KPMG Blogs

open

Author Archives: Alain Casanovas

Las rarezas del Compliance

Por Alain Casanovas
on 04. 04. 2018

Facebook superó en Enero de 2018 los 2000 millones de usuarios. Si esta plataforma fuera un Estado, sería el más poblado del planeta, superando con mucho la demografía de China e India que no alcanza los 1.400 millones de habitantes. Bajo esta óptica, las políticas de utilización de Facebook y las prácticas asociadas con ellas conciernen a la mayor comunidad de sujetos del mundo. Es curioso que las entidades con capacidad de afectar a los derechos y obligaciones de tantas personas no sean Estados ni plataformas de Estados. La irrupción en escena de organizaciones dotadas de tal potencial requiere de una gestión ética exquisita, donde un desliz se paga muy caro: en una sola semana, Facebook perdía en Bolsa 50.000 millones de dólares tras sufrir el escándalo de la fuga masiva de datos.

Tampoco proceden de los Estados algunas normas que rigen nuestra vida económica. Fijémonos, por ejemplo, en la supervisión bancaria. El Basel Committee on Banking Supervision (BCBS), conocido generalmente como “Comité de Basilea” [Link 5] es una organización mundial que reúne a las autoridades nacionales de supervisión bancaria de diferentes países. Aunque no tiene cedidas capacidades legislativas y, por lo tanto, no puede emitir normas vinculantes, sus recomendaciones y estándares gozan de un indiscutible reconocimiento a nivel de los Estados y de los propios bancos. Su legitimidad no es jurídica sino técnica y, por eso, a ningún Estado o Banco se le ocurre ignorar sus directrices, por el riesgo de pérdida de credibilidad que eso entraña. La confianza en los sistemas financieros y sus bancos se fundamenta, en buena medida, sobre recomendaciones y prácticas que no tienen carácer jurídico (no proceden de Estados ni plataformas con capacidad legislativa cedida ni tampoco pueden exigirse coercitivamente) sino técnico, siendo un fenómeno que también se observa en otros muchos ámbitos.

Ahora que ya sabemos que un volumen creciente de normas que cohesionan la confianza en la actividad económica y social no son Hard Law (Leyes cuyo cumplimiento viene exigido por las autoridades) sino Soft Law (normas asumidas voluntariamente), hay que saber que las consecuencias de su transgresión pueden ser peores que los incumplimientos de las leyes tradicionales. Cuando una organización no es capaz de transmitir confianza al resto de operadores, corre el riesgo de provocar rechazo y auto-excluirse del mercado. Una de las mayores fortunas de los Estados Unidos, Warren Buffet, manifestó que llevaba 20 años construir una buena reputación y cinco minutos arruinarla. Con ello invita a la reflexión antes de adoptar una decisión, subrayando la importancia de actuar con integridad.

En el ámbito del soborno, por ejemplo, todos conocemos casos que han afectado a grandes organizaciones y cuyo nombre quedará unido al mal ejemplo. Nadie quiere ver su prestigio asociado con ellas y, por eso, en ocasiones han debido invertir ingentes sumas para revertir esa percepción, incluyendo, por qué no decirlo, costosas campañas de mejora de imagen.

Suele decirse que los incidentes de Compliance son “killers”, es decir, susceptibles de terminar con la organización que los sufre. Este efecto proviene de su capacidad de provocar repudio, circunstancia que ninguna organización puede permitirse, sea debido a su propia conducta o por frecuentar amistades peligrosas. Cualquier atisbo de irregularidad ética o de cumplimiento puede desencadenar una crisis de confianza y, por ello, las empresas huyen de tales escenarios como si fueran serpiente de cascabel.

Este contexto explica la pujanza que la función de Compliance está observando en la comunidad internacional, dando lugar a nuevas necesidades laborales y brindando oportunidades de desarrollo profesional a perfiles comprometidos con una gestión responsable. En el documento publicado este mes dentro de la Serie Compliance avanzado trato, precisamente, diferentes opciones de carrera profesional relacionadas con el Compliance. Son las posiciones que ocuparán personas llamadas a desempeñar un rol clave en el desarrollo de actividades económicas y sociales de manera responsable.

Obsequios, hospitalidad y sobornos

Por Alain Casanovas
on 07. 03. 2018

Un equipo de investigadores de la Universidad de Australia Occidental (UWA) descubrió y documentó recientemente un delfín ofreciendo obsequios a otro. El ejemplar de delfin (Sousa sahulensis) recogía del fondo marino una esponja para obsequiar con ella a un ejemplar hembra, se intuye que con intenciones amorosas… No es el único ejemplo de obsequios en el mundo animal, habiéndose observado también en otros mamíferos, aves e incluso insectos. Es más, se producen obsequios entre especies, como las piedrecillas y demás objetos que recibe la pequeña Gabi Mann de los cuervos de su barrio de Seattle, que tanto sorprenden a los investigadores.

La práctica totalidad de exploradores, desde Marco Polo en tierras de Asia hasta el Capitan Cook en los mares australes, recurrieron a obsequios para entablar relaciones de concordia con las poblaciones locales y poder así continuar sus viajes en paz. Normalmente, fueron correspondidos de igual modo, aunque dichas comunidades no hubiesen establecido antes contacto con la civilización occidental. El ritual de obsequiarse recíprocamente no obedece a una sola cultura, estando profundamente arraigado en el ser humano. Sociólogos y economistas discuten el sentido de esta liturgia, omnipresente en nuestros usos y costumbres, sin que todavía hayan concluido al respecto: algunos dicen que nació como elemento igualador de la riqueza, mientras que otros apuntan a que es una forma de apuntalar el poder y jerarquía entre sujetos. Posiblemente haya algo de cierto en estas aproximaciones, pero lo que está fuera de dudas es que las atenciones sociales favorecen cimentar vínculos emocionales positivos. O al menos esta esperanza albergaba nuestro delfín enamorado.

Las prácticas de hospitalidad también las hallamos en muchas culturas, desde los pueblos Inuit en Groenlandia, Siberia y norte de Alaska y Canadá, hasta las comunidades Pashtun de Pakistan y Afganistan, pasando por las tribus bereber en el norte de Africa. Procurar a las personas que se hallan fuera de su entorno los medios que les faciliten desenvolverse e incluso garanticen la supervivencia es una costumbre igualmente extendida, que podría ser una derivación de la denominada “Regla de oro” presente en todas las culturas y religiones: tratar a los demás como quisiéramos ser tratados.

Sería erróneo pensar que la función de Compliance pretende erradicar usos sociales de aceptación general, comunes además en muchas civilizaciones. Kenneth Clarke, Secretario de Estado para la Justicia, prologó en marzo de 2011 la Guía de aplicación a la UK Bribery Act del Ministerio de Justicia británico. Sentados los esfuerzos que se esperan de las organizaciones en la lucha contra la corrupción, señala literalmente que nadie pretende prohibir el acercamiento a sus clientes llevándolos a Wimbledon o al Grand Prix. Es una forma de remarcar que no hay que confundir las conductas corruptas con usos socialmente aceptados. Pero, ¿dónde está la frontera?

Basándonos en la definición de soborno que contiene el estándar más moderno sobre la materia, la norma ISO 37001 sobre sistemas de gestión antisoborno, los comportamientos de soborno suponen una conducta ilegal que constituya un incentivo o la recompensa a un trato de favor. Aunque los usos socialmente aceptados no suelen ser ilegales, es cierto que, dependiendo de sus características y las circunstancias en que se producen, pueden llegar a considerarse o ser percibidos como sobornos. La cuantía económica de la atención, su transparencia, el destinatario o el momento en que se producen son factores a considerar a la hora de evaluar la permisibilidad de determinadas prácticas. Son cuestiones que trato en el documento número 3 de la Serie sobre Compliance avanzado, analizando la taxonomía moderna de actividades conflictivas desde la perspectiva de la corrupción, que incluyen aquellas que pueden encubrir un soborno o ser interpretadas como tal.

En cualquier caso, normalmente se espera de la función de Compliance mucho más que negar los obsequios y actos de hospitalidad irreflexivamente, desarrollando y documentando los análisis que justifiquen incardinar o rechazar ciertos usos sociales en el contexto de una gestión empresarial responsable, alejada de tratos de favor y ventajas anticompetitivas. No es tarea fácil en un mundo culturalmente diverso, pero tal complejidad es la que precisamente requiere profesionales formados y con fundamentos sólidos de Compliance.

Fraude y compliance

Por Alain Casanovas
on 07. 02. 2018

Adoptar decisiones sin disponer de información o con información deficiente es, per se, una conducta de riesgo. Por este motivo, manejar a tiempo información de calidad es un factor clave en todo modelo de Compliance robusto.
Las metodologías más difundidas sobre evaluación de riesgos requieren identificarlos, analizarlos y finalmente valorarlos, determinando así tanto su probabilidad de ocurrencia como las consecuencias que se producirían en tal caso. Sobre esta estimación se puede fundamentar una prioriorización de riesgos, que es un ejercicio necesario para establecer una correcta asignación de recursos en su prevención, detección y gestión.

Dentro de los factores que determinan la probabilidad de materialización de riesgos figura su historial: cuando están asociados a circunstancias que han ocurrido y no se ha actuado de manera efectiva sobre ellas, persistirá la probabilidad de que se reproduzcan. Sin embargo, esta información histórica suele ser muy escasa en materia de Compliance penal, no sólo por la novedad del régimen de responsabilidad penal de las personas jurídicas en muchos países (como sucede en España), sino también por la infrecuencia de los incumplimientos que adquieren dimensión penal. A diferencia de lo que sucede al evaluar otros riesgos de Compliance, como los de incumplimientos administrativos o civiles, aquellos casos que terminan ante la jurisdicción penal, aunque aumentan cada año, son todavía excepcionales. Eso sí, sus consecuencias suelen ser catastróficas.

Puesto que al evaluar riesgos penales se afronta esta escasez de antecedentes, suele recurrirse a información histórica análoga, considerando los casi-incumplimientos y los incidentes de naturaleza civil o administrativa de gravedad. En este contexto de analogía, es importante considerar los episodios de fraude interno sufridos en la organización. La principal diferencia al analizar el fraude en las organizaciones y sus incumplimientos es que del primero son víctimas mientras que de los segundos son autoras. Sin embargo, ambos conceptos comparten elementos comunes que deben conocerse.
Las experiencias pasadas de fraude interno brindan una idea aproximada del entorno de control: aquellas organizaciones que no son capaces de prevenir, detectar y gestionar las situaciones de fraude, posiblemente tampoco lo son respecto de los riesgos penales. Sufrir fraudes internos de calado pero asegurar que el control penal es robusto es una incoherencia, dado que ambas esferas enlazan con un mismo sustrato: la cultura de la organización y sus controles. Esta obviedad me conduce a explicar la aplicabilidad del llamado “Triángulo del fraude” en el ámbito del Compliance.

Los factores que llevan al personal de una organización a cometer un fraude en perjuicio de la misma se pueden resumir en tres elementos que ocuparían los vértices de un triángulo imaginario: la motivación, la oportunidad y la racionalización. La motivación es la razón última que impulsa al sujeto a cometer un fraude, como cubrir sus deudas, sus dependencias (a sustancias, ludopatía) y otros condicionantes que le incitan a actuar en beneficio propio y en perjuicio de la organización. La oportunidad la brindan aquellas circunstancias que posibilitan desarrollar su conducta, como ostentar un cargo que permita operar impunemente, la ausencia de directrices y controles, etc. La racionalización es el proceso subjetivo que desarrolla el sujeto para justificar su conducta ante sí mismo o incluso frente a terceros: no me pagan lo suficiente, la empresa no lo necesita, etc.

Estos mismos elementos están presentes en bastantes incidentes de Compliance, aunque con matices diferenciales. Así, por ejemplo, a la motivación individual se añade la corporativa, pudiendo darse aisladamente o de forma conjunta. El obtener un bonus, por ejemplo, puede ser un elemento que incentive a pagar un soborno a un tercero para ganar un proyecto, pero la conducta desviada (sobornar) puede igualmente producirse sin necesidad de tal bonus, bajo la creencia de estar actuando de manera correcta para los intereses de la empresa. Los factores de oportunidad van muy ligados al entorno de control, y por eso en Compliance penal se exigen unos niveles de diligencia especiales frente a las llamadas “personas especialmene expuestas”, que son aquellas con intervención relevante en actividades con riesgo penal superior a bajo. Cuando este grupo queda huérfano de supervisión, aumenta la oportunidad de que desarrolle conductas desviadas, que cristalizarán tan pronto concurra una motivación y el eventual proceso de racionalización. Los argumentos clásicos con que se racionalizan las conductas desviadas en Compliance son bien conocidos: nadie cumple con las normas, se exigen unos objetivos comerciales sólo alcanzables mediante ciertas prácticas, etc. Normalmente, ese proceso de racionalización atraviesa por interpretar que la organización observa una conducta hipócrita, exteriorizando unos valores pero exigiendo de facto conductas que los contravienen. Por este motivo, la claridad de los mensajes de Compliance y la coherencia en el modo de aplicarlos dota de legimitidad a la función y obstruye los procesos de racionalización.

La información sobre el fraude interno es trascendente desde la perspectiva de Compliance y, por eso, nunca está de sobras entrevistarse con los responsables de la organización dedicados a su prevención, detección y gestión. Con gran probabilidad, este diálogo nos ilustrará sobre la complejidad de la psique humana, viendo que las construcciones intelectuales que justifican el fraude interno son extrapolables en gran medida al Compliance. Dentro de la Serie de documentos sobre eCompliance avanzado, este mes publico el relacionado con la psicología social y cognitiva en Compliance, abordando una serie interesante de sesgos que pueden condicionar conductas desviadas, de aparición recurrente en los incidentes del Compliance.

Adiós al Compliance tedioso

Por Alain Casanovas
on 12. 01. 2018

Parte de los procedimientos de diligencia debida en Compliance consisten en la evaluación de las contrapartes de negocio. Cuando se trata de empresas, no es inhabitual que se analice su nivel de compromiso con la ética y la legalidad así como las medidas de control que han dispuesto a tales efectos. En ocasiones, estas tareas se canalizan mediante cuestionarios de compliance, que incluyen preguntas clave y solicitan evidencia documental de ciertos aspectos (Código Ético, Política antisoborno, etc). Cada vez más organizaciones desarrollan estos procedimientos –y también los sufren-, aunque es una actividad que disminuirá drásticamente en el corto plazo.

En el fondo, cuando se emplean cuestionarios de compliance para analizar respuestas y documentos, no sólo se invierte un volumen relevante de tiempo sino que incurre en algunos riesgos: dejar de interpelar sobre algunas cuestiones o errar en la valoración de las respuestas y documentos aportados abre la puerta a debatir una posible falta de diligencia. Desde luego, de un tiempo a esta parte no quedaba más opción que asumir ese coste y riesgo, pero la publicación de estándares internacionales abre un abanico de posibilidades que reducirán drásticamente estas desventajas. En octubre de 2016 se publicó el estándar internacional ISO 37001 sobre sistemas de gestión antisoborno, y en mayo de 2017 la Norma UNE 19601 sobre sistemas de gestión de compliance penal. Ambos textos se han emitido por entidades de normalización y reflejan un estado del arte generalmente aceptado en sus respectivas materias.

En las últimas semanas, hemos visto en la prensa económica noticias relacionadas con grandes organizaciones, principalmente del IBEX, anunciando la alineación de sus modelos de Compliance con los requisitos de la Norma UNE 19601, y seguiremos viendo comunicaciones en ese sentido durante los meses venideros. Este movimiento refleja el avance de grandes organizaciones hacia modelos de Compliance acordes con las buenas prácticas estandarizadas, pero también anticipa el esfuerzo que exigirán de sus socios de negocio. Puesto que terceros independientes pueden desarrollar evaluaciones de conformidad de modelos de Compliance basándose en lo establecido en dichos estándares, su opinión técnica evitará, en bastantes ocasiones, el empleo de cuestionarios y su posterior análisis por parte de las organizaciones. Por su parte, los potenciales socios de negocio que disfruten de tales opiniones generarán una mayor confianza en el mercado, ahorrando a sus contrapartes el tiempo y esfuerzos necesarios para evaluar directamente su modelo de Compliance.

Desde luego, esta evidencia no suple obtener información adicional -pública, en bases de datos de integridad, etc- ni el desarrollo de algunas comprobaciones directas por parte de las organizaciones, especialmente en escenarios de riesgo alto por motivo de la contraparte y/u operación pretendida. Pero, fuera de estos supuestos, reduce el tiempo que se está empleando en tareas tediosas y permite centrar a la función de Compliance en actividades de mayor valor añadido.

En la actualidad, las organizaciones que pueden demostrar la alineación de sus sistemas de gestión de Compliance con los indicados estándares disfrutan de una ventaja competitiva, pues, en el tráfico mercantil, tal circunstancia se valora positivamente. Sin embargo, en breve no se comprenderá que una organización interesada en entablar relaciones de negocio sea incapaz de acreditar su diligencia en Compliance penal mediante la opinión de un tercero cualificado, especialmente cuando otras empresas concurrentes sí lo están haciendo. En ese contexto, no disponer de un modelo de compliance alineado con los estándares en dicha materia será, en breve, un factor de desventaja competitiva, difícil de revertir de manera inmediata. Esto ya está sucediendo en los mercados internacionales respecto del estándar ISO 37001, y comienza a suceder en el mercado español respecto de la Norma UNE 19601. Un dato: esta última Norma ha sido la más descargada en España tras la de calidad, ampliamente conocida y de exigencia común en la contratación mercantil.

En este nuevo contexto, conocer las diferentes posibilidades para que un tercero independiente valide un modelo de Compliance reviste capital importancia. Por eso, este mes publico el primer documento de la Serie “Compliance avanzado” abordando esta temática de tanta actualidad.

El abrazo de Washoe

Por Alain Casanovas
on 15. 12. 2017

Washoe es el nombre que recibió una cría de chimpancé hembra capturada en el oeste de África a mediados de los años 60. Iba a formar parte de un proyecto relacionado con el programa espacial de la fuerza aérea norteamericana, pero terminó en manos de los psicólogos Allen y Beatrix Gardner, que iniciaron un experimento para instruirla en el lenguaje de signos y comunicarse con ella. Esta investigación arrojó resultados asombrosos que obligaron a la comunidad científica a replantearse la relación entre los humanos y los grandes simios.

Durante las celebraciones de Navidad es costumbre compartir buenos deseos y perdonar a quienes nos han causado daño. La capacidad de perdonar, la empatía o la benevolencia son algunas de las cualidades que se consideran intrínsecamente humanas. Pretender el bien del prójimo, es decir, ser benevolente (del latín benevolents) es, en algunos casos, una obligación profesional, como se deduce del juramento hipocrático que obliga a los médicos: “..me comprometo solemnemente a consagrar mi vida al servicio de la humanidad… aún bajo amenazas, no admitiré utilizar mis conocimientos médicos contra las leyes de la humanidad” (redacción de la Convención de Ginebra de 1948). En el contexto de los negocios, hay líneas de pensamiento que relacionan un liderazgo ético a querer el bien del otro y no simplemente usar de él, como señala el Profesor emérito de Ética empresarial en el IESE, Domènec Melé. Puesto que la acepción moderna del compliance lo vincula con compromisos de dimensión moral o ética, preocuparse por mejorar la integridad de las personas deviene un objetivo esencial, ya que actuar con propósitos distintos equivale a instrumentalizarlas, que es per se un comportamiento éticamente reprobable y, por lo tanto, contrario a compliance.

Los esposos Gardner enseñaron a Washoe en el lenguaje de signos, y aprendió a utilizar más de 350 palabras de manera combinada para articular mensajes. Fue el primer ser no humano en aprender este lenguaje. Cuando se le mostró su reflejo en un espejo y se le preguntó que veía, respondio: yo, Washoe.

Kat Beach fue una de las cuidadoras de Washoe. En el verano de 1982 quedó embarazada y cuando su vientre creció, Washoe mostró mucho interés en él, formando el signo “bebé”. Sabía lo que era ser madre: había sufrido dos abortos y mostrado síntomas de depresión tras esas experiencias traumáticas. Kat dejó de cuidar a Washoe durante un tiempo, debido a problemas en su embarazo que finalmente le provocaron la pérdida de su bebé. Cuando se incorporó de nuevo a las tareas de cuidado, sintió la necesidad de explicarle a Washoe qué había motivado su ausencia, y le transmitió por signos “mi bebe murió”.  Washoe quedó muy afectada mirando al suelo y tras un tiempo le respondió: “llorar”. Trazó entonces con sus dedos el recorrido que seguirían las lágrimas en el rostro de Kat. Los chimpancés no lloran, y se supone que ignoran a qué estado emocional va ligado el llanto.

Cuando percibimos que alguien se interesa verdaderamente por nosotros, sin más propósito que ese, su mensaje cala directamente en nuestros corazones con una fuerza formidable. A pesar de su gran efecto, en ocasiones nos sentimos ridículos queriendo el bien de los demás, y evitamos manifestar ese deseo salvo cuando acompaña el contexto, como sucede durante el periodo de las Navidades.

Aquel día Washoe no se separaba de Kat, hasta el extremo de impedirle marchar tras su horario laboral. Cuando otros compañeros lograron distanciarla, le transmitió por signos: “por favor, persona, abrazo”. Tras estar fuertemente abrazadas durante un tiempo, Kat se marchó sin la menor duda que Washoe comprendía lo que le había sucedido y compartía sinceramente su dolor.

Washoe murió el 30 de octubre de 2007 a los 42 años de edad, y su historia sigue conmoviendo a miles de personas alrededor del mundo.

Compliance y gobernanza

Por Alain Casanovas
on 11. 12. 2017

El pasado mes de noviembre tuvieron en lugar en Shenzhen, China, unas interesantes sesiones de trabajo de ISO en las que se avanzó en uno de los proyectos más ambiciosos de la organización: sigue adelante una iniciativa previamente debatida en Londres y Quebec, destinada a coordinar una serie de materias vinculadas con la gobernanza de las organizaciones, incluido el compliance.

Todo profesional dedicado al compliance conoce bien que una cultura ética y de respeto a las normas precisa del compromiso de los administradores y del equipo directivo. Cuando existen déficits a ese nivel, difícilmente se pueden corregir por los equipos de compliance, dependientes en última instancia de sus órganos de gobierno. Solamente cuando el nombramiento del compliance officer procede de las autoridades (judiciales, administrativas en materia de competencia, etc) y reporta a ellas, su capacidad de influencia se incrementa. Sin llegar a estos extremos y para potenciar su rol en la transformación de las organizaciones, una línea de pensamiento aboga por convertir al Compliance Officer en un contrapoder de las máximas instancias ejecutivas de la organización, con potestad legal de vetar decisiones dañinas. Pero esta opción mutaría la naturaleza de la función de compliance (supervisión), involucrándola directamente en decisiones de negocio. De momento, es una posibilidad remota además de innecesaria ante un adecuado desarrollo de la figura del consejero coordinador independiente (lead independent director).

En cualquier caso, tratar de impulsar los cometidos de compliance en organizaciones lideradas por personas sin compromiso real con la ética y el cumplimiento de las normas constituye una iniciativa estéril. En este sentido, diferentes iniciativas han concluido que los cometidos de compliance no pueden prosperar si no es dentro de un marco de gobernanza apropiado en las organizaciones.

Desde luego, la gobernanza de las organizaciones no es en absoluto una materia nueva, pues plataformas prestigiosas como la OCDE llevan décadas identificando buenas prácticas relacionadas con ella, algunas de las cuales han terminado incorporándose en los ordenamientos jurídicos. Sin embargo, en la comunidad internacional continúan existiendo interpretaciones muy diferentes sobre qué es una buena gobernanza, circunstancia que dificulta definir prácticas concretas generalmente aceptadas por la comunidad internacional y establecer un lenguaje común homogéneo en esta materia.

El Instituto Alemán de Auditores Públicos (IDW – Institut der Wirtschaftsprüfer) publicó en 2011 el primer estándar para auditar sistemas de gestión de compliance, la célebre norma PS 980. En lugar de actualizar su contenido, entendió que iba a ser mucho más efectivo contribuir a fortalecer el marco de gobernanza de las organizaciones, añadiendo los nuevos estándares PS 981 para auditar sistemas de gestión de riesgo, y PS 982 para auditar sistemas de control interno. Esta trilogía conforma el marco que permite auditar sistemas de gestión de gobierno corporativo, bajo el entendimiento de que unos adecuados mecanismos en esos ámbitos sinérgicos (compliance, risk management & internal control) contribuyen a la correcta gestión de la gobernanza en la organización.

El enfoque de ISO es distinto. También consciente de las limitaciones de los sistemas de gestión de compliance (actualmente ISO 19600 e ISO 37001), opta por enmarcarlos bajo la cobertura común de unas directrices de gobernanza que les permitan operar correctamente. La dificultad de esta iniciativa de ISO radica en obtener el nivel de consenso internacional suficiente acerca del propio concepto de gobernanza y sus aspectos clave. Siendo una materia que hacer correr ríos de tinta y donde no existe consenso generalizado, se intuye una meta ambiciosa, especialmente cuando aparece vinculada con la Ética, que admite diferentes interpretaciones según prismas culturales. Pero es precisamente la dificultad de este proyecto lo que lo convierte en una iniciativa fascinante, llamada a determinar las buenas prácticas de gobernanza del siglo XXI.

Por el momento disponemos de estándares y procedimientos que ayudan a verificar sistemas de gestión de Compliance, como explico en el último video de la Serie Compliance Basics, que nos permiten avanzar en una gestión responsable de las organizaciones. [Video número 12]. Estas verificaciones, aunque no entran en materias propias de la gobernanza de las organizaciones, sí permiten contrastar si los cometidos de compliance se están desarrollando correctamente.

KISS Compliance

Por Alain Casanovas
on 07. 11. 2017

Kelly Johnson, ingeniero jefe de la empresa aeroespacial Lockheed pidió a su equipo de trabajo que los aviones que diseñaran fueran fácilmente reparables por cualquier mecánico con herramientas normales en cualquier taller. Era consciente de que aviones complejos podían dar muchos problemas de operación y mantenimiento, especialmente en condiciones de combate. Por eso impulsó el principio KISS, que es el acrónimo de “Keep It Simple, Stupid”. Desde entonces, es un principio célebre en el mundo de la ingeniería -incluida la de sistemas- y, como no, también en el compliance.

El principio KISS determina que la sencillez provoca que los sistemas funcionen mejor. Actualmente, es importante recordarlo puesto que los estándares modernos sobre compliance fijan sistemas de gestión propensos a generar estructuras difíciles de operar, cuando no se ha reflexionado previamente sobre ello. Los sistemas de gestión de compliance pueden verse afectados por algo que sucede en algunas infraestructuras: la dificultad no es tanto su diseño y construcción, sino en el posterior mantenimiento. En España, el régimen de responsabilidad penal de las personas jurídicas impulsó la difusión de modelos de organización y gestión para la prevención de delitos, provocando algunos modelos que no han sobrevivido en el tiempo a causa de su complejidad.

Hasta hace poco no era extraño que algunas organizaciones hicieran alarde del número de controles en materia de compliance: la que exhibía más controles se enorgullecía de un modelo de compliance más robusto. De un tiempo a esta parte se ha visto que el exceso de controles no sólo no es sinónimo de excelencia, sino posiblemente lo contrario: su multiplicidad impide operarlos y monitorizarlos correctamente, especialmente cuando el equipo responsable de ello es limitado (circunstancia bastante frecuente, dicho sea de paso). En líneas generales, cuanto mayor es el ratio de controles por persona en compliance, más difícil es avalar su efectividad. De ahí que, tras la efervescencia provocada por el compliance penal, algunas organizaciones hayan desarrollado proyectos de racionalización de controles para reducir su número pero incrementar su eficacia.

Las políticas corporativas no escapan a esta tendencia. Se llegó a pensar que aquellas políticas más complejas eran las mejores, produciendo en ocasiones textos marcadamente jurídicos, muy alejados del lenguaje de sus destinatarios. Textos diseñados para ser comprendidos por los juristas, pero no por el personal de la organización. Por eso, también las políticas internas de las empresas experimentan procesos de simplificación. En muchas ocasiones, no se trata de sustituir textos detallados por otros más sencillos, sino más bien compaginar ambos: dejar los documentos complejos a efectos de consulta, pero difundir su contenido con resúmenes o flyers que faciliten asimilar sus mensajes clave con sólo echarles un vistazo.

Algunos estudios señalan que los adultos sólo podemos mantener la atención durante 15 minutos, momento a partir del cual dejamos de filtrar correctamente la información y propiciamos un fenómeno que la neurociencia cognitiva denomina “ceguera por desatención”, especialmente cuando estamos sujetos a otros estímulos externos: leemos un documento pero no somos capaces de captar realmente su contenido por estar pensando en otras cosas. Una política sesuda y repleta de elementos no vinculados con experiencias cercanas es el modo más rápido de entorpecer la asimilación de su contenido.

Tanto la Norma UNE 19601 como las normas ISO 19600 e ISO 37001 nos hablan de la verificación del diseño y eficacia de los elementos de los sistemas de gestión, como explico en el último video de la Serie Compliance Basics, lo que en muchas ocasiones guarda relación con su sencillez.

Es fácil atiborrar de controles a una organización, como también lo es redactar políticas extraídas literalmente del tenor literal de las leyes. Más difícil es generar un entorno comprensible y de fácil aplicación, asimilable por sus destinatarios y operable por la función de compliance. En un mundo complejo, más que nunca es necesario mantener las cosas sencillas.

Sesgo retrospectivo en compliance

Por Alain Casanovas
on 03. 10. 2017

Poco antes de las 8 horas se perdió la comunicación con el transbordador espacial Columbia, en su secuencia de entrada a la atmósfera terrestre. Era el 1 de febrero de 20003 y se confirmaba la desintegración de la nave y el fallecimiento de sus siete tripulantes. A partir de aquel  momento se suspendieron los lanzamientos de transbordadores hasta dar con la causa del desastre, que resultó deberse a un problema relativamente sencillo de evitar. Una vez materializados los incidentes, llueven críticas por no haber dispuesto los medios para su prevención que, en muchos casos, no entrañan complejidad alguna. Es el sesgo retrospectivo de las personas, que nos hace considerar como obvias cuestiones que en su momento no lo eran. Todo un clásico en los incidentes de Compliance.

Resultó que a los 81 segundos de su lanzamiento, la parte inferior de una de las alas del transbordador recibió el golpe de un pedazo de espuma de poliuretano que recubría el tanque externo de combustible. El impacto no se percibió por la tripulación y Control de misiones restó importancia al incidente, que también se había detectado en misiones anteriores.

Algunos procedimientos de control, como el visionado de la secuencia de lanzamiento por el equipo de supervisión, están sujetos a errores de apreciación humanos. De hecho, nuestras actividades se desenvuelven en el contexto de los problemas realistas, donde inciden tal cantidad de variables que sólo el cerebro humano las puede procesar y extraer rápidamente una conclusión aparentemente acorde con las circunstancias: sucede cuando dosificamos la presión sobre el pedal de freno de nuestro vehículo ante una situación de riesgo, procesando a velocidad de vértigo muchísima información: la distancia, estado del piso, situación del tráfico, consecuencias previsibles de nuestra maniobra, etc. Pero las estimaciones que nos brinda nuestro cerebro son falibles y en ocasiones nos equivocamos. Por eso, desde hace años se desterró el principio de seguridad absoluta en ámbito de la gestión de riesgos, pues muchos  controles dependen finalmente de nuestro juicio, expuesto al error especialmente en contextos de estrés.

Como podemos imaginar, la gestión desarrollada por Control de misiones fue muy cuestionada, especialmente porque el problema que causó la pérdida de siete vidas se había identificado en misiones anteriores. La socióloga Diane Vaughan habla del sesgo “normalización de la desviación”, que se produce cuando una irregularidad se reitera sin mayores consecuencias, pasando entonces a formar parte de la normalidad y escapando del entorno de control. En Compliance, las irregularidades deben ser analizadas y evitar que se consoliden, aunque no desencadenen consecuencias negativas inmediatas.

Con esos antecedentes, bastantes analistas y periodistas consideraron que el incidente que sufrió el transbordador era predecible y fácilmente evitable. El sesgo retrospectivo lleva a percibir eventos pasados como predecibles e incluso modifica nuestros recuerdos para hacernos creer que siempre mantuvimos ese pronóstico: “yo ya lo dije”. En los incidentes de Compliance es difícil evitar la concurrencia de tal sesgo, que puede afectar a las autoridades administrativas y judiciales frente a un resultado aparentemente previsible. Valorar la idoneidad de las los controles y las decisiones exige retrotraerse al momento en que se adoptaron, haciendo abstracción de hechos posteriores. Tal vez una mala decisión fuera la correcta en el contexto donde se adoptó. Desde luego, el Equipo de Gestión de la Misión (MMT) defendió que las razones para abortar la misión eran pésimas entonces, pues nadie podía prever las consecuencias catastróficas del impacto de un simple pedazo de poliuretano en una nave valorada en más de 2.000 millones de euros en el año 2003.

Las personas estamos condicionadas por el conocimiento adquirido después de un evento, circunstancia que incide indefectiblemente en nuestra estimación posterior de probabilidad de que sucediera. Lamentablemente, algunas evaluaciones de riesgos de Compliance sufren las consecuencias de este sesgo, cuando, materializado un incidente, nadie comprende cómo no se previó. Este efecto se conoce como “falacia del historiador”, mencionada por primera vez por David Hackett Fischer, que sucede al dar por supuesto que quienes adoptaron una decisión podían considerar informaciones o puntos de vista posteriores a la misma.

No sólo las evaluaciones de riesgos están expuestas al sesgo retrospectivo, sino muchas otras valoraciones en el ámbito del Compliance, incluyendo la contratación o promoción de personal o la formalización y mantenimiento de relaciones con terceros. Son contextos en los que también se puede criticar qué la organización mantuviera vínculos con personas que han observado después conductas claramente contrarias a sus valores. Los indicadores de perfil de riesgo (Risk Metrics) que comento en el vídeo número 10 de la Serie Compliance Basics, permiten capturar y considerar datos objetivos que facilitan identificar relaciones de riesgo y adoptar a tiempo las medidas mitigantes oportunas. Reducen la exposición a comportamientos nocivos y ayudan a explicar los motivos de nuestras decisiones, en caso de que se precise analizarlas retrospectivamente.

Normas y sentimientos

Por Alain Casanovas
on 07. 08. 2017

Todos hemos escuchado relatos sobre personas que desobedecieron normas porque algo en su interior les obligaba a hacerlo, aunque asumieran con ello un grave riesgo. El caso del empresario Oskar Schindler y los seres humanos que salvó de una muerte atroz en campos de concentración es un caso muy conocido, pero la vida está llena de pequeños ejemplos que no llegan a difundirse. Al hablar de conducta moral, las emociones triunfan sobre las reglas. Por eso, nos cuesta transigir ante determinados comportamientos, aun cuando son legales.

Atravesamos actualmente por la tercera etapa en la curva de madurez del compliance: la primera lo equiparaba al cumplimiento de determinada regulación específica, la segunda lo extendió a otras normas igualmente exigibles -además de las correspondientes al sector de actividad o mercado- y, finalmente, la tercera abarca también las obligaciones asumidas voluntariamente, normalmente mediante Códigos Éticos y textos análogos. Esta visión moderna introduce en la órbita del compliance deberes que trascienden de la legalidad y con los cuales las organizaciones se comprometen públicamente. Por ello, son parte natural del alcance de los sistemas de gestión de compliance modernos, como reconoce el estándar ISO 19600 sobre Compliance Management Systems (CMS).

El investigador holandés Frans de Waal señala que, a partir de los dos años de edad, los niños distinguen entre principios morales (“no robar”) y normas culturales (“no ir a la escuela en pijama”). Llega a la conclusión de que los primeros están profundamente arraigados en los seres humanos, hasta el punto de provocar fuertes inhibiciones cuando las normas fuerzan a vulnerarlos. Es más, esa misma reacción se observa otros muchos seres vivos.

En 1959 el psicólogo norteamericano Russell Church publicó un estudio científico realizado con ratas, en virtud del cual cuando una accionaba la palanca para obtener comida, otra situada en una jaula adyacente recibía una descarga eléctrica a través de una rejilla metálica en el suelo. Sorprendentemente, la primera rata dejó de accionar la palanca cuando constató el dolor que infligía a un congénere, prefiriendo quedarse sin comida. En aquella época, el experimento llegó a repetirse con primates, obteniendo resultados sobrecogedores: un ejemplar evitó comer durante 12 días para no herir a otro. Los animales tienen también líneas rojas que les repugna traspasar.

Muchas legislaciones en el mundo, incluyendo la española, están influidas por el movimiento de codificación que inició Napoleón Bonaparte en 1804, y que contribuyó a separar el derecho de la moralidad. Por eso, es raro encontrar referencias a la moralidad en las normas afectadas por esta escuela. En nuestro Código penal no aparece ni una sola vez la palabra “ética”. De hecho, la mayor parte de normas son moralmente tan asépticas que se limitan a exponer las consecuencias de determinadas conductas (“el que mata a alguien va a la cárcel”), pero no las desaprueban explícitamente (“matar no es correcto”).

Esta disociación entre derecho y moral ha abonado la creencia de que toda conducta que se ciñe a la Ley es esencialmente correcta. Sin embargo, cuando en las noticias escuchamos a algunos sujetos pregonando a los cuatro vientos que acataron la Ley, dudamos si realmente obraron de manera moral o justa. En el fondo, sus proclamas nos huelen a excusa.

En el ámbito del compliance vemos cómo las normas convencionales están siendo sobrepasadas por principios superiores. En esta clave se comprende, por ejemplo, la Circular 1/2016 de la Fiscalía General del Estado cuando señala que los programas de compliance tienen por objeto “promover una verdadera cultura ética”. El Tribunal Supremo va más allá y, en su célebre Sentencia 154/2016, de 29 de febrero de 2016, subraya que una adecuada cultura ética empresarial “es un dato relevante a la hora de establecer la responsabilidad penal de la persona jurídica, independientemente incluso del cumplimiento estricto de los requisitos previstos en el Código Penal de cara a la existencia de la causa de exención de la responsabilidad…” Si recordamos que el Código Penal no cita ni una sola vez el término “ética”, comprenderemos el cambio drástico de mentalidad que avalan estas manifestaciones, y que nos sitúa en los albores de la cuarta etapa de madurez del compliance, donde el mandato de nuestros corazones parece imponerse al de nuestros cerebros.

El compromiso real de las organizaciones con una conducta ética tiene consecuencias trascendentales en su gestión, pues deberán poner cuidado en seleccionar cuidadosamente a las personas con las que se vinculan, tanto internamente (miembros de la organización) como externamente (socios de negocio). En este contexto, los procedimientos de diligencia debida sobre estos colectivos son ya indispensables en todo sistema de gestión de compliance, como explico en el video número 8 de la Serie Compliance Basics

Revisiones de compliance sobre ISO e UNE: tres sugerencias

Por Alain Casanovas
on 20. 07. 2017

El estándar internacional ISO 37001 sobre sistemas de gestión antisoborno se publicó en octubre de 2016, y el estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal vio la luz en mayo de 2017.

Aun siendo estándares muy novedosos, ya se están ejecutando trabajos de evaluación de la conformidad respecto de sus requisitos.

Estos estándares de compliance permiten evaluar los sistemas de gestión atendiendo a sus requisitos, lo que favorece la homogeneidad de este tipo de revisiones. Como contrapartida, el margen de discrecionalidad del revisor es prácticamente nulo, pues debe ceñirse a contrastar la existencia y efectividad de tales requisitos, sin que pueda ignorarlos. Por lo tanto, un sistema de gestión de compliance que no satisfaga alguno de ellos difícilmente será certificable, por muchos esfuerzos de convencimiento que se viertan sobre el revisor independiente.

Ahora bien, existen algunas prácticas previas a la revisión que facilitan el desarrollo posterior de este tipo de trabajos.

La primera es asegurarse de que el modelo de compliance está alineado con las exigencias de la norma ISO y/o UNE, no dando por hecho que cumple con ellas. Pueden detectarse carencias significativas, dado que estos estándares articulan “sistemas de gestión” y no “programas”, tal como expliqué en un post anterior . Esto no significa que necesariamente deba cambiarse el modelo de compliance de la organización, pero tal vez sea preciso modificarlo o completarlo. Desarrollar este ejercicio interno de revisión evitará graves complicaciones posteriores.

En segundo lugar, debemos considerar que el revisor independiente aplicará el principio de escepticismo profesional y, por lo tanto, no validará el cumplimiento de los requisitos exigidos por los estándares si no están adecuadamente soportados. Es más, tanto el estándar ISO como el UNE establecen las características que debe reunir tal documentación, en términos de su creación, actualización y control. Es el concepto de “información documentada” sin la cual el revisor externo se verá imposibilitado para desarrollar su labor. Los estándares indicados señalan en su articulado los requisitos que deben figurar como información documentada. En particular, el estándar UNE 19601 recopila en su Anexo C la información documentada que viene exigida en diversos apartados de la norma, lo que resulta de gran utilidad para comprobar si realmente disponemos de ella. Por cierto, como el estándar UNE 19601 hereda una gran cantidad de contenidos del estándar ISO 37001, esa misma lista es también útil para formarnos una idea de la información documentada requerida en los sistemas de gestión antisoborno, lógicamente adaptada a ese contexto. No sólo deberemos asegurarnos de disponer de esta documentación, sino también de que reúne las cualidades para merecer el calificativo de información documentada. Hecho este trabajo, veremos que existe información documentada que representa los pilares fundamentales del sistema de gestión (como la Política de compliance penal, por ejemplo), mientras que otra parte constituye evidencia de su aplicación práctica (informes de compliance penal, las actividades de formación o la gestión de incumplimientos o irregularidades, por ejemplo). Ambos tipos de evidencias son necesarios para acreditar que el sistema de gestión de compliance no es una mera formalidad, sino que se aplica en la práctica. Por eso, un modelo bien descrito documentalmente pero no ejecutado no podrá ser objeto de certificación.

En tercer lugar, puesto que el sistema de gestión de compliance se proyecta sobre riesgos de esa naturaleza, deberá prestarse atención a su evaluación (riesgos de compliance penal, en el caso de UNE 19601, y de soborno, en el caso del estándar ISO 37001). Este ejercicio, que debe constar como información documentada, es trascendental ya que condiciona el enfoque del sistema de gestión en su conjunto. Una evaluación inadecuada de riesgos de compliance puede enfocar de manera errónea las prioridades en dicho ámbito. Por eso, un revisor independiente prestará especial atención a la solidez de este ejercicio. Ni la Norma UNE 19601 ni el estándar internacional ISO 37001 obligan a emplear una determinada metodología de evaluación de riesgos, aunque sí establecen algunas directrices esenciales (análisis de probabilidad e impacto de los riesgos) y fijan aspectos importantes que se deben derivar de él. Así, por ejemplo, la Norma UNE 19601 exige aplicar cautelas especiales ante personas especialmente expuestas al riesgo penal, y también sobre socios de negocio que presenten un riesgo penal mayor que bajo. Esto significa que el ejercicio de evaluación de riesgos debe ser también idóneo para identificar inequívocamente a estos colectivos. Una evaluación de riesgos de compliance poco robusta o incompleta se convertirá en un hándicap insalvable.

Visto lo anterior y desde una perspectiva práctica, es útil visualizar cómo se desarrollará el procedimiento de revisión, planificando el modo en que se explicará el sistema de gestión de compliance al revisor y se le facilitará la información documentada relativa a su diseño y nivel de implementación. Se trata de allanar su trabajo y evitar que se vea obligado a interpretar múltiples documentos organizativos sin ayuda, previniendo que incurra en errores de apreciación involuntarios.

ISO 19600 y sistemas de gestión de protección de datos

Por Alain Casanovas
on 04. 07. 2017

La entrada en vigor del Reglamento Europeo de Protección de Datos junto con el reciente impulso del anteproyecto de Ley Orgánica de protección de datos de carácter personal, ilustran un escenario lleno de nuevos requisitos que las organizaciones deben cumplir. Aunque vienen realizando esfuerzos de adaptación a este entorno, las organizaciones afrontan el reto de mantener ese nivel de cumplimiento de manera continuada, planteándose establecer sistemas de gestión que les ayuden a conseguirlo. Este interés ya se constató en el Reino Unido durante el año 2009, con ocasión de la publicación del estándar BS 10012 sobre requisitos de los sistemas de gestión para información personal. En la actualidad, otros países desvían la mirada a estándares de compliance más modernos e internacionales para ayudar a la gestión de este nuevo entorno, entrando en juego la Norma ISO 19600 sobre Compliance Management Systems (CMS).

La reciente regulación en materia de datos personales adopta una evidente aproximación basada en el riesgo, muy alineada con el enfoque que también siguen los estándares internacionales basados en la estructura de alto nivel de ISO/IEC. Además, el responsable del tratamiento de datos personales debe ser capaz de demostrar el correcto cumplimiento de sus obligaciones, lo que conlleva la trazabilidad documental de actividades, asignación de roles, responsables, criterios, etc., que son aspectos igualmente tratados en estos sistemas de gestión. Como sucede en otras áreas de compliance, la diligencia debida de las organizaciones y sus responsables se medirá según hayan organizado el cumplimiento de sus obligaciones en materia de datos personales. Y como en otros ámbitos también, avalará su conducta recurrir a prácticas reconocidas internacionalmente.

El estándar ISO 19600 contiene directrices para establecer sistemas de gestión de compliance en general. Una parte importante de sus contenidos se han trasladado a estándares sobre ámbitos específicos del compliance, como la Norma ISO 37001 sobre sistemas de gestión antisoborno, o la Norma UNE 19601 sobre sistemas de gestión de compliance penal. El nivel de aceptación internacional de sus contenidos es muy holgado, como se deduce de la próxima publicación del primer China National Standard sobre compliance, basado en la Norma ISO 19600. Siendo el texto sobre compliance por excelencia, ya se ha identificado como patrón para articular sistemas de gestión en el ámbito de la protección de datos personales. Es más, su contenido es también útil para desarrollar una evaluación de proximidad en relación con las buenas prácticas que recoge. En este sentido, recurrir al estándar ISO 19600 permite conocer hasta qué punto se están asumiendo requisitos de compliance (los de protección de datos, por ejemplo) conforme a prácticas de gestión generalmente aceptadas, brindando confort a la organización y sus responsables. De hecho, en otros ámbitos del compliance, este estándar internacional ya se ha considerado un criterio adecuado para que un auditor desarrolle encargos de aseguramiento (“assurance”) distintos de la auditoría o la revisión de la información financiera, empleando el International Standard on Assurance Engagements (ISAE) 3000, aprobado por el International Auditing and Assurance Standards Board (IAASB), por ejemplo.

Enmarcar el cumplimiento de los requisitos de la normativa sobre protección de datos personales dentro de un sistema de gestión reafirma el compromiso y diligencia de la organización con esta materia. Permite encajar debidamente actividades tan relevantes como la evaluación de los riesgos de compliance, según se describe en el video de la Serie Compliance Basics de este mes, y que tanta importancia tiene en el nuevo entorno sobre protección de datos personales.


Organizaciones en otros países ya han advertido estas ventajas y ponen los ojos en la norma internacional “decana” en el ámbito del compliance. Es una inversión segura.

UNE 19601: sistema versus enfoque lineal

Por Alain Casanovas
on 06. 06. 2017

Finalizado el periodo de consulta anunciado en el Boletín Oficial del Estado del pasado día 2 de febrero, el 18 de mayo se publicó la Norma UNE 19601 sobre sistemas de gestión de compliance penal, llamada a establecer un lenguaje de entendimiento común en esta materia, alineado con lo establecido en los estándares internacionales modernos. Sin embargo, lo realmente trascendente de esta noticia ha pasado inadvertido: la migración de modelos lineales de compliance a los “sistemas de gestión”, circunstancia que implica un cambio drástico de mentalidad y enfoque.

Podríamos decir que un modelo lineal fija unos requisitos cuyo cumplimiento se interpreta adecuado para la consecución de determinada finalidad. De este modo, por ejemplo, cuando se señala que el modelo de prevención de delitos debe estar dotado de recursos económicos, se cumple con él asignándole un presupuesto. Pero un “sistema” trasciende esta inmediatez, pues es un conjunto interrelacionado de elementos que logran unidos ciertos objetivos que no pueden alcanzar aisladamente y, por eso, no deben analizarse aisladamente. En un sistema de gestión, la interacción entre los requisitos es lo que verdaderamente contribuye a lograr los objetivos del conjunto y les brinda sentido individual, como explicaré siguiendo el hilo del mismo ejemplo.

Una organización se da cuenta de que dispone de un sistema lineal cuando ejecuta determinados requisitos por disciplina y no por lógica sistémica, lo que lleva a formularse algunas reflexiones: ¿cuál debe ser el importe del presupuesto de compliance? La Norma UNE 19601 establece la necesidad de fijar objetivos de compliance penal, que pueden comenzar a nivel estratégico y descender luego al táctico: queremos mejorar la sensibilidad de compliance de manera especial en determinada región (estrategia) y para ello precisaremos incrementar las horas locales de formación, disponer de ayuda técnica y contratar a un responsable de zona (táctica). La fijación de objetivos de compliance penal, desencadena necesariamente una serie de consecuencias, entre las que figura disponer de recursos para llevarlos a la práctica. Por lo tanto, las partidas presupuestarias vendrán condicionadas por los objetivos de compliance pretendidos, que son cuantificables económicamente (especialmente los tácticos). Así, una organización dotada de un sistema de gestión de compliance penal no se sentirá insegura con su presupuesto de compliance penal, pues tendrá que estar alineado con los objetivos de compliance penal que se ha impuesto. Es más, bajo esta lógica sistémica, los objetivos de compliance determinarán también qué informaciones deben capturarse y medirse para valorar su grado de consecución, cómo y a quién se comunicarán, cómo se realizará su seguimiento e informará de su evolución a la alta dirección y órgano de gobierno, etc. Con este ejemplo vemos que un requisito de la Norma UNE afecta a otros muchos, siendo esa la filosofía subyacente en el estándar español, cuando no regula elementos aislados sino interrelacionados para lograr un conjunto armónico y eficaz.

Para quienes no están habituados a manejarse en sistemas de gestión, les llamará la atención la gran cantidad de referencias cruzadas en conceptos y materias en la Norma UNE, circunstancia que no obedece al desorden sino que es fruto de articular requisitos estrechamente vinculados los unos con los otros. Es un enfoque sustancialmente distinto a los modelos lineales, que listan sus componentes pero no profundizan en la relación que existe entre ellos, lo que en ocasiones conduce a no verles un sentido individual claro ni tampoco como conjunto.

Sucede lo mismo con la evaluación del riesgo penal, que se regula en el Capítulo 6 del estándar español, y que determina automáticamente una serie de medidas entre las que figuran las de diligencia debida sobre el “personal especialmente expuesto” citado en su Capítulo 7. Y así encontramos un sinfín de referencias cruzadas, incluso en un documento tan relevante como la propia Política de compliance penal también exigida en nuestro estándar. La Política de compliance es un pilar fundamental del sistema de gestión, pues dota de sentido a la práctica totalidad de componentes que se establecen para su consecución, como se explica en el video número 6 de la Serie Compliance Basics.

El cambio de mentalidad que supone migrar de los modelos lineales a los sistemas de gestión de compliance precisa cierto esfuerzo, abandonando la comodidad de implantar mecánicamente una serie de elementos para ejecutar luego un check-list que valide su existencia. Pero un enfoque lineal no garantiza la eficacia, y por eso ha sido rehusado en las conocidas normas ISO 19600 e ISO 37001 sobre compliance.

El cambio del que estoy hablando va a producir variaciones drásticas en los próximos meses, dado que las organizaciones que quieran adecuar sus modelos de prevención de delitos deberán plantearse qué interacciones precisan definir o reforzar para que realmente operen de forma integrada como un sistema de gestión, pues es un aspecto clave de eficacia al que, en adelante, prestará atención todo externo que evalúe la conformidad de su contenido respecto de la Norma UNE 19601.