What Every Multinational Company Should Know About...Implementing an International Compliance Program (Part II)

En nuestra actualización anterior (publicada el 29 de noviembre), proporcionamos los cinco primeros pasos de nuestro programa de doce pasos para el cumplimiento internacional. Estos pasos pretenden ayudar a las empresas a identificar el riesgo normativo internacional inherente a sus operaciones internacionales. Trabajando cuidadosamente a través de estos doce pasos, la mayoría de las organizaciones multinacionales deberían ser capaces de implementar los tipos de cumplimiento que los reguladores estadounidenses considerarían las mejores prácticas de cumplimiento, incluso en el área recientemente enfatizada de la debida diligencia y cumplimiento de la cadena de suministro.

Paso 6: Crear una política de cumplimiento por escrito

Es lamentable que el Paso 6 - la redacción del manual de cumplimiento - sea a menudo el Paso 1 para muchas empresas. Sin embargo, tal y como mostramos en nuestra actualización anterior, hay mucho trabajo preliminar que cubrir antes de que una organización comience a redactar el manual de cumplimiento.

Aunque el contenido del programa de cumplimiento debe adaptarse a la organización, el programa escrito para la mayoría de las empresas incluirá:

Una declaración de política escrita. Una declaración de política, como un "Código de Ética y Conducta Empresarial", establece sucintamente el compromiso de la empresa de cumplir la ley. La organización debe redactar la declaración de política en un lenguaje claro y directo. La declaración debe imponer claramente a cada empleado la responsabilidad de acatar las políticas de cumplimiento de la empresa.

Un programa de cumplimiento por escrito. Uno de los elementos más importantes de un buen programa de cumplimiento es un manual escrito y unas políticas bien elaboradas. El manual escrito y las políticas deben resumir con precisión la normativa, utilizando un lenguaje sencillo que los empleados sin formación jurídica puedan entender y seguir fácilmente.

Materiales complementarios. Dependiendo de la visión del área en función del riesgo, puede ser apropiado distribuir materiales complementarios de cumplimiento a las personas con alto riesgo de posibles infracciones o que necesiten formación especializada para supervisar o cumplir el régimen jurídico pertinente. Todas las principales áreas de cumplimiento internacional (anticorrupción, control de exportaciones, sanciones económicas, antimonopolio internacional, lucha contra el blanqueo de capitales y antiboicot) pueden justificar este tratamiento, dependiendo de la naturaleza del negocio de la empresa y de su perfil de riesgo. Los elementos que deben incluirse son listas detalladas de señales de alarma pertinentes para la empresa, listas de modelos de lenguaje contractual para utilizar al contratar a terceros intermediarios, resúmenes detallados de los requisitos legales pertinentes, preguntas frecuentes, descripciones de errores de cumplimiento que se hayan producido en la organización (incluida la forma en que se gestionaron) y recursos para gestionar los problemas de cumplimiento. Estos recursos complementarios de cumplimiento pueden distribuirse según convenga y no es necesario que se distribuyan a toda la organización.

Controles internos. Cualquier control interno que se implemente para ayudar a alcanzar los objetivos de cumplimiento también debe quedar registrado. Este tema se trata en el paso 7.

Las políticas de cumplimiento deben redactarse en un lenguaje sencillo, facilitarse en la lengua materna de los responsables de su aplicación y cumplimiento, y adaptarse al perfil de riesgo de la empresa. Una empresa no debe esperar que sus empleados entiendan todos los matices de la ley, como un profesor de derecho, y las políticas de cumplimiento no deben aspirar a este nivel de detalle. Más bien, los materiales deben destilar la información relevante y servir como herramienta para armar a la gente con conocimientos suficientes para reconocer un problema potencial y entender cómo y cuándo notificarlo al personal de cumplimiento adecuado. En algunas circunstancias, puede ser conveniente publicar orientaciones básicas de forma general y proporcionar orientaciones complementarias a las personas que probablemente necesiten información más detallada sobre el cumplimiento, en función de sus necesidades.

Paso 7: Establecer controles internos

Los controles internos son uno de los tres pilares del cumplimiento (junto con las políticas escritas y la formación). Los controles internos son uno de los principales mecanismos de aplicación de las políticas de cumplimiento y, por tanto, merecen tanta atención como las propias políticas de cumplimiento escritas.

La finalidad de los controles internos (a veces denominados "procedimientos operativos estándar") es proporcionar procedimientos que apliquen el programa de cumplimiento, crear métodos coherentes y repetibles de aplicación de los dictados de cumplimiento y construir un ciclo autorreforzado de mejora del cumplimiento. Las políticas de cumplimiento establecen las normas, mientras que los controles internos las aplican y refuerzan.

A la hora de diseñar controles internos, a menudo es posible aprovechar los procesos existentes. A modo de ejemplo, para añadir controles en el ámbito anticorrupción, las empresas multinacionales pueden tomar controles internos existentes, como los que rigen los desembolsos y reembolsos y el mantenimiento de registros precisos, e integrarlos con procedimientos destinados a rastrear posibles pagos a funcionarios extranjeros y personal que trabaja en empresas estatales. Del mismo modo, algunas empresas utilizan procedimientos de admisión de clientes y comprobación de créditos como mecanismos para cotejar a los nuevos clientes con las listas de personas bloqueadas (como las publicadas por la OFAC, la UE y la ONU). El injerto en los procedimientos existentes en la empresa minimiza el tiempo necesario para implantar un conjunto de controles internos que funcionen y el esfuerzo necesario para supervisar su funcionamiento. Además, las modificaciones de los procedimientos existentes se adoptan más fácilmente que la adición de procesos completamente nuevos en una gran organización.

Algunos controles internos específicos que las empresas multinacionales deberían tener en cuenta se refieren a las siguientes áreas internacionales de alto riesgo:

FCPA. Utilizar las políticas de desembolso y reembolso existentes para garantizar la notificación al personal de cumplimiento de los pagos potencialmente problemáticos; crear mecanismos de activación especiales para agasajar a funcionarios extranjeros (incluidas las personas que trabajan para entidades de propiedad estatal); e implementar controles relativos a regalos, comidas, entretenimiento y gastos de viaje que superen los límites predefinidos.

Controles y sanciones a la exportación. Creación de controles internos para garantizar el escaneado rutinario de Nacionales Especialmente Designados (Specially-Designated Nationals, SDN) y Personas Denegadas (Denied Persons) para todos los clientes nuevos, así como de toda la lista de clientes y partes de transacciones sobre una base predeterminada; establecimiento de controles internos relativos a la colocación de avisos adecuados de control de las exportaciones en la documentación electrónica saliente y en los documentos de envío; desarrollo de controles para garantizar la notificación precisa de información para el Sistema Automatizado de Exportación y la comunicación de dicha información a cualquier agente de aduanas o transitario que participe en el negocio; implantación de controles para marcar automáticamente las transacciones que impliquen artículos controlados o artículos de defensa; y obligatoriedad de controles diseñados para restringir el acceso de personas no estadounidenses a datos técnicos controlados dondequiera que se encuentren en la empresa.UU. a datos técnicos controlados, dondequiera que se encuentren en la empresa.

Antiboicot. Diseñar controles para garantizar que el personal de primera línea pertinente, ya sea que participe en las funciones de contratación, adquisición, contabilidad o crédito, o en otras funciones que puedan encontrarse con actividades relacionadas con el boicot, supervise e informe sobre las solicitudes relacionadas con el boicot; y aplicar controles diseñados para garantizar que todos los contratos tengan un lenguaje sustitutivo que establezca la política de la empresa de rechazar cualquier solicitud de participar en el boicot de la Liga Árabe a Israel.

Aduanas. Diseñar controles destinados a garantizar la clasificación exacta de las mercancías, la realización de comprobaciones de exactitud posteriores a la entrada y auditorías aduaneras; diseñar controles relativos a la forma de interactuar con los agentes de aduanas y facilitar la información necesaria para despachar a tiempo las importaciones en las aduanas.

Cadena de suministro. Implantación de procedimientos para mantener una cartografía actualizada de la cadena de suministro y la realización de la diligencia debida basada en el riesgo.

Paso 8: Formación, formación, formación

Los comentarios a las Directrices para la imposición de penas de la Comisión de Sentencias de los EE.UU. establecen que la "organización tomará medidas razonables para comunicar periódicamente y de manera práctica sus normas y procedimientos, y otros aspectos del programa de cumplimiento y ética, a las personas [pertinentes]... llevando a cabo programas de formación eficaces y difundiendo de otro modo información adecuada a las respectivas funciones y responsabilidades de dichas personas"[1].

La tarea básica de la formación es garantizar, junto con un programa de cumplimiento bien redactado y controles internos adecuados, que los empleados y agentes tengan conocimientos suficientes para reconocer las señales de alarma y otras situaciones problemáticas y comprendan lo que deben hacer para cumplir la normativa. El objetivo no es crear expertos jurídicos en toda la empresa, sino más bien sensibilizar a las personas sobre los requisitos legales, para que sepan cuándo solicitar asesoramiento al personal jurídico o de cumplimiento adecuado.

La formación debe impartirse a todos los empleados nuevos y anualmente a los empleados veteranos que corresponda, al menos para las normativas de alto riesgo. Dado que la plantilla de ninguna empresa es estática, el programa debe incluir medidas automáticas para garantizar que los materiales de cumplimiento se distribuyen al personal en el momento de la contratación o cuando el personal es transferido o ascendido a puestos que requieren formación. Lo mismo ocurre cuando la empresa realiza adquisiciones, establece nuevas relaciones con agentes o crea empresas conjuntas.

Las empresas multinacionales también deben considerar cómo pueden utilizar la tecnología para mejorar sus programas de cumplimiento, incluido el uso de intranets y el establecimiento de un "rincón de cumplimiento" en los sitios internos de la empresa. Los mejores usos de las intranets para el cumplimiento incluyen: publicar formación básica en línea; publicar el programa de cumplimiento y los controles internos de la empresa; proporcionar resúmenes en lenguaje sencillo de las leyes aplicables; proporcionar ejemplos del mundo real y preguntas frecuentes; consolidar y presentar disposiciones contractuales modelo; difundir rápidamente actualizaciones del programa de cumplimiento y de los controles internos; establecer enlaces que permitan informar de forma rápida y sencilla sobre posibles problemas; e informar a los empleados sobre cómo ha resuelto la empresa los problemas complicados que ha encontrado en el pasado. La empresa puede utilizar su intranet como mecanismo para identificar problemas rápidamente, informar de posibles problemas y coordinar las iniciativas de cumplimiento de la empresa. El uso de estas herramientas puede convertir el cumplimiento en un proceso continuo y dar a los nuevos empleados un acceso significativo a los procedimientos de la empresa desde el principio de su empleo.

Paso 9: Integrar a los externos

Los agentes externos -terceros que actúan (o podría interpretarse que actúan) para la organización- son a menudo una fuente clave de riesgo. Controlar el riesgo de un paso en falso en materia de reglamentación exige prestar mucha atención al riesgo incremental añadido por terceros, incluidos socios comerciales, empresas conjuntas, agentes, subagentes, consultores y otros terceros. Dadas las expectativas del gobierno de EE.UU. en materia de diligencia debida y cumplimiento por parte de los proveedores, la atención debe centrarse también en la cadena de suministro internacional.

En función del perfil de riesgo de la empresa, puede tener sentido integrar a las personas ajenas a la empresa en el plan de gestión de riesgos. Este tipo de integración requiere varias soluciones de sentido común, como incorporar explícitamente a las personas ajenas a la empresa en el programa de cumplimiento cuando sea posible, proporcionar a las personas ajenas a la empresa material de formación, impartirles formación y ejercer los derechos de auditoría en función del riesgo.

Estos procedimientos son especialmente importantes con respecto a las sanciones económicas y los controles de las exportaciones. El poder de los reguladores es amplio. Por lo general, la jurisdicción estadounidense sigue a los bienes, servicios o tecnologías, incluso a través de terceros, cuando la persona estadounidense "sabía o debería haber sabido" que era posible el desvío. Demostrar la ausencia de conocimiento es un ejercicio difícil. La importancia de "conocer al cliente" no se extingue por el mero hecho de que un tercero intervenga en la cadena comercial. Si el gobierno de EE.UU. considera que el tercero intervino en una transacción con el fin de ocultar aspectos del negocio, el perfil de riesgo de una transacción en la que interviene un tercero afiliado puede ser incluso mayor que el de una transacción directa.

Paso 10: Auditoría y revisiones

Mantener un programa de cumplimiento sólido significa que los procesos se comprueban y actualizan periódicamente. Las empresas multinacionales deben utilizar principios de auditoría basados en el riesgo para determinar las áreas que deben supervisarse mediante auditorías y controles de cumplimiento.

Además, múltiples agencias gubernamentales estadounidenses recomiendan auditorías de la cadena de suministro. Muchas organizaciones descuidan este punto de riesgo en favor de las comprobaciones de las propias filiales y empresas conjuntas de la empresa. Ahora que el gobierno de EE.UU. se centra en el cumplimiento de la cadena de suministro, recomendando expresamente auditorías de la cadena de suministro y emitiendo sanciones por fallos en la cadena de suministro, las empresas prudentes que operan o se abastecen en el extranjero consideran la realización de dichas auditorías en función del riesgo. Las auditorías son especialmente valiosas cuando los componentes clave proceden de zonas del mundo en las que se sabe que existen problemas de regulación.

Una tendencia reciente para lograr el objetivo de la mejora constante del cumplimiento es que las empresas comparen sus políticas de cumplimiento con las de otras empresas de su sector. La evaluación comparativa ayuda a garantizar que las empresas se mantienen al día de la evolución de las normas de cumplimiento y de las mejores prácticas del sector. Las empresas también deben comprobar la aplicación del programa asegurándose de que el personal conoce las políticas y cumple los requisitos. Debe prestarse especial atención a cualquier cambio en la organización que se haya producido desde la implantación de la política, incluidas las modificaciones de las leyes o los cambios en la empresa y su ámbito de operaciones. Algunos ejemplos son la creación de nuevas filiales o la contratación de nuevos agentes, distribuidores, proveedores, etc. Las empresas deben revisar cuidadosamente cualquier evaluación de riesgos realizada con anterioridad para determinar si las medidas de cumplimiento en vigor están, de hecho, abordando los riesgos previamente identificados.

Paso 11: Supervisar las alertas rojas

La identificación de las señales de alarma y el seguimiento adecuado son las piedras angulares del buen funcionamiento del cumplimiento. Por lo tanto, una de las tareas más importantes a la hora de implementar el cumplimiento internacional es formar a las partes interesadas pertinentes sobre las transacciones y conductas que son sospechosas dado el panorama normativo.

El tipo de banderas rojas que hay que identificar depende de la actividad de la empresa y de su perfil de riesgo. Estas consideraciones incluyen, por ejemplo, si utiliza tecnología controlada o vende/exporta bienes controlados, si interactúa con reguladores internacionales, la industria, los métodos de operación y otros factores únicos. Una organización debe adaptar las banderas rojas conocidas a vigilar a su perfil de riesgo específico y, a continuación, distribuir una lista al personal de la empresa. (Nota: En un próximo post se abordarán las banderas rojas más comunes).

En los últimos años, las empresas que desean recoger banderas rojas han establecido líneas directas de denuncia de irregularidades y otros mecanismos sencillos de información. El objetivo de estas herramientas es potenciar uno de los mayores recursos de cumplimiento de la empresa -la inteligencia colectiva de su propia fuerza de trabajo- para ayudar a la empresa a identificar y abordar circunstancias sospechosas en una fase temprana y antes de que se conviertan en grandes problemas. Una línea directa, bien conocida en Estados Unidos y en el extranjero, es un valioso recurso de cumplimiento. Pero tenga en cuenta que las empresas que operan en la Unión Europea tendrán que tener cuidado a la hora de establecer una línea directa y, en particular, de cómo se recopila la información de la línea directa, para cumplir con las normas locales sobre privacidad de datos y mano de obra.

Una vez recibida una alegación creíble, el personal de cumplimiento debe (1) informar de la preocupación a los miembros apropiados de la dirección; (2) evaluar el fundamento de la alegación y desarrollar un plan para investigarla o resolverla; (3) recopilar toda la información necesaria para evaluar la alegación en su totalidad; (4) registrar las medidas de investigación adoptadas; y (5) comunicar la información a los niveles superiores de la cadena de cumplimiento. La empresa deberá conservar las pruebas pertinentes relacionadas con la amenaza. El personal de cumplimiento debe registrar los resultados de cada investigación, para permitir a la empresa hacer un seguimiento de las preocupaciones notificadas y ver si muestran un patrón. También se les debe animar a que recomienden mejoras en los procesos de cumplimiento a partir de las lecciones aprendidas de los problemas de cumplimiento que vayan surgiendo.

Paso 12: Comunicación con la Junta Directiva y la Alta Dirección

La implicación del consejo de administración y de la alta dirección en el cumplimiento debe ser regular e institucionalizada. Las áreas clave para la participación de alto nivel incluyen la supervisión exhaustiva de las iniciativas de cumplimiento, los informes trimestrales de las actividades de cumplimiento y las comunicaciones especiales para asuntos potencialmente graves.

Los miembros del consejo de administración y la alta dirección deben recibir informes periódicos en los que se detalle el número y el tipo de informes sobre posibles infracciones graves de las normas de cumplimiento, las interpretaciones del significado de estos datos y las recomendaciones sobre cómo la empresa debe actualizar los procedimientos de cumplimiento para abordar las áreas de preocupación, así como los posibles cambios en el perfil de riesgo de la organización. El informe debe incluir los resultados de cualquier investigación de posibles infracciones graves y los resultados de cualquier auditoría de cumplimiento. El informe también podría comparar los esfuerzos de cumplimiento con los de los competidores y otros participantes de la industria.

Una última consideración es la comunicación con los accionistas, especialmente si se trata de una empresa que cotiza en bolsa. El consejo de administración, o el comité de auditoría o de cumplimiento, debe determinar cuándo una posible situación de cumplimiento exige su divulgación como hecho relevante. Esto puede implicar cualquier situación en la que los costes potenciales de la investigación sean elevados (y, por lo tanto, importantes para informar), en la que la conducta podría poner en peligro derechos importantes debido a la conducta (como el derecho a exportar), en la que el problema parece ser sistémico, en la que está implicada la alta dirección o en la que existe la posibilidad de una sanción grave. Otra consideración es si la conducta podría requerir la divulgación por otra razón, como la necesidad de divulgar las transacciones que implican al gobierno de Irán en virtud de los requisitos de divulgación de la SEC relacionados con dicha conducta.

* * *

Como se ha demostrado, el cumplimiento normativo en las empresas multinacionales es especialmente complicado y abarca múltiples regímenes jurídicos de alto riesgo. No obstante, un enfoque reflexivo y sistemático del cumplimiento, que comience con una evaluación completa de los riesgos, puede servir de guía para la creación y aplicación de un programa de cumplimiento eficaz que reduzca al mínimo las posibilidades de cometer errores costosos que puedan dar lugar a sanciones onerosas y daños a la reputación. Además, en el caso de una acción coercitiva, una empresa que pueda demostrar que la infracción se produjo a pesar de un plan bien pensado y aplicado probablemente saldrá mejor parada que una que fue negligente en todos los aspectos. En otras palabras, un regulador podría estar más inclinado a conceder un crédito atenuante si la empresa puede demostrar que la infracción fue realmente excepcional porque la empresa ha tenido mucho cuidado en el diseño y la aplicación de su programa de cumplimiento.

Si desea recibir actualizaciones quincenales similares sobre "Lo que toda multinacional debe saber" para operar en el complicado mundo actual del comercio internacional, así como nuestras actualizaciones quincenales sobre los últimos acontecimientos, suscríbase a nuestra lista quincenal de correo electrónico. Haga clic en Here para registrarse.

[1] U.S. Sentencing Guidelines Manual § 8B2.1(b)(4). Los individuos de la subdivisión B son "los miembros de la autoridad rectora, el personal de alto nivel, el personal de la autoridad sustancial, los empleados de la organización y, en su caso, los agentes de la organización". U.S. Sentencing Guidelines Manual § 8B2(1)(b)(4)(B).

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

Un hombre con pelo castaño corto y gafas, vestido con traje oscuro, camisa blanca y corbata estampada, posa con confianza en un despacho típico de abogados especializados en propiedad intelectual.

[email protected]

Washington, D.C. 202.945.6149

Un hombre con traje oscuro de raya diplomática, camisa blanca y corbata roja estampada se sitúa frente a un fondo de despacho difuminado, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Milwaukee 414.297.5584

Información relacionada

Ver todas las entradas

18 de diciembre de 2025 Asesor de la industria manufacturera

Actualización de Foley Automotive

Análisis de Julie Dautermann, analista de inteligencia competitiva Foley está aquí para ayudarle en todos los aspectos relacionados con la replanteamiento de su estrategia a largo plazo...

17 de diciembre de 2025 Asesor de la industria manufacturera

Inteligencia artificial para vehículos conectados: ¿una mina de oro o un campo minado de cumplimiento normativo?

Durante más de un siglo, el valor en el sector automovilístico se definió por la excelencia en ingeniería y fabricación. Hoy en día, los datos generados por los vehículos son un activo estratégico por derecho propio. Los vehículos conectados funcionan como plataformas de sensores rodantes, capturando la ubicación, el comportamiento de conducción, el estado de los componentes, el rendimiento de la batería, el uso del sistema de infoentretenimiento y las condiciones de la cabina.

16 de diciembre de 2025 Asesor de la industria manufacturera

5 estrategias para el éxito en una cadena de suministro externalizada

La planificación y gestión proactivas de los riesgos legales, operativos y financieros que presenta una cadena de suministro externalizada ayudarán a los responsables de la cadena de suministro a actuar de forma estratégica para maximizar el valor y evitar los errores habituales.

Lo que toda empresa multinacional debe saber sobre... la implantación de un programa de cumplimiento internacional (Parte II)

Una publicación de la serie de Foley International Trade, Enforcement & Compliance.