Por Guillermo Zapata;
Gerente Senior del área de Consultoría en Riesgos, Compliance y Servicios Forenses en PwC.
Miembro del equipo de Compliance de The Key
Toda empresa, ya sea que tenga fin de lucro o no, con operaciones centralizadas o distribuidas a nivel local o internacional, de naturaleza privada o pública, desarrolla sus actividades empresariales en sociedad y, por ende, genera relaciones comerciales o contractuales con múltiples agentes económicos, que pueden ser clasificados en dos grandes categorías: grupos de interés interno (empleados y directivos) o externos. A manera ilustrativa, se podría indicar que una empresa vive en un ecosistema constituido por grupos mencionados en el gráfico; y para lidiar con estos y los riesgos que tales relacionamientos originan, se hace indispensable ejecutar una debida diligencia en tales interacciones.
En efecto, la debida diligencia es un proceso crítico para las empresas, desde varios puntos:
i. Por una perspectiva interna: permite a las organizaciones incorporar y mantener personal y directivos que tengan un perfil acorde a los valores empresariales.
ii. Por una perspectiva externa: facilita prevenir o mitigar el riesgo contractual, financiero, y sobre todo reputacional que se genera por iniciar o mantener relaciones comerciales con terceros (entiéndase proveedores, contratistas, intermediarios, clientes, agentes, franquiciados, entre otros) y que estos realicen actividades indebidas. Además, la debida diligencia también es relevante para aquellas actividades que las compañías desarrollan con socios de negocios, comprendiendo en este segmento a empresas con las cuales una compañía se asocia para constituir consorcios o generar sinergias mediante inversión en organizaciones en las cuales se ejercerá un control significativo o no. En este punto, la debida diligencia permite conocer quiénes son las contrapartes en esos consorcios o inversiones.
En definitiva, la debida diligencia permite gestionar los riesgos y tomar decisiones informadas, tanto en la prevención, como en la detección y remediación.
En nuestro ordenamiento jurídico, específicamente en la normativa de prevención de corrupción empresarial, podemos identificar que la debida diligencia es mencionada en la Ley 30424 como un mecanismo de exención de responsabilidad para aquellos casos de fusiones o escisiones[1]. Complementariamente, el Reglamento de la Ley 30424 dispone que la debida diligencia es un control adicional sobre operaciones, proyectos, actividades, socios comerciales o incluso el personal, a fin de evaluar con mayor profundidad el alcance, la escala y naturaleza de los riesgos identificados como parte del proceso de evaluación[2]. En ese orden de ideas, la segunda versión de los Lineamientos para la implementación y funcionamiento del Modelo de Prevención publicados por la Superintendencia del Mercado de Valores (SMV)[3], si bien no son de obligatorio cumplimiento y su versión definitiva aún no ha sido aprobada y difundida a la fecha de redacción de este artículo, también establecen que la debida diligencia es un parámetro de acreditación de funcionamiento de la gestión de riesgos en una empresa, de cara a denotar la efectividad de un programa de prevención de corrupción en relación a lo normado por la Ley 30424.
Ahora bien, considerando el contexto, sin duda la pandemia nos ha afectado de diferentes maneras, pero hay algo que se mantiene y debe ser innegociable en la práctica empresarial. Se trata del respeto a la ley y el cumplimiento normativo, lo cual implica considerar la debida diligencia como un proceso fundamental en el diseño y despliegue de un programa de compliance y, por consiguiente, de integración a las actividades de negocio de la empresa, tanto del front como del back office.
Veamos cómo la nueva realidad ha afectado el proceso de debida diligencia:
(i) La pandemia ha generado que se elimine o relaje el sistema de control interno, es decir, las actividades relacionadas a controles financieros y no financieros y, por ende, las funciones de debida diligencia.
(ii) La reducción de personal en una empresa origina que los colaboradores que se mantienen tengan menos tiempo, recursos o expertise para hacer indagaciones o validaciones de debida diligencia.
(iii) Dada la necesidad de tomar decisiones empresariales de manera rápida, se suele ver a la debida diligencia como un factor burocrático o que aporta poco valor.
(iv) Se parte de la concepción que las situaciones que pretende mitigar la debida diligencia no se materializarán y se prefiere asumir el riesgo.
La problemática precitada, en definitiva, origina que las empresas se encuentren más expuestas a tener relacionamientos con terceros con los cuales hay un escaso conocimiento sobre sus operaciones, representantes, beneficiarios finales, background empresarial, reputación, capacidad operativa, etc., generándose inclusive nuevas amenazas de corrupción privada. Por tanto, el riesgo de contagio por actividades indebidas de tales terceros con nuestras empresas y la incidencia de esquemas de corrupción privada y fraude contra nuestras organizaciones son mayores que antes de iniciada la pandemia.
Entonces, ¿qué podemos hacer para mitigar o remediar esos riesgos? A continuación, proponemos algunas soluciones que deben formar parte de la agenda empresarial:
1. Si bien estamos en una situación compleja, debemos ratificar desde la alta dirección y gerencia, a todo el personal de la empresa, que el cumplimiento de la ley y la forma ética de hacer negocios son innegociables, en otras palabras, tolerancia cero a eventos no éticos y de fraude en general.
2. Considerar difundir ese compromiso a todos los terceros y socios de negocios con los cuales interactúa la compañía, con la finalidad de promover un comportamiento ético de negocios de tales grupos, especialmente cuando actúan en nombre y beneficio de la compañía.
3. Revisar las prácticas de debida diligencia que tenemos en marcha, de tal manera que se ejecute el ciclo de identificación, evaluación y monitoreo; y no solamente sea realizada la debida diligencia cuando se está en una etapa de tratativas comerciales o al inicio de la relación empresarial, pues el estatus de los terceros, colaboradores, directivos y socios de negocios va cambiando en el tiempo conforme ejecutan sus actividades.
4. Estructurar un proceso de segmentación de terceros, colaboradores, directivos y socios comerciales en función del nivel de riesgos (alto, medio o bajo) que cada uno de estos segmentos pueden generar en la empresa. Por ejemplo, en función a su ubicación, ejecución de actividades, interacción con funcionarios públicos, posibilidad de subcontratación, entre otros; y complementar esto con la exposición a temas de Lavado de Activos y Financiamiento del Terrorismo (LAFT)[4]; o por corrupción bajo los parámetros de la Ley 30424; o por infracción a la normativa de libre competencia o de protección al consumidor; o vulneración de las disposiciones de protección de datos personales, y otra regulación aplicable en la compañía. Es decir, en definitiva, es necesario hacer un ejercicio de compliance holístico y determinar el nivel de exposición a riesgos de incumplimiento regulatorio ad intra o ad extra de la compañía y establecer los planes de acción para mitigarlos, en relación con los segmentos evaluados.
5. Utilizar herramientas tecnológicas que faciliten la recopilación, análisis, conservación y monitoreo del proceso de debida diligencia según los segmentos evaluados y sus respectivos niveles de riesgos, de tal manera que pasemos de una gestión “manual” a una “automatizada”, con un scoring de riesgos actualizado acorde la situación actual del evaluado. Recordemos que la debida diligencia no es una fotografía.
En atención a lo expuesto, hemos visto cómo la debida diligencia es un proceso que permite iniciar, continuar, suspender o terminar relaciones contractuales con terceros, colaboradores, directivos y socios de negocio; y, si bien la nueva realidad plantea desafíos organizacionales y para el control interno, debemos reflexionar sobre la importancia de la debida diligencia como una actividad crítica en cualquier programa de compliance empresarial, para mantener las actividades sociales, fortalecer el sistema de buen gobierno corporativo, mejorar la gestión de riesgos, proteger la reputación empresarial y promover su sostenibilidad.
Referencias:
[1] El artículo 2 de la Ley 30424 – Ley que regula la responsabilidad administrativa de las personas jurídicas, estipula que la persona jurídica no incurre en responsabilidad administrativa cuando ha hecho un adecuado proceso de debida diligencia, previo al proceso de fusión o escisión.
[2] El artículo 25 del Reglamento de la Ley N° 30424 determina que la debida diligencia permite contar con un control de prevención y detección de riesgos de los delitos en la toma de decisiones sobre la conveniencia de posponer, continuar suspender o revisar las operaciones, proyectos, actividades, las relaciones con los socios comerciales o el personal.
[3] Para mayor referencia, ver https://www.smv.gob.pe/Uploads/LineamientosParaImplementacionMPD.pdf
[4] En función a las actividades que desarrolle una empresa, se debe considerar la aplicación de la regulación de prevención de LAFT en temas vinculados a la debida diligencia y sus distintos niveles (general, simplificada o reforzada), así como la evaluación de información en ciertas listas públicas.
Imagen de cabecera: unsplash.com