Algo más que una cuestión de confianza
Las reformas del Código Penal de 2010 y 2015 abrieron la puerta a que las empresas pudieran llegar a ser responsables de la comisión de delitos por parte de sus trabajadores, una posibilidad que ha impulsado la adopción de medidas de vigilancia y control, muchas veces bajo la forma modelos perfectamente estandarizados. La gestión del ‘compliance’, un término anglosajón que hace referencia al estricto cumplimiento de la legalidad en todos los procesos de la empresa, ha pasado a convertirse en una herramienta para salvar posibles responsabilidades legales, pero también en un instrumento estratégico de enorme relevancia.
Texto de J. Carlos Arrondo @jcrlsar
Una nueva forma de hacer negocio se está abriendo paso en España. En torno al término ‘compliance’ se está desarrollando una cultura empresarial basada en que todos los procesos que se realizan en una organización observen el más estricto cumplimiento de la normativa legal y regulatoria vigente. Con una larga tradición en países del norte de Europa y, en particular, en el mundo anglosajón, la cultura del cumplimiento ha comenzado a implantarse en nuestro país a partir de las reformas del Código Penal de 2010 y 2015. Estas modificaciones legislativas han aportando, por una lado, la novedad de la eliminación del principio de la no imputabilidad penal de la persona jurídica y el establecimiento del nuevo criterio de que las sociedades pueden llegar a ser responsables, de forma complementaria y autónoma, de la comisión de algunos delitos por parte de las personas físicas vinculadas a ella. Por otro lado, se establece que la adopción de medidas de vigilancia y control mediante la implantación de programas de cumplimiento legal puede atenuar o eximir la responsabilidad de la empresa.
La necesidad de que existan unos procedimientos de prevención de la comisión de esos delitos y un sistema de verificación de que esos procesos de control funcionan es la puerta de entrada a la empresa del compliance penal. Sendas circulares de la Fiscalía General del Estado de 2011 y 2016 alertan de la posibilidad de que una sociedad disponga de guías de cumplimiento estandarizadas y sin ninguna aplicación práctica, como mera fórmula para tratar de esquivar una posible responsabilidad penal, y señalan –en términos similares se ha manifestado el Tribunal Supremo en una sentencia de febrero de 2016– que los programas de compliance no deben tener esa finalidad sino la de promover una cultura ética como concepto de gestión empresarial.
Esta nueva perspectiva, en la que la empresa se muestra ‘limpia’ ante sus empleados, inversores, clientes, proveedores o ante la sociedad en general, se concreta en la implantación de un sistema de gestión en compliance que asegure que todos los procedimientos son acordes a las leyes, a las regulaciones que los afectan y a los valores éticos establecidos en la organización. “Esto forma parte de algo más grande que es la ética en los negocios. La sociedad percibe que la empresa debe hacer las cosas bien, que sea legal y éticamente respetable. La empresa tiene una reputación y ganar dinero a toda costa puede dañarla”, apunta Ramón Cifrián, socio director y responsable de Auditoría en HFC Consultores.
Utilidad legal y valor estratégico
El programa de compliance tiene una indiscutible utilidad legal, ya que puede contribuir a atenuar o eximir a la sociedad de la responsabilidad que pudiera derivarse de algún tipo de delito cometido en su seno, pero también posee una importancia estratégica. El análisis de la empresa, la identificación de los riesgos de incumplimiento normativo a los que se enfrenta y el establecimiento de un plan de cumplimiento por parte de un consultor externo, alguien independiente para que dicho protocolo tenga más credibilidad y fuerza ante terceros, es un pilar fundamental en su imagen. “Esto es lo que nosotros hacemos. Lo que nos diferencia del despacho de abogados que hace un enfoque más jurídico es que entendemos el lenguaje de la empresa y somos multidisciplinares. Los informáticos hacen un chequeo de todos los sistemas. El auditor financiero revisa el control interno de la empresa. En función de las conclusiones del trabajo preliminar, nuestro departamento legal hará las propuestas correspondientes. Es un traje a la medida de cada empresa”, explica Ramón Cifrián.
Ramón Cifrián, izquierda, y Rodrigo Blasco, socio director y responsable de Auditoría, y socio responsable de Legal, respectivamente, en HFC Consultores.
Existe un marco jurídico común a todos, pero cada empresa, en función de su sector y características particulares, tiene uno específico. El proceso de creación de un programa de compliance debe realizarse de acuerdo con la especificidad de cada organización, por lo que se inicia, en una primera fase, con la elaboración de un mapa de riesgos. “Realizamos un ‘escaneo’ para identificar los riesgos de que se puedan cometer una serie de delitos concretos. Analizamos la actividad que se desarrolla dentro de la empresa, los procedimientos y su incidencia en la posible comisión de esos delitos y valoramos la afección que puede tener, no sólo legal, sino a efectos de imagen de cara al exterior. Una vez elaborado el mapa de riesgos, realizamos un plan de acción en el que, antes de ponerlo en un manual, señalamos dónde hay que actuar previamente”, detalla Rodrigo Blasco, socio responsable de Legal en HFC Consultores.
En la segunda fase del proceso se prepara toda la documentación: “El documento esencial es el manual, el protocolo, el plan. Vamos delito por delito y, vista su incidencia, diremos si hay que adoptar algún tipo de medida. Si no hay que adoptar ninguna, diremos qué cautelas hay que tener. Si hay que adoptar medidas, haríamos algunas recomendaciones”, resume Rodrigo Blasco, quien advierte de la necesidad de llevar a cabo también la instauración de un código ético, la formación de los empleados, la regulación de un código disciplinario, el establecimiento de un canal de denuncias y la búsqueda de un compliance officer o responsable de cumplimiento. La tercera y última fase del proceso es la del seguimiento que el consultor externo hace de su cliente. Consiste en analizar periódicamente si el protocolo continúa teniendo vigencia porque ha podido haber alguna novedad en las actividades de la empresa o se ha producido algún cambio normativo que la afecte. En esta etapa de ‘acompañamiento’, como en la anterior, es fundamental la relación con el compliance officer.
El responsable de cumplimiento de la empresa se encargará de vigilar que el procedimiento funcione, aunque su labor va más allá: “También tiene que ver qué posibilidades hay de que pueda saltarse ese procedimiento o incluso ver si es el más apto en un momento determinado”, indica el responsable de HFC Legal. El oficial de cumplimiento acompañará a los consultores en todo momento porque es una figura que conoce perfectamente la empresa, algo que para Rodrigo Blasco es imprescindible: “La recomendación es que sea una persona de dentro y en empresas con cierto volumen que tenga dedicación exclusiva al puesto. Lo normal es que sea un mando intermedio con funciones en la gestión, pero que esté apoyado por la gerencia”. Una de las herramientas esenciales en su tarea es la habilitación de un canal de denuncias en el que toda aquella persona, interna o externa a la organización, que conozca la existencia de algún delito o conducta irregular pueda ponerlo en su conocimiento de manera estrictamente anónima.
HFC Consultores está desarrollando a través de su socio tecnológico, CIC Consulting Informático, una solución para que sus clientes puedan implantar un canal de denuncias en su propia web con gestión externa de su almacenamiento, como explica Rodrigo Blasco: “Las denuncias van a un ‘recipiente’ que gestiona CIC. El mensaje con la denuncia se remite al responsable de cumplimiento, que se encargará de hacer las comprobaciones necesarias sin conocer el nombre del remitente. En el caso de que la denuncia fuera cierta, o si fuera falsa y alguien se sintiera injuriado, un juzgado podría reclamar de ese ‘recipiente’ la identidad del denunciante. De lo que se trata es de hacer un producto genérico para abaratarlo en lo posible y que todas las empresas puedan tener acceso a él”.
La implantación de los programas de cumplimiento no tiene por qué ser característica exclusivamente de las grandes empresas, sino que es algo en lo que deberían concienciarse todas, incluso las más pequeñas. Las gerencias de las organizaciones de menor tamaño pueden pensar que establecer un sistema de gestión en compliance les resulta poco útil si consideran que sus riesgos penales son escasos. “Las empresas que potencialmente tienen más riesgos –como las que trabajan con residuos o puedan sufrir problemas con el blanqueo de capitales, entre otras– lo ven más cercano y están más concienciadas, pero cualquier otra empresa se enfrenta a potenciales delitos, aunque crean que no tienen riesgo de nada”, apunta Ramón Cifrián. En su opinión, esquivar el riesgo de cometer un delito no es la única utilidad que el compliance puede aportarles: “Los consumidores cada vez estamos mejor informados y nuestra fuerza es mayor. Valoramos qué empresas son de nuestro agrado y cuáles no. Si su reputación es mala dejamos de comprar sus productos. La búsqueda de financiación, de inversores, de socios también está ligada a un perfil ético y a la imagen de transparencia que la empresa pueda ofrecer. Todo forma parte de una nueva manera de hacer las cosas”.
Certificación
Ángel Modino, key account manager de Dekra en Cantabria.
Una empresa acude a un consultor externo para que le ayude a establecer unos protocolos en función de los correspondientes requerimientos legales e implanta internamente estos procedimientos e instrucciones y sistematiza unos controles que verifiquen su cumplimiento. Pero esa empresa puede tener también la necesidad de proyectar al exterior la imagen de que efectivamente los cumple. Una manera de hacer visible esta imagen es lograr que una entidad independiente certifique que estos requisitos internos, dicho de otro modo, su sistema de gestión en compliance, se cumplen de acuerdo a un estándar o norma internacional.
“El estándar de compliance, la norma ISO 19600, intenta que la empresa sistematice su manera de identificar los riesgos de incumplimiento legal, regulatorio, sectorial, etc”, explica Susana Calvo, directora comercial y responsable de desarrollo de nuevos productos de DEKRA Certification. Señala además que se puede hablar de la ISO 19600 como “un esquema ‘paraguas’, ya que bajo su estructura se puede meter todo tipo de requisitos regulatorios y legales –de protección del medio ambiente, de prevención de riesgos laborales, antisoborno, etc– que en muchos casos ya tienen sus propios estándares internacionales, además de incluir otro tipo de regulación que no aparece en ninguna otra norma ISO”.
Se trata de que la empresa adopte una visión panorámica de toda la legislación y la regulación que la afecta, que la tenga sistematizada en un plan de compliance y que aporte evidencias a los auditores de la certificadora de que eso efectivamente es así. “El compliance es un ‘paraguas’ porque es una visión 360° de la organización. En función del sector, de las actividades que realice, de las relaciones con clientes y proveedores o del sistema de comunicaciones que haya, ofrece una visión legal y de los requisitos a cumplir en todos sus ámbitos: calidad del producto, prevención, seguridad de la información, medio ambiente, seguros, etc. Todo lo que signifique que alguien independiente confirme que cumple esos requisitos, es beneficioso para la empresa ante terceros”, resume Ángel Modino, director de DEKRA en Cantabria.
Cualquier empresa que quiera obtener el certificado ISO19600 debe contar con un sistema de gestión en compliance y solicitar una auditoría de certificación, un proceso que se realiza en dos fases. En la primera el auditor revisa junto al responsable de cumplimiento toda la documentación que permita confirmar que dicho programa está efectivamente instalado. En la segunda muestrea a otros miembros de la organización para tratar de evidenciar que lo que dice la documentación es lo que realmente se hace. Se trata de ver que la empresa trabaja como sus protocolos dicen que tiene que hacerlo. “Cuando una empresa quiere certificarse en un estándar ISO, en cualquier tipo de ISO, tiene que cumplir unos requisitos mínimos, pero hacia arriba el cliente puede definir muchas cosas más. Todo lo que defina en su sistema de gestión lo vamos a auditar: si para él un aprobado no es un 5 sino un 8, vamos a buscar las evidencias para que consiga un 8, porque si no es así, no va a obtener el certificado”, aclara Susana Calvo.
Finalizada la auditoría de certificación, si todo ha ido razonablemente bien, se emite el certificado, que tiene una validad de tres años, si bien hay una supervisión anual por parte de la certificadora. En caso de que la auditoría de certificación arroje no conformidades menores –incumplimientos parciales de normas– el cliente tiene un año para acometer esas incidencias y en algunas circunstancias concretas podría emitirse el certificado junto con unas acciones convenientes. En caso de una no conformidad mayor –un incumplimiento legal– no se emite el certificado.
La norma ISO 19600 es relativamente nueva y aún hay cierto desconocimiento sobre ella. Consultoras, gestorías y despachos de abogados son quienes por ahora están ejerciendo de prescriptores de esta certificación ante sus clientes. “Este es un esquema para ‘sacar pecho’ ante clientes, inversores, bancos, etc. Cuando una empresa como DEKRA emite un certificado es que ha podido evidenciar y garantizar que todos los requisitos legales y los requisitos propios de la organización se están cumpliendo”, indica Ángel Modino, responsable de la certificadora en Cantabria. Para su directora comercial, Susana Calvo, en el crecimiento de la cultura del compliance va a tener mucho que decir la Administración: “Si en sus pliegos, como existe con las normas de calidad y de medio ambiente, exige a los licitadores un control de su cumplimiento legal y regulatorio, estará asegurando que las empresas que contraten con ella están limpias”.
