Compliance + Derechos Humanos: ampliar la gestión de riesgos empresariales

Por Federico Orlando, asociado AAEC. ¹

Introducción

Imaginemos una empresa argentina que importa café de especialidad. No produce en origen sino que compra a pequeños productores en distintos países, tuesta y comercializa localmente. Como en muchas industrias, su modelo de negocios se apoya en una cadena de valor extensa, con múltiples actores y contextos regulatorios y sociales diversos. Ahora bien, la empresa recibe información de que uno de sus proveedores podría estar empleando trabajo infantil. El empresario cuenta con un programa de compliance robusto: matriz de riesgos, controles, canal de denuncias. La pregunta es inevitable: ¿alcanza con eso?

En cadenas complejas, los impactos sobre derechos humanos no siempre aparecen como riesgos jurídicos inmediatos ni como contingencias fácilmente captables por los sistemas tradicionales. Por eso, el problema no es solo de herramientas, sino de enfoque: qué riesgos se consideran relevantes, desde qué perspectiva se analizan y qué respuestas habilitan.

Mi hipótesis es que el compliance es necesario, pero insuficiente. Hace falta un enfoque complementario que incorpore una pregunta distinta: no sólo qué riesgos enfrenta la empresa, sino qué impactos genera sobre los derechos de las personas.

1. El modelo clásico del compliance y sus límites

El compliance se ha consolidado como un sistema orientado a identificar, gestionar y mitigar riesgos empresariales —legales, financieros, reputacionales—. Su lógica es clara y eficaz: construir matrices de riesgo, establecer controles y prevenir contingencias. Sin embargo, esa misma racionalidad genera ciertos límites cuando se la enfrenta con problemáticas de derechos humanos. El problema no se encuentra, entonces, en una supuesta debilidad técnica de los programas de compliance; en realidad, lo que sucede es que su racionalidad de origen suele estar orientada, sobre todo, a proteger a la empresa frente a riesgos legales, financieros y reputacionales. Los impactos sobre terceros (trabajadores, consumidores, comunidades, etc), en cambio, ingresan en esa matriz sólo cuando pueden ser traducidos como un riesgo empresarial. Dicho de otro modo: los impactos en derechos humanos generados -directa o indirectamente- por la empresa sólo son alcanzados por una matriz de riesgo de compliance en tanto y en cuanto éstos sean, a la vez, riesgos para la empresa. Ese es, precisamente, el punto de quiebre: no se trata de un problema de implementación, sino de enfoque.

a. Problema de foco: El modelo define como relevante aquello que constituye un riesgo para la empresa, no necesariamente aquello que implica un daño para las personas. Los impactos en derechos humanos ingresan en la matriz sólo cuando pueden traducirse en una contingencia empresarial.

b. Problema de visibilidad: Las matrices operan con información disponible y categorías estables. Pero los impactos en derechos humanos suelen ser contextuales, dinámicos y, muchas veces, opacos. No aparecen como un dato evidente: requieren ser activamente indagados.

c. Problema de alcance: El compliance tradicional funciona mejor dentro de la organización o en su entorno inmediato. Sin embargo, en muchas industrias los riesgos más severos se ubican en los extremos de la cadena de valor, allí donde el control es más débil.

d. Problema de respuesta: El modelo tiende a activar respuestas de control o desvinculación. Frente a ciertos impactos —por ejemplo, trabajo infantil—, estas soluciones pueden reducir el riesgo para la empresa, pero no necesariamente mejorar la situación de las personas, e incluso pueden agravarla.

En conjunto, estos límites no son fallas de implementación, sino consecuencias de su diseño: los límites del compliance no son contingentes ni corregibles únicamente con mejores herramientas, sino que responden a la racionalidad misma del modelo. Por eso, el problema no se resuelve simplemente “mejorando” las matrices de riesgo o ampliando los controles, o incorporando dimensiones de ESG o de doble materialidad, sino revisando los supuestos sobre los que se construyen

2. La debida diligencia en derechos humanos: un cambio de enfoque

En este contexto, la debida diligencia en derechos humanos (HRDD) introduce una lógica complementaria: se trata de un proceso continuo mediante el cual una empresa identifica, previene, mitiga y rinde cuentas por los impactos que sus actividades —y las de su cadena de valor— pueden tener sobre los derechos humanos, incorporando además mecanismos para remediar los daños cuando estos ocurren. Su aporte central no es solo operativo, sino conceptual: desplaza el eje desde el riesgo para la empresa hacia la severidad del impacto sobre terceros. Esto implica al menos tres exigencias prácticas:

• ampliar las fuentes de información (contexto, territorio, actores locales), 
• priorizar impactos por su gravedad, incluso si no generan un riesgo inmediato, e
• incorporar mecanismos de respuesta que no se agoten en la lógica sancionatoria. 

No se trata solo de “ver” el problema, sino de institucionalizar una forma de actuar frente a él.

3. La relevancia jurídica: una lectura desde el derecho interno

Aunque los estándares internacionales no establecen en las empresas una obligación general directa de implementar HRDD, el derecho argentino sí contiene deberes que la vuelven jurídicamente significativa. En particular, el deber general de prevención del daño exige adoptar medidas razonables frente a riesgos previsibles. En actividades insertas en cadenas complejas, donde ciertos riesgos son conocidos o cognoscibles, la ausencia de mecanismos de identificación y gestión puede constituir una omisión relevante. La cuestión, entonces, no es si la empresa responde por cualquier hecho de su cadena, sino otra: si organizó su actividad de manera diligente frente a riesgos previsibles. En ese marco, la HRDD aparece como una herramienta idónea para cumplir con esos deberes.

4. Razones pragmáticas: por qué también es buen negocio

A lo anterior se suman razones no jurídicas:

• mejor desempeño en sostenibilidad se asocia, en muchos casos, con mejores resultados financieros²; 
• los estándares sociales y ambientales inciden en el acceso al financiamiento y en su costo³; 
• en ciertos mercados, estos criterios operan como condiciones de elegibilidad⁴. 

El respeto por los derechos humanos deja así de ser sólo una exigencia ética o regulatoria para convertirse también en un factor estratégico.

5. Integración: hacia un compliance ampliado

Si lo desarrollado hasta aquí es correcto, entonces la conclusión no debería ser que el compliance ha quedado obsoleto ni que debe ser reemplazado por la debida diligencia en derechos humanos. El punto es otro: el compliance, tal como fue históricamente concebido, resulta insuficiente para captar ciertos riesgos estructurales, pero sigue siendo una herramienta indispensable. La tarea, entonces, no es sustituirlo, sino reconfigurarlo a partir de la incorporación de la debida diligencia en derechos humanos. Una forma de entender esta integración es a través del “compliance ampliado”: un sistema que conserva sus herramientas clásicas, pero las reordena a partir de una pregunta distinta: no sólo qué riesgos enfrenta la empresa, sino qué impactos puede generar sobre las personas. Este desplazamiento no es meramente conceptual. Tiene consecuencias prácticas bastante concretas en la forma en que las organizaciones identifican riesgos, asignan responsabilidades, se relacionan con terceros y documentan sus decisiones. A ellas voy.

5.a. La matriz de riesgos: de la exposición empresarial al impacto sobre personas: Si en el compliance clásico la matriz se construye a partir de la probabilidad y el impacto de eventos que pueden generar consecuencias adversas para la empresa —sanciones, pérdidas económicas, daños reputacionales—, en un enfoque de HRDD, ese esquema se amplía: el análisis debe incorporar, como variable central, la severidad del impacto sobre las personas, incluso cuando ese impacto no se traduzca de inmediato en una contingencia jurídica para la organización. No hay exclusión, sino convergencia.

Esto implica, en la práctica, al menos tres ajustes:

• Incorporación de nuevas fuentes de información

• Cambio en los criterios de priorización: riesgos de baja probabilidad pero alto impacto en derechos humanos pueden volverse prioritarios, aun cuando no sean los más relevantes desde una perspectiva estrictamente financiera.

• Ampliación del objeto de análisis: la matriz deja de estar centrada exclusivamente en la organización y pasa a abarcar operaciones, productos, servicios y relaciones comerciales.

5.b. El rol del compliance officer: de guardián normativo a articulador de riesgos e impactos: El segundo cambio es organizacional y tiene que ver con el rol del compliance officer. En el modelo clásico, su función principal es diseñar, implementar y monitorear sistemas destinados a asegurar el cumplimiento normativo y prevenir ilícitos. En un esquema ampliado, ese rol no desaparece, pero se expande: el compliance officer pasa a ser, en buena medida, un articulador entre la lógica de cumplimiento y la lógica de impactos. Esto implica, por ejemplo:

• integrar variables de derechos humanos en los procesos de identificación y evaluación de riesgos;

• coordinar con otras áreas (compras, sustentabilidad, recursos humanos, operaciones) la incorporación de criterios de debida diligencia en decisiones de negocio;

• asegurar que los mecanismos de reporte y documentación reflejen no sólo incumplimientos normativos, sino también la gestión de impactos;

• participar en el diseño de respuestas frente a situaciones que no encajan fácilmente en la lógica sancionatoria clásica.

5.c. La incorporación de stakeholders: de fuentes de denuncia a fuentes de conocimiento: En el compliance tradicional, los terceros suelen aparecer, fundamentalmente, como fuentes de riesgo (proveedores, intermediarios) o como canales de denuncia (whistleblowing). En un enfoque de HRDD, además de eso, pasan a ser fuentes de información y de conocimiento relevantes para identificar y comprender impactos. Esto supone, en la práctica, abrir el sistema hacia afuera: no se trata necesariamente de diseñar procesos complejos o costosos, sino de incorporar mecanismos razonables de escucha y consulta: diálogo con proveedores, interacción con actores locales, consulta a organizaciones sectoriales, sociedad civil, activistas, revisión de informes públicos, entre otros. 

6. Conclusión

En definitiva, lo que este recorrido pone de manifiesto es que el problema no radica en una supuesta insuficiencia técnica del compliance, sino en los límites de la racionalidad que lo estructura. En contextos empresariales complejos —marcados por cadenas de valor extendidas, asimetrías regulatorias y riesgos poco visibles—, gestionar exclusivamente riesgos para la organización resulta insuficiente para captar los impactos que la actividad empresarial genera sobre terceros.

La incorporación de la HRDD no implica reemplazar ese modelo, sino reorientarlo: supone ampliar su foco, enriquecer sus fuentes de información y, sobre todo, redefinir los criterios a partir de los cuales se identifican y priorizan los riesgos. Allí donde el compliance clásico se pregunta por la exposición de la empresa, la HRDD introduce una pregunta distinta: qué efectos produce la actividad empresarial sobre las personas y qué respuestas exige ese impacto.

Volviendo al empresario cafetero con el que abrimos este trabajo: él no está llamado a resolver por sí solo problemas estructurales como el trabajo infantil en toda su cadena global. Pero sí —y, en ciertos contextos, incluso desde una perspectiva jurídica— a no ser indiferente frente a riesgos que son previsibles en función de su actividad. La cuestión relevante deja de ser únicamente si ese riesgo lo expone a una contingencia empresarial, y pasa a ser si organizó su actividad de manera diligente frente a ese escenario.

Según pienso, en ese punto se juega el verdadero alcance del compliance hoy en día: no en cuánto protege a la empresa, sino en cuánto es capaz de explicar —y justificar— el impacto que su actividad genera sobre las personas.

Referencias

1. Este trabajo es una versión resumida y simplificada de otro de pronta publicación titulado: “Más allá del compliance: la incorporación de la debida diligencia en derechos humanos en la gestión empresarial”. Agradezco la lectura y los comentarios de Diego Martínez y de María Bladimirsquy. Los errores y omisiones que se mantengan son de entera responsabilidad del autor.
2.  Ver, por ejemplo Friede, G., Busch, T. & Bassen, A., “ESG and Financial Performance: Aggregated Evidence from More than 2,000 Empirical Studies”, Journal of Sustainable Finance & Investment, 2015.
3.  Ver Orlitzky, M., Schmidt, F. & Rynes, S., “Corporate Social and Financial Performance: A Meta-Analysis”, Organization Studies, 2003.
4.  Puede consultarse Cheng, B., Ioannou, I. & Serafeim, G., “Corporate Social Responsibility and Access to Finance”, Strategic Management Journal, 2014 y Goss, A. & Roberts, G., “The Impact of Corporate Social Responsibility on the Cost of Bank Loans”, Journal of Banking & Finance, 2011.