la Guía. Esto sugiere que un programa de compliance eficaz, que cuenta con los recursos adecuados y está basado en riesgos, puede recibir crédito de los fiscales del DOJ, incluso si no logra evitar una conducta indebida en una área de alto riesgo.

Dejando a un lado los cambios que trae la revisión de la Guía sobre evaluación de riesgos, el mensaje es claro: el Departamento espera que las compañías realicen evaluaciones significativas y periódicas de los riesgos y del programa de compliance y tomen medidas concretas y demostrables para mejorar los programas de compliance basándose en la información obtenida. Sin embargo, más allá de eso, la cuestión de si las evaluaciones de riesgos se limitan a una “foto instantánea” puede indicar un aumento en las expectativas de una evaluación de riesgos dinámica y más cercana al tiempo real, basada en una revisión continua de los datos relativos a las operaciones de la compañía (por ejemplo, aumentos de gastos en áreas de alto riesgo o aumento del número de terceros).

4. El DOJ pondrá mayor énfasis en la recolección y monitoreo de datos relevantes para compliance y en la actuación de la compañía con base en ellos.

Varias adiciones a la Guía indican que el Departamento espera que las compañías se centren más en la recopilación y monitoreo de datos. El mayor énfasis en los datos incluye evaluar cómo los empleados utilizan las políticas, los procedimientos, las capacitaciones y los mecanismos de denuncia y qué medidas ha tomado la compañía para aprovechar las lecciones que pueden extraerse de dicha información.

Por ejemplo, la Guía ahora da instrucciones a los fiscales para que evalúen si una compañía monitorea “el acceso a diversas políticas y procedimientos para entender qué políticas están atrayendo más la atención de los empleados relevantes”. Del mismo modo, la Guía pregunta si una compañía ha “evaluado en qué medida [] la capacitación tiene un impacto en el comportamiento o las operaciones de los empleados”.

Por último, con respecto a los mecanismos de denuncia, la revisión de la Guía pregunta si una compañía “adopta medidas para comprobar si los empleados conocen el canal de denuncias y se sienten cómodos utilizándolo” y si una compañía “comprueba periódicamente la eficacia del canal de denuncias”. Por lo tanto, en lugar de preguntar simplemente cómo evalúan las compañías la eficacia de sus políticas, procedimientos, capacitaciones y mecanismos de denuncia, la Guía indica de manera más explícita la expectativa de que las compañías aprovechen de manera más proactiva los datos objetivos para demostrar la eficacia de estos aspectos de sus programas de compliance.

El énfasis en los datos también se extiende a la capacidad de una compañía de usar los datos para monitorear y realizar otras pruebas del programa de compliance. En la sección de la Guía que trata sobre la cuestión de los recursos del programa de compliance y el empoderamiento de los profesionales de compliance, el Departamento añadió un criterio de evaluación centrado en los “Recursos y acceso a los datos”, preguntando si el personal de compliance y control dispone de “suficiente acceso directo o indirecto a las fuentes de datos relevantes para permitir la supervisión y/o las pruebas oportunas y efectivas de las políticas, los controles y las operaciones”. Otra adición a la Guía pregunta si “existen impedimentos que limitan el acceso a las fuentes de datos relevantes y, en caso afirmativo, qué [] está haciendo la compañía para abordar los impedimentos”. Por último, como se señaló anteriormente, la sección revisada sobre las evaluaciones de riesgos también se enfoca en el acceso continuo a los datos operativos.

En conjunto, estas adiciones sugieren un mayor énfasis en el aprovechamiento de datos y de la analítica para implementar –y demostrar– un programa de compliance eficaz. Estaremos atentos para ver cómo el DOJ aplicará este mayor énfasis a las compañías con un perfil de riesgo más bajo, y en función del tamaño, el sector y otros factores específicos de una compañía identificados en la Guía y más arriba.

5. La Guía enfatiza que la gestión de terceros debe ser un proceso continuo.

Las revisiones de la Guía añaden una pregunta sutil pero importante en relación con el enfoque de una compañía respecto a la gestión de riesgos de terceros, preguntando si una compañía “participa en la gestión de riesgos de terceros durante la vida de la relación, o principalmente durante el proceso de incorporación”. Esto sugiere que las medidas de compliance de terceros no pueden ser un ejercicio de una sola vez ni limitarse a la debida diligencia en materia de integridad.  Por el contrario, las compañías deben continuar evaluando el riesgo de compliance con respecto a los socios comerciales terceros durante toda la relación y prestar atención a la información que surja durante ella.

Si tiene alguna pregunta sobre los temas abordados en esta alerta, por favor contacte a cualquiera de los siguientes miembros de nuestra práctica de Defensa de delitos de cuello blanco, investigaciones y anti-corrupción/ FCPA.