Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
Expectativas emergentes de las últimas medidas de ejecución en materia de comunicaciones fuera de canal
Desde diciembre de 2021, la U.S. Securities and Exchange Commission (SEC) y la Commodity Futures Trading Commission (CFTC) han recaudado casi 3.000 millones de dólares en sanciones[1] por el incumplimiento de 39 agentes de bolsa, operadores de permutas financieras y asesores de inversión de mantener y preservar las comunicaciones electrónicas, con la última ronda de acciones de aplicación en febrero de 2024[2].
Estas acciones son advertencias continuas de que el mantenimiento eficaz de registros refleja la cultura correcta de cumplimiento de las leyes, reglamentos y códigos éticos por parte de una empresa. Especialmente en el caso de los registros que capturan mensajes "fuera de canal" a través de dispositivos y medios personales u otros no aprobados entre empleados, o aquellos con sus clientes, proveedores, agentes o vendedores.
Recordatorio nº 1 - Los registros adecuados son importantes
Durante mucho tiempo, la gestión de documentos ha sido un requisito normativo "huérfano" que históricamente se ha considerado poco prioritario. En consecuencia, los empleados consideraban a regañadientes que la gestión de documentos era "responsabilidad de todos" y, por tanto, de nadie. Esta falta de responsabilidad por parte de "Todos, Cualquiera, Alguien y Nadie" es, por desgracia, universalmente común, en toda la sociedad (el "efecto espectador") y en todas las industrias, hasta el punto de que ha sido inmortalizada en la literatura de liderazgo empresarial[3].
Por el contrario, la SEC, la CFTC, el Departamento de Justicia de EE.UU. (DoJ), la OFAC y otros organismos consideran que el mantenimiento de registros es absolutamente crucial. Dependen en gran medida de las comunicaciones empresariales para investigar y hacer cumplir las leyes federales y estatales sobre valores, banca y materias primas, así como las leyes sobre fraude, soborno y corrupción, evasión de sanciones y seguridad nacional. Son un "tesoro" de descubrimientos para perseguir conductas infractoras.
Las continuas y cada vez más numerosas medidas coercitivas de la SEC y la CFTC son un recordatorio contundente de que las empresas deben dar prioridad a la gestión de sus registros. Esto incluye la aplicación de la propiedad clara y la rendición de cuentas sobre la ingesta, el archivo y la destrucción adecuada de todos los registros, incluidas las comunicaciones relacionadas con la empresa.
La gestión de registros refleja un tipo de higiene corporativa, ya que unos buenos registros deberían traducirse en respuestas completas y puntuales a las consultas de los organismos reguladores y los litigios.
Consejo nº 1 -
Los registros, incluidas las comunicaciones electrónicas, reflejan un flujo de datos de principio a fin, desde la recepción hasta el uso y el almacenamiento seguro. Por tanto, es esencial una estricta gobernanza de los datos para garantizar que todas las comunicaciones, incluidas las "fuera de canal", sean completas y seguras.
- Dado este flujo de datos, identifique y asigne propietarios claros de "registros" para capturar, poseer, mantener y compartir de forma segura.
- Por lo tanto, las áreas de negocio, operaciones, TI, Legal, Cumplimiento y otras deben estar claramente identificadas y ser responsables de este flujo, y la responsabilidad debe asignarse formalmente a través de políticas y procedimientos formales.
- Estos controles deben ser comunicados de forma coherente, y aplicados rigurosamente, por su empresa antes de que lo hagan primero las partes externas.
Recordatorio nº 2 - Las conversaciones "fuera de canal" pueden reflejar una cultura y un comportamiento "fuera de lugar".
La SEC y otras agencias se están haciendo eco de lo siguiente: la incapacidad (o falta de voluntad) para gestionar los mensajes de correo electrónico y de texto "fuera de canal" refleja:
1) no sólo una mala gestión de los registros, sino también
2) el posible comportamiento "fuera de canal" de los directivos y sus empleados. Especialmente cuando se descubrió que algunos de los altos directivos de las empresas habían dado instrucciones explícitas a su personal para que se comunicaran "fuera de línea" y/o para que borraran automáticamente estos textos y correos electrónicos "fuera de línea".
La SEC, la CFTC y el Departamento de Justicia han descubierto que WhatsApp y otras aplicaciones que permiten la autoeliminación y la mensajería "efímera" evaden voluntariamente (o involuntariamente) las leyes destinadas a evitar el abuso de los clientes por parte de comerciantes y otros operadores de divisas fiduciarias, digitales u otras clases de activos. Esta técnica evasiva también puede aplicarse fácilmente para evitar leyes como:
- OFAC y otras sanciones económicas contra Rusia, Corea del Norte, Irán u otros objetivos
- Lucha contra el soborno y la corrupción
- Antimonopolio;
- Diligencia debida sobre el cliente, beneficiario efectivo final ("UBO"); y/o
- Lucha contra el blanqueo de capitales y la financiación del terrorismo.
Por ejemplo, se deben activar varias alertas rojas si:
- Enviar mensajes y luego beneficiar a funcionarios de gobiernos extranjeros o agentes de terceros para obtener un contrato competitivo a través de WhatsApp, Telegram, Signal, Wickr u otros medios cifrados y autodestruibles.
- Un proveedor trata de discutir envíos de petróleo o tecnología de doble uso sancionada u otra maquinaria utilizando múltiples intermediarios, divisas y/o activos digitales a través de un servicio de mensajería que ofrece correos electrónicos que se autodestruyen.
- El operador A sugiere al vendedor B, o a la contraparte C, "hablar fuera de línea" para profundizar en sus conversaciones sobre una compleja operación de divisas con monedas exóticas. Esto debería ser señalado por la dirección y el departamento de Cumplimiento como una posible señal de alarma, con una vigilancia y supervisión reforzadas de los mensajes de texto y correo electrónico fuera de canal del operador, el vendedor y sus supervisores.
Consejo nº 2 -
- Llevar a cabo actividades de formación y concienciación para garantizar que estas alertas rojas se identifican, escalan, investigan y autoinforman con prontitud a organismos externos.
- Por lo tanto, tanto las empresas de primera línea como los responsables de cumplimiento de segunda línea deben establecer políticas de comunicación "fuera del canal" claras, procedimientos y herramientas de vigilancia para capturar, controlar y archivar estos correos electrónicos, textos, vídeos y chats no autorizados, de modo que estas actividades de alerta roja se prevengan y detecten y se investiguen, actúen y denuncien rápidamente cuando surjan.
Recordatorio nº 3 - "Aquí no puede pasar": ¡claro que sí!
Muchas de las empresas sancionadas entre 2021 y principios de 2023 eran grandes instituciones financieras. Pueden pagar más fácilmente las sanciones pecuniarias, permitirse los supervisores independientes necesarios y soportar el "golpe" reputacional.
Es importante señalar que la oleada más reciente de medidas coercitivas ha afectado a pequeños asesores de inversión registrados y a filiales de compañías de seguros que operan con inversores particulares. Esta tendencia no se detendrá y podría afectar significativamente a la rentabilidad y el éxito empresarial de los operadores más pequeños en el futuro.
Consejo nº 3 -
- No asuma que estas acciones de aplicación "fuera del canal" no pueden ocurrir en su empresa sólo porque piense que "vuela bajo el radar".
- Sus competidores podrían delatar a su empresa si se han autodenunciado en privado ante su regulador. No dudarán en tirar a sus competidores "debajo del proverbial autobús" para minimizar su propia sanción.
- Autoevalúe y compare las prácticas del sector, especialmente si se han emprendido acciones legales contra sus competidores o si éstas podrían afectar a su sector.
- Comprenda si en su empresa se producen o pueden producirse mensajes "fuera de canal" y comunicaciones comerciales no autorizadas, y de qué manera. Para ello puede utilizar recursos internos de cumplimiento, investigación o auditoría, o contratar a un consultor de cumplimiento externo independiente.
Recordatorio nº 4 - Los mensajes "fuera de canal" no tienen fronteras y ponen en peligro nuestra seguridad nacional
Las futuras medidas coercitivas "fuera del canal" se extenderán más allá del sector de los servicios financieros. Se extenderán a la sanidad, la defensa, la tecnología y otros sectores expuestos a la privacidad de los datos, los contratos públicos, las sanciones comerciales y otras leyes de alto riesgo que afectan a la seguridad nacional de Estados Unidos.
Por ejemplo, las sanciones económicas rusas, iraníes y de otros países pueden eludirse fácilmente utilizando mensajes de correo electrónico y textos no autorizados que se borran solos, especialmente cuando se combinan con el soborno y la corrupción de funcionarios de gobiernos extranjeros utilizando criptomonedas del mercado negro. Este escenario ya no es de Hollywood, sino bastante real.
Como recordatorio, la Evaluación de las Directrices de Cumplimiento Corporativo del Departamento de Justicia espera explícitamente que todas las empresas, pequeñas y grandes, públicas y privadas, con y sin ánimo de lucro, gestionen y capturen sus comunicaciones empresariales, especialmente las "efímeras".[4]
Además, la Unión Europea y los países asiáticos ya aplican muchas de sus leyes sobre privacidad, fiscalidad, sanciones, lucha contra el soborno y la corrupción, y antimonopolio mediante requisitos de mantenimiento de registros. No sería de extrañar que la UE, Japón, Australia o China siguieran investigando y persiguiendo estas leyes mediante el mantenimiento de registros que incluyan políticas, procedimientos y prácticas de comunicación "fuera del canal".
En estos tiempos de volatilidad económica y geopolítica, la cooperación internacional centrada en la inteligencia militar, política y financiera probablemente incluya la importancia de vigilar las comunicaciones "fuera de canal".
Los organismos reguladores y policiales de dentro y fuera de las fronteras de Estados Unidos ya comparten esta información con regularidad, incluidas las comunicaciones electrónicas, sobre todo teniendo en cuenta que muchos delitos importantes se cometen a escala mundial y en múltiples sectores.
Por lo tanto, es especialmente crucial que los consejos de administración de las empresas, los altos directivos y los empleados sepan quién comunica qué, con quién y por qué, y si estos mensajes se capturan y archivan de forma adecuada y completa.
Consejo nº 4 -
- Evalúe las prácticas del sector con respecto a la captura, supervisión y archivo de las comunicaciones "fuera de canal". Considere si sus competidores pueden hacerlo y, en caso afirmativo, si capturan a todos los directivos y empleados, o solo a aquellos que plantean mayores riesgos, por ejemplo, ventas en el extranjero, comercio internacional, envíos, etc.
- Eduque e involucre a su consejo de administración para garantizar que se comprenden los riesgos de las comunicaciones "fuera del canal", después de realizar una evaluación significativa de los riesgos de cumplimiento de sus productos, servicios, clientes y proveedores y agentes externos. A partir de ahí, considere qué tipo y en qué medida se producen las comunicaciones comerciales entre su empresa y estas entidades y partes.
- Clasifique los riesgos de sus empleados y considere qué comunicaciones empresariales y fuera del canal deben capturarse, supervisarse y archivarse, e investigarse y aplicarse cuando sea necesario.
- Aplique estrictamente sus políticas y procedimientos de comunicaciones "fuera del canal" para enviar el mensaje correcto de que están siendo supervisadas y que las comunicaciones comerciales no autorizadas serán estrictamente aplicadas y disciplinadas.
- Contrate a consultores externos para que evalúen de forma independiente sus controles de las comunicaciones "fuera del canal" y la "higiene corporativa" sobre el mantenimiento de registros, de modo que disponga de propietarios y responsables claros para gestionar y minimizar sus riesgos.
- Considere la mejor manera de aplicar los cambios recomendados que usted mismo identifique, así como los proporcionados por su consultor externo.
"La historia de Todos, Cualquiera, Alguien y Nadie" [5]
"Había que hacer un trabajo importante y todo el mundo estaba seguro de que alguien lo haría. Cualquiera podría haberlo hecho, pero nadie lo hizo. Alguien se enfadó porque era el trabajo de todos. Todos pensaban que alguien podría hacerlo, pero nadie se dio cuenta de que nadie lo haría. Al final, todos culparon a alguien cuando nadie hizo lo que podría haber hecho cualquiera ".
[1] Tabla: Sanciones de la SEC y la CFTC por comunicaciones fuera del canal | Premium | Compliance Week
[2] SEC.gov | Dieciséis empresas pagarán más de 81 millones de dólares en conjunto para resolver las acusaciones por fallos generalizados en el mantenimiento de registros
[3] He incluido una versión abreviada de este poema atribuido a Charles Osgood al final de este blog.
[4] Microsoft Word - 2023.03.03 - PECC revisado (revisado3) (justice.gov) - ver página 17.
[5 ] Condensado por un poema de Charles Osgood y publicado por muchos, entre ellos Lola Doskall. Y demasiado a menudo es la vida de un jefe de cumplimiento cuando trata de aplicar políticas y controles clave que afectan a "todo el mundo".
Eric Young
Director General
Eric T. Young asesora a organizaciones altamente reguladas sobre la reestructuración de programas de cumplimiento, ética y tecnología regulatoria para permitir un crecimiento empresarial acreditado y sostenible. Cuenta con una amplia experiencia en materia de regulación, ya que ha pasado cerca de 40 años desempeñando funciones de director de cumplimiento normativo en algunas de las mayores instituciones del mundo, incluidos cinco bancos globales. A lo largo de su carrera, el Sr. Young ha remediado y transformado programas de cumplimiento corporativo y programas de cumplimiento de delitos financieros, incluidas sanciones; ha integrado culturas de cumplimiento y ética entre regiones, países y empresas para garantizar la coherencia en todas las empresas; ha creado presupuestos de cumplimiento; ha mejorado la presentación de informes; ha creado marcos de gobernanza y programas de evaluación, supervisión y comprobación de riesgos; ha cerrado brechas de cumplimiento; ha reestructurado equipos de cumplimiento; y ha orientado a personal subalterno para crear una cantera de futuros líderes de cumplimiento y permitir ideas, soluciones y actualizaciones digitales de cumplimiento de base.
InvestigaciónLíneas directas