Las empresas españolas se encuentran actualmente en plena vorágine para elaborar sus planes de cumplimiento normativo -compliance-. Sin embargo, aún son muchas las dudas que plantea esta actividad. Para aclarar alguna de ellas preguntamos a una reconocida especialista, como es Sara Argüello, secretaria general del Consejo General de Economistas.
¿Cuáles deben ser los objetivos principales de la función de 'compliance' a establecer en las empresas?
Conocer, comprender y difundir las obligaciones de compliance recogidas en el Programa de Cumplimiento Normativo que deben operar en la empresa, valorando la idoneidad de las políticas, procedimientos y controles que esta tiene que llevar a cabo para la prevención, detección y gestión de los riesgos del cumplimiento legislativo y, en su caso, introducir mejoras o crearlos en caso de que no existan. El máximo representante de la función de compliance de la organización, conocido como compliance officer, asume la responsabilidad de informar a la dirección, a los órganos de administración y, en su caso, a las comisiones delegadas al efecto de los hechos relevantes de los que tenga conocimiento relacionados con lo establecido en el programa de compliance que coordine.
Autonomía e independencia del 'compliance officer' supone una dotación suficiente de medios, pero ¿quién la debe medir?
Es la propia organización la que velará por que el Programa de Compliance adopte una aproximación basada en el riesgo, para asignar los recursos para su prevención, detección y gestión de manera eficiente. La dirección de la empresa -órgano de administración- debe asignar al compliance officer los recursos materiales y humanos suficientes para el desarrollo de sus cometidos esenciales de manera autónoma. Entre los recursos materiales se incluirá una partida presupuestaria y para fijarla se consultará al compliance officer y, en cualquier caso, debe guardar proporción a las circunstancias de la empresa. El compliance officer deberá rendir cuentas sobre el adecuado destino de los recursos asignados y, en caso de necesidad de cubrir imprevistos, la dirección podría facilitar una dotación adicional.
¿Mantener la documentación relacionada con el Programa de 'Compliance' es una actuación básica, tal vez junto con la formación?
Sí, el responsable de cumplimiento se ocupará de que la documentación del Programa de Compliance y la derivada de su ejecución, estén debidamente archivadas en la empresa y que sólo tengan acceso a dicha documentación las personas que estén legitimadas para ello. Los trabajadores, además de conocer sus respectivas obligaciones en materia de cumplimiento normativo, deben recibir formación recurrente para mejorar el conocimiento de las obligaciones de compliance que afectan a su día a día en el trabajo.
¿El trabajo del responsable de cumplimiento debe basarse fundamentalmente en la evaluación de los riesgos y en los controles?
Sí. La identificación, análisis y valoración de los riesgos de compliance constituye una actividad clave que debe documentarse por el responsable de cumplimiento. La identificación de los riesgos de compliance puede desarrollarse tanto por este responsable como por otras funciones o áreas de la organización relacionadas con la supervisión y/o el control.
En este último caso, la empresa velará por que el compliance officer esté habilitado para promover esa identificación y de que reciba la información correspondiente. Además, esta identificación y evaluación de los riesgos de compliance se debe realizar periódicamente, mediante controles, sea de manera programada, cuando se produzcan alteraciones en las circunstancias de la organización o cuando ocurra algún incidente relacionado con el incumplimiento de las obligaciones de compliance. Una vez identificados los riesgos de compliance, se analizarán, atendiendo a las amenazas que exponen a la empresa, y se categorizarán según su relevancia, determinando una priorización que ayude a la dirección y al compliance officer a administrar razonablemente los recursos para su prevención, detección y gestión a través del Programa de Compliance. Tras priorizar los riesgos, el responsable de cumplimiento identificará las políticas, procedimientos y controles de los que dispone la empresa para prevenirlos, detectarlos y gestionarlos.
¿Quién debe establecer los límites de las capacidades de gestión del responsable de cumplimiento y cómo asegurar la exención de responsabilidades fuera de estos límites?
La dirección de la empresa velará por que el Programa de Compliance y las funciones del compliance officer de la empresa sean adecuados a las circunstancias de ésta, tanto internas -la cifra de negocios, número de empleados etc.- como externas -riesgo asociado a los mercados en los que opera, marco regulador, etc.-, sobre la base del principio de proporcionalidad.
¿Qué principios y límites deben regir la colaboración del 'compliance officer' con otras áreas de la empresa?
Las diferentes áreas de la empresa deben operar de manera coordinada con el responsable de cumplimiento, según se establece en un Programa transversal de Compliance. Aún así, el responsable de cumplimiento estará dotado de autonomía suficiente para desarrollar sus cometidos esenciales sin precisar mandatos específicos de la dirección para ello. Así, ésta le delegará facultades y competencias suficientes para desarrollar sus cometidos esenciales de manera continuada y sin precisar autorización, siempre con objetividad, imparcialidad e independencia.
¿Qué peso específico tiene en la labor del responsable de cumplimiento el nivel de compromiso con la ética y la legalidad de la organización?
La deontología es una tarea más dentro de un abanico de actuaciones tendentes a crear una auténtica cultura de cumplimiento normativo en una empresa. La Circular 1/2011 de la Fiscalía General del Estado establece que "lo importante no es la adquisición de un código de autorregulación, sino que la acreditación de que los gestores o los órganos de gobierno de la persona jurídica han ejercido por sí o por delegación en otras personas todas las medidas exigibles para la prevención, detección y reacción ante posibles delitos". Hay que destacar que la función de compliance no solo se dedica al cumplimiento estrictamente de las normas, sino también a la decisión y valoración de riesgos ante situaciones relacionadas con la ética o la deontología, que de por sí no implican un incumplimiento normativo, sino más bien pueden tener impacto reputacional y de comportamiento corporativo. Puesto que el Código Ético, de conducta o norma equivalente que recoge los valores de la organización constituye un texto fundamental para promover la cultura de cumplimiento, la función de compliance velará por que sea fácilmente accesible por parte del personal de la organización y de los terceros que se vinculan con ella, incluyendo sus contenidos en las sesiones formativas o campañas de concienciación que impulse.
¿El 'compliance officer' debería tener potestad legal de vetar decisiones dañinas sobre las decisiones de negocio?
El asesoramiento que desarrolla la función de compliance tiene como objeto valorar la adecuación de las materias objeto de consulta a los objetivos de Compliance declarados por la empresa y mantener a la organización prevenida de cambios o modificaciones -actuales o previsibles- en la legislación o en su interpretación que le puedan afectar significativamente.
Ahora bien, este asesoramiento no implica la asunción de competencias decisorias ni de traslación de las responsabilidades derivadas de las acciones u omisiones de la alta dirección, que es la que cuenta con atribuciones legales para ello.
El responsable de cumplimiento puede elevar la adopción de las decisiones que se precisen y corresponda tomar al órgano de administración de la organización, sus comisiones delegadas, la alta dirección u otros cargos con atribuciones para ello.
Las normas ISO y UNE llevan a una homogeneización de la gestión de cumplimiento. ¿Es buena o mala esta situación?
Es bueno tener un marco de referencia y documentación que pueda ser tenida en consideración para desarrollar la gestión de cumplimiento en la empresa; ahora bien, este tipo de herramientas de consulta se han de adaptar, como decíamos antes, a las circunstancias concretas de la misma para detectar y gestionar los riesgos a los que se enfrenta la empresa y sus integrantes por posibles incumplimientos de sus obligaciones.
Esto es, cada organización tiene muchas particularidades y gestiona sus recursos y el talento de manera diferente a otros. A pesar de que existan riesgos comunes para todas ellas, con independencia de su tamaño, son muchos los factores que influyen a la hora de decidir cómo se va a establecer el área de cumplimiento normativo. Por ello, tener referencias nacionales -e internacionales- que establecen buenas prácticas en materia de gestión de compliance puede servir de ayuda para implantar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz.
¿Quién y de qué forma se puede cesar al 'compliance officer' sin destruir la labor ante terceros, incluidos los tribunales?
El nombramiento, evaluación del desempeño y destitución del máximo representante de la función de compliance recaerá en la dirección o en el órgano de administración de la organización -quienes podrían establecer una comisión delegada con consejeros independientes que tuviera atribuidas tales competencias, como por ejemplo una comisión de auditoría-. Para cesar al compliance officer se señalarán por escrito los motivos concretos y razonados que fundamenten tal decisión y se nombrará a la persona que le sustituya.