El compliance: ¿una pérdida de tiempo y dinero?

¿Te gusta perder el tiempo? 

A mí no. Me molesta mucho y siempre me genera emociones desagradables. Enojo, frustración, desesperación, estrés… 

Pero no me malinterpretes. No soy un trabajólico que piense que “aprovechar el tiempo” signifique trabajar 24/7, en extensas y agotadoras jornadas, y vivir en función de producir. Para mí es muy importante dedicar espacios para descansar,  para la familia, para los amigos, desconectados del trabajo. Igualmente fundamental es el tiempo dedicado para sí mismo, para la introspección, el ocio y la entretención. Todo eso para mí no significa, en caso alguno, “perder el tiempo”.

Por el contrario, “perder el tiempo” lo veo más asociado al trabajo. En mi caso, siento que pierdo el tiempo cuando estoy obligado a realizar actividades que no son realmente significativas ni para mí ni para otros. Son esas tareas intrascendentes en que da exactamente lo mismo si se hacen o no. Y lo peor viene cuando debes destinarles horas y horas, estando consciente de su irrelevancia. Además, en esos momentos, por lo general, los resultados tampoco son buenos, son más desprolijos y faltos de rigurosidad.

Y voy más allá. 

¿Te da lo mismo perder dinero? 

Si respondes que sí, puede que sea porque, en tu caso, el desapego hacia lo material te posiciona en nivel superior de desarrollo, de madurez o de trascendencia. Estás en un plano por sobre el bien y el mal y solo me queda felicitarte. 

Sin embargo, acá no me refiero a nada de eso y me imagino que eres de los nuestros y también te molesta -y mucho- perder dinero.

Ahora te quiero llevar a otro escenario. Uno en donde las empresas (de cualquier tamaño y giro) son quienes pueden perder meses de trabajo y cantidades importantes de recursos, particularmente cuando se autoengañan, creyendo que cumplen con la ley.

Me refiero al caso del compliance o cumplimiento normativo, cuando éste se vuelve una pérdida de tiempo y dinero para ellas. 

¿Qué es y para qué sirve el compliance?

El compliance se refiere a un conjunto integral de medidas y controles internos que se implementan sistémicamente en una organización, para garantizar que los procesos y actividades se realicen de acuerdo con una normativa legal, reglamentaria, sectorial, contractual, técnica o interna que le resulta aplicable.

Por ejemplo, son todas las medidas que obligatoriamente debe adoptar una empresa para cumplir con la Ley de Protección de Datos Personales o los controles que voluntariamente decide aplicar a partir de la norma técnica ISO 27.001, por mencionar algunos.

A partir del compliance, producto de esas medidas y controles que implementa una organización, es capaz de mitigar riesgos legales y reputacionales, derivados del incumplimiento o de la infracción de una normativa en particular. Por ejemplo, permite disminuir la probabilidad de reclamos o demandas en su contra, de ser sancionado con multas o de cometer delitos. 

Además, el compliance favorece el logro de los objetivos esperados por esa regulación llamada a cumplir, por ejemplo, el evitar que se cometan prácticas corruptas o delictivas, el proteger los derechos de las personas, el lograr que las organizaciones se adapten a ecosistemas seguros o que alcancen ciertos estándares deseables en materia de gestión, por mencionar algunos. 

Ahora bien, el compliance cobra particular importancia en sectores regulados o respecto de normas que imponen a las empresas la obligación de adoptar una serie de medidas específicas para cumplir con la regulación y conseguir los resultados esperados. Por esa razón, las empresas se ven obligadas a implementar medidas internas, tanto organizativas como técnicas, cuyo incumplimiento acarrea responsabilidad. 

Cada vez son más frecuentes las leyes que directamente se vinculan al compliance, imponiendo esa obligación de implementarlas. Por ejemplo, en materia de delitos económicos, de seguridad, en sectores industriales, respecto al tratamiento de datos personales, sobre probidad o en las relaciones laborales, entre otras. 

En ese sentido, la idea clave es entender que se trata de leyes que requieren ser implementadas y, por lo tanto, las empresas se verán obligadas a invertir para cumplirlas. Asimismo, por su complejidad suelen ser abordadas como proyectos dentro de las empresas y se contratan asesorías externas que les permitan cumplir con la regulación de forma correcta, completa y oportuna. Además, el no hacerlo deja expuesta a la empresa frente a eventuales fiscalizaciones y deriva en sanciones que son, por lo general, multas elevadas.

Entonces, no es baladí para una empresa obligada por una regulación, realizar proyectos de compliance o cumplimiento normativo, a los que destina personal y asigna recursos para ejecutar las medidas que se le exigen.

Por esa razón te decía que el compliance puede, efectivamente, traducirse en una pérdida de tiempo valioso y de dinero para las empresas, cuando está mal realizado. 

Errores comunes que se cometen en compliance

Durante el desarrollo de cualquier proyecto de cumplimiento normativo pueden existir errores puntuales, propios de la materia que se trata de implementar. 

No obstante, hay tres errores que he podido observar de forma transversal en distintas empresas y que, cuando no son enmendados, derivan en leyes mal implementadas, paradójicamente aumentan el riesgo de ser sancionado o se materializan en modelos de cumplimiento que al corto tiempo dejan de aplicarse en la organización.

Esos tres errores habituales son los siguientes:

1. Considerar el cumplimiento como una mera formalidad legal. 

Un típico ejemplo de esto ocurrió por años con los modelos de prevención de delitos asociados a la Ley N° 20.393, sobre responsabilidad penal de las personas jurídicas. Las empresas contrataban alguna consultora para que les “armara” un voluminoso modelo de prevención de delitos, pero sin ninguna bajada real en las prácticas de la empresa. Tanto es así que esos modelos meramente formales no sirven como atenuantes de responsabilidad para empresas involucradas en delitos de cohecho, por ejemplo.

2. No asignar recursos suficientes buscando ahorro.

Se desviste un santo para vestir a otro. Por ejemplo, cuando se trata de fusionar el rol de delegado de protección de datos (DPO) de la Ley de Datos Personales, con el del oficial de seguridad de la información (CISO), para “ahorrar” el costo de un especialista. Si bien podría cumplir con la designación formal de un DPO, la persona elegida no sería la adecuada, ya que el CISO, por ejemplo, casi nunca cuenta con las competencias para desempeñar las funciones de un DPO -que, por cierto, son bien diferentes-, y, además, porque en ocasiones se le generarán conflictos de interés al reunir ambos roles en una misma persona. Tampoco tendrá un DPO apropiado para prevenir infracciones legales en materia de protección de datos personales y, con la primera multa que reciba, ese “ahorro” que se quiso lograr, ya habrá desaparecido. 

3. Adoptar medidas que no se sostienen en el tiempo de forma autónoma en la empresa.

El compliance no busca sacar la foto de un momento, sino dejar grabando un video indefinidamente. Busca que las medidas por adoptar se integren en los procesos de la empresa. Entonces, si las empresas actúan gracias a las personas que las integran, cuando no se considera el fortalecimiento de competencias apropiadas para los trabajadores, que les permitan seguir cumpliendo esa regulación por sí solos, incluso frente a las modificaciones que vaya teniendo, es un compliance con poca esperanza de vida. 

Hacia un compliance efectivo

Si a mí no me gusta perder mi tiempo y mi dinero, ¿por qué tendrían que hacerlo mis clientes? 

Si me contratan para asesorarlos, lo justo, creo, es ofrecerles una respuesta que me haga sentido, permitiendo que el compliance logre tres objetivos: sea efectivo, eficiente y sostenible. 

Por esa razón, por ejemplo, preparé mis propios programas de cumplimiento para la Ley de Datos Personales, donde vuelco mi experiencia de más de 25 años dedicado a estos temas, enfocados al logro de esos tres objetivos. 

De esa forma me da la tranquilidad de que mis cliente implementarán correctamente todo lo fundamental de esa normativa, evitarán los errores habituales que se cometen y no improvisarán, ya que ahí se pierde el tiempo y el dinero. 

¿Sabes si tu empresa ya está implementando la Ley de Datos Personales? 

Si quieres saber más sobre esto o necesitas mi ayuda, visita mi web www.rodolfoherrera.cl y contáctame directamente.