Compliance: gestión empresarial acorde con la normativa
El cumplimiento de la ley y el seguimiento de un código ético debería ser algo natural en las empresas. No obstante, los incidentes de los últimos tiempos demuestran que no siempre es este el caso. De hecho, el compliance sigue siendo un tema muy controvertido. Hay que tener en cuenta que las empresas, ya sean grandes corporaciones o pymes, no trabajan de forma aislada, sino que sus actividades están en contacto con numerosos grupos de interés. ¿Deberían, por tanto, todas ellas definir y respetar una política de compliance? En vista de la complejidad de esta cuestión, la primera pregunta que se plantea es qué es el compliance exactamente.
¿Qué es el compliance?
El término compliance, en español también conocido como cumplimiento normativo, tiene una presencia cada vez mayor tanto en la administración de empresas como en el campo del derecho. Tiene su origen en el sistema financiero estadounidense, si bien en la actualidad se aplica prácticamente en todos los sectores industriales y económicos. Como su propio nombre indica, su función es la de garantizar que la entidad y sus empleados cumplan la normativa. Aunque en un principio podría pensarse que se refiere al cumplimiento de las leyes, en la actualidad este concepto también abarca los estándares y las normas de la industria a la que se pertenece, si bien aún son más importantes el compromiso con una serie de valores propios y el cumplimiento de un código ético tanto en la conducta interna como externa.
Compliance o cumplimiento normativo consiste, según la Asociación de profesionales de cumplimiento normativo española, en “[…] un modelo amplio de gestión de cumplimiento que abarca no sólo los riesgos penales, sino también otras normativas, políticas internas, códigos éticos, y compromisos contractuales” (www.cumplen.com).
¿Por qué es tan importante el cumplimiento normativo en el ámbito empresarial?
A continuación, detallamos qué hace que el cumplimiento normativo sea un aspecto tan relevante para la gestión de las empresas.
Evitar procedimientos penales
Desde un punto de vista meramente empresarial, el compromiso de una empresa con el concepto de compliance en España persigue un fin estratégico: desde la reforma del Código Penal en 2010, todas las personas jurídicas y físicas tienen responsabilidad penal. Con todo, en 2015 se integra en el artículo 31 bis de dicho código la posibilidad de exención del delito de estas personas si, entre otras cosas, “el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión”.
Las modificaciones del Código Penal pusieron en alerta a muchas empresas, que empezaron a aplicar sistemas de compliance con el objetivo de evitar el incumplimiento de las normas y leyes pues, de lo contrario, podrían tener que hacer frente a importantes sanciones. Estas penas, además, podrían tener consecuencias negativas de otra índole para la empresa que comete el delito, causando costes tanto a nivel interno como externo. Un ejemplo de ello, son las reclamaciones por daños y perjuicios de clientes y socios comerciales. Además, estas sanciones pueden no limitarse a una solo empresa, sino que pueden afectar a todo el grupo.
La importancia del compliance en México es también cada vez mayor, lo que se debe al reconocimiento de la responsabilidad penal de las personas morales en el Código Nacional De Procedimientos Penales o CNPP. Con un programa de compliance se reduce el riesgo de cometer un delito y en caso de que sí se produzca, contribuye a reducir o exonerar a la empresa acusada.
Por lo tanto, el interés principal del compliance es detectar un comportamiento delictivo tan rápido como sea posible y reaccionar ante él de la forma adecuada para poder minimizar el riesgo económico existente. Si bien una política de compliance no puede evitar siempre las infracciones, la existencia de un modelo para el cumplimiento normativo contribuye a reducir la responsabilidad de la dirección. No obstante, contar con un sistema de control interno va a depender de cada caso individual.
Quizás uno de los casos más sonados de violación del compliance en los últimos tiempos, aunque fuera del ámbito nacional, sea el escándalo relacionado con las emisiones de gases de Volkswagen AG. Este tema ha tenido una repercusión mundial y no solo ha ocupado la esfera de los medios de comunicación o de la industria automovilística, sino que también ha incluido a la política. La empresa admitió haber utilizado desde enero de 2015 un sistema para la manipulación de los niveles de emisión del óxido de nitrógeno en sus vehículos diésel. Con dicho sistema pretendían eludir las normas vigentes en cuanto a emisiones, lo que suponía una infracción deliberada de la ley. Desde entonces, el grupo empresarial ha estado en el punto de mira: el director general de la empresa renunció a su puesto y puede ser condenado a 25 años de prisión, sin contar con las consecuencias financieras a las que está teniendo que hacer frente la compañía. Además, el escándalo ha afectado al sector automovilístico en general, que está siendo sometido a diversas investigaciones.
Asumir la responsabilidad social
La intensificación del discurso público sobre la responsabilidad social de las empresas ha provocado que al concepto de compliance se le añada también un componente ético. Los stakeholders, es decir, los grupos de interés como clientes, trabajadores o habitantes cerca del recinto de las áreas de producción, esperan que las empresas no solo respeten la legislación existente, sino también las virtudes y los valores éticos habituales de la industria. Es decir, las empresas no deberían presentarse únicamente atendiendo a sus dimensiones económicas, sino también como ciudadanos corporativos responsables, atendiendo a la responsabilidad social corporativa (RSC).
Pero ¿qué se considera socialmente responsable? En principio, esto viene definido hasta cierto punto por los órganos de regulación y códigos conocidos. En algunos casos, especialmente si se trata de industrias más sensibles como el sector químico o el energético, se espera que la empresa tenga un código ético propio que aborde los principales conflictos de interés con los diferentes stakeholders de forma proactiva y directa. Una empresa cuyas actividades comerciales tengan un impacto ecológico debe ser transparente en la comunicación de su compromiso con la protección del medio ambiente y la sostenibilidad, haciendo frente a las críticas correspondientes. Esto puedo tener un impacto positivo en la credibilidad y en las relaciones comerciales.
Aun teniendo en cuenta que las empresas tendrían que aplicar el compliance por cuestiones de principios, una declaración de responsabilidad social corporativa también tiene mucho sentido desde el punto de vista empresarial. Aparte de una serie de sanciones económicas, el incumplimiento de las reglas también puede tener consecuencias no financieras, entre las que se encuentran la pérdida de reputación y confianza de los socios y los clientes. Incluso si más tarde se demuestra que las acusaciones son falsas, la imagen de la marca puede verse enormemente dañada.
En el caso de Volkswagen AG, una disculpa por parte de la junta directiva no fue suficiente para aplacar el descontento público que siguió a las revelaciones. Los institutos de investigación de mercado aseguran que la imagen del grupo está muy dañada. El escándalo puso de nuevo en primer plano la ya larga discusión sobre la necesidad de un cambio de paradigma en el transporte, lo que puso al mismo tiempo a la industria del automóvil bajo una gran presión.
Compliance en la práctica: ¿cómo se aplica en una empresa?
Para la aplicación y ejecución de una política de compliance en una empresa es necesario un sistema de gestión de compliance (CMS, del inglés compliance management system) que garantice el cumplimiento de las directrices y permita reconocer rápidamente el incumplimiento de alguna norma. El objetivo de este sistema de gestión es el de implementar y mantener una cultura de compliance clara y transparente. Uno de los marcos normativos existentes es, por ejemplo, la norma ISO 19600 sobre Sistemas de Gestión de Compliance.
Dado que el cumplimiento normativo puede abarcar numerosos temas y ámbitos de interés, la elaboración de un CMS no es tarea fácil, especialmente para las empresas medianas y pequeñas, que carecen de los conocimientos necesarios para desarrollar este tipo de proyectos. Además, no se puede establecer un único enfoque; las necesidades individuales de implementación variarán dependiendo de la industria, del tamaño, del tipo de compañía y de estructura organizativa. Con todo, presentamos a continuación los pasos más importantes a seguir:
Paso 1: crear un equipo de compliance
Para crear un sistema de gestión de compliance es necesario contar con el compromiso claro y uniforme de la dirección. Además, es necesario ajustar el concepto de cumplimiento normativo a la empresa. Solo de esta forma es posible asegurar que todos los implicados acepten de forma conjunta la responsabilidad, evitándose al mismo tiempo malentendidos sobre el tipo y el alcance del proyecto. Dependiendo de los recursos (personal y presupuesto) que la dirección ponga a disposición para la consecución del proyecto, se puede determinar su grado de compromiso con este.
Formar un equipo específico para desarrollar e implantar un sistema de compliance es importante. Para que fuese efectivo debería estar compuesto por expertos de todos los ámbitos de la empresa, ya que solo de esta forma es posible identificar y cubrir todas las áreas de interés y de riesgo posibles o existentes dentro de la misma. Si se desea tener más conocimientos especializados se puede acceder a equipos de abogados, asesores fiscales y consultores especializados en la materia.
Paso 2: análisis del compliance
Una de las tareas principales del equipo creado para el cumplimiento normativo es la de llevar a cabo un análisis de la situación. En este sentido se ha comprobado que en muchos casos las empresas cuentan con un sistema de compliance rudimentario en forma de normas no escritas que se aplican entre los empleados. Sobre esta base se puede definir el estado actual: ¿qué medidas y mecanismos deben cumplimentarse, implementarse o modificarse para ajustarse al concepto de compliance de la empresa? Para ello es recomendable identificar la situación social con la que la empresa se relaciona día a día. Asimismo, se han de identificar los riesgos con los que la empresa está en contacto, algunos de las cuales se presentan a continuación:
- Derecho laboral (por ejemplo, prohibición de discriminación, derecho de participación, protección del empleo)
- Derecho penal (por ejemplo, robo, chantaje, fraude, evasión fiscal, trabajo en negro)
- Derecho tributario (por ejemplo, declaración de impuestos o donaciones)
- Protección de datos de acuerdo con el RGPD
- Cobertura sanitaria
- Legislación medioambiental
Paso 3: formular y comunicar las directrices de compliance
En Internet se puede encontrar una gran variedad de plantillas de directrices de compliance, si bien no existe un modelo único aplicable de forma universal en lo que al contenido y la estructura de este tipo de documentos respecta. En lugar de ello, se recomienda adaptar el conjunto de normas a las necesidades y circunstancias individuales de la empresa.
Esta podría ser una forma de estructurarlas:
- Normas generales de conducta
- Circunstancias concretas (regalos a socios, comportamiento frente a la competencia, tratamiento igualitario a los empleados)
- Personas de contacto y formalidades para denunciar las infracciones
- Mecanismo de documentación para infracciones
- Sanciones (por ejemplo, amonestaciones/advertencias, traslado, despido procedente, reducciones del salario, pago de indemnizaciones, etc.)
Una vez elaborada, la política de compliance ha de comunicarse a toda la organización, bien con una circular, mediante publicaciones en la intranet o con eventos informativos. Las nuevas sesiones de formación sirven para sensibilizar a todos los integrantes de la empresa sobre la nueva cultura de compliance (incluidos aquí también los socios comerciales y los proveedores).
Muchas empresas, además, se deciden a incluir en su web una versión reducida del código de compliance a modo de “código de conducta” o “código ético”. Además, si se cuenta con un certificado oficial del sistema de gestión de compliance, este tipo de cumplimiento normativo sirve también para aumentar la confianza de los clientes y los socios, así como para atraer a posibles candidatos en el contexto de “employer branding”. Si bien lo más importante es que el equipo directivo se comporte como ejemplo tanto interna como externamente.
Paso 4: implementación operativa y ajustes regulares
Aunque la responsabilidad principal respecto al cumplimiento normativo recae sobre el equipo directivo, se puede delegar el trabajo diario del compliance a un director de cumplimiento normativo o en un equipo completo.
Estos son responsables de las siguientes tareas, entre otras:
- Implementar y aplicar un sistema de gestión de compliance
- Organizar talleres de formación
- Controlar la calidad de forma continua
- Realizar encuestas a la plantilla
- Seguir las actualizaciones legales
- Adaptar, ampliar y desarrollar el sistema de gestión de compliance cuando sea necesario
- Documentar infracciones
- Informar a la dirección regularmente
Una tarea tan compleja requiere personal especializado al mismo tiempo que asertivo, de ahí la necesidad de poner especial esmero en la selección del equipo y el director de compliance. Este último no tiene por qué pertenecer a los niveles más altos de la dirección, aunque ha de tener una comunicación directa y consistente con esta para poder trabajar de forma efectiva. Solo así se puede asegurar que los esfuerzos al final den sus frutos.
En resumen: ¿supone el compliance un obstáculo para las empresas?
Si se tienen en cuenta la legislación existente y la responsabilidad social de las empresas, se hacen evidentes los beneficios y los objetivos de las políticas de compliance. Esto, sin embargo, apenas cambia el hecho de que el concepto tenga una reputación dudosa en determinados círculos directivos, que cuestionan las prácticas probadas y, por tanto, obstaculizan la implementación de estos sistemas.
Muchos consideran que el problema principal radica en la complejidad inherente y la volubilidad del concepto compliance. Las empresas, especialmente las de ámbito global, se enfrentan a una gran cantidad de reglas y prohibiciones a nivel nacional e internacional, a las que se suman las propias del sector, sin contar con los temas relativos al discurso social, en continuo cambio. Por este motivo, solo las grandes empresas suelen estar dotadas de un sistema de compliance, mientras que en las pymes su implementación ocupa un papel secundario.
Con todo, lo más importante y urgente es sensibilizar a todos los responsables en las empresas sobre el compliance mediante la selección de directores de compliance formados y experimentados, capaces de hacer frente a los desafíos de la profesión y a las reservas de algunos de los gerentes.
Por favor, ten en cuenta el aviso legal relativo a este artículo.