Menu
  • La Oficina de Control de Activos Extranjeros (OFAC) publicó una guía en mayo de 2019 que describe su visión de programas efectivos de cumplimiento de sanciones. Titulado como «Un Marco para el Cumplimiento con los Compromisos de OFAC», es un documento innovador para la organización, que no había publicado nada tan completo sobre cómo debería estructurarse un programa de cumplimiento de sanciones y qué se debería conseguir.

    Los profesionales de compliancepueden usar este marco para informar el diseño de sus propios programas de cumplimiento de sanciones. Conceptualmente, es bastante similar a otra guía del Departamento de Justicia y las Pautas de Sentencias de Estados Unidos. Un fuerte apoyo ejecutivo, evaluación de riesgos, controles internos, revisión periódica y actualizaciones del programa han sido los pilares de los programas de cumplimiento sólidos durante años, y también son temas importantes en el marco de la OFAC.

    Dicho lo anterior, el marco también enfatiza varios puntos prácticos para el cumplimiento de las sanciones, tales como de qué forma superar los desafíos de administrar un programa descentralizado de cumplimiento de sanciones o cómo usar software de detección de manera inteligente. Las dificultades en esas áreas son dos de las 10 «causas fundamentales de las fallas del programa de cumplimiento de sanciones» que el marco OFAC explora en detalle.

    Además, la publicación misma del marco de la OFAC demuestra dos tendencias que los profesionales de compliance deben tomar en cuenta. Primero, los riesgos relacionados con las sanciones comerciales están aumentando, a medida que los gobiernos de todo el mundo se sienten más cómodos utilizando las sanciones económicas como herramientas de política pública. En segundo lugar, la OFAC y otros reguladores están presionando a la comunidad empresarial para que desarrolle programas de compliance efectivos en lugar de únicamente esperar a tomar medidas contra las empresas con fallas de compliance.

    Todo esto significa que estudiar el marco OFAC bien vale la pena el tiempo de un profesional de compliance.

    Compromiso con un programa fuerte

    El primer problema que la OFAC menciona como una posible causa del incumplimiento con sanciones de compliance es la falta de un programa formal. Si bien las reglamentaciones de la OFAC no requieren que las organizaciones tengan un programa de cumplimiento de sanciones, esta causa subraya el mensaje fundamental del marco: las organizaciones deben dar al riesgo de cumplimiento de sanciones la atención que merece y comprometerse a abordarlo.

    Ante todo, una empresa debe designar un oficial de cumplimiento de sanciones. El marco deja en claro que esta persona también puede tener otras obligaciones de compliance (por ejemplo, un oficial de control de exportaciones o jefe de compliance de delitos financieros), pero la organización debería poder decir, esencialmente, “Esta persona es responsable del cumplimiento de las sanciones de la empresa”.

    Además, esa persona (y sus subordinados) deben ser competentes sobre los detalles de las reglas de sanciones y comprender cómo se aplican esas reglas a las transacciones de la empresa. Por ejemplo, hemos visto a la OFAC encontrar una violación en los casos en que las empresas concluyeron erróneamente que las reglas de sanciones no se aplicaban a ellos porque un cliente era ciudadano estadounidense con una cuenta bancaria en Estados Unidos. En realidad, esas transacciones aún podrían violar la ley estadounidense si el cliente reside en una nación como México, Brasil o Argentina.

    Las reglas de sanciones pueden cambiar rápidamente y aplicarlas a transacciones específicas no es siempre fácil: los equipos de cumplimiento de sanciones necesitan el conocimiento y los recursos para hacer bien su trabajo.

    Las empresas también pueden demostrar un fuerte compromiso con el cumplimiento de sanciones al considerar cuidadosamente la estructura de su programa. El marco de la OFAC advierte sobre los riesgos de un enfoque descentralizado, donde las unidades de negocios locales puedan manejar el cumplimiento de sanciones y las transacciones sospechosas. Eso podría llevar a una aplicación inconsistente de políticas y procedimientos, especialmente si el personal local de compliance no entiende las reglas de sanciones por completo.

    El marco OFAC también cita la importancia de la capacitación (que debe estar basada en el riesgo); medidas disciplinarias (que deben llevarse a cabo según sea necesario para abordar la mala conducta de los empleados); investigaciones y autoinformes (una vez que se hayan descubierto transacciones sospechosas), etc.

    Ninguna de esas ideas debe ser desconocida para una organización que ya se ha ocupado del cumplimiento con medidas anticorrupción, contratos gubernamentales o cuestiones similares de cumplimiento normativo. La conclusión es que el programa de cumplimiento de sanciones de una empresa debe tener un fuerte apoyo ejecutivo, y ese apoyo debe traducirse en personal capacitado y capacitado para el cumplimiento de sanciones que pueda implementar un programa de cumplimiento de sanciones sólido.

     

    Pruebas y control interno

    El marco OFAC también pone un fuerte énfasis en los controles internos para mantener un programa efectivo de cumplimiento de sanciones. Los profesionales de compliance deberán sumergirse en los detalles del desarrollo y mantenimiento de estos controles para garantizar que los programas de cumplimiento de sanciones de sus empresas cumplan con el desafío.

    Comience con políticas y procedimientos. Un programa de cumplimiento de sanciones debe incluir políticas escritas que expliquen las leyes y regulaciones relevantes y lo que el programa pretende lograr. Las políticas deben estar escritas en un lenguaje fácil de entender y ser relevantes para la forma en que los empleados realmente trabajan con los clientes y procesan las transacciones. Los procedimientos deben proporcionar orientación a los empleados sobre cómo cumplir con las reglas de sanciones y las consecuencias por mala conducta.

    Si bien cada compañía necesitará desarrollar sus propios procedimientos, el marco OFAC destaca cuatro acciones específicas que deben cubrirse en todos los casos:

    • Identificar transacciones sospechosas, lo que implica un nivel de due diligence
    • Interceptar esas transacciones antes de que se procesen.
    • Escalar las transacciones sospechosas al personal de cumplimiento apropiado para una revisión adicional.
    • Informar transacciones sospechosas a autoridades externas, según lo determine el liderazgo.

    Al crear un programa de cumplimiento de sanciones, los profesionales de compliance deben considerar qué datos en la empresa podrían ser necesarios para ejecutar estos objetivos y qué procesos comerciales se pueden aprovechar para interceptar e impedir transacciones sospechosas antes de que se lleven a cabo los acuerdos.

    Los profesionales de compliance también deberán centrarse en los procedimientos de mantenimiento de registros e informes, ya que son fundamentales para que la propia OFAC cumpla su propia misión. Un solo individuo puede trabajar con varias compañías para evadir las reglas de sanciones, y OFAC se basa en informes de actividades sospechosas de todas esas empresas para construir una imagen completa de la actividad potencialmente ilegal.

    Por último, el marco OFAC espera que las empresas revisen y mejoren sus programas de cumplimiento de sanciones a través de auditorías, pruebas y remediación de cualquier debilidad encontrada. Esas pruebas pueden realizarse internamente o por medio de una parte externa, pero nuevamente, la OFAC espera que esas auditorías se realicen con la competencia y los recursos necesarios para hacerlas bien.

    Una vez que se completan esas auditorías, la empresa debe tomar «medidas inmediatas y efectivas» para remediar las lagunas encontradas. Como medida provisional, los profesionales de cumplimiento deben introducir controles compensatorios, donde deberán responder estas preguntas: ¿Cómo podemos llenar este vacío en este momento? ¿Qué procedimientos o funciones comerciales necesitamos ajustar para hacer eso? Luego, la función de cumplimiento debe realizar un análisis de causa raíz para ver qué cambios más profundos podrían ser necesarios para abordar la brecha de forma permanente.

    Mejor uso de la tecnología

    El marco de la OFAC destaca el uso que hacen las empresas del software de filtrado. Específicamente, advierte a las empresas que, independientemente del software que utilicen, debe realizar tres funciones: (1) mantenerse actualizado con la lista de Nacionales Especialmente Designados (SDN) de la agencia, (2) pantalla de señales de alerta relevantes como códigos SWIFT para instituciones financieras bloqueadas, y (3) explicar la ortografía alternativa de empresas o personas vetadas.

    En 2018, por ejemplo, la OFAC impuso una multa de $87,500 USD a una empresa que usaba software de detección, pero había calibrado mal la configuración de éste. Como resultado, el distribuidor no se dio cuenta de que uno de sus clientes era la filial de un negocio ruso prohibido. El software de detección solo buscó los nombres completos de las empresas y no incluyó los parciales.

    Los profesionales de compliance deberán considerar cómo usan el software de detección y cómo trabajan con proveedores externos para evitar tales errores. Algunas de esas consideraciones serán técnicas, como garantizar que la configuración del software de detección arroje una amplia red para posibles coincidencias en la lista SDN o empresas financieras bloqueadas. Los profesionales de compliance también deberán considerar cómo combinan datos externos (por ejemplo, de un proveedor de detección) y datos internos (como el historial de transacciones de un cliente) en una comprensión completa de las transacciones sospechosas.

    Nuevamente, los profesionales de compliance deben preguntarse: ¿Qué capacidades necesita tener un programa de cumplimiento de sanciones? Claramente, el programa de cumplimiento de sanciones necesitará análisis sofisticados, estrechamente vinculados a un repositorio de registros de transacciones de clientes anteriores. También implica la necesidad de un equipo de cumplimiento de sanciones fuerte y centralizado que pueda navegar por problemas tan complejos.

    En esencia, establecer programas de cumplimiento de sanciones no se trata solo de cumplir con un conjunto de resoluciones. Se trata de detectar riesgos, evitar pérdidas y, por lo tanto, mejorar el rendimiento de su negocio.