La práctica internacional y los estándares establecidos por Organismos Internacionales coinciden en que una estrategia de Compliance y su incorporación a la actividad empresarial deberá basarse en los siguientes pilares:

Cultura corporativa:

Compliance empieza “desde arriba” y afecta a la totalidad de la plantilla. La cultura corporativa debe ser liderada por la alta dirección de la empresa y aplicada por la totalidad de la empresa. Para ello es necesario establecer una comunicación interna permanente que permita a todos los empleados entender la necesidad de cumplir con las buenas prácticas establecidas por la empresa. La alta dirección debe ante todo respetar íntegramente el programa de Compliance al ser el ejemplo a seguir dentro de la estructura empresarial además de ser el departamento más expuesto a los riesgos legales y sancionadores.

Auditoria:

Una vez establecido el papel de la dirección de la empresa, se recomienda una auditoría interna para definir la estructura de la empresa, los posibles riesgos y problemas existentes que puedan ser sancionados u ocasionar problemas con autoridades, socios o los demás stakeholders. La auditoria se centrará los riesgos penales, antitrust así como los derivados del área de Responsabilidad Corporativa.

Evaluación de riesgos:

Toda empresa debe de poder valorar sus riesgos en los ámbitos en los que actúa. El Buen Gobierno exige que los valores éticos de la empresa responsable se trasladen a la totalidad de la empresa y se apliquen en todas sus relaciones con terceros, proveedores, clientes, socios y otros stakeholders. Tras la auditoria la elaboración de un mapa de riesgos que defina las áreas con posibles riesgos y las áreas de actuación y medidas correctoras servirá como hoja de ruta.

Control interno:

Además de establecer un programa de compliance es necesario garantizar su aplicación mediante controles internos regulares que permitan detectar el riesgo lo antes posible. Los mecanismos de control interno tienen que estar adaptados a las necesidades de cada empresa, además de acompañar a los departamentos responsables en la implantación de dichos mecanismos. El control interno puede por ejemplo incluir investigaciones internas, sistemas de comunicación de problemas que servirán para solucionar los riesgos antes de que sean detectados por autoridades o terceros.

Prevención y estrategia:

La efectividad requiere establecer medidas correctivas para dar solución a los problemas detectados que incluyen mecanismos de comunicación interna que permitan a los empleados denunciar de forma segura comportamientos ilícitos, sanciones internas, incentivar el respeto del programa de Compliance y mecanismos de cooperación de los empleados en caso de tener que reportar una conducta a las autoridades competentes. La prevención de posibles riesgos permite optimizar costes y recursos. De esta forma la investigación interna y solución de los problemas detectados o potenciales dentro de la propia estructura antes de que sean públicos y afecten a la reputación resultan esenciales para reducir posibles pérdidas. En este sentido, recordemos que disponer de un programa de cumplimiento puede ser valorado por autoridades o clientes de forma positiva a la hora de evaluar a una empresa. 

El diseño de estrategias prácticas de cara a clientes y proveedores para mejorar su reputación y su relación dentro del tejido empresarial resulta imprescindible para garantizar la efectividad del programa de Compliance y mejorar resultados de forma sostenible. En este sentido la valoración de proveedores y otros business partners y si éstos respetan los mínimos necesarios detectando posibles incumplimientos que estén perjudicando a su propio negocio.

Formación continúa:

Un buen programa de Compliance sólo se garantiza con empleados conscientes de los riesgos que implica su actividad. La formación siempre debe de ser adaptada a las necesidades empresariales que permita a todos los empleados entender sus obligaciones y los riesgos del incumplimiento. La formación no sólo será inicial si no que se debe repetir con regularidad para profundizar los conocimientos adquiridos, informar sobre posibles novedades, modificaciones del sector y nuevos riesgos.