La Asociación Española de Compliance (Ascom) ha elegido a José Zamarriego como su nuevo presidente. Toma el relevo de Sylvia Enseñat de Carlos, quien ha decidido emprender nueva etapa personal tras casi 10 años al frente de esta institución.
Doctor en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Zamarriego es Patrono de la Fundación del Colegio de Médicos de Madrid y Director de la Unidad de Supervisión Deontológica de Farmaindustria. Así, el profesional quiere seguir cumpliendo retos de la mayor asociación de profesionales de Compliance en España.
Ascom lleva desde 2014 como asociación independiente sin ánimo de lucro, cumpliendo el principal objetivo de profesionalizar esta función en nuestro país y ayudar al desarrollo profesional de sus socios. En estos años ya ha conseguido más de 2.000 miembros activos, 155 empresas socias y se han expedido más de 2.500 certificados Cescom/icecom.
¿Qué representa el cambio de presidencia en Ascom?
Lo primero que hay que hacer es reconocer el inmenso y eficaz trabajo de la junta directiva presidida por Sylvia Ensenyat. Sin su dedicación en el trabajo diario no estaríamos hablando ahora.
La herencia que nos deja Sylvia Enseñat es monumental y sin parangón en nuestra área asociativa, creando una asociación unida, con principios y valores, independiente, marcada con un sello profundo fundamentado con tres pilares básicos: el rigor, la calidad y la transparencia.
Esta nueva junta nace de un proceso electoral, porque queríamos arrancar con la legitimidad de un proyecto propio, pero tomando como referencia la herencia que nos deja Sylvia con muchísima generosidad.´
La nueva etapa la iniciamos con ilusión, porque la Junta Directiva está llena de magníficos profesionales. Incluso hemos incluido a dos profesionales nuevos con perfiles complementarios. Por un lado, a Paula García Arango, compliance officer del grupo ACS, que engloba a más de 900 empresas, y, de otro a Elena Canabal, que representa a los jóvenes nativos en compliance.
"Queremos seguir defendiendo los pilares de la Asociación, que son: independencia, rigor, calidad y transparencia"
Esto es algo importante por su formación con orígenes muy variados, con su facilidad para relacionarse y, sobre todo, por su capacidad de aprender. A parte de estos nuevos perfiles, se mantienen todos los miembros de la Junta Directiva, por su talento y profesionalidad, aportando, además, una gran diversidad de sectores y especializaciones.
¿Cuáles son los objetivos de la nueva Junta?
Queremos seguir defendiendo los pilares de la Asociación, que son: independencia, rigor, calidad y transparencia. De esta forma, seguiremos dando a conocer la figura del compliance officer en la sociedad e incorporar la cultura del compliance en las organizaciones.
Tenemos como objetivo el desarrollo internacional, especialmente a través de la certificación Icecom, que busca ser reconocida a nivel internacional como lo es a nivel nacional la certificación Cescom.
Además, queremos desarrollar programas para la formación, no solo con asuntos como la digitalización y la inteligencia artificial, sino también en el ámbito de la sostenibilidad.
Tenemos que convivir con la legislación que nos viene y saber convivir y saber adecuar las estructuras de los sistemas de gestión de compliance ante las, por ahora dos directivas que se ciernen y que son muy importantes para nosotros.
"La regulación ayuda, pero lo que hay que tener siempre presente por el regulador es el principio de proporcionalidad"
Tenemos programa, tenemos proyecto, tenemos equipo y tenemos capacidad de acción como mimbres de esta junta directiva.
Vamos hacia un automatismo del regulador y del sector privado ¿Será beneficioso para las empresas?
La monitorización para comprobar que los planes se van cumpliendo es importante, pero no hay que olvidar lo previo, que son los procedimientos y las políticas que se ajusten a las necesidades.
Si definimos compliance como la capacidad que una organización tiene, a través de sus procedimientos, de demostrar que se está cumpliendo con los propios objetivos la acción previa a su ejecución, cumpliendo con la normativa vigente, veremos que el sistema de monitorización queda incorporado en los propios procedimientos.
"Estamos en curva de aprendizaje y tenemos que ver cómo se va integrando esta tecnología en los procesos internos"
La regulación ayuda, pero lo que hay que tener siempre presente por el regulador es el principio de proporcionalidad, porque varía según el tipo de organización, su tamaño y la cantidad de recursos que se deben destinar a determinadas actividades, se deben.
¿Qué problemas puede plantear el uso de inteligencia artificial?
Se habla mucho de inteligencia artificial, pero estamos empezando y es necesario ver la potencialidad que tiene, que es extraordinaria. Es un camino que tenemos que ir recorriendo juntos para ver su utilidad y como se le puede sacar el máximo partido.
Todo esto se puede aplicar a los procesos de muchas maneras, no solamente a terceros o en monitorización. Pero estamos en curva de aprendizaje y tenemos que ver cómo se va integrando esta tecnología en los procesos internos, ya que nos puede dar una información que mal interpretada nos puede crear problemas a la hora del diseño de políticas y, sobre todo de los objetivos a cumplir.
La inteligencia artificial no nos va a solucionar nuestros problemas, sino que nos va a ayudar a identificarlos y a prevenirlos. Lo que está claro es que la inteligencia artificial debe estar a nuestro servicio y no al revés.
¿Qué papel está jugando la nueva ley de protección del informante?
Esta norma está muy vinculada con lo que son las culturas de compliance de las organizaciones. Esta ley está bien porque se trata de que no se pueda sancionar a quien denuncia irregularidades en la empresa que pueden conllevar un alto coste reputacional.
"No se debe entender que va contra la entidad, sino que lo que se debe valorar es si está bien hecho y si es así, pensar que quien gana es la organización"
Ello requiere un esfuerzo a nivel de la sociedad, porque en España tenemos esa famosa figura del chivato, a la que no se le tiene mucho cariño. Por ello, necesitamos poner en valor que alguien sea capaz de decir algo cuando se está haciendo alguna cosa mal, pero en un contexto adecuado.
Es muy importante que se sepa que existe una protección debida, unos canales y un respeto. No se debe entender que va contra la entidad, sino que lo que se debe valorar es si está bien hecho y si es así, pensar que quien gana es la organización. No es nada fácil construir unas bases de modificaciones culturales de la sociedad, porque son necesarias buenas prácticas y buenos ejemplos.
¿Y el canal de denuncias?
No es algo nuevo, sino que está implementado en España desde hace años en muchísimas organizaciones. Otra cosa es si se utiliza correctamente.
Tenemos que ser capaces de usar correctamente. Hicimos con la CEOE un estudio sobre determinados elementos vinculados al compliance. Y en las conclusiones se observaba que el uso del canal de denuncias era bajísimo y no estaba incorporado a la cultura de las organizaciones, porque era un elemento accesorio que no había tenido el tiempo necesario para explicarlo y conocerlo.
Por eso no es lo mismo una empresa que tenga la raíz anglosajona o que tenga sus raíces en otros entornos socioeconómicos, puesto que nace de una experiencia jurídica anglosajona, a través de una translación de la OCDE a los países desarrollados, se ha ido generalizando. Pero el origen es anglosajón, una cultura muy centrada en el individuo y no en el Estado.
Ahora con las exigencias a las cadenas de proveedores, las pymes se van a ver involucradas ¿Cómo les afectará?
Tenemos en Ascom la experiencia con el programa con la Diputación Foral de Vizcaya y un segundo con Iberdrola y Deloitte. En ellos se buscaba que a las compañías que luego iban a ser contratadas por entidades públicas o por Iberdrola tuvieran unos sistemas de gestión de compliance equiparables para poder hacer la para poder hacer la certificación 19.600.
Lo que se hacía era formar internamente, ver procedimientos, ver políticas, y de esa manera ver unos proveedores que cumplieran los requisitos impuestos por la Diputación o por Iberdrola.
"Desde Ascom siempre reivindicamos el que esta profesión se puede llevar a cabo desde distintas titulaciones. Lo que si está claro es que debe tener es una formación técnica, unas habilidades"
Con ello se buscaba ir impregnando la cadena con la cultura de compliance. Y era muy interesante porque muchas de ellas eran pymes y empresas familiares y a lo que se procedía, en principio, era a un ejercicio de concienciación de los órganos de gestión de las empresas. Este es un buen camino para impregnar a toda la cadena de valor, de la que formas parte.
¿Es mejor fomentar las habilidades de los profesionales como exigencia limitativa de acceso o crear una profesión específica?
Desde Ascom siempre reivindicamos el que esta profesión se puede llevar a cabo desde distintas titulaciones. Lo que si está claro es que debe tener es una formación técnica, unas habilidades.
Hay enfoques, como la auditoría que está muy relacionado con el área de empresa, o la inteligencia artificial, que esta muy relacionada con la ingeniería y el tratamiento de datos.
Se trata de una profesión vocacional. Por eso, es muy importante la persona, porque entre otras cosas el profesional debe tener integridad, responsabilidad, que sepa comunicar, pero esto se puede ir adquiriendo.
"Somos segunda línea de defensa por lo que debemos tener una gran capacidad de entender el negocio para ser capaces de buscar soluciones"
Además, está la auctoritas, que es la que te dan los demás por tu conocimiento y no por tu posición. Todo ello, que puede parecer muy subjetivo, a final se palpa, lo ves. Luego es importante, por ejemplo, saber técnicas de investigación para evitar problemas, por ejemplo, por protección de datos. Esto es un aprendizaje continuo.
¿Y qué valor le da Ascom a la dispersión normativa?Es brutal. Tenemos que trabajar por la racionalización de la norma. Su número ha crecido un 41% y es un imposible. En un reciente seminario sobre compliance , celebrado en Portugal, se concluía que para ser compliance officer es necesario ser casi un superhombre ante la cantidad ingente de legislación que existe. Por eso estamos hablando de equipos, con distintas habilidades y una persona que los encabeza.
Somos segunda línea de defensa por lo que debemos tener una gran capacidad de entender el negocio para ser capaces de buscar soluciones. Y, gracias a la auctoritas tener acceso directo a la Dirección.
"El compliance officer debe tener la capacidad de reportar. Lo que tienes que hacer es dejar la huella de como se debe de hacer y que se debe de hacer"
No hay cosa peor en el compliance que el cosmético, la simulación, ya que se trata de demostrar que se están haciendo bien las cosas. Y, como es lógico, también necesitas recursos para llevar a cabo la actividad.
Y, sobre todas las cosas, está la independencia, pero bien entendida, porque estás dentro de una organización. Pero debes tener la capacidad de levantar la mano y decirlo donde proceda, como proceda y dejar la huella que proceda.
¿La dependencia del 'compliance officer' es de las comisiones de auditoría o de nombramientos o sigue dependiendo del CEO de la empresa?
Las organizaciones son jerárquicas. Siempre dependes del Consejo de Administración, que es quien aprueba los planes de compliance. Además.
El compliance officer debe tener la capacidad de reportar. Lo que tienes que hacer es dejar la huella de como se debe de hacer y que se debe de hacer.
Es una posición muy delicada en la estructura de la organización, pero muy necesaria para que la cultura de compliance sea real. Luego, cuando se tiene un nivel alto de compromiso, si se comete un error, la propia organización ha sabido actuar con responsabilidad y con inmediatez.
¿Y que papel juega la presunción de actuaciones negligentes en la actividad?
Lo mejor que se puede hacer es elaborar un mapa de riesgos para establecer un plan de compliance adecuado. Este mapa de riesgos es una hoja de ruta y hay que hacerlo bien. Y luego entender que el riesgo siempre existe.
Lo que el profesional trata es de incluir la prevención en la organización. Ésta puede evitar un nivel de riesgo, pero lo que ocurre, es que luego no se le reconoce el valor que tiene a la prevención, Es un elemento, que hay que ir mejorando. Y no e puede olvidar que la prevención está relacionado con elementos propios de la reputación.
¿Es bueno externalizar las funciones?
Es un asunto extremadamente complejo. El elemento fundamental del compliance tiene que ser interno, ya que estás dentro de un negocio y debes conocerlo en profundidad desde dentro, hablando con las organizaciones.
No obstante, puedes externalizar algunos elementos de apoyo, como, por ejemplo, en medición de monitorización o en determinados niveles de canales de denuncia, incluso en algunos elementos vinculados con la prevención. Pero la actividad del compliance officer debe ser interna por las singularidades y responsabilidades que tiene.
