Al proporcionar orientación sobre el programa de cumplimiento, el Departamento de Justicia y la OFAC, como todos los profesionales del cumplimiento, rendirán homenaje al punto relativamente obvio de que no existe una solución única para el cumplimiento.
En otras palabras, como se repite a menudo, el programa de cumplimiento de una compañía variará dependiendo de una variedad de factores, que incluyen el tamaño, la sofisticación, los productos y servicios de la compañía y la configuración geográfica.
Estos factores eventualmente forman la base para el perfil de riesgo de una compañía, que informa cada aspecto del programa de cumplimiento de una compañía. El perfil de riesgo de una empresa es la base de ADN para el negocio de una empresa y, en última instancia, su programa de ética y cumplimiento.
A medida que cambia el perfil de riesgo de la empresa, también debe hacerlo su programa de cumplimiento. Es por esto que las funciones de monitoreo, prueba y auditoría son tan importantes. Pero aquí es donde la tecnología de cumplimiento, los datos y otras herramientas de rápida evolución prometen un cambio real y significativo.
A medida que las empresas hacen un mejor uso de los datos en tiempo real, el antiguo modelo para el cambio continuo, basado en pruebas contra las reglas y auditoría del cumplimiento de las reglas, será reemplazado por nuevas capacidades para el análisis y la gestión de datos utilizando inteligencia artificial, procesamiento de supercomputadoras y Analítica y eventualmente blockchain distribuye tecnología de contabilidad.
Mientras tanto, sin embargo, la mayoría de las empresas confían en los programas de auditoría y pruebas existentes.
Con respecto a la capacitación, la OFAC describió una serie de principios generales, ya conocidos y esperanzados por profesionales de cumplimiento. En particular, un programa de capacitación debe ser “adaptado al perfil de riesgo de una entidad y a todos los empleados y partes interesadas apropiados”. Y un programa de capacitación debe ser accesible para los empleados de idiomas extranjeros.
Pero la OFAC no se detuvo allí; en su lugar, la OFAC ordenó un requisito de capacitación anual para los empleados relevantes sobre el cumplimiento de las sanciones. Las empresas deben realizar capacitación para los empleados y el personal relevantes de forma periódica (y, como mínimo, anualmente). Dicha capacitación debe actualizarse para reflejar las deficiencias identificadas en el SCP.
Sin embargo, en el área de pruebas y auditoría, OFAC ofreció principios generales, que las compañías ya deberían conocer e implementar al llevar a cabo sus funciones de auditoría y pruebas. La OFAC señaló que las operaciones de prueba y auditoría de una organización deben ser “integrales y objetivas” y que las debilidades y deficiencias del programa, así como las brechas de cumplimiento, deben remediarse.
Por ejemplo, la OFAC declaró que las empresas deberían:
Evalúe la efectividad de los procesos actuales y verifique las inconsistencias entre estas y las operaciones diarias.
Las pruebas y auditorías se pueden realizar en un elemento específico de un SCP o en el nivel de toda la empresa.
En el nivel prescriptivo, la OFAC explicó que las funciones de prueba y auditoría deberían:
- Ser responsable ante la administración superior, independientemente de las actividades auditadas, y poseer las habilidades necesarias para realizar pruebas y auditorías relevantes;
- Tener suficiente autoridad, recursos y autoridad dentro de la organización.
Si bien estos requisitos no deberían sorprender, todavía hay una pequeña cantidad de organizaciones en las que los resultados de las auditorías y las pruebas se consideran como “sugerencias” en lugar de cambios necesarios con el apoyo total de la administración superior y el comité de auditoría. En la mayoría de los casos, la auditoría interna recibe mayor atención, autoridad y recursos que una operación de ética y cumplimiento. Con suerte, esto cambiará en el futuro, pero por ahora, las pruebas y auditorías de un programa de cumplimiento de sanciones deben agregarse a la lista de elementos del programa de cumplimiento que requieren monitoreo y auditoría.
ALD/.volkovlaw
