Guía del DOJ ECCP: Un mapa para profesionales de cumplimiento sobre acceso a datos y análisis

En junio de 2020, la División Penal del Departamento de Justicia de EE. UU. (DOJ) publicó una guía actualizada sobre la Evaluación de Programas de Cumplimiento Corporativo (ECCP). Esta guía es un mapa crítico para las empresas que buscan evaluar y fortalecer sus programas de cumplimiento. Para los profesionales del cumplimiento, entender la guía ECCP es primordial para aprovechar eficazmente el acceso a datos y el análisis para mitigar riesgos legales y reputacionales. Significativamente, el DOJ actualizó la guía ECCP en septiembre de 2024 con nuevos criterios para el uso de análisis de datos y tecnologías emergentes como la IA.

¿Por qué es importante la guía ECCP?

La guía ECCP no es meramente un conjunto de mejores prácticas; influye directamente en cómo los fiscales federales investigarán y procesarán delitos corporativos. Cuando una empresa descubre una mala conducta, el DOJ considerará la efectividad de su programa de cumplimiento al decidir si presentar cargos, negociar un acuerdo de culpabilidad o imponer sanciones. La guía ECCP subraya la expectativa del DOJ de que las empresas utilicen proactivamente datos y análisis para identificar y abordar riesgos de cumplimiento en tiempo real. Este cambio refleja la creciente sofisticación de las operaciones corporativas y la disponibilidad de conocimientos impulsados por datos. Los programas de cumplimiento que no aprovechan estas herramientas pueden ser considerados inadecuados.

¿Cómo enfatiza la guía ECCP el acceso a datos y el análisis?

La guía ECCP enfatiza repetidamente la importancia del acceso a datos y el análisis en varias áreas clave:

1. Evaluación de Riesgos: Las empresas deben realizar evaluaciones de riesgos regularmente para identificar, analizar y abordar riesgos potenciales. Esto requiere acceso a datos relevantes y la capacidad de analizarlos de manera efectiva. Las evaluaciones de riesgo genéricas de "marcar la casilla" son insuficientes; deben adaptarse a la industria específica de la empresa, su modelo de negocio y su huella geográfica.

2. Monitoreo Continuo: La guía promueve el monitoreo y la auditoría continuos para identificar problemas de cumplimiento. Esto incluye el monitoreo de datos en tiempo real para detectar anomalías y posibles malas conductas. Las empresas deben aprovechar herramientas de análisis de datos para señalar actividades de alto riesgo y desencadenar investigaciones rápidas.

3. Gestión de Terceros: Las empresas deben implementar una diligencia debida rigurosa en terceros y monitorear sus actividades. Esto requiere acceso a datos relevantes sobre perfiles de riesgo de terceros y un análisis continuo de su conducta. Las empresas no pueden ignorar la mala conducta de terceros.

4. Capacitación y Comunicaciones: La capacitación en cumplimiento debe adaptarse a roles y riesgos específicos. Las empresas deben analizar datos sobre el compromiso de los empleados con la capacitación y las comunicaciones para identificar brechas de conocimiento. La guía también enfatiza la importancia de una cultura de cumplimiento, que requiere un análisis continuo del tono en los niveles superior, medio y de línea frontal.

5. Investigaciones y Reparación: Cuando se identifica mala conducta, las empresas deben realizar investigaciones exhaustivas y reparar de inmediato. Esto incluye recopilar y analizar datos relevantes, realizar análisis de causas raíz e implementar acciones correctivas. La guía espera que las empresas aprovechen la tecnología para apoyar las investigaciones y rastrear los esfuerzos de reparación.

Actualizaciones Críticas en la Guía ECCP de 2024

Las actualizaciones de 2024 de ECCP enfatizan el uso de análisis de datos por parte de las empresas y la gestión de riesgos relacionados con tecnologías emergentes como la IA. Los fiscales evaluarán si las empresas han evaluado adecuadamente los riesgos y beneficios de estas tecnologías e implementado controles para mitigar potenciales consecuencias negativas. Esto incluye evaluar la precisión y fiabilidad de los datos utilizados por las herramientas de IA.

¿Cómo pueden los profesionales del cumplimiento implementar la guía ECCP?

Los profesionales del cumplimiento desempeñan un papel crítico en la implementación de la guía ECCP. Aquí hay varios pasos prácticos:

1. Obtener Acceso a Datos Relevantes: Los equipos de cumplimiento a menudo luchan por acceder a datos relevantes que están aislados en toda la organización. Los profesionales del cumplimiento deben trabajar con TI, finanzas y unidades comerciales para obtener acceso a datos sobre terceros, transacciones, comunicaciones y otros áreas relevantes.

2. Aprovechar herramientas de análisis de datos: Los equipos de cumplimiento tienen acceso a una multitud de herramientas de análisis de datos. Estas incluyen herramientas de aprendizaje automático e IA para detectar anomalías, procesamiento de lenguaje natural para analizar comunicaciones y herramientas de visualización de datos para identificar tendencias. Los profesionales del cumplimiento deben explorar estas herramientas y trabajar con científicos de datos para implementarlas de manera eficaz.

3. Realizar evaluaciones de riesgo regulares: Los profesionales del cumplimiento deben realizar evaluaciones de riesgo regulares adaptadas a los riesgos de la empresa. Esto incluye analizar tendencias de la industria, cambios regulatorios y datos internos para identificar y priorizar riesgos. Estas evaluaciones deben informar el diseño del programa de cumplimiento y la asignación de recursos.

4. Implementar monitoreo continuo: Los profesionales del cumplimiento deben trabajar con el negocio para monitorear continuamente áreas de alto riesgo. Esto incluye el monitoreo en tiempo real de transacciones, comunicaciones y actividades de terceros. Herramientas de análisis de datos pueden ayudar a señalar anomalías y desencadenar investigaciones rápidas.

5. Capacitar a la organización: Los profesionales del cumplimiento deben proporcionar capacitación regular adaptada a roles y riesgos específicos. Deben analizar datos sobre el compromiso de los empleados y brechas de conocimiento para informar los programas de capacitación. El tono y la cultura de la organización deben ser evaluados y abordados regularmente.

6. Investigar y reparar la mala conducta: Los profesionales del cumplimiento deben realizar investigaciones exhaustivas y analizar datos relevantes cuando se identifica mala conducta. Luego, deben trabajar con el negocio para reparar problemas de inmediato e implementar acciones correctivas. La tecnología debe ser aprovechada para apoyar las investigaciones y rastrear la reparación.

7. Abordar la IA y tecnologías emergentes: Los profesionales del cumplimiento deben evaluar el uso de IA y otras tecnologías emergentes en toda la empresa. Deben evaluar los riesgos y beneficios de estas tecnologías e implementar controles para mitigar consecuencias potencialmente negativas. Esto incluye evaluar la precisión y fiabilidad de los datos utilizados por las herramientas de IA.

Conclusión

La guía ECCP del DOJ es un mapa para que los profesionales del cumplimiento aprovechen el acceso a datos y el análisis para construir programas de cumplimiento efectivos. Al seguir la guía, las empresas pueden identificar y mitigar proactivamente los riesgos de cumplimiento, reduciendo la probabilidad de daño legal y reputacional. Los profesionales del cumplimiento son críticos en la implementación de la guía y deben mejorar de inmediato su acceso a datos, capacidades de análisis y esfuerzos de monitoreo continuo.

En el mundo impulsado por datos de hoy, los programas de cumplimiento que no aprovechan estas herramientas lo hacen a su propio riesgo. Las actualizaciones de 2024 subrayan la necesidad de que las empresas inviertan en abordar los riesgos de cumplimiento de tecnologías emergentes como la IA. Al hacerlo, las empresas pueden adelantarse a los riesgos y expectativas en evolución.