Programas de compliance elaborados e implementados en una entidad pública o privada que pueden llegar a cumplir con todos los requisitos formales, pero no aplican los procedimientos y controles necesarios para que el programa sea realmente efectivo. Los programas de compliance también pueden ser cosméticos cuando la entidad copia un modelo preexistente y lo implementa sin las adaptaciones necesarias para su coyuntura.
Ejemplos de prácticas que pueden señalar la existencia de programas de compliance cosméticos: copiar y pegar de otra organización, implementar un programa no adaptado a las actuales circunstancias de la entidad, copiar y pegar del Código Penal, entre otras.
Desde una perspectiva amplia, el compliance no será eficaz, y, por lo tanto, podrá ser un programa meramente cosmético, cuando cumpla con los requisitos básicos de un modelo de cumplimiento (análisis de riesgo, código de ética y, en definitiva, la identificación, la clasificación, la gestión y minimización de los riesgos operativos y legales), pero no llegue a alcanzar o intentar alcanzar una verdadera cultura ética institucional.
Desde una perspectiva específica, y a título de ejemplo, el programa de compliance podrá ser cosmético cuando:
- El canal de denuncias existente no sea conocido y divulgado, o no sea adecuadamente accesible.
- No haya revisiones periódicas del programa inicialmente implementado, y no se revisan los riesgos.
- No se aplican medidas correctivas para los riesgos identificados.
- El responsable de cumplimiento (compliance officer) no dispone de los recursos materiales y personales necesarios para desempeñar sus funciones.
- Las normas internas (mediante el Código de Ética o Código de Conducta) no son conocidas ni difundidas internamente.
- No se acredite que el programa era adecuado para prevenir los riesgos detectados y, en concreto, para prevenir el delito por el que una persona jurídica ha sido acusada en el ámbito penal.