El compliance o cumplimiento normativo es uno de los temas que más interés está suscitando en las organizaciones en los últimos años. El objetivo del compliance es evitar que una compañía incurra en delitos, sanciones o situaciones que puedan repercutir en el negocio o su reputación y comprometer su viabilidad.
Compliance implica no solo cumplir con los requisitos legales (algo de por sí obvio), sino también con aquellos otros requisitos voluntarios que la organización decide suscribir (por ejemplo, los Códigos Éticos o de Conducta) y con los requisitos contractuales acordados con los socios de negocio. Sin duda, el mercado y los consumidores están demandando que las organizaciones sean serias, transparentes, éticas, cumplan con sus obligaciones legales y tengan un compromiso social y ambiental.
¿Qué es el Compliance?
En términos teóricos, el compliance es el nombre anglosajón con el que se define el cumplimiento normativo en las empresas a través de políticas y protocolos reguladores. Es decir, que afecta, por ejemplo, tanto al comercio online que no ha cumplido con la Ley de Protección de Datos, como a la pequeña editorial implicada en un caso de injurias o incluso a posibles casos de insultos y/o agresión entre un trabajador y un cliente.
El concepto de compliance empresarial nació en Estados Unidos en los años 70 ligado a casos de corrupción contrarios a la libre competencia en el sector financiero. Décadas más tarde, en el año 2005, el Comité de Supervisión Bancaria de Basilea definió el compliance corporativo como “el riesgo de que una compañía pueda incurrir en sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado del incumplimiento de leyes, regulaciones, normas de autorregulación o códigos de conducta que apliquen a su actividad”.
En este contexto, la función del área de compliance de una empresa consiste en anticiparse a los riesgos que pueden surgir, mostrando al equipo gestor de la compañía que el cumplimiento no es solo un coste necesario para hacer negocios, sino una posición estratégica que aporta valor y afianza el futuro de la organización.
Lea también: Descubre el Liderazgo Positivo
Es fundamental realizar un análisis detallado de las actividades empresariales y los posibles escenarios en los que se podrían cometer infracciones. Para que un programa de compliance penal sea realmente efectivo, no basta con su mera existencia en papel, sino que debe ser aplicado y actualizado de manera continua. Para que un programa de compliance penal sea efectivo, debe ser aplicado de forma transversal en la organización.
El entorno normativo está en constante evolución, por lo que un programa de cumplimiento penal debe ser flexible y capaz de adaptarse a nuevos requisitos legales. La ausencia de un plan de prevención de delitos expone a la empresa a múltiples riesgos, tanto legales como reputacionales.
¿Por qué es Importante el Compliance para una Empresa?
En el análisis DAFO (acrónimo del proceso que ayuda a identificar Debilidades, Amenazas, Fortalezas y Oportunidades de un negocio) que realiza el equipo gestor de una compañía, el cumplimiento normativo suele situarse en el marco de los riesgos y amenazas al crecimiento, bien por las novedades normativas que impacten sobre un sector productivo o bien por un contexto de inestabilidad política y legislativa que puedan comprometer ciertas operaciones empresariales.
En la actualidad, el público objetivo de una empresa (sus clientes, trabajadores, proveedores, inversores y la sociedad en general) demandan una conducta y un cumplimiento que con frecuencia va más allá del umbral de lo que fijan las leyes.
Como ya hemos dicho en otros de nuestros artículos sobre cumplimiento normativo, aunque la ley no obliga a tener implementado un plan de prevención de delitos penales en las empresas, lo cierto es que el compliance aporta varios beneficios a las empresas, siendo el más importante la posibilidad de atenuar o eximir a la empresa de su responsabilidad penal. Por ello, actualmente no es difícil encontrar algún ejemplo de compliance de una empresa, ya que cada vez son más las compañías que se preocupan de llevar al día su cumplimiento normativo.
Lea también: Marketing y Modelos Predictivos
El concepto de compliance tiene sustento en la legislación española en 2010, con la reforma del Código Penal (Ley Orgánica 5/2010 de 22 de junio). El artículo 31 bis de esta ley introdujo la responsabilidad penal de las personas jurídicas, vinculando estrechamente el compliance de las empresas con el cumplimiento de la normativa penal.
Más tarde, en 2015, una nueva revisión del Código Penal sirvió para introducir una cláusula que hace obligatorio para las empresas contar con planes de prevención de riesgos penales y un órgano o función responsable de su verificación. Este cambio normativo ha permeado hacia otros ámbitos jurídicos, como el de la Protección de Datos, y ha impulsado en la última década la creación de la figura del Compliance Officer, la persona responsable del cumplimiento normativo en una organización.
Tipos de Compliance en la Empresa
A la hora de poner en práctica el compliance en la empresa, distinguimos entre los modelos genéricos y los modelos específicos de cumplimiento:
- El modelo genérico o de superestructura de compliance se apoya en el marco regulatorio global que ofrece la norma ISO 19600, la cual fija las directrices y buenas prácticas para implantar la función de compliance en cualquier empresa u organización.
- Los modelos específicos de cumplimiento son los que abordan áreas jurídicas concretas, por ejemplo:
- Compliance penal
- Compliance corporativo
- Compliance medioambiental
- Compliance de prevención de riesgos laborales
- Compliance anticorrupción
- Compliance de salud pública
- Compliance fiscal y tributario
La labor del Compliance Officer pasa por integrar los sistemas específicos en un marco general y mantener una coordinación y supervisión del modelo para garantizar su eficacia, y que esté alineado con las necesidades del negocio.
Modelos de Gestión de Compliance y Certificaciones
¿Se puede certificar el compliance? Sí, por supuesto. Igual que desde hace muchos años las organizaciones disponen de modelos de gestión en ámbitos muy diversos (calidad, medio ambiente, seguridad laboral, etc.) recientemente se han desarrollado estándares que ayudan a las compañías a implantar y certificar sistemas de gestión en compliance.
Lea también: Empresas Familiares: Modelos y Soluciones
Las organizaciones que desean implantar un modelo de gestión y, posteriormente, obtener una certificación o reconocimiento externo disponen actualmente de cuatro modelos:
Normas Genéricas:
- ISO 37301: sistema de gestión de compliance. Es el modelo más ambicioso y complicado, ya que analiza los riesgos relacionados con todas las obligaciones de cumplimiento normativo, independientemente de las consecuencias (administrativas, penales, reputacionales, etc.) que puedan tener para la organización.
- UNE 19601: sistema de gestión de compliance penal. La norma se centra en prevenir la comisión de delitos en las organizaciones para evitar su imputación penal, de acuerdo con el Código Penal español en vigor.
Normas Específicas:
- ISO 37001: sistema de gestión de antisoborno, norma centrada en prevenir los delitos de corrupción, cohecho, tráfico de influencias, malversación, etc., todos aquellos ligados al concepto de soborno.
- UNE 19602: sistema de gestión de compliance tributario, norma orientada a gestionar los riesgos tributarios (elusión de pago de impuestos y de la Seguridad Social, etc.).
No, no hay ningún requisito legal que obligue a una organización a certificarse en compliance. Aquellas que se embarcan en estos proyectos quieren garantizar que hacen bien las cosas y que se adoptan todas las medidas preventivas para minimizar la materialización de un riesgo. Además, obtener una certificación permite mejorar la reputación empresarial, fortalecer la confianza de los clientes y, en definitiva, robustecer la posición competitiva.
La experiencia de los últimos años nos indica que la mayoría de las organizaciones optan por la certificación de su sistema de gestión de compliance penal según la norma UNE 19601. Esta decisión viene motivada porque el Código Penal, en su artículo 31 bis, contempla la exención de la responsabilidad penal de las personas jurídicas si, entre otros requisitos, antes de la comisión del delito se implanta un sistema de gestión enfocado a la prevención. Y sin duda, obtener una certificación, es la prueba más robusta para demostrar el compromiso con el cumplimiento legal de una entidad ante las autoridades judiciales.
En muchos casos, las organizaciones optan también por implantar y certificar simultáneamente la norma ISO 37001 de antisoborno, considerando los casos de corrupción que se han conocido en los últimos años y el impacto que tendría la comisión de este delito en una organización.
En cualquier caso, la decisión debe tener en cuenta, entre otros aspectos, qué riesgos quiere mitigar la empresa y cuáles son los requisitos de los clientes.
A corto-medio plazo no hay duda de que cada vez más organizaciones implantarán y requerirán una certificación de compliance (principalmente, por exigencia de sus grandes clientes). Además, en los próximos meses está previsto que se publiquen otras normas específicas relacionadas con la libre competencia, aspectos laborales o el blanqueo de capitales. Sin duda, el compliance es un ámbito en plena expansión, necesario para generar confianza con los clientes y para minimizar el riesgo en las organizaciones.
Ejemplos de Compliance en Empresas
Para ponernos un poco en antecedentes, estas cuatro empresas están imputadas en el caso Villarejo (macrocausa ‘Tándem’) como piezas separadas, para aclarar una serie de contratos y pagos que se hicieron a la empresa Cenyt (perteneciente al ex-comisario) para que esta llevará a cabo diferentes trabajos, algunos de los cuales consistían en espionaje e investigación y obstaculización de competidores, entre otros.
Por todos estos delitos, Repsol, CaixaBank, Iberdrola Renovables y BBVA podrían enfrentar como empresas penas que, aparte de elevadas multas, también podrían implicar desde la suspensión de su actividad, pasando por la inhabilitación para obtener ayudas públicas o contratar con el sector público, hasta la disolución de la compañía. Para muestra, ya en junio de 2022, el juez instructor de la causa archivó la investigación sobre Repsol y CaixaBank, porque estas habían aportado durante la investigación su «modelo de organización y gestión para la prevención de delitos», que en el momento de los hechos investigados, cumplía con los requisitos que exige el artículo 31.2 bis del Código Penal para estos planes.
Caso Barçagate
Hablamos del conocido como el caso Barçagate, en el que se imputó a varios directivos de la cúpula del club, entre ellos el entonces presidente, Josep María Bartomeu, por los delitos de administración desleal y corrupción entre particulares. El Barçagate es un claro ejemplo de la importancia de tener no solo un programa de compliance, sino que este debe ser efectivo y promover la cultura del cumplimiento dentro de la empresa, algo que implica a los propios directivos, que son quienes deben implementar el denominado ‘tone at the top’.
El siguiente de estos casos de compliance y ejemplos de situaciones reales, nos lleva, una vez más, al FC Barcelona, sin embargo, en esta ocasión, el resultado fue bastante distinto al del Barçagate.
Caso Volkswagen (Dieselgate)
El último de nuestros casos reales de compliance nos lleva fuera de España (aunque también nos afectó), nos referimos al caso Volkswagen, también conocido como ‘Dieselgate’.
El caso Volkswagen saltó en 2015, cuando la EPA (Agencia de Protección Medioambiental de Estados Unidos) descubrió que los coches del fabricante alemán tenían implementado en el ordenador de abordo un programa que permitía trucar las pruebas de emisiones, de manera que durante las mismas emitía menos contaminantes que cuando se conducía en condiciones normales. El escándalo salpicó a directivos y al chief compliance officer (jefe de cumplimiento) de la compañía (que además fue detenido y finalmente declarado culpable).
Sin embargo, Volkswagen tenía implementado un sistema de compliance y un código ético. Lo que ocurrió es que la directiva decidió ignorar su propio sistema de compliance y aceptar el riesgo que suponía trucar las pruebas. Incluso llegó a indicar a sus ingenieros que debían ocultar toda la información relativa a ello.
tags: #modelos #de #compliance #para #pymes