Recientemente, OFAC (Office of Foreign Assets Control) ha publicado una interesante Guía sobre los elementos a considerar para tener un efectivo programa de cumplimiento enfocado a Sanciones Internacionales (Sanctions Compliance Program) – “SCP” en adelante. En esencia, los puntos fundamentales se basan en los elementos generales que todo programa de cumplimiento debe considerar: compromiso de la alta dirección, análisis de riesgos, existencia de controles internos, auditoria del propio modelo y formación.
Dicho SCP, a pesar de no ser un requisito regulatorio, es un magnifico indicador sobre los factores que OFAC tendrá en consideración para evaluar la efectividad del modelo interno de la empresa en caso de una actuación inspectora o de una posible sanción. Dentro de este contexto, es especialmente relevante tener en cuenta que esto ya no es un caso aislado o que quede lejano a cualquier regulación o ámbito geográfico, es realmente abrumadora la expansión que han sufrido en los últimos tiempos las Sanciones Internacionales no solamente en las listas de OFAC, sino en las listas europeas (UN/ EU).
Por ello, y por los vínculos asociados dentro de nuestro ámbito geográfico y posibles implicaciones entre países, transacciones y personas (físicas y jurídicas) que describiremos más adelante, es importante que tanto empresas estadounidenses como las que no lo sean revisen su modelo interno de negocio y evalúen la existencia de los factores que exponemos a continuación:
- Análisis de Riesgos:
Un análisis de riesgos adecuado debe llevarse a cabo en varios momentos de involucración con el cliente: Durante el proceso de onboarding y siguiendo ciclos periódicos en el tiempo de mantenimiento de la relación. Por ello, es efectivo no solo determinar los factores de riesgo para clientes nuevos, sino monitorizar a lo largo del tiempo, dependiendo de la asignación del nivel de riesgo, la relación con el cliente.
Mención especial merecen los supuestos de M&A (merger and acquisitions – fusiones y adquisiciones), en los cuales la función de compliance en su conjunto, y la valoración del Riesgo en términos de Sanciones Internacionales debe integrase en el proceso y formar parte del mismo antes del cierre de la operación, siendo vital el correcto entendimiento e interpretación de las normas de OFAC, así como otras posibles Sanciones descritas por la Unión Europea. Dicha valoración, debe producirse durante el proceso de M&A, así como a posteriori, formando parte de un proceso adecuado de monitorización de la relación.
Los escenarios regulatorios derivados de Sanciones Internacionales son especialmente complejos y arduos de interpretar, y están expuestos a constante cambio, por ello, es importante la labor de valoración por una persona experta, ya sea alguien que integre la empresa desde dentro o una persona externa.
Dicho ejercicio es uno de los más importantes, ya que permite identificar potenciales áreas en las que haya riesgo de tener involucración o acuerdos con personas, países, empresas o regiones prohibidas por OFAC.
- Compromiso de la alta dirección.
Un paso más allá del obvio compromiso escrito que encabeza, siguiendo los estándares internacionales (sobre todo a raíz de la ISO 19.600) cualquier programa de cumplimiento normativo, la implicación de la alta dirección no se limita a esa breve política sobre el papel. Escalar situaciones de riesgo a la alta dirección es un punto clave, así como mantener reuniones periódicas en las que se pueda debatir los avances en el programa y los conflictos o brechas más significativos. Asegurar la suficiencia de recursos y personal con la suficiente autonomía y autoridad es otro de los puntos claves del programa, que no dependen tanto del estándar del sector, o de las dimensiones de la empresa, sino del volumen y contexto de las transacciones.
- Controles internos:
Al igual que sucede con el resto de áreas relativas al cumplimiento regulatorio, es importante definir los controles internos de la empresa, no solo de cara al regulador, que siempre examina la operatividad y efectividad de los controles, sino por la propia necesidad empresarial que ya existe de mostrar al exterior y al interior de nuestra propia compañía que cumplimos con las exigencias regulatorias. Dicha expectativa va mucho más allá de una expectativa regulatoria, y se ha convertido en un medidor de competencia en el mercado.
Es algo que parece obvio, pero los controles deben ser relevantes para nuestro ámbito de negocio. Es decir, de nada sirve una política de Sanciones que incluya transacciones con Irán, si nuestra empresa está muy alejada de dicho ámbito geográfico. Asimismo, de nada sirve una magnifica política de Sanciones si no hemos sido capaces de identificar las necesidades primordiales de la compañía, por ejemplo, la implementación de un proceso adecuado en casos de exportaciones con terceros países si somos una compañía de servicios internacional. La casuística es infinita, y por ello el expertise en cuanto a la identificación de nuestras propias necesidades adquiere una relevancia crucial.
- Agilidad a la hora de prever e incluir cambios en los programas de cumplimiento existentes.
Dada la naturaleza dinámica de las Sanciones, un efectivo programa debería ser capaz de ajustarse rápidamente a los cambios publicados por OFAC, tanto en las listas de Sanciones como en nuevas regulaciones, órdenes ejecutivas, guías, o cambio en la política de licencias otorgadas a determinados países/ actividades.
- Mismas expectativas para todo tipo de empresas, no solo instituciones financieras, según ha resaltado el propio Departamento de Justicia (DOJ) en U.S.
- Relevancia critica de las operaciones de fusión y adquisición (M&A). Los procesos de due-diligence durante las operaciones de fusión y adquisición son preceptivos. Dentro de los mismos, identificar los riesgos relativos a Sanciones, escalar los riesgos de forma apropiada, y solventarlos antes de cerrar la transacción, así como efectuar un seguimiento adecuado, es clave.
- Responsabilidad individual, dependiendo del papel y responsabilidad de la persona involucrada en la violación de una sanción internacional.
Una parte fundamental de la nueva Guía de OFAC es la identificación que realiza sobre las principales deficiencias o debilidades asociadas con diferentes organizaciones que se han visto afectadas por una inspección o una acción sancionadora. Entre ellas se encuentra:
1. No tener una política formal (SCP), altamente recomendable para aquellas empresas que operan internacionalmente.
2. Interpretación inadecuada o entendimiento incorrecto a la hora de interpretar la aplicabilidad de la regulación OFAC. Muchas organizaciones fallan al interpretar que únicamente las personas relacionadas con US necesitan una política en materia de Sanciones.
3. Facilitación de transacciones por parte de personas no estadounidenses, específicamente a través de subsidiarias o empresas afiliadas. Las empresas con operaciones integradas, entre varios países, especialmente aquellas que requieren participación de sus empresas partners basadas en US, deben asegurar que sus actividades cumplen con la regulación de OFAC.
4. Exportación o re-exportación de bienes, tecnología o servicios de origen estadounidense a personas o países sancionados.
5. Utilización de bancos o sistemas financieros derivados de Estados Unidos para realizar transacciones o pagos, a través de instituciones financieras de Estados Unidos, para realizar transacciones comerciales con personas o países sancionados.
6. Fallos en el sistema de alertas o software.
7. Procesos de due diligence incompletos (incluyendo post-acquisitions en operaciones de M&A).
8. Funciones de compliance excesivamente descentralizadas e inconsistente aplicación del SCP.
9. Utilización de sistemas de pago y prácticas comerciales inusuales.
10. Personas físicas facilitando intencionadamente transacciones prohibidas.
Próximos pasos:
Tanto empresas estadounidenses como aquellas que no lo son, deben revisar su programa de cumplimiento para analizar posibles riesgos en materia de Sanciones. Aquellas empresas que no tengan una política de Sanciones deben considerar este aviso por parte OFAC que expresamente espera su implementación. Las empresas que tengan un programa de Sanciones, deben expresamente valorar su efectividad, aplicación practica y entendimiento correcto de las Sanciones existentes dependiendo de sus propias transacciones, para lo cual es crucial un determinado expertise.
También es necesario tener en cuenta el ámbito olvidado, pero muy presente en los informes de distintos organismos reguladores a nivel internacional, en relación con los Planes de Remediación. La evaluación de una empresa, en todos los ámbitos, compliance también, ha de ser una evaluación constante, en la cual se identifiquen que controles funcionan y cuales, simplemente no existen o no son operativos, alcanzando conclusiones, recomendaciones de cara a futuro y estableciendo un calendario realista de implementación en el cual sepamos priorizar tenido en cuenta dos factores clave: La Regulación, pero también el negocio.
Es mucho más plausible que tengamos una posible inspección de cara a OFAC si somos una empresa que opera en EEUU y realiza transacciones a nivel mundial, y por tanto será mucho más relevante contar con una política adecuada de Sanciones, a pesar de que no esté en un artículo especifico de la regulación.
Prácticamente siempre, las expectativas del Regulador deben guiar nuestro modelo control, más aún que la legislación en vigor.
Te ayudamos en este arduo camino para entender mejor tus obligaciones y poder solventar de forma eficaz y eficiente estos riesgos en tu negocio. www.lecomser.com. contact@lecomser.com.