El Triunvirato de ‘compliance’
‘Compliance officer’, consultora y entidad de certificación son igual de relevantes
Compliance puede definirse desde diversas perspectivas. En mi caso prefiero enfocarlo desde la idea de incorporar en el ámbito propio de las empresas y otras organizaciones una verdadera cultura ética y de cumplimiento. Cultura que parte desde el consejo de administración (tone at the top) y afecta a toda la estructura organizativa.
Pero las buenas intenciones no pueden quedarse en el ámbito de las ideas y los compromisos, deben transformarse en acciones concretas en la organización. Y naturalmente, el sector jurídico está llamado a jugar un papel relevante en la implantación de esa cultura ética y de cumplimiento. La organización debe asignar responsabilidades concretas, la función de compliance; los despachos y consultoras deben asumir la asistencia jurídica externa; y las entidades de certificación, ocupar el rol de auditores independientes del sistema.
La reconocida norma ISO 19600 sobre sistemas de gestión de compliance basa su estructura en el ciclo de Deming Plan-Do-Check-Act (PDCA) y aunque su contenido detallado se circunscribe a recomendaciones, la estructura que desarrolla se configura como el marco general que deberían seguir las organizaciones de cara a establecer un sistema de compliance completo. Esto resulta relevante precisamente porque no todos los juristas estamos llamados a intervenir en las mismas fases del ciclo de compliance, pero sí obligados a sellar una tácita alianza como lo hicieran en su día Julio César, Licinio Craso y Pompeyo Magno.
Como eje de sujetos relevantes situaremos al chief compliance officer (CCO), designado por el consejo de administración para asegurar la función de compliance en su conjunto. Es frecuente que esta figura sea ejercida por un jurista de la organización, pues una parte esencial del compliance es el propio cumplimiento legal. También puede ser ejercida por alguien con un perfil más vinculado a auditoría interna y riesgos y cada vez es más habitual ver a los directores de calidad asumir esta función, especialmente en compañías que trabajan bajo estándares ISO 9001 y otros sistemas de gestión.
"El sector jurídico ha de jugar un papel en la implantación de la cultura ética y de cumplimiento"
Aunque el CCO es el responsable de compliance de la organización, es frecuente que las organizaciones requieran asesoramiento externo para implantar su sistema de compliance. Tanto si la organización se está iniciando en este ámbito y no considera sus políticas como parte integradora de compliance, como si cuenta con políticas, procedimientos y controles relacionados con el compliance, pero sin una estructura armonizada, en ambas juegan un papel esencial los juristas –principalmente despachos y firmas de consultoría– que aparecen como aquellos llamados a asesorar al CCO en su labor de implantación del sistema, ayudándole a desarrollar los instrumentos de compliance, y marcando el camino de la organización.
Finalmente, el ciclo PDCA establece como elementos propios del sistema su verificación y la mejora del mismo. Por ello, y en una línea similar a la anterior, aunque el CCO es también responsable de la supervisión del sistema de compliance, en este ámbito jugarán un papel trascendente las entidades de auditoría y certificación como entidades externas e independientes de la organización y de los consultores que han colaborado en la implantación del sistema, y llamadas a ser uno de los elementos de verificación de este. Su valor radica en que su actuación –al menos en el caso de sistemas implantados bajo normas certificables como la ISO 37001 sobre sistemas de gestión anti-soborno o la próxima UNE 19601 sobre sistemas de gestión de prevención penal– podrá establecerse conforme a unos esquemas de auditoría avalados por un organismo público (ENAC). Esta labor de auditoría también será llevada a cabo, en gran parte, por juristas especializados, y señalará, en su caso, la necesidad de realizar acciones correctivas por la organización, momento en el que muy probablemente vuelva a entrar en juego el papel de los despachos y consultores.
Como señalaba, al acometer compliance en las organizaciones debemos asumir que nos encontramos ante un ciclo continuo, no siempre lineal, pero que reiterará la aparición de este peculiar Triunvirato de compliance: el compliance officer como responsable interno; el despacho o consultora como apoyo externo en la implantación; y la entidad de certificación como auditor independiente del sistema. Cada uno igual de relevante para asegurar que el sistema de compliance de la organización se ajusta al principio de mejora continua típico de los sistemas de gestión.
Jorge Alexandre González es abogado. Doctor en Derecho penal. Compliance Project Manager en EQA.