KPMG Blogs

open

Author Archives: Alain Casanovas

Procesos de creación de confianza en compliance

Por Alain Casanovas
on 03. 05. 2017

Los profesionales que desarrollan cometidos de compliance en las empresas vienen dedicando una parte cada vez mayor de su tiempo a algunas tareas que, aun siendo necesarias, son tremendamente repetitivas y restan tiempo a otros cometidos de mayor criticidad. El hecho de que cada vez más organizaciones exijan a terceros la sumisión a sus códigos éticos o de conducta obliga a analizarlos y compararlos con los propios, viendo sus diferencias para determinar las acciones a adoptar. Igualmente, se reciben y se emiten una creciente cantidad de cuestionarios de compliance, destinados a escrutar el entorno de control de la contraparte y adoptar las cautelas que se consideren adecuadas. Una buena parte del tiempo del compliance officer discurre en estas tareas, vinculadas con la diligencia debida de la organización en la selección y contratación con terceros.

En los últimos meses se han producido novedades importantes que facilitarán los procedimientos de diligencia debida y los dotarán de homogeneidad tanto a nivel nacional como internacional. Al estándar ISO 37001 sobre sistemas de gestión antisoborno, que se publicó en octubre de 2016 y se ha traducido recientemente al español internacional, se suma ahora el esperado estándar UNE 19601 sobre sistemas de gestión de compliance penal que, tras someterse a información pública en el BOE del pasado 2 de febrero, estará disponible el próximo 18 de mayo, según anunció la Asociación Española de Normalización UNE en un reciente acto de presentación. Puesto que ambos estándares son certificables, están llamados a convertirse en moneda de cambio común en las transacciones. En lugar de indagar sobre el entorno de compliance ajeno, es más sencillo y efectivo solicitar la evidencia de un tercero independiente sobre el particular, sobre la base de un marco de referencia generalmente aceptado como son las norma ISO y UNE. Así se fundamentan los llamados “procesos de creación de confianza” (“confidence building processes”), de modo que un auditor externo, experto en sus cometidos, refuerza con su opinión los procedimientos de diligencia debida de la organizaciones y contribuye a generar confianza en el mercado. Solicitar que las contrapartes exhiban esa evidencia ahorrará los análisis que ahora mismo desarrollan muchas organizaciones y otorgará a esta labor una mayor independencia. En los próximos días se debatirá sobre ello en el seno del II Congreso Internacional de Compliance que se celebra en Madrid, y donde acuden expertos que han representado a varios países en los procesos de normalización internacional que han alumbrado los estándares más modernos de compliance. Sobre estos cimientos se ha construido la Norma UNE, midiéndose en igualdad de condiciones con las buenas prácticas que se exigen a nivel internacional, que igualmente incorpora. Por ello, es también previsible que las organizaciones españolas que operan en los mercados internacionales utilicen la adaptación al estándar español, que viene a cubrir las necesidades de nuestro Código Penal, como trampolín para disponer seguidamente de un modelo antisoborno acorde con las expectativas de otros mercados. No olvidemos que la estructura y gran parte de los contenidos de la norma española son idénticos a los internacionales.

Este imparable proceso de homogenización facilitará un lenguaje de comunicación común en materia de prevención penal y del soborno, que incide inmediatamente en la forma de documentar los programas de compliance, como se explica en el video número 5 de la Serie Compliance Basics.

No obstante, puesto que los nuevos estándares son ciertamente exigentes, se prevé que coexistan con especificaciones particulares y programas no estandarizados que faciliten iniciar un proceso de mejora y aproximación a modelos alineados con la normalización oficial.

La generalización de patrones estandarizados de comparación, tanto a nivel nacional como internacional, permitirá que la función de compliance centre su atención en las relaciones de negocio de mayor riesgo, de modo que pueda profundizar en ellas e incluso realizar indagaciones de manera directa. Pero para ello es preciso liberarse antes de trabajos en buena parte rutinarios sobre la base de los procesos de fomento de la confianza.

Métrica comparativa en los recursos de Compliance

Por Alain Casanovas
on 04. 04. 2017

El 28 de agosto de 2008 el Abogado General Adjunto del Departamento de Justicia (DoJ) de los Estados Unidos, Mark Filip, emitió un memorándum describiendo qué medidas se consideraban “cooperación” para cualificar adecuadamente los procesos seguidos con las empresas y contribuir a perfilar los cargos contra ellas. Estos elementos, conocidos como los “Filip Factors”, contemplaban la existencia y efectividad de un programa de compliance. En línea con esta iniciativa, el pasado mes de febrero el DoJ publicó un sencillo documento de 8 páginas que relaciona los principios básicos para evaluar programas de Corporate Compliance, con un interesante enfoque práctico y del que se extraen importantes lecciones.

El documento del DoJ permite identificar y evaluar rápidamente aspectos críticos que dotan de eficacia a un programa de compliance para la prevención de la corrupción, pero que son igualmente extrapolables a modelos de Compliance más amplios. Ahora nos vamos a detener en uno de sus puntos críticos: los recursos.

Apuntar la necesidad de facilitar recursos a la función de compliance no es ninguna novedad, pero sí hacerlo en los términos del documento que nos ocupa. Por primera vez se habla de comprobar si la organización ha denegado en alguna ocasión los recursos solicitados por dicha función y evaluar los motivos que llevaron a adoptar tal decisión. También se habla de comparar el nivel de recursos y compensación de la función de compliance con otras funciones estratégicas de la organización. Y es aquí cuando, por primera vez, una autoridad relevante se manifiesta abiertamente sobre indicadores de métrica comparativa tremendamente reveladores (benchmarking interno).

Las comparaciones son odiosas, pero en ocasiones son la única forma de constatar la sensibilidad real de las personas y organizaciones ante ciertas cuestiones. Comparando los recursos asignados a la función de compliance y la retribución de sus miembros, con los correspondientes a otras funciones estratégicas se obtiene un baremo de prioridades que admite poca discusión, por su carácter objetivo. Que la retribución y posición jerárquica del Compliance Officer ocupe el rango bajo del equipo directivo es muy indicativo, como también que los recursos asignados a compliance sean inferiores a los dedicados a otros cometidos. Tómense las inversiones en compliance y compárense con otras de importe parecido, para ver a qué son equiparables. Cuando su monto es nulo o próximo a partidas poco trascendentes, como festejos o celebraciones, quienes así lo decidieron flirtean con la negligencia criminal.

El arquetipo de conducta que establece nuestro Código Civil es la de un buen padre –y madre- de familia (artículos 1.094 y 1.104.2 del Cc), de quienes se espera que ejerzan una diligencia razonable y sensata en su entorno. Unos buenos progenitores desean lo mejor para los suyos y eso debe guiar sus decisiones, sin escatimar recursos para lograr su bienestar:¿qué opinión nos merecen las madres y padres que merman los recursos que necesitan sus hijos (médicos, educación, alimentación, etc), y los dedican a cuestiones no prioritarias (ocio, vacaciones, confort, etc.)? Salvando las distancias, este tipo de comparaciones son las que propone el DoJ para darnos un baño de realidad. Es fácil proclamar la ética olvidando que los valores no son realmente tales mientras no cuestan dinero.

En el ámbito de los negocios, el patrón de conducta de un buen padre de familia se sustituye por el de un ordenado empresario, elevando el umbral de la diligencia de su conducta por la especialidad de sus actividades. Si de un buen padre de familia no cabe esperar una asignación insensata de recursos, todavía menos en un ordenado empresario, capaz de calibrar mejor la trascendencia de sus decisiones de negocio.

Los estándares internacionales sobre compliance destierran el vocablo “eficiencia” y se refieren únicamente a la “eficacia” de los sistemas de gestión. La eficacia es lograr los objetivos de compliance fijados por la organización, mientras que la eficiencia es hacerlo con el menor volumen de recursos posible. Puesto que esta la dinámica de economías en compliance pone en riesgo la consecución de dichos objetivos, se ha obviado deliberadamente toda mención a la eficiencia para no amparar medidas o decisiones mediocres que justifiquen ulteriores incumplimientos. No encontramos este término ni en el estándar ISO 19600 sobre compliance, ni tampoco en el 37001 contra el soborno, ni en el estándar español UNE 19601 sobre sistemas de gestión de compliance penal. Esto no significa que la eficiencia carezca de importancia, pero es muy inferior a la que tiene la eficacia en el ámbito de la prevención de ilegalidades, incluidas las de naturaleza penal.

Dimensionar adecuadamente los recursos de la función de compliance le ayuda a operar de manera autónoma y ganar eficacia en sus cometidos. Junto con la autonomía, son dos factores clave de efectividad reconocidos en múltiples textos sobre la materia. En el video publicado este mes, dentro de la Serie Compliance Basics, se exponen buenas prácticas que permiten mejorar el grado de autonomía e independencia de la función de compliance, incluyendo una adecuada asignación de recursos, según hemos visto.

Modelos degenerados de Compliance

Por Alain Casanovas
on 20. 02. 2017

¿Existe modelos de Compliance ideados para incumplir las normas? Desde hace tiempo se sabe que desarrollar conductas aberrantes no es patrimonio exclusivo de ciertos perfiles de personas, sino que cualquiera puede llegar a observarlas ante ciertas circunstancias, como demostró Stanley Milgram en 1961 mediante sus experimentos. Cabe preguntarse si las organizaciones desarrollan un patrón similar, pervirtiendo sus estructuras de control ante ciertos condicionantes, hasta el punto de convertir compliance en una herramienta que ayuda a incumplir las normas.

En noviembre de 2011, los profesores de la Harvard Business School, Paul Healy y George Serafeim, publicaron un trabajo de investigación sobre las medidas anticorrupción en las empresas. Una de las conclusiones que alcanzaron fue que las organizaciones que no aplicaban medidas anticorrupción en regiones de alto riesgo, experimentaban un crecimiento mayor, a costa de una menor rentabilidad. El Informe de la OCDE sobre cohecho internacional del año 2015 lo confirma, pues aunque el importe medio de los sobornos analizados es del 10,9% de la operación, erosiona el 35,5% de las ganancias que produce. Se consigue un crecimiento inmediato a costa de perder rentabilidad, circunstancia a encubrir procurando nuevas operaciones. Y es así como se entra en un ciclo autodestructivo, parecido a un esquema Ponzi , donde el modelo de negocio sólo se sostiene a costa de ahondar más en él. Incluso cuando los gestores de la empresa son profesionales preparados y contrarios a las malas praxis, les será difícil frenar esta dinámica por dos motivos: (i) dejar de pagar sobornos acarreará una llamativa caída del volumen de negocios, difícil de explicar, y (ii) erradicar las malas praxis devuelve a la organización a su nivel de competitividad real, perjudicada por las medidas mitigantes del deterioro del margen (ahorro en costes de personal y en mano de obra cualificada, disminución de inversiones, etc). Aún con la esperanza de abandonar algún día esta espiral, pueden verse abocados a dedicar cada vez más tiempo a las malas praxis, detrayendo recursos destinados a otras cuestiones lícitas. Son comportamientos que coinciden, al pie de la letra, con los criterios que denotan la adicción al consumo de sustancias, según el Manual DSM de la American Pshychiatric Association APA. Escalofriante paralelismo, ¿verdad?

Las malas praxis producen adicción, y eso repercute en las estructuras de Compliance. El ejemplo anterior se refería al soborno, pero se manifiesta también en otros ámbitos. En septiembre de 2012 la autoridad británica en materia de competencia, la antigua Office of Fair Trading (OFT), consideró la posibilidad de que los programas de compliance fueran un factor agravante de las sanciones económicas cuando se hubieran dispuesto para conciliar o facilitar el incumplimiento, o para confundir a las autoridades. No estamos hablando del paper compliance, cuyo objetivo es generar una apariencia formal de estructuras de compliance para eludir las consecuencias legales de su ausencia, sino de acciones destinadas a ocultar o promover el incumplimiento. Cuando en la formación de compliance, por ejemplo, se explica cómo ocultar evidencias de irregularidades, se está corrompiendo su finalidad. Se pervierte igualmente cuando la función de compliance produce apariencias o destruye evidencias para encubrir incumplimientos, o cuando lejos de colaborar con la administración, dificulta conscientemente su actuación. Son trazas de modelos degenerados de compliance.

Interiorizar la cultura de compliance evita avanzar hacia este tipo de prácticas, como explico en el Capítulo 2 de la serie de videos Compliance Basics . La cultura de compliance permite que la mayoría de personas en la organización perciban como anormales determinadas conductas, incluso cuando han venido siendo práctica habitual. Por eso, nunca es tarde para impulsarla, incluso para revertir modelos degenerados.

La pregunta más difícil para un Compliance Officer

Por Alain Casanovas
on 07. 02. 2017

Al socializar, es habitual que nos pregunten a qué nos dedicamos. Es curioso que esta cuestión, aparentemente inocua, entrañe un notable esfuerzo para los profesionales entregados al Compliance. Dada la dificultad de responder a esta pregunta, incluso cuando viene formulada por personas introducidas en la materia, se precisan esfuerzos y habilidades fuera de lo común para aventurar una respuesta dentro de una conversación banal. Sabremos que Compliance ha alcanzado la mayoría de edad cuando no sea preciso explicar qué es. Pero todo es cuestión de tiempo. Hace apenas una década, decir que un profesional “desarrollaba apps” exigía muchas explicaciones, mientras que ahora es una profesión que la mayoría de niños conocen perfectamente.

La dificultad de resumir qué es Compliance radica en que aúna materias procedentes de campos del conocimiento que nunca antes se conjugaron con tal intensidad, provenientes del ámbito del Derecho, del control interno o de la psicología social. Por eso, no encaja en definiciones pre-existentes y, recurrir a ellas, provoca malos entendidos. Esta complejidad favorece la proliferación de visiones dispares sobre los cometidos del Compliance Officer, y que algunas funciones preexistentes en la empresa perciban la irrupción del Compliance como una invasión de competencias. En no pocas organizaciones, el rechazo a la función de Compliance procede de su incomprensión.

Afortunadamente, las competencias de Compliance vienen siendo perfiladas desde hace tiempo gracias a normas que las abordan desde una vertiente tanto general (por ejemplo, el estándar ISO 19600 sobre Compliance en general como específica (por ejemplo, el estándar ISO 37001 para el Compliance contra el soborno.  En el año 2016 se constituyó en Madrid un grupo de trabajo dentro de la Asociación Española de Compliance (ASCOM) para compilar, en un documento práctico y sumario, los trazos esenciales de la función de Compliance, según vienen reconocidos en los estándares nacionales e internacionales más importantes sobre esta materia. Se trata del primer Libro Blanco sobre la función de Compliance , cuyo objeto no es disertar sobre el particular, sino plasmar las actividades propias de Compliance, según el sentir generalmente aceptado y documentado. Es, por lo tanto, un documento relevante para conocer las expectativas normalmente depositadas en la función de Compliance y sus responsables. El Libro Blanco se divide en seis apartados (estructuras de Compliance, autonomía, independencia, cometidos esenciales, monitorización y responsabilidades), incluyendo un Anexo con la extensa relación de los estándares y textos nacionales e internacionales en los que se basa. Puesto que se ha querido promover un consenso social destacado acerca de los trazos esenciales de la función de Compliance, se facilitó un borrador de Libro Blanco a instituciones españolas relevantes, promoviendo así eventuales mejoras al mismo. El documento será de libre acceso en breve, para todos los que tengan interés en él.

Seguramente este texto contribuirá a mejorar el conocimiento sobre Compliance y será de ayuda no solo a empresas, sino, principalmente, a los Compliance Officers. Una figura llamada a desempeñar un rol clave en la forma de hacer negocios del siglo XXI merece ser conocida y comprendida por la Sociedad. Para contribuir a este objetivo, publicaré mensualmente en este Blog la Serie de videos Compliance Basics, donde se tratan aspectos esenciales de Compliance a través de 12 Capítulos de corta duración. El primero aborda, precisamente, la pregunta más difícil para un Compliance Officer: ¿Qué es Compliance?

Tal vez todo ello contribuya a que, en algunos años, no sea tan difícil como ahora explicar qué es Compliance a cualquier persona que nos lo pregunte alegremente, tomando un café.

Corazón de chocolate

Por Alain Casanovas
on 13. 12. 2016

Ningún niño merece una infancia infeliz. Esto debió pensar el piloto norteamericano Gail S. Halvorsen cuando aterrizó su avión en el aeropuerto berlinés de Tempelhof durante el abastecimiento aéreo a la población en 1948, en los peores momentos de la postguerra. Acercándose a un grupo de niños que, amontonados, observaban los aviones tras las alambradas, les entregó un par de chicles y se apenó al ver cómo los desmenuzaban en pedazos minúsculos para repartirlos.  Quedó tan consternado que prometió arrojar más desde su avión al día siguiente. Les confió un secreto: para identificar su aparato y que estuviesen preparados, movería las alas antes del lanzamiento. Esa actuación, completamente anti-reglamentaria, terminaría desencadenando consecuencias maravillosas.

Como recuerda el Profesor Emérito de Ética Empresarial D. Melé, más allá de la responsabilidad derivada de los deberes legales, existe una responsabilidad moral derivada de la capacidad para reflexionar sobre las propias acciones y sus consecuencias en términos morales, esto es, con referencia al bien y al mal ocasionado. Por este motivo, la obediencia debida que alegan quienes, cumpliendo con la Ley, causan daños o dejan de producir el bien, es un argumento muy pobre en términos éticos y bastante manido en los tribunales internacionales que juzgan crímenes contra la Humanidad. Para no restringir el Compliance a la satisfacción de deberes legales, la norma ISO 19600 sobre Compliance Management Systems (CMS) considera que las obligaciones de Compliance son aquellas que una organización debe cumplir –las que vienen impuestas por la Ley, por ejemplo-, pero también aquellas que elige voluntariamente cumplir –las recogidas en un Código Ético, por ejemplo-. Es a través de esta segunda categoría por donde irrumpen en la esfera del Compliance obligaciones que trascienden de la legalidad, incorporando contenidos conexos con la ética y los valores. Este es el motivo por el cual la traducción española del estándar ISO mantuvo el anglicismo “compliance” en lugar de interpretarlo como “cumplimiento”, rehuyendo la acepción tradicional de este término -asociado con el  marco legal-, que es sólo una parte del universo del Compliance, en su sentido moderno.

Aquella noche el teniente Halvorsen se hizo con algunos chicles y caramelos. Para que no dañasen a los niños al caer, junto con su tripulación los empaquetaron y unieron a pequeños paracaídas elaborados con pañuelos. A la mañana siguiente cumplió su promesa y los arrojó desde su avión. Durante las semanas siguientes repitió secretamente esta acción, pero los niños que aguardaban el lanzamiento se convirtieron en multitud. La situación se le estaba escapando de las manos.

Las personas tenemos un valor que nos hace acreedoras de respeto incluso en las peores circunstancias, siendo ese el fundamento de la dignidad humana. Por ello, el ser humano nunca debería ser tratado como un medio para conseguir un fin, como ya expresó el filósofo Immanuel Kant en el siglo XVIII. No somos un mero “recurso” que gestionar en las empresas y, por eso, algunas ven apropiado renombrar los departamentos de “Recursos Humanos” (HH.RR.) por los de “Personas” o incluso “People”, para los más “cool”. La “cosificación” de las personas es algo deplorable que atenta contra su dignidad y es contraria a los Códigos Éticos más elementales. Por ese motivo, Compliance debería también cuidar que nadie en la organización sea tratado sin respeto o consideración, incluso cuando haya transgredido sus obligaciones y malogrado su reputación: hasta en tales casos, no pierde su dignidad como persona. Y eso no hay que interpretarlo en clave de compasión, sino de pura consistencia con el cumplimiento de los valores de la organización.

Un periódico berlinés escribió un extenso artículo sobre el lanzamiento de dulces para los niños y destapó las “misiones secretas” de Gail Halvorsen. El General William H. Tunner lo llamó a su despacho y el piloto acudió temiéndose lo peor. Pero en lugar de recibir una reprimenda, fue objeto de felicitación y la noticia se extendió por los Estados Unidos. Llegaron entonces dulces en aluvión, provenientes de familias y empresarios, empaquetados con gran ternura y algunos de ellos con su pequeño paracaídas incorporado.

La cultura de integridad en las organizaciones permite a sus personas desarrollar y reconocer las conductas correctas, incluso cuando no están explícitamente reguladas. Por eso, tanto los estándares más modernos sobre Compliance como los poderes públicos, remarcan la importancia capital de cultivar los valores: en España, la Circular 1/2014 de la Fiscalía General del Estado y la Sentencia de 29 de febrero de 2016 del Tribunal Supremo son excelentes muestras de ello.

Aquellas Navidades muchos niños berlineses soportaron mejor las privaciones gracias a los dulces que llovieron del cielo. Uno de ellos era la pequeña Jutta B., que más adelante estudió derecho y literatura en la Universidad Libre de Berlin, se doctoró en San Francisco e impartió allí clases de alemán. Cuando compartía esta entrañable historia a sus alumnos, no podía evitar llorar y al poco rato lo hacía toda la audiencia, recordando a quien fue llamado “el hombre con el corazón de chocolate”.

Gail S. Halvorsen repitió sus lanzamientos aéreos en Bosnia (1994) e Iraq (2003).

 

Autor: Alain Casanovas es Socio responsable de Cumplimiento Legal en KPMG en España

Nace el primer sistema internacional contra el soborno

Por Alain Casanovas
on 30. 11. 2016

Tras varios años de trabajo intenso, el pasado mes octubre se publicó el primer estándar realmente internacional para articular sistemas de gestión anti-soborno, la norma ISO 37001. Es el resultado de un laborioso proceso de normalización, en el que han intervenido 59 países, incluyendo España (37 como participantes y 22 como observadores), además de diferentes instituciones internacionales.

El punto de partida de este texto fue el estándar británico BS10500 sobre sistemas de gestión contra el soborno, producido en el año 2011 tras la entrada en vigor de la UK Bribery Act, aplicable a la lucha contra en soborno tanto a funcionarios públicos como en el sector privado. Aun siendo éste uno de los textos más avanzados en la materia, su contenido fue meticulosamente analizado y mejorado durante tres años. El estándar 37001 se convierte así en la expresión más moderna de sistemas de gestión para la prevención del soborno a nivel global, aplicable tanto en el sector privado como en el público.

El contenido del estándar resultará de utilidad no sólo para dotarse de estructuras reconocidas internacionalmente, sino también para exigirlas a las contrapartes con las que se mantengan relaciones de negocio. Puesto que los sistemas de gestión que cumplan con los requisitos de la norma serán certificables, en poco tiempo se convertirán en una exigencia normal en la contratación en entornos de riesgo, apoyando a los procedimientos de diligencia debida en la selección de contrapartes. En este sentido, no olvidemos que tres de cada cuatro sobornos se producen a través de personas interpuestas, según concluyó el Informe sobre el cohecho internacional elaborado por la OCDE en el año 2015.

El sistema de gestión anti-soborno tanto puede estar integrado en un modelo de Compliance más amplio, como operar aisladamente. Se ha establecido así para no gravar a las organizaciones exigiéndoles unas superestructuras de Compliance (modelos transversales que cubren diferentes ámbitos de cumplimiento), cuando realmente no lo precisan, y sólo quieren dotarse de un certificado de conformidad de relación de su sistema de prevención del soborno. Sin embargo, la Circular 1/2016 de la Fiscalía General del Estado subraya la necesidad de que las organizaciones se doten de sistemas de organización y gestión que les ayuden a prevenir incumplimientos en general, incluyendo pero no limitándose a los de naturaleza penal.

Evidentemente, los modelos de gestión anti-soborno no aseguran que no se hayan producido ni se vayan a producir sobornos, pero ayudan a las organizaciones a fijar medidas modernas para prevenir, detectar y gestionar situaciones en las que pueden producirse. En este contexto, la norma ISO incorpora la relación más moderna de pagos y prestaciones a través de las cuales pueden encubrirse sobornos (regalos y atenciones, gastos de hospitalidad, beneficios a las comunidades, favores personales, etc.), de gran utilidad para vertebrar estándares de conducta y los controles para verificar su cumplimiento.

Las organizaciones que quieran certificarse deberán disponer del soporte documental suficiente que acredite la existencia y aplicación efectiva de los requisitos que exige la norma ISO. En España, esto llevará a que bastantes empresas quieran revisar sus modelos de prevención de delitos para asegurarse de que cumplen, además, los requisitos del estándar certificable.

La norma ISO sigue el principio de proporcionalidad, de modo que los sistemas de gestión anti-soborno se adecuarán a las circunstancias tanto internas como externas de la organización, dando lugar a modelos muy variados pero siempre adaptados a cada realidad. No es en absoluto aconsejable copiar sistemas ajenos o utilizar simples modelos, constituyendo prácticas reprobadas por la Circular 1/2016 de la Fiscalía General del Estado.

El estándar puede aplicarse a empresas, grupos de empresas e incluso a sólo una parte de ellas, facilitando así diferentes opciones que ayuden a adoptar la estructura más conveniente en cada caso. No obstante, no debe olvidarse que el soborno se encuentra estrechamente vinculado a conductas que se desarrollan localmente, motivo por el cual la capilaridad del modelo puede ser importante para garantizar su eficacia. En cualquier caso, se precisa una Política que declare de forma explícita la tolerancia cero a las conductas que puedan implicar soborno, así como acciones formativas y de concienciación que difundan y refuercen ese mensaje.

Fuente: Cinco Días. Publicado el 30 de noviembre de 2016

La comprensión situacional en Compliance

Por Alain Casanovas
on 03. 11. 2016

La vida está llena de problemas. Desde que nos levantamos hasta que nos acostamos gestionamos problemas continuamente y los solucionamos sin apenas darnos cuenta. La evolución nos ha convertido en seres casi perfectos para solucionar problemas, y nos damos cuenta ahora, al intentar que las máquinas ejecuten tareas aparentemente sencillas que desarrollamos inconscientemente. Solucionamos problemas aritméticos cuando pagamos la compra o calculamos cuantos días faltan para determinado acontecimiento. Son problemas gestionables mediante conocimientos matemáticos básicos que no precisan incorporar ninguna información de contexto: arrojan resultados igual de fiables tanto si la compra ha sido en el supermercado o en una tienda de muebles. Pero la mayor parte de nuestros problemas, por simples que nos parezcan, no encajan en esta categoría sino en la de “problemas realistas”, cuya resolución precisa del conocimiento del mundo real o contexto en el que se producen. Confundir los problemas aritméticos con los realistas conduce a un fenómeno conocido como “suspensión de sentido” (suspension of sense-making), que lleva a proponer soluciones que son matemáticamente correctas, pero inaceptables en el mundo real. En algunas ocasiones, vemos esto en los análisis de riesgos de Compliance basados en modelizaciones matemáticas, que asignan valores a los factores determinantes de la probabilidad de ocurrencia del riesgo y sus consecuencias. A menudo, estos ejercicios arrojan resultados aberrantes y, para corregirlos, se les aplica criterio experto, alterando así la conclusión mediante un conocimiento humano cualificado que otorga sentido contextual a la solución matemática. De hecho, es la forma de tratar los análisis de riesgo de Compliance como lo que realmente son: problemas realistas, no aritméticos.

Adquirir comprensión situacional (sensemaking) es clave para solucionar problemas realistas. En ocasiones se confunde este concepto con el de consciencia situacional (situation awareness), que se limita a barajar elementos físicos del entorno para comprender nuestra situación relativa y no ser sorprendidos por ellos; como sucede cuando, al conducir nuestro vehículo, no sólo prestamos atención al sentido de la marcha, sino también hacia atrás y a los laterales, para entender nuestra ubicación y no desconcertarnos por la acción de otros conductores. Pero cuando trascendemos de estos elementos para asignar atributos a personas y cosas, alcanzamos un grado de percepción superior que da mayor sentido a cuanto nos rodea (sensemaking) y nos permite afinar mucho más nuestras decisiones. Si al circular con nuestro vehículo consideramos, por ejemplo, que es un día vacacional, intuiremos que bastantes conductores a nuestro alrededor pueden no ser expertos o desconocer el trayecto que recorren. Este añadido cualitativo, que es el que transforma la simple información física en conocimiento, nos lleva a extremar precauciones y a conducir de manera distinta a cómo lo haríamos en otras circunstancias. Por eso, la comprensión situacional nos ayuda a entender el mundo donde nos desenvolvemos y nos hace más hábiles para sobrevivir en él.

Karl Edward Weick estudió la comprensión situacional (sensemaking) en las organizaciones, señalando que, entre otras cosas, constituye un proceso dinámico para extraer pistas o señales del contexto que ayuden a decidir qué información es relevante y qué explicaciones son aceptables. Dicho de otro modo, la comprensión situacional es el proceso por el que tanto las organizaciones como sus personas dan sentido al entorno para responder del mejor modo posible a la incertidumbre. Puesto que atraviesa por asignar atributos a personas y cosas, es importante promover esa observación de manera constante. La Sra. Hui Chen, que trabaja para el Departamento de Justicia de los Estados Unidos, ha manifestado la conveniencia de que el Compliance Officer desarrolle entrevistas en los diferentes emplazamientos de la organización, para contrastar hasta qué punto son comprendidas y aplicadas las medidas que procuran el cumplimiento. Es más, recomienda atender especialmente a quienes ejecutan la gestión operativa al nivel más esencial, por ser los que mejor reflejarán la cultura de la organización.

Obtener una percepción de primera mano es fundamental para avanzar hacia una comprensión situacional, que difícilmente puede lograrse mediante indicadores numéricos (Key Compliance Indicators –KCIs-), sin la carga cualitativa que brinda una correcta composición de lugar. La Comisión Nacional del Mercado de Valores (CNMV) adopta inadvertidamente esta aproximación en su Circular 1/2014, sobre los requisitos de organización interna y de las funciones de control de las entidades que prestan servicios de inversión. Al regular la función de cumplimiento normativo, señala la conveniencia de realizar visitas in-situ a las áreas operativas, siendo, además, una de las informaciones a desglosar en su informe anual. Es una evidencia más de que la función de Compliance no puede limitarse a desarrollar sus cometidos desde el back office, siendo preciso que adquiera un conocimiento directo de los elementos cualitativos de su entorno. Es más, la correcta ejecución de los planes de visita puede comprobarse durante la verificación del programa de Compliance que explico en el Kit de despliegue de Compliance número 11 publicado este mes. En organizaciones con pluralidad de emplazamientos, una función de Compliance estacionada desaprovecha gran parte de su potencial.

Vemos que, en no pocas ocasiones, las soluciones más sencillas son también las más eficaces. En este sentido, algo tan fácil como los planes de visitas de la función de Compliance, facilitan comunicarse directamente con personas responsables de la gestión operativa y permiten adquirir el conocimiento superior que señala la psicología cognitiva.

ISO 37001: un paso histórico en la lucha contra el soborno

Por Alain Casanovas
on 14. 10. 2016

El pasado día 13 de octubre se publicó el estándar ISO 37001 sobre sistemas de gestión anti-soborno (Anti-bribery Management Systems –ABMS-). Es el resultado de un laborioso proceso de normalización internacional que adopta y mejora los últimos adelantos en sistemas de lucha contra el soborno, reflejados en normas y estándares nacionales como como el British Standards 10500 del año 2011.

El estándar ISO 37001 adopta la estructura de alto nivel (High Level Structure – HLS-) de ISO/IEC, que permite a todos los modelos de gestión de ISO disponer de estructura y contenidos esenciales comunes. Esto no sólo facilita comprender el estándar a quienes estén familiarizados con otros sistemas de gestión (de medio ambiente, por ejemplo), sino que simplifica la integración de modelos. En el ámbito del Compliance, tal circunstancia es especialmente útil para encajar el ABMS dentro de una superestructura de Compliance que coordine diferentes sistemas de gestión en aspectos de cumplimiento específicos. El propio estándar reconoce que el ABMS tanto puede integrarse en un sistema de gestión más amplio como operar aisladamente. Técnicamente, la norma ISO 37001 establece un sistema de gestión (Management System Standard –MSS-) de tipo A, esto es, de especificaciones (núcleo duro) susceptibles amparar una certificación de conformidad. No obstante, incorpora algunas directrices e informaciones interpretativas adicionales (núcleo blando), que no sólo ayudan a comprender las especificaciones sino a implantar buenas prácticas adicionales. Quien vaya a evaluar el sistema de gestión atenderá a los elementos que conforman su núcleo duro, que deberán estar adecuadamente soportados como información documentada del sistema.

Aunque el estándar incorpora una definición de soborno, está estrechamente vinculada con los comportamientos prohibidos en las jurisdicciones donde vaya a aplicar. Esto significa que sólo pueden considerarse sobornos las conductas concordantes con la definición que sean ilegales, aunque la organización puede elevar voluntariamente ese umbral a otras conductas que, encajando en la definición, no están prohibidas en algunas jurisdicciones. Es una opción que se adopta frecuentemente para evitar inconsistencias intra-grupo.

El estándar contempla una serie de componentes que, articulados sobre la base del principio de proporcionalidad, dan lugar a sistemas muy variados, adaptados a las circunstancias internas y externas de cada caso. Sin embargo, se ha querido evitar el llamado “cherry-picking”, es decir, la aplicación de sólo algunos de estos componentes por cuestión de conveniencia. Por eso, los aspectos que vienen regulados en los Capítulos 4 a 10 del estándar se aplicarán en su integridad, aunque de manera proporcional. Muy relacionado con ello está la aproximación basada en el riesgo que también sigue el estándar, en el sentido que tanto el diseño como la operación del sistema de gestión están condicionados por los riesgos de soborno a prevenir, detectar y responder. Esto precisa identificarlos y evaluarlos para darle de un enfoque razonable y contribuye, de paso, a modular correctamente la proporcionalidad de sus contenidos. En este sentido, el estándar declina imponer una metodología de risk assessment concreta, consciente de que podría ser un gravamen excesivo para algunas organizaciones, pero liviano para otras. En cualquier caso, el estándar recurre al principio de seguridad razonable frente a la absoluta, declarando explícitamente que cumplir con sus contenidos no significa que no se hayan producido o no vayan a producirse sobornos, siendo su finalidad ayudar a poner en práctica medidas razonables para prevenirlos, detectarlos y responder frente a ellos. Evidentemente, el sistema de gestión debe ceñirse a las cambiantes circunstancias de la organización y mejorar con el paso del tiempo, fijando mecanismos para monitorizarlo y adecuar sus contenidos de forma recurrente.

El estándar puede aplicar a cualquier organización y sector, incluyendo tanto el privado como el público e incluso las organizaciones sin ánimo de lucro. Como en otros estándares de gestión, el concepto de organización es deliberadamente amplio, lo que posibilita implantar sistemas anti-soborno en grupos de empresas, en una sola empresa o incluso en parte de ella, facilitando así la adoptar la opción más eficaz.

Como elementos reseñables del modelo destacan la importancia del apoyo de alto nivel, la exigencia de una función de Compliance anti-soborno dotada de recursos, la obligación de una política anti-soborno, la necesidad de identificar y evaluar los riesgos de soborno, así como el establecimiento de procedimientos de diligencia debida tanto en relación con las personas de la organización como de las partes externas con las que se mantienen relaciones. También se consolida la importancia de las acciones formativas y de concienciación como aspectos clave del sistema.

Desde una perspectiva de implementación, estos y otros elementos del estándar pueden vertebrarse atendiendo al conocido ciclo Deming, que diferencia cuatro etapas: planificar, hacer, verificar, actuar (plan, do, check, act).

Finalmente, el estándar incorpora una relación de beneficios que pueden encubrir o ser percibidos como formas de soborno. Enriquece así la taxonomía moderna que ya reflejó el estándar BS 10500 en el año 2011, ampliando los conceptos que deberían estar sujetos a procedimientos de control para evitar su utilización como vías de soborno (favores personales, información confidencial como medio de intercambio para un soborno, etc).

Criterio experto contra el Paper Compliance

Por Alain Casanovas
on 04. 10. 2016

El 3 de noviembre de 2015 la Sección de Fraude del Departamento de Justicia de los Estados Unidos incorporó a la Sra. Hui Chen en calidad de experta en Compliance. Se trata de la sección que aplica la conocida Ley de Prácticas Corruptas en el Extranjero (Foreign Corrupt Practices ActFCPA-), de marcada vocación extraterritorial. El cometido de la Sra Chen es constatar la existencia y efectividad de modelos de Compliance en el momento de los hechos desencadenantes de cargos criminales contra las empresas, aspectos que condicionan su grado de responsabilidad. También se ocupa de constatar que las empresas hayan puesto en marcha acciones significativas para corregir las deficiencias de Compliance que posibilitaron las malas prácticas.

El fichaje del Department of Justice es una consecuencia lógica del incremento en la complejidad de los modelos de Compliance y la consiguiente dificultad para evaluarlos. Para ello se precisa una formación y experiencia difíciles de aunar en profesionales cuyo cometido principal puede ser otro (la investigación de los ilícitos propiciados por la falta de control). En según qué casos, valorar la idoneidad y eficacia de un modelo de Compliance en un determinado momento, es tanto o más complejo que investigar los hechos supuestamente delictivos en sí mismos.  Si a estas circunstancias añadimos que las organizaciones investigadas pueden disfrutar del soporte de especialistas en Compliance, es razonable vencer esta asimetría incorporando criterio experto del lado de las autoridades para avanzar hacia una interlocución en igualdad de condiciones y bajo un mismo lenguaje. Es lo que se persigue al integrar profesionales que tienen trayectoria contrastada en el ámbito del Compliance, de modo que conocen bien sus fundamentos y la realidad de su aplicación práctica.

Uno de los objetivos de incorporar criterio experto es cerciorarse de no estar ante modelos de Paper Compliance, es decir, estructuras soportadas documentalmente pero sin aplicación real. En una entrevista, la Sra. Chen señaló que la voluntad de disponer de un modelo de efectivo Compliance se aprecia ya en su etapa de diseño, donde debería involucrarse a otras funciones y áreas de la organización estrechamente relacionadas con sus objetivos. Cuando el modelo de Compliance es puramente cosmético, en el momento de su diseño no se precisa interactuar más que con un grupo reducido de personas en la organización, en el mejor de los casos. Sin embargo, cuando se aspira a un modelo de Compliance bien integrado y que opere efectivamente, es clave articular las relaciones que mantendrá con otras funciones y áreas sinérgicas, en el contexto de un modelo relacional. Esto debería conducir a debates sobre su arquitectura involucrando determinadas funciones o posiciones, como la de Secretaría General, Asesoría Jurídica, Gestión de Riesgos, Control Interno, Auditoría Interna o Recursos Humanos, por citar algunos ejemplos. Es sospechoso que concurriendo estas funciones en la organización, no sean consultadas al diseñar el modelo de Compliance, ya que son clave para garantizar una buena integración y su funcionamiento efectivo. De hecho, las competencias de todas ellas deberían encajar como las piezas de un puzzle, lo cual no sucede por azar sino contextualizando el modelo dentro de las llamadas tres líneas de defensa.

En las intervenciones quirúrgicas de cierta complejidad, como los trasplantes de órganos, los cirujanos suelen dedicar más tiempo a su planificación que a su ejecución, dado que su éxito radica en su correcta integración dentro del organismo humano. Sucede algo parecido con la función de Compliance, donde su diseño aislado de la realidad de otras funciones es un ejercicio relativamente sencillo, siempre que no pretenda ir más allá del papel. Ser capaces de integrar esa función en el contexto de otras áreas y funciones, habitualmente preexistentes y con atribuciones próximas, es harina de otro costal y constituye el reto que determina el éxito o el fracaso de los modelos de Compliance. También es, evidentemente, una prueba del rechazo al Paper Compliance en aras a su efectividad real.

Tolerancia cero a los delitos y apetito de riesgo en Compliance

Por Alain Casanovas
on 01. 09. 2016

Con frecuencia, la regulación en materia de Compliance exige un documento de la organización, de difusión y conocimiento general, que explicite su tolerancia cero a las conductas que puedan suponer incumplimientos. Lo vemos especialmente en el ámbito de la prevención del soborno, donde se espera, además, la traducción de dicho documento a las lenguas habladas donde opera la organización, para que nadie pueda alegar ignorancia. En algunas normas de alto nivel, como los Códigos Éticos o de Conducta, suelen incluirse directrices generales al respecto, susceptibles de desarrollo mediante otras normas o políticas internas más detalladas. En este sentido, el estándar ISO 19600 sobre Compliance Management Systems (CMS) se refiere a la Política de Compliance, del mismo modo que el próximo estándar ISO 37001 sobre Anti-Bribery Management Systems (ABMS) hará referencia la Política Anti-Soborno y también la próxima norma UNE 307101 sobre Sistemas de Gestión de Compliance Penal exigirá una Política de Compliance penal. Desarrollar las labores de prevención, detección y reacción propias de un sistema de Compliance precisa hacer públicos los valores y principios que rigen en la organización en dicha materia. Las Políticas de Compliance, tanto generales como específicas (en materia de prevención penal, por ejemplo), constituyen una pieza clave en todo sistema de gestión y, por eso, han dejado de ser un simple elemento diluido en el magma de sus recomendaciones o requisitos para convertirse en protagonistas indiscutibles. De ahí la importancia creciente en disponer de este elemento perfectamente identificado.

La regulación comparada anti-soborno así como los estándares internacionales modernos sobre Compliance suelen exigir que dicho documento manifieste tolerancia cero a las conductas contrarias a los objetivos pretendidos (las que conducen al soborno, por ejemplo, en las Políticas anti-soborno, o las que llevan a la comisión de delitos imputables a la persona jurídica, en el caso de la prevención penal). Es lógico que las organizaciones manifiesten así su oposición frontal e incondicionada a las conductas que, precisamente, se quieren prevenir, detectar o frente a las cuales se reaccionará contundentemente. Bajo este condicionante, hay quien se pregunta si tiene sentido hablar de apetito de riesgo en la prevención penal.

Si entendemos que el apetito de riesgo guarda relación con asumir voluntariamente que algún un evento contrario a los objetivos de Compliance llegue a producirse, tal voluntad parecería contradictoria con el principio de tolerancia cero. Sin embargo, si el apetito de riesgo se vincula con la exposición al riesgo (de soborno o penal, por ejemplo) y no con la tolerancia a ciertas conductas que lo pueden materializar, entonces uno y otro concepto no son incompatibles en un modelo de Compliance. Veamos algunos ejemplos.

Ninguna organización que manifieste tolerancia cero a los delitos puede, al mismo tiempo, admitir ni de forma residual conductas que entrañen su comisión, por el contrasentido que ello supone: “aunque no toleramos la comisión de delitos, estamos dispuestos a aceptar que se cometan algunos de vez en cuando”.  Si entre los objetivos de la empresa no figura devenir organización criminal, es claro que no puede aceptar ninguna cantidad de riesgo penal en el sentido que estoy describiendo.

Sin embargo, una organización sí puede asumir voluntariamente cierto grado de exposición al riesgo penal, lo que no supone tolerarlo: “aunque no toleramos la comisión de delitos, estamos dispuestos a operar en determinados ámbitos donde pueden producirse, porque disponemos de medios para prevenirlos, detectarlos y reaccionar frente a ellos”. Bajo esta perspectiva, el apetito de riesgo se correlaciona con la capacidad de limitar la exposición al riesgo –penal en este caso- conforme al objetivo de tolerancia cero, pero no en asumirlo como un mal necesario.

La distinción entre “asumir una cantidad de riesgo” o “asumir la exposición al riesgo” tal vez sea intrascendente en otros modelos de gestión, pero no en los de Compliance, donde el apetito de riesgo no puede jamás interpretarse como la libertad de admitir ciertas conductas potencialmente ilícitas, sino rechazarlas, fijando precisamente las cautelas para prevenirlas, detectarlas y actuar siempre conforme a la legalidad. En el Kit de despliegue de Compliance publicado este mes se contemplan, precisamente, una serie de herramientas para investigar y reportar los incidentes de Compliance, como son las investigaciones forenses y las memorias de operativas, de gran utilidad para mantenerse constante en el objetivo de tolerancia cero ante delitos.

Hypegiaphobia en Compliance

Por Alain Casanovas
on 29. 07. 2016

Ya en el siglo XVIII el literato y fabulista francés Jean de la Fontaine describió, en uno de sus cuentos, cierta paradoja asociada a la toma de decisiones. En su fábula del Molinero, describe cómo éste y su hijo se dirigen al mercado para vender un asno. Durante el recorrido, se ven obligados a probar todas las combinaciones de andadura posibles, ante las críticas constantes de los demás: son vituperados por la idiotez de llevar el asno atado de patas en un palo en lugar de montar en él; igualmente cuando sube el niño en lugar de ceder respetuosamente el asiento a su padre; también cuando lo hace el padre y el pobre menor debe ir a pie; o cuando ambos montan sobre el animal, por el abuso que ello supone. Siendo virtualmente criticable todo abanico de decisiones, Compliance impulsará aquellas que mejor se adapten a sus objetivos y que puedan fundamentarse racionalmente.

La Hypegiaphobia se define como el miedo irracional a la responsabilidad. Es una fobia cuyo origen puede deberse a una experiencia traumática pasada, cuando la adopción de determinada decisión comportó consecuencias negativas. Las personas que sufren esta fobia experimentan un gran estrés cuando se ven forzados a adoptar decisiones, llegando a somatizarlo en náuseas y crisis de ansiedad. En el entorno de negocios del siglo XXI, complejo y tendente a la aversión a los riesgos, se ha empezado a constatar que la Hypegiaphobia conduce a la esclerosis de las organizaciones, cuando cargos de cierto nivel evitan adoptar decisiones por los riesgos que entrañan –de ahí que sea coloquialmente conocida como “el miedo a tomar decisiones”-. Hay quien señala que tal situación viene favorecida por la generalización de las técnicas de trazabilidad interna, como son las certificaciones (statements) en cascada, tan típicas en el entorno de la Sarbanes-Oxley Act (SOX) norteamericana. A través de estos statements, diferentes cargos en la organización reconocen su responsabilidad de ejercer el control en cierto ámbito y, automáticamente, se arrogan las responsabilidades personales derivadas de ello. A nadie le entusiasma suscribir statements de los que pueda rendir cuentas ante terceros. Que se lo pregunten a Mark Sherman, Chief Executive Officer, que en 2015 fue multado e inhabilitado por el regulador norteamericano (Securities and Exchange Commission – SEC) por incluir afirmaciones falsas en sus statements sobre controles financieros internos, a pesar de no haber causado ningún daño con ello. Por cierto, que en grandes organizaciones españolas ya se observa la propensión a que los modelos de prevención penal recurran a certificaciones en cascada, siguiendo la misma filosofía SOX.

El miedo a tomar decisiones puede afectar también a Compliance, a sabiendas que sus sugerencias no sólo pueden ser criticadas sino acarrear también consecuencias a título individual. La Hypegiaphobia, en definitiva, afecta a todos y ataca el corazón mismo de la iniciativa empresarial, que se asienta en la adopción continua de decisiones con riesgos implícitos. Evidentemente, la solución no radica en propiciar la asunción imprudente de riesgos, pero tampoco en favorecer el miedo a las decisiones. Aunque es una materia muy poco estudiada, los pensadores más avanzados apuntan la importancia de que en todos los niveles de la organización se propicie un entorno razonable que favorezca la toma de decisiones. La función de Compliance puede contribuir a ello, ayudando a comprender el sentido de las normas en lugar de remarcarlas, exhortar su cumplimiento y castigar su vulneración. Cuando sus destinatarios interiorizan el significado de las obligaciones de Compliance, mejora notablemente su capacidad para adoptar decisiones sin miedo. Por este motivo, los estándares más modernos sobre Compliance (la norma ISO 19600 sobre Compliance Mangement Systems, la próxima norma ISO 37001 sobre Anti Bribery Management Systems y la próxima norma UNE sobre Sistemas de Gestión de Compliance Penal) ponen énfasis en las acciones de formación y concienciación como factores clave para lograr una adecuada cultura de cumplimiento, que contribuya a adoptar las decisiones correctas. Igualmente, se observa la tendencia a sustituir los entramados ininteligibles de políticas internas por textos sencillos y de fácil comprensión: no es más eficaz el modelo de Compliance con mayor número de políticas o más complejas, sino aquel que es capaz de transmitir sus mensajes clave para que se asimilen fácilmente. Como explico en el Kit de despliegue de Compliance publicado este mes, las diferencias jurídicas y culturales constituyen un factor de dificultad añadido para que las organizaciones internacionales dispongan de un entorno de Compliance homogéneo, lo que también exige un mayor esfuerzo didáctico para garantizar el entendimiento uniforme de sus objetivos así como de los principios que permiten adoptar localmente decisiones, sin miedo a equivocarse.

La próxima norma ISO 37001 para la prevención y detección del soborno

Por Alain Casanovas
on 06. 07. 2016

Tras las reuniones mantenidas en Londres, Madrid, Miami, París y Kuala Lumpur, a finales del pasado mes de mayo se celebraron en México DF las sesiones de trabajo destinadas a ultimar la próxima norma ISO 37001 sobre Anti-Bribery Management Systems (ABMS), es decir, sobre sistemas de gestión contra el soborno. Como Head of the Spanish Delegation, tuve el privilegio de participar en estas jornadas, donde surgieron aspectos que pueden ser de utilidad para interpretar el régimen español de la responsabilidad penal de las personas jurídicas según el estado del arte en materia de Compliance.

La norma ISO 37001 sigue la estructura de alto nivel de los modelos de gestión ISO (High Level Structure – HLS). Por este motivo, comparte índice con la norma ISO 19600 sobre Compliance Management Systems (CMS), como igualmente lo hará la próxima norma UNE 307101 sobre sistemas de gestión de Compliance Penal . Utilizar la HLS permite integrar fácilmente modelos de gestión específicos (como el anti-soborno) en otros modelos de mayor alcance, simplemente añadiendo aquellas materias propias de estos últimos. Por ejemplo: si una organización ya dispone de una Política general de Compliance en el contexto de su CMS, sólo deberá cuidarse de que contemple también las exigencias anti-bribery propias de su ABMS, sin necesidad de reiterar aspectos generales ya tratados en aquella. La fácil integración de diferentes ámbitos de Compliance permite optimizar su gestión, evitando redundancias innecesarias y lagunas en materia de políticas, procedimientos y controles. Recurrir a la HLS también simplifica la migración de modelos específicos a superestructuras de Compliance, e incluso la fusión de modelos de Compliance en las reorganizaciones internacionales.

A pesar de estas ventajas, hay que considerar que el ámbito de proyección de los sistemas de gestión anti-bribery es menor que el de los sistemas de gestión de Compliance penal, puesto que el soborno es tan sólo una de las conductas por las que se puede castigar a la persona jurídica en algunos países, como es el caso de España. Por ello, y puesto que la norma ISO 37001 será certificable, el juicio de conformidad respecto de un ABMS no implicará su razonabilidad en el ámbito de la prevención penal en general.

Sin perjuicio de lo anterior, es cierto que la norma ISO 37001 nos brinda algunas lecciones útiles para el diseño de modelos de prevención penal en España. Posiblemente, uno de los aspectos más controvertidos es la idoneidad de órganos de Compliance penal en grupos de sociedades: ¿es razonable fijar un órgano de prevención penal para el conjunto, o se precisa un órgano para cada una de las personas jurídicas que lo componen? Puesto que la norma ISO 37001 sigue una aproximación basada en el riesgo, es claro que la respuesta dependerá de la cobertura del riesgo penal que brinde una u otra opción. Dicho de otra manera, para la norma ISO 37001 la anti-bribery compliance function tendrá una estructura y ubicación razonables en la medida que sean idóneas para gestionar (prevención, detección y respuesta) los riesgos que le incumben, lo que puede derivar en modelos con diversos grados de centralización o descentralización, según explico en el Kit de despliegue de Compliance publicado este mes. Replicar tantas anti-bribery compliance functions como personas jurídicas concurren en un grupo, no es per se un argumento de peso que justifique tal multiplicidad, especialmente si ello perjudica la eficacia del conjunto en comparación con otras estructuras más racionales. Por este motivo,  la anti-bribery compliance function va referida al concepto de “organization”, que es deliberadamente amplio en la norma ISO 37001 para poder acoger tanto a varias personas jurídicas, como a una sola de ellas o incluso parte de la misma –lo que sea preciso en aras a la mayor eficacia del modelo -. Hay que reconocer que el literal del Código Penal español, que se refiere al régimen de responsabilidad penal de las “personas jurídicas”, no es especialmente acertado para avalar esta tesis que, sin embargo,  es la seguida por los expertos internacionales para procurar modelos eficaces contra el soborno, y la que también cabría esperar en el ámbito de la prevención penal.

Es igualmente interesante destacar que la norma ISO 37001 permitirá externalizar todos o parte de los cometidos de la anti-bribery compliance function, cuando, recordemos, la Circular 1/2016 de la Fiscalía General del Estado no considera adecuada la completa externalización del órgano de prevención penal. El estándar ISO parte de la base de que las responsabilidades de Compliance son siempre internas, afectando, en última instancia, a la máxima dirección de la organización. A partir de ahí, pueden asignarse total o parcialmente a personas externas de la misma, sin que ello le reste un ápice de responsabilidad. Es una opción que no se ha querido cercenar pensando, principalmente, en las SME (Small and Medium Enterprises), donde la posibilidad de externalización será posiblemente más eficaz que forzar la gestión interna de sus cometidos en ausencia de los conocimientos y/o los recursos necesarios para ello. Para cerrar esta cuestión, y con independencia de lo señalado por la Circular antes indicada, no olvidemos que el Código Penal español no veta tal opción.

Un aspecto innovador en la norma ISO 37001 es que el concepto de funcionario público incluye también el perfil de candidatos.  En algunas ocasiones, el acceso inminente a la función pública puede propiciar comportamientos inapropiados para conculcar la independencia del futuro funcionario. A tales efectos, ese tipo de conductas se equiparan a soborno con funcionario público a todos los efectos.

Está previsto que la norma ISO 37001 se publique el próximo mes de septiembre, con lo cual antes de terminar este año la comunidad internacional dispondrá del primer estándar global que recoge buenas prácticas para la prevención, detección y respuesta ante el soborno, tanto en el sector público como en el privado que, sin duda, se convertirá en un referente interpretativo obligado.