Por Rafael López -Diéguez, Abogado Responsable del Departamento Corporate Compliance Grupo RLD
La tendencia legislativa existente, no sólo a nivel nacional sino también global, nos empuja inexorablemente hacia un nuevo concepto en medidas de seguridad de la empresa; se trata del corporate compliance. Hasta hace tan solo unos años muchas empresas en España no tenían siquiera conocimiento del significado de estas palabras, si bien cada vez más normas legislativas nos inducen ahora a aplicar estas medidas. Podríamos citar varias normas como la Ley de Prevención de Blanqueo de Capitales, LOPD, LSSI, Basilea II, Solvencia II, así como la reforma del Código penal en lo referente a la responsabilidad penal de las personas jurídicas con entrada en vigor en diciembre del año pasado. ¿Qué tienen todas estas regulaciones en común? La traslación de medidas de control y represión de delitos e infracciones del sector público al privado.
En efecto, resulta mucho más eficaz para el legislador confiar la labor de persecución de acciones ilícitas a las empresas. Así, al imponer la obligación –sancionable- de establecer medidas de control efectivas, se consigue que la investigación de posibles hechos delictivos o simplemente ilícitos se lleve a cabo directamente por la empresa. Esta nueva fórmula consigue un ahorro considerable en los presupuestos de los estados. Es mucho más sencillo llegar al fondo del asunto cuando ya existe un protocolo de control en las empresas, lo cual ayuda a detectar alcance y responsables de una manera ágil para los servicios públicos. La contrapartida de estas nuevas medidas se centra en el considerable gasto ocasionado en el sector privado.
No cabe duda que existe una tendencia global hacia el corporate compliance, así, recientemente –y siguiendo la estela de lo realizado en los países del entorno- ha entrado en vigor una reforma del código penal por la cual la persona jurídica será responsable penalmente en los siguientes escenarios:
1.- Cuando el delito haya sido cometido por los administradores de hecho o de derecho en beneficio de la persona jurídica.
2.- Cuando el delito fuera cometido por personal bajo la autoridad de la persona jurídica y ésta no hubiera ejercido sobre ellos el debido control.
Sin perjuicio de que, efectivamente, se ha roto con el consolidado principio de societas delinquere non potest, a efectos de este artículo, resulta de interés la posibilidad de incurrir en responsabilidad penal por la falta de los debidos controles. Ciertamente hubiera sido deseable una definición de qué es un “debido control”, no obstante, merece la pena detenerse en la nueva realidad de corporate compliance a nivel general en las empresas. La inexistencia de un sistema de control efectivo en una empresa puede implicar la incursión en responsabilidades penales para la corporación. Es decir una responsabilidad penal tipificada por la falta de un sistema de controles efectivo en la empresa.
Resulta por tanto patente la tendencia actual hacia el sistema de organización de corporate compliance y por tanto, es previsible el esfuerzo que el sector privado va a tener que realizar –de hecho muchas empresas ya han empezado- en el futuro.
Como ya he indicado, esto supone y supondrá un esfuerzo de inversión para las empresas del sector privado, pero no debe considerarse necesariamente como un factor negativo. La experiencia, así como los muchos casos de implantación de sistemas de corporate compliance, demuestran que la creación de controles efectivos, checklists y sistemas de monitorización tienen sus ventajas:
1.-prevención de infracciones: Es el más inmediato y evidente beneficio. Si conseguimos implantar controles efectivos, resultará más difícil que el personal de la empresa tenga la tentación de saltarse las reglas del juego y si a pesar de los controles sucumbiera a la tentación, sería mucho más sencillo perseguir o incluso impedir la infracción.
2.-Sanciones: Otro beneficio que resulta claro. Cada vez hay más normativa que nos obliga a implantar medidas de control. El mero hecho de no hacerlo puede suponer importantes sanciones.
3.-Mayor control sobre el negocio: De la experiencia que he podido obtener, todas –o al menos muchas- las medidas de control pueden reorientarse para obtener información de interés para el negocio. Tengamos por ejemplo una norma de control que pretende registrar los ingresos en efectivo de un banco. Imaginemos un listado diario de ingresos (filtrado por volumen) que alguien tiene que generar y también revisar. Ciertamente puede ser un sistema de control, pero es que además, nos puede indicar la marcha del negocio o información relevante sobre clientes.
4.-Prestigio/Riesgo reputacional: En estos tiempos de crisis y escándalos, tanto financieros como de otra clase, el mero hecho de tener un sistema estricto de controles y revisiones implica un valor añadido para mercados y cada vez más para el cliente de pie de calle. En sentido negativo, el hecho de no tener las medidas de control de mercado –especialmente si se es sancionado- puede terminar en un daño reputacional en los medios de prensa de dimensiones mucho mayores que cualquier multa.
De lo expuesto ha de concluirse que la implantación de un sistema de compliance puede también aprovecharse para fines comerciales. Ya que la legislación nos obliga a hacer un considerable esfuerzo de inversión, este debe aprovecharse al máximo y entenderse de forma positiva y ambiciosa. En mi opinión, el crecimiento del fenómeno del corporate compliance resulta una evolución positiva para clientes y empresas.
Doble reto
El reto ahora de los profesionales de compliance es doble, diseñar un sistema de control para la empresa eficaz, que encaje con el engranaje del negocio y, más importante aún, hacer entender al empresario que el compliance officer es un aliado y no una barrera para su actividad.
Nos encontramos en una situación en la que debemos implantar un sistema efectivo de corporate compliance pero ¿Cómo diseñar un sistema fiable para un negocio? Al menos por el momento no tenemos una norma que nos ilustre sobre cómo deberíamos diseñar un sistema de corporate compliance.
A pesar de esta circunstancia, sí que tenemos varios factores o patrones en los que poder fijarnos para el diseño de un sistema de protección eficaz. En primer lugar, debemos atender a la normativa que pueda afectar a la empresa, en esta, además de fijarse posibles y obligaciones y sanciones, se nos ofrecen pistas sobre cómo debe organizarse un sistema de cumplimiento acertado. Sirva como ejemplo normativa como la Ley de bloqueo de la financiación del terrorismo ya se intuye el principio de un debido conocimiento e identificación del cliente. Este principio debería ser utilizado en muchos más ámbitos que el de la persecución de la financiación terrorista.
Otra herramienta que se debe explorar es la de la experiencia que ya se ha desarrollado en varios sectores en los que ya existe una cultura de compliance consolidada. Sectores como el financiero o del mercado de valores han recorrido un viaje en esta materia que puede ser utilizado. Iniciativas como los informes Olivencia y Aldama nos brindan claras pautas sobre cómo establecer un órgano de Administración en la empresa independiente, transparente e imparcial.
Asimismo, en el sector de banca y seguros de grandes multinacionales tenemos ya una experiencia muy valiosa en el uso de compliance. Precisamente el hecho de que sean grandes empresas con orientación mundial ha derivado necesariamente en la implantación de sistemas de corporate compliance de otros países más entrenados en la materia.
Gracias a esta experiencia podemos señalar los principios rectores de un sistema de corporate compliance en la empresa.
En primer lugar, debemos tener en consideración que un sistema de protección debe estar diseñado siempre en función de los riesgos existentes. Por tanto, el primer paso a realizar será el exhaustivo examen de a qué peligros está expuesta nuestra empresa o negocio.
A efectos organizativos, conviene dividir este examen en distintas áreas, sirva como ejemplo la siguiente categorización en función de la proveniencia del riesgo:
1.- Riesgo por la actividad.
2.- Riesgo por clientes.
3.- Riesgo por plantilla.
4.- Riesgo organizativo.
Con este examen obtendremos lo que se denomina el “riesgo inherente” de la empresa, no obstante, nos queda analizar dentro de la organización que medidas de control están ya implantadas, ejercicio que no siempre es fácil, ya que muchas veces encontraremos medidas de control que ni siquiera están identificadas por la organización de la empresa.
Una vez examinados los controles estaremos en situación de examinar el “riesgo residual” de la empresa para poder analizar qué controles son necesarios para su mitigación. Dichos procesos y controles deberán constar por escrito al objeto de constatar el trabajo de mitigación realizado así como servir de guía de trabajo dentro de la organización corporativa.
Eficacia del sistema
Debemos tener presente que el diseño de un sistema de corporate compliance –aunque este sea perfecto- no es de por sí suficiente, debemos tener la certeza de que el mismo está siendo aplicado y que es eficaz. Por este motivo deberemos implantar un sistema de monitorización o supervisión de estos controles. La intensidad de dicha monitorización variará según los casos, pero deberá estar siempre diseñada en función del riesgo que tengamos en frente. Un sistema de supervisión adecuado (no es conveniente que sea ni excesivamente duro ni muy laxo) ayuda a mantener la tensión necesaria en los procesos del negocio.
Una vez realizado este sistema de control de riesgos, nos resta diagnosticar en qué situación de riesgo queda la empresa. Sin perjuicio de lo bueno que sea nuestro sistema de corporate compliance, siempre va a existir un riesgo residual en la empresa ya que no hay sistema de protección infalible. Igualmente, podrán haber situaciones en las cuales el propio negocio decida –con ayuda del experto en compliance- aceptar un riesgo por la razón de que el mismo no es muy elevado mientras que el control necesario para su mitigación resulta muy costoso.
A modo de conclusión, quisiera destacar que el diseño de un sistema de corporate compliance exige la figura de un experto externo y la estrecha colaboración del negocio. Difícilmente podremos diseñar procesos y controles eficaces sin una figura con la suficiente independencia y experiencia como para identificar el riesgo y además proponer un control adecuado para la mitigación del mismo. Resulta evidente que no se puede ser médico de uno mismo, por lo que necesitaremos la figura de un tercero experto (compliance officer) que nos oriente y ayude a diagnosticar y controlar los riesgos a los que estamos expuestos. Pero, dicha labor no sería suficiente sin la colaboración estrecha de la empresa, por muchos conocimientos que un compliance officer tenga sobre gestión de riesgos, la empresa en el desarrollo de su negocio, conoce mejor que nadie los procesos y posibles medidas de control, y en muchos casos conocerá qué riesgos son los que más le afectan.