Como casi todas las acciones de cumplimiento importantes del Departamento de Justicia contra una empresa global, el caso de SAP presenta otra instancia en la que las funciones de auditoría interna o cumplimiento identifican deficiencias en el programa de cumplimiento y, en última instancia, son ignoradas por la alta dirección. Nuevamente, el Departamento de Justicia debería hacer la pregunta retórica: ¿por qué tener una función de auditoría interna o de cumplimiento si se ignorará cuando detecten violaciones de la ley?
Antilavadodedinero / volkovlaw
La División de Seguridad Nacional del Departamento de Justicia, al igual que su contraparte, la División Criminal, ha tenido un gran impacto en el ámbito de la aplicación y el cumplimiento. El DOJ ha elevado la importancia y la posición de la aplicación de sanciones y exportaciones para dejar un mensaje claro: el DOJ responsabilizará a las empresas por las violaciones penales de las leyes de sanciones y exportaciones de EE. UU. Y lo hará con el enfoque de la zanahoria y el palo, siempre que las empresas revelen, cooperen y remedian voluntariamente, el DOJ le dará a la empresa una zanahoria: un DPA, NPA y una multa reducida.
Estamos siendo testigos de una transformación importante en el panorama de la aplicación de la ley: antes del caso de SAP, la OFAC y el BIS conducían el tren de la aplicación de la ley con la aplicación de la ley civil y los acuerdos. El Departamento de Justicia se concentró en esquemas criminales individuales que a menudo se centraban en Irán, China y Corea del Norte, por razones de seguridad nacional.
El acuerdo SAP consolida, y es el comienzo, de la coordinación de la aplicación, similar a la SEC y el DOJ en el área de la FCPA, del DOJ y las agencias administrativas: OFAC y BIS. Puede agregar a la mezcla el programa ITAR del Departamento de Estado administrado por el DTTC, que se ha coordinado en casos importantes de seguridad nacional que involucran artículos militares.
El DOJ dejará su huella y lo hará rápidamente. La liquidación de SAP es un compromiso con la zanahoria pero con unos costes reales y significativos. El amplio esquema de los requisitos del programa de cumplimiento del DOJ va mucho más allá de los requeridos por la OFAC en su Guía de mayo de 2019. De hecho, los nuevos requisitos de cumplimiento ganarán peso e influenciarán rápidamente como expectativas de mejores prácticas relacionadas con los sistemas de informes internos, la revisión oportuna de las quejas, la capacitación, las notificaciones de terceros y las auditorías. Es posible que algunas empresas ya hayan cumplido estos requisitos nuevos y específicos. La mayoría no lo ha hecho, y corresponderá a las empresas abordar estos problemas lo antes posible.
La llegada del DOJ a la escena coincide con el nuevo mantra del DOJ de aplicación agresiva. Es difícil saber si este nuevo enfoque refleja un impulso de la Fiscalía General o de las Oficinas del Fiscal General Adjunto, pero basta con decir que es un presagio de otras iniciativas que probablemente seguirán en otras áreas, incluida la FCPA, la legislación antimonopolio, el lavado de dinero y delitos financieros.
Mirando más de cerca el acuerdo de SAP, es evidente que ocurrieron muchos de los mismos sospechosos o deficiencias de cumplimiento. Los problemas específicos tienen una amplia aplicación a los servicios de software basados en la nube y la tecnología de entrega. Para nombrar unos pocos:
Bloqueo de IP : las empresas globales basadas en la nube deben asegurarse de tener la capacidad de bloquear direcciones IP vinculadas a países prohibidos, como Cuba, Irán, Siria, Corea del Norte y la región de Crimea. Como empresa de tecnología, las empresas basadas en la nube no pueden alegar ignorancia ni falta de voluntad. Tienen que implementar sistemas robustos y tienen que hacerlo ahora.
Riesgos de terceros y usuarios finales : ¡Qué sorpresa! Sí, se deben administrar agentes externos, revendedores, distribuidores y subs de cada una de estas funciones. La falta de diligencia debida en la parte delantera es una receta para el desastre. Más importante aún, las empresas globales tienen que comprender toda la cadena de distribución, desde la empresa hasta el usuario final, para saber dónde se encuentra cada participante, dónde se utilizan los servicios y el sistema de pago empleado.
Los esfuerzos de cumplimiento de SAP en este tema fueron obviamente deficientes. SAP llevó a cabo una mínima o debida diligencia de varios revendedores que resultaron ser empresas fachada de Irán, controladas por ciudadanos de Irán que, a su vez, proporcionaron los servicios de SAP a los clientes de Irán. El programa de cumplimiento de SAP ignoró estos riesgos y no se intentó adaptar sus controles para identificar y corregir estas posibles violaciones.
Adquisición de empresas basadas en la nube : SAP no llevó a cabo una sólida diligencia debida de las empresas adquiridas y no realizó las auditorías posteriores a la adquisición adecuadas. Al igual que en el ámbito de la FCPA, las empresas globales tienen que realizar auditorías de debida diligencia previa a la adquisición y auditorías posteriores a la adquisición para identificar deficiencias en el programa de control de exportaciones y cumplimiento de sanciones de la empresa objetivo, así como cualquier posible infracción de estas leyes y regulaciones.