KPMG Blogs

open

Entradas del tag: cumplimiento

La soledad del Compliance Officer

Por Alain Casanovas
on 04. 02. 2016

Narran los cronistas que, tras el sitio de la localidad francesa de Béziers en el año 1209, antes de que los cruzados acometieran su asalto final hierro en mano, interpelaron preocupados al inquisidor mayor: una vez dentro de la ciudad, ¿cómo distinguiremos a los herejes de los que no lo son? Se atribuye a Arnaldo de Amalric aquella respuesta que pasaría a la posteridad: “Matadlos a todos. Dios distinguirá a los suyos” (Caedite eos. Novit enim Dominus qui sunt eius). La toma de Béziers provocó un baño de sangre que aniquiló entre 7.000 y 8.000 personas, caídos principalmente en la Iglesia de la Madeleine. Y es que cuando no se discrimina, se cometen graves injusticas que afectan a quienes menos culpa tienen.

Que una persona tenga la condición de “investigado” –antes “imputado”- en un procedimiento penal constituye una salvaguardia que le facilita defenderse de los cargos que se le atribuyen. Por eso, en teoría, todo investigado debería sentirse satisfecho de tal condición, pues le otorga garantías procesales respecto de sus Derechos. Pero es sabido que todo ello no le privará de las afrentas que concurren a pesar de que sea finalmente absuelto, incluyendo las que jocosamente se conocen como pena de telediario y pena de banquillo. Ambas guardan relación con los medios de comunicación, refiriéndose la primera a la difusión de la noticia tan pronto se conoce, y la segunda a la crónica del juicio. Además, son independientes de la resolución judicial final, que casi nunca disfrutará del protagonismo del que gozaron aquéllas. Verse introducido en el furgón o declarando en mitad de la sala judicial, son situaciones de una fuerza escenográfica insuperada incluso por las obras de Stephen King. En la práctica, estas dos penas transforman una garantía constitucional en un lastimoso calvario, susceptible de prolongarse durante años y especialmente doloroso no sólo para los afectados, sino para su círculo cercano de relaciones. Por eso, Magistrados y Jueces se esfuerzan diariamente en discernir lo mejor posible quién es llamado a proceso y en calidad de qué.

La responsabilidad personal del Compliance Officer en España es objeto de debate. Aunque la Circular 1/2016 de la Fiscalía General del Estado le atribuye un ámbito equivalente al de cualquier directivo, desde luego no es una cuestión pacífica equiparar la de quienes están en disposición de adoptar decisiones con las de aquellos otros que se limitan a ejercer funciones de supervisión (que es, literalmente, la atribución que realiza el Código Penal). En cualquier caso, este debate técnico-jurídico descuida el rol de esta figura para la política criminal pretendida al introducir la responsabilidad penal de las personas jurídicas en los ordenamientos. Aunque la acogida de tal régimen en España el año 2010 fue objeto de amplio debate jurídico, existía cierta anuencia en considerarlo alejado de nuestra tradición jurídica y, por lo tanto, de difícil encaje en el marco de nuestro ordenamiento. Sin embargo, ello no fue óbice para incorporarlo, habida cuenta su efectividad para que las empresas acometiesen medidas destinadas a la prevención y detección de ciertos ilícitos, como ya antes había sucedido en otras jurisdicciones de nuestro entorno.

Siendo esta la política criminal deseada, hay que preguntarse qué rol juega el Compliance Officer en ella. Lo lógico sería pensar que se trata de una figura clave para operar una transformación de las organizaciones y el modo de hacer negocios, contribuyendo a generar o consolidar en las empresas una cultura de respeto con las Leyes y la ética. Sin embargo, en lugar de atribuirle este alto propósito, existe el riesgo de convertirlo en un simple polo de atracción de culpas y responsabilidades, en un sacrificial lamb frente a incidentes de cumplimiento. Ya se habla del “Compliance Officer fusible”: dícese de aquel que está puesto para detener o dificultar el curso de la responsabilidad, a costa de asumirla íntegramente -normalmente a través de una amplia delegación de competencias, no siempre querida por el afectado-. Y así estamos llegando a una situación donde, en lugar de estimular a los quieren o deben desempeñar ese rol, se consigue intimidarlos a costa de remarcar constantemente su eventual responsabilidad criminal. Obviamente, la Justicia terminará esclareciendo quienes participaron verdaderamente en los actos ilícitos, pero, entretanto, nada impide que un Compliance Officer sea llamado a proceso y sufra sus molestias, acontecimiento especialmente atroz cuando concurra en personas personalmente contrarias a las prácticas investigadas que hayan tratado de evitarlas en la soledad e incomprensión de su rol. Es una forma de socavar los objetivos de la política criminal pretendida, perdiendo una excelente ocasión para respaldar los cometidos de un rol cardinal para afianzar la ética en los negocios. Ninguna persona honesta debería temer ser nombrado Compliance Officer, pero, a costa de darle vueltas a su responsabilidad en lugar de protegerlo, se está consiguiendo justo lo contrario. Los estándares modernos de Compliance reseñan, además, su misión como nexo de unión con los grupos de interés, incluidas las administraciones públicas, de forma que pueda contribuir eficazmente a ese resultado de mejora que está en el ánimo de todos. Esta faceta, por cierto, es uno de los objetivos a perseguir en todo modelo de Compliance, según se verá en la Serie de Kits de despliegue de Compliance que estoy publicando.

Dijo el filósofo alemán Hegel que lo único que nos explica la historia es que nada aprendemos de ella. Se da la oportunidad de contribuir a una Sociedad mejor, implicando a las personas jurídicas en la lucha contra conductas execrables y brindando, para ello, apoyo firme a quienes están llamados a jugar un rol importante en ello. El Compliance Officer es una figura clave para alentar culturas corporativas respetuosas con las normas y los valores, debiendo ser objeto de impulso y protección por parte de las instituciones, pero no de martirio.

Un juguete en la luna

Por Alain Casanovas
on 01. 12. 2015

En el año 2012 el Lunar Reconoissance Orbiter (LRO) tomó fotografías en alta resolución del lugar donde el primer ser humano pisó nuestro satélite, el 20 de julio de 1969. Puesto que en la Luna no hay atmósfera ni corrientes de aire, ahí permanecen las pisadas de aquel histórico paseo como si acabasen de hollarse. Eso ha permitido rememorar todo el programa de experimentos que se realizaron esa jornada y también, como veremos, trazar una sorprendente excursión no planificada hacia un pequeño cráter, sin interés científico alguno, a unos 50 metros del lugar donde se posó el Módulo Lunar del Apolo 11. Un hecho insólito vinculado con valores personales.

El perfil de las personas llamadas a desempeñar determinados cargos de responsabilidad en las organizaciones no es en absoluto ignorado en las escuelas de negocio, que exigen una formación técnica cada vez más compleja. En la esfera del Compliance, también es una materia tratada en diversas normas, que hacen hincapié en la necesidad de disponer de esa sólida formación técnica –en el bloque normativo correspondiente- así como de la experiencia práctica para aplicarla razonablemente. Son aspectos que explico en el Test publicado este mes, dedicado al rol del Compliance Officer. Sin embargo, no es tan frecuente oír hablar de otras características personales muy necesarias en quienes asumen una responsabilidad destacada a la hora de decidir el modo correcto de obrar. La Catedrática de Ética y Filosofía Política en la Universidad de Valencia, Adela Cortina, señaló en su premiado ensayo “¿Para qué sirve realmente la Ética?”, que la cuestión no es sólo formar técnicos bien especializados que puedan competir y atender las demandas de los mercados, sino educar a buenos ciudadanos y profesionales para que sepan utilizar esas técnicas al servicio de buenos fines. Y siendo un propósito general, lo es todavía más en el caso de los Compliance Officers, llamados a desempeñar roles destacados en la forma de hacer negocios del siglo XXI, respetuosa con las normas y los estándares éticos.

Es sabido que el comandante de la misión del Apolo 11, Neil Armstrong, fue el primer hombre que pisó la Luna. En su selección para ese cometido histórico no sólo pesaron sus cualidades técnicas sino también otras que se consideraron igual de trascendentes. Y eso explica muchas facetas de su vida, incluida esa intrigante excursión lunar, perfectamente visible gracias a las fotografías en alta resolución que se tomaron antes del fallecimiento del astronauta el 25 de agosto de 2012.

Los responsables de la NASA conocían lo arriesgado de la misión y las consecuencias que tendría para la opinión pública. Por eso buscaban un perfil que irradiase serenidad, capaz de actuar del mejor modo posible en entornos de riesgo y, sobre todo, prudente a la hora de comunicarse posteriormente con los medios. Alguien que no hiciera negocio de su condición particular. Por eso, no sólo evaluaron el carácter técnico de cada candidato, sino a la persona que había en él. Armstrong era un sujeto reservado que no gustaba de ser el centro de atención pública, como demostró en sus contadísimas entrevistas periodísticas. Desprendía confianza, era “el mejor”, como dijeron sus compañeros de misión espacial. Sabía cómo comportarse y no era vulnerable a la presión, ni a la del entorno propio de sus funciones técnicas ni frente a los medios. Tan poca importancia otorgó a su cometido histórico que su viuda halló recientemente en un armario de su vivienda valiosos artefactos de su viaje lunar, incluyendo la cámara que filmó las imágenes del alunizaje.  Armstrong jamás habló de la existencia de esos objetos, que ahora se exhiben en el Museo Nacional del Aire y del Espacio en Washington.

A causa de su discreción, pocos conocen una amarga faceta de su vida, que pudo truncar su participación en la carrera espacial. El 13 de Abril de 1959 nació su hija Karen, a la que apodó cariñosamente “Muffie” y con la que se sentía especialmente unido. Poco después de su segundo aniversario, la pequeña comenzó a sufrir trastornos oculares que los oftalmólogos no acertaban a valorar, hasta que le fue diagnosticado un tumor cerebral maligno, con mal pronóstico de curación. Muffie fue sometida a un agresivo tratamiento de radioterapia del que nunca se quejó. Lamentablemente, los síntomas reaparecieron tras su finalización y los médicos concluyeron que Muffie sería más feliz junto con sus seres queridos durante las fechas navideñas que se aproximaban. El 28 de Enero de 1962 Muffie murió. Era el sexto aniversario de boda de Neil Armstrong y fue un duro golpe para él.

Ese trágico acontecimiento era conocido por los responsables de la NASA y también por su tripulación en el Apolo 11, que inicialmente temieron impactase negativamente en el desarrollo de la misión. Pero ni durante los entrenamientos ni en la aproximación lunar Neil Armstrong exteriorizó la más mínima señal de debilidad.

Una vez en la Luna y concluida la batería programada de experimentos, el astronauta “Buzz” Aldrin advirtió desde el módulo lunar que Neil Armstrong se retiraba hacia a un pequeño cráter que habían sobrevolado justo antes de posarse en la superficie lunar. Un cráter intrascendente en el Mar de la Tranquilidad frente al que dedicó un tiempo de reflexión para luego regresar, bautizándolo con el nombre más lindo que supo darle.

Nombró a ese pequeño cráter “Muffie”, y así es evocado desde entonces. Corre la leyenda de que ocultó allí un pequeño juguete de Muffie, cuestión que el astronauta jamás confirmó ni desmintió. En cualquier caso, y dado que las Navidades son mágicas, seguro que despejaremos esa incógnita contemplando el resplandor de la Luna y escuchando lo que dicte nuestro corazón.

 

¿Dónde estaba el auditor interno?

Por José Luis Blasco
on 26. 11. 2015

Invertir en compañías que no cuenten con una función de auditoría interna bien establecida es un riesgo. Esta posición, que apareció en las compañías españolas a finales de los setenta, tiene un papel clave en la prevención de potenciales irregularidades de los gestores, la preservación de los intereses de los accionistas minoritarios o el cumplimiento para los reguladores.

Recientemente hemos visto demasiados ejemplos de las consecuencias que conlleva una cultura corporativa tóxica, no solo para el accionista, sino también para los empleados, los proveedores o incluso para la totalidad de un negocio. Los consejeros y los inversores saben que no pueden permitirse el lujo de depender de un solo punto de vista para evaluar la forma en la que se están gestionando los riesgos o diseñando e implantando los controles en sus empresas.

Hay que reconocer que la falta de una función de auditoría interna no condena a una organización o sugiere mala práctica de su liderazgo. Del mismo modo, su presencia no garantiza el éxito. Sin embargo, el compromiso con el buen gobierno de una organización quedará incompleto sin la existencia de la función independiente y cualificada que ofrece la supervisión de auditoría interna.

En nuestro país, el desarrollo de esta función ha sido desigual. Mientras que su madurez en el sector financiero podríamos calificarla como business as usual, en otros sectores relevantes para nuestra economía, como son las infraestructuras o la distribución, existen importantes áreas de mejora.

La primera y principal se encuentra en dotar a las direcciones de auditoría interna de suficiente autonomía e independencia. Característica de sentido común para el buen desarrollo de la función, pero que en numerosas ocasiones se ve amenazada por la injerencia de los ejecutivos en los trabajos de revisión, la dependencia funcional inadecuada o un sistema de incentivos perverso.

Una de las limitaciones más elocuentes a la independencia de los departamentos de auditoría interna es la disponibilidad adecuada de recursos. Una compañía del IBEX debería contar con un departamento -según el último estudio que realiza el instituto global de auditores internos- de al menos 12 profesionales, sin embargo las empresas del selectivo que cuentan con equipos de este tamaño no llegan a un tercio.

Y podríamos decir que en la mayor parte de los casos de esta élite de compañías españolas -exceptuando el sector financiero- todos los miembros de sus direcciones de auditoría interna cabrían en un taxi.

Dotar a los auditores internos de suficientes recursos, adecuada ubicación funcional, acceso a la formación, salarios competitivos, carreras profesionales prometedoras y medios para desarrollar su función, está siendo un buen indicador para un número creciente de reguladores e inversores sobre el compromiso del consejo de administración con la preservación del valor a largo plazo.

De la misma forma que a muchas compañías les falta convicción, en otros casos el limitante se encuentra en los propios equipos de auditoría interna. El enfoque tradicional hacia la información financiera -muchos de ellos ocupados casi exclusivamente en garantizar informes de auditoría limpios – permite vivir a estas funciones en una cómoda zona confort de escaso valor y de la que se resisten a salir.

Las amenazas a la seguridad de la información, el trabajo en jurisdicciones internacionales, con configuraciones empresariales cada vez más abiertas y complejas, y en ambientes de creciente presión regulatoria requieren de profesionales altamente cualificados y versátiles, con un conocimiento experto del negocio y de los riesgos de entorno a los que se enfrentan. Personas con competencias técnicas y funcionales, especialmente dotadas para la gestión e impulso de cambios, que la mayor parte de las veces, trascienden los procesos y requieren de la transformación de la cultura de las empresas.

En un momento en el que es difícil encontrar ventajas competitivas en la tecnología o el acceso a capital, el carácter distintivo se encuentra en el logro de la confianza de los clientes y del mercado. Una cultura empresarial basada en valores y cumplimiento es una de las pocas recetas del éxito que quedan hoy a las organizaciones.

La salud de las direcciones de auditoría interna puede resultar un buen indicador del compromiso de la compañía con las buenas prácticas. En este camino son necesarios a partes iguales, el impulso genuino de los órganos de gobierno de las compañías y las competencias adecuadas en las funciones de supervisión para lograrlo. Seguramente por ello para encontrar mejores respuestas a cada crisis de confianza empresarial que nos acontece merece la pena preguntarse ¿dónde estaba el auditor interno?

Autor: José Luis Blasco, socio responsable de GobiernoRiesgo y Cumplimiento en España de KPMG en España

Post publicado originalmente en El Mundo, el 25 de noviembre de 2015

 

Medición de eficacia en modelos de Compliance

Por Alain Casanovas
on 02. 11. 2015

Cualquier organización puede querer demostrar que no sólo dispone de un modelo de Compliance, sino que, además, es eficaz. Esto significa que sus componentes no sólo están adecuadamente representados sobre el papel, sino que han sido desplegados y aplicados adecuadamente. Por lo general, se desarrollan pruebas sustantivas (testeos) y se procesa la información resultante para soportar conclusiones fiables. Suele recurrirse a la técnica del muestro de controles, que será adecuada siempre que esa muestra sea lo bastante extensa y bien seleccionada como para representar al conjunto de controles que conforman el modelo de Compliance evaluado. En caso contrario, la conclusión puede ser poco sensata, aunque tenga un aire de precisión científica.

Ya en el año 1954 el escritor estadounidense Darrell Huff denunció que el lenguaje de las estadísticas, tan atrayente en una cultura que se basa en los hechos, se emplea para causar sensación, deformar, confundir y simplificar en demasía. Por eso, cuando se manejan volúmenes de datos para sustentar conclusiones generales, la cautela básica consiste en asegurarse de que se toman muestras representativas. Cuando no es el caso, pueden llegar a exhibirse en forma porcentual conclusiones que no son extrapolables al conjunto, a sabiendas que tanto la utilización de porcentajes como de decimales son técnicas muy socorridas para aportar una aureola de precisión a lo inexacto. De ahí la importancia de comprender bien la metodología y técnicas de testeo que se van a utilizar, o recurrir directamente a estándares donde todo ello viene predefinido y goza de aceptación general.

La primera norma técnica para trabajos de aseguramiento (auditoría) en el ámbito del Compliance fue el estándar emitido en 2011 por el Instituto Alemán de Auditores Públicos (IDW) AssS 980 que ya he comentado en ocasiones anteriores. Esta norma se inspira en el reputado estándar de la International Federation of Accountants (IFAC), la norma  ISAE 3000, que también se utiliza tanto en España como en el extranjero en trabajos de auditoría destinados a la emisión de una opinión profesional sobre los modelos de Compliance. Puesto que esta norma internacional posibilita desarrollar revisiones a través de una metodología homogénea, con independencia del país donde se ejecuten, constituye un recurso bastante utilizado en organizaciones plurilocalizadas que precisan uniformar criterios de validación y obtener una visión de conjunto sobre bases comparables. La utilización de estándares que gozan de reconocimiento internacional evita las inconsistencias que se pueden derivan cuando se mezclan diferentes metodologías de revisión singulares dentro de un mismo grupo.

La conveniencia de medir la eficacia de los modelos de Compliance adquiere en España un protagonismo notable a raíz de la modificación del Código Penal que entró en vigor el pasado 1 de julio, y que predispone la verificación de los modelos de prevención penal. En el Test de Compliance publicado este mes encontrarás más información sobre este requisito y algunas opciones en relación con él. Las verificaciones de la efectividad del modelo encajan bien con la política criminal pretendida en los ordenamientos que promueven estos modelos, hasta el punto que en Derecho comparado se asocian al calificativo “effective”. Así, por ejemplo, las US Sentencing Commission Guidelines se refieren a los Effective Compliance and Ethics Programs, y ese mismo calificativo se encuentra en otras normas que huyen igualmente de planteamientos meramente formales, inadecuados para cambiar la cultura de la organización.

A causa de lo anterior, medir la efectividad de los modelos de Compliance –incluido el de prevención penal- constituye una buena práctica a la que ya recurren organizaciones sensibilizadas con una gestión responsable, y que incluso muestran orgullo publicitando la opinión del auditor. Este tipo de trabajos denotan la sensibilidad del equipo directivo con las buenas prácticas de gestión, al tiempo que dejan evidencia de su diligencia debida. Puesto que el principio de seguridad absoluta se descartó hace años, ningún tipo de revisión garantizará que no se hayan producido incumplimientos o que no vayan a producirse –según rezan literalmente los marcos de referencia de Compliance más actuales-, pero otorgan un confort nada despreciable tanto a la propia organización como a sus grupos de interés.

¿Es el nuevo Código Penal un marco de referencia en Compliance?

Por Alain Casanovas
on 31. 03. 2015

Finalmente hoy se ha publicado en el Boletín Oficial del Estado la Ley Orgánica 1/2015 de 30 de marzo por la que se modifica el Código penal, introduciendo claridad y detalle en el régimen de la responsabilidad penal de las personas jurídicas en España. Recordemos que, en diciembre del año 2010, entró en vigor esta figura en nuestro ordenamiento jurídico, envuelta en debate y, sobre todo, rodeada de una gran incertidumbre. Tal novedad se introdujo mediante una regulación extremadamente somera que contribuyó a alimentar toda suerte de interpretaciones, y que vino seguida de una Circular de la Fiscalía General del Estado que sembró todavía más dudas sobre la eficacia de los modelos de prevención penal corporativos. En este entorno de confusión, es comprensible que muchos empresarios decidieran esperar a que aclarase el horizonte antes de impulsar modelos de prevención penal cuyas características y efectos estaban por ver. Una aproximación parecida a la que también optaron no pocos jueces y fiscales, frente a un régimen excesivamente controvertido y huérfano, además, de un adecuado desarrollo normativo desde la perspectiva procedimental u operativa.

Ya en octubre de 2013, cuando se publicó en el Boletín Oficial de las Cortes el Proyecto de modificación del Código Penal, se constató lo que era inevitable desde un buen comienzo: que las líneas que se iban a seguir en España convergían con las recomendaciones de las principales plataformas internacionales y con las prácticas ya instauradas en las jurisdicciones de nuestro entorno, que otorgan legitimidad y eficacia a los modelos de prevención penal corporativos. Se trata de potenciar que las empresas adopten un rol activo en la lucha contra la criminalidad susceptible de producirse en su seno. Por lo tanto, ya desde entonces era manifiesta la importancia de los modelos de prevención penal en las empresas, hasta el punto de que podrían determinar la exención de la responsabilidad de la persona jurídica imputada. Era una realidad tan obvia y esperada, que a nadie le ha sorprendido excesivamente que este nuevo régimen se aplique a partir del próximo 1 de julio, en lugar de disponer una vacatio legis de 6 meses.

En los próximos meses publicaré una batería de Tests que permiten conocer si un modelo de prevención penal respeta aspectos esenciales recogidos en la nueva regulación. Sin embargo, para concluir acerca de la bondad de un determinado modelo, se precisa seguir directrices que trascienden en detalle las esbozadas en la nueva redacción del Código Penal.

Se considera una cualidad indispensable de todo marco de referencia completo que incorpore instrucciones suficientemente detalladas que permita a diferentes revisores independientes alcanzar conclusiones concordantes. Por eso, los estándares internacionales en materia de prevención penal y del soborno articulan regímenes detallados que erradican dudas interpretativas y facilitan concluir de manera unívoca. Cuando en el año 2011 el Instituto Alemán de Auditores Públicos (IDW) publicó la primera norma técnica para el desarrollo de encargos de seguridad razonable sobre Compliance Management Systems (CMS), el conocido IDW AssS 980, identificó y listó en su Apéndice 1 marcos de referencia en el ámbito del Compliance ampliamente aceptados, que incorporan ese nivel de detalle. Eran líneas consistentes con la filosofía de aplicación del conocido International Standard on Assurance Engagements 3000 (ISAE 3000) emitido por la International Federation of Accountants (IFAC) en el año 2003 y revisado en diciembre de 2013, que igualmente precisa para su correcta aplicación recurrir a marcos de referencia suficientemente detallados.

Es cierto que la nueva regulación sobre modelos de prevención penal ha clarificado sus características y eficacia. Sin embargo, existe consenso en considerar que el Código Penal no es el lugar adecuado para desplegar una regulación detallada sobre dichos modelos, tarea más propia de otras normas de desarrollo o de las directrices emanadas de instituciones u organismos con capacidad de normalización. La nueva regulación, contenida en un número limitado de artículos y con referencias genéricas, ampara un notable margen de tolerancia interpretativa, lo que dificulta su calificación como marco de referencia en el sentido técnico que vengo indicando. No obstante, en España ya se trabaja en una norma UNE que traducirá en requisitos concretos las disposiciones generales del Código Penal en cuanto a modelos de prevención penal, permitiendo en un futuro aplicar sobre ellos procesos de certificación o aseguramiento sobre la base de un marco de referencia generalmente aceptado. Todo ello incrementará el nivel de confort tanto en las empresas como en los órganos judiciales a la hora de valorar su enfoque y eficacia, reduciendo el margen interpretativo y trasladando el debate a cuestiones técnicas, como viene sucediendo en países de nuestro entorno. Así las cosas, la prevención penal se adentra en el campo de los principios generalmente aceptados y técnicas de gestión basadas en políticas, procedimientos y controles.

La ubicación de Compliance

Por Alain Casanovas
on 05. 03. 2015

La localización de la función de Compliance en el organigrama de la empresa suele preocupar a quienes promueven su desarrollo. Sin embargo, su desconcierto aumenta a medida que se emiten normas y recomendaciones sobre materias relacionadas, como está sucediendo últimamente.

El pasado mes de febrero, la Comisión Nacional del Mercado de Valores (CNMV) presentó el nuevo Código de buen gobierno de las sociedades cotizadas, que complementa la regulación positiva sobre ciertas cuestiones emparentadas con el Compliance. Es importante conjugar el régimen de la Ley de sociedades de capital con las recomendaciones de dicho texto para ubicar correctamente la función de Compliance en el seno de estructuras empresariales complejas, como puedan ser las de sociedades cotizadas.

Los estándares internacionales más modernos de Compliance coinciden en recomendar que tal función disfrute de un fácil acceso a los máximos órganos de gobierno social, circunstancia que se traduce en una posición jerárquica elevada, cercana a los mismos. Se trata de un requisito sustancial para dotar de eficacia a la función, en la medida que no sólo refuerza su independencia sino que facilita una comunicación fluida y la rápida adopción de decisiones de alto nivel, llegado el caso.

A causa de las limitaciones inherentes a su tamaño, las pequeñas empresas desarrollan esquemas de Compliance simplificados, donde es el propio órgano de administración el que asume los roles de dicha función, aplicando principios de cumplimiento generalmente aceptados de manera proporcional a sus circunstancias internas (tamaño, recursos, etc) y externas (sector de actividad, mercados en los que opera, etc). La modificación del Código penal que se encuentra en tramitación parlamentaria reconoce expresamente tal posibilidad en los modelos de prevención penal de las llamadas “personas jurídicas de pequeñas dimensiones” (las que presentan cuenta de pérdidas y ganancias abreviada).

En sociedades de mayores dimensiones, la función de Compliance suele encomendarse a un órgano con dependencia funcional del órgano de gobierno social, disposición que obviamente avala la proximidad a las máximas estructuras decisorias sugerida por los estándares de Compliance modernos.

No obstante, las organizaciones de un cierto tamaño –aun no siendo cotizadas- ya han venido dotándose de órganos y funciones relacionadas con la gestión de riesgos (control interno y auditoría interna) que no pueden obviarse a la hora de impulsar un modelo de Compliance. De hecho, en no pocas ocasiones la función de Compliance es el resultado de un spin-off de las mismas, nutriéndose de sus recursos y soportándose en ellas cuando resulta posible.

Quienes me conocen saben que suelo equiparar la función de Compliance con un órgano de cualquier ser vivo, donde lo importante radica no sólo en su estructura sino, sobre todo, en su adecuada integración con otros órganos necesarios para desarrollar su cometido. Los cirujanos dedican mucho tiempo a planificar los trasplantes, poniendo un cuidado exquisito en realizar las conexiones que garantizarán la funcionalidad del órgano implantado. Esta elemental cautela quirúrgica es más necesaria cuanto mayor es una organización, alcanzando gran dificultad en las sociedades cotizadas, habida cuenta su complejidad estructural.

Dice la Ley de sociedades de capital que constituyen facultades indelegables del consejo de administración la determinación de la política de control y gestión de riesgos, incluidos los fiscales, y la supervisión de los sistemas internos de información y control. Puesto que los riesgos de incumplimiento son tan sólo una porción de los que afectan a la organización en su conjunto –gestionados mediante sistemas específicos-, es patente la posición de garante de los administradores respecto del cumplimiento de las normas. Sin perjuicio de ello, pueden crearse comisiones especializadas que, en función del perfil de sus componentes (independencia, formación y experiencia) acometan dicha labor de forma profesional. Es más, dichas comisiones pueden auxiliarse, a su vez, de funciones o departamentos donde trasladen su cometido a la operativa diaria de la organización. Esta profesionalización alcanza su grado álgido en las sociedades cotizadas, obligadas a disponer, como mínimo, de una comisión de auditoría, y otra de nombramientos y retribuciones.

La Ley de sociedades de capital incluye dentro de las funciones mínimas de la Comisión de auditoría supervisar la eficacia del control interno de la sociedad y los sistemas de gestión de riesgos, incluidos los fiscales. Sobre la base de este entendimiento, ya generalizado antes de la reciente modificación legal que lo consolidó, no pocas entidades cotizadas crearon estructuras de Compliance bajo la supervisión directa de su Comisión de auditoría. Podríamos decir, por lo tanto, que este ha sido un esquema clásico de emplazamiento de dicha función.

Al amparo de la posibilidad de crear comisiones especializadas reconocida por la vigente Ley de sociedades de capital, el nuevo Código de buen gobierno de las sociedades cotizadas otorga un notable protagonismo a la Comisión de responsabilidad social corporativa (RSC), que puede asumir roles relevantes en materia de Compliance. Se reconoce la capacidad de esta comisión para supervisar el cumplimiento de los códigos internos de conducta, así como evaluar todo lo relativo a los riesgos no financieros de la empresa, que incluyen expresamente, entre otros, los legales y los reputacionales -aunque éstos últimos no son verdaderamente una categoría de riesgos sino la mera consecuencia de los que sí lo son-. En cualquier caso, riesgos legales y daños reputacionales son materias típicamente tratadas en los marcos de referencia sobre Compliance.

Sin embargo, el régimen que sugiere el Código de buen gobierno de las sociedades cotizadas se aparta de la ortodoxia propia de los modernos esquemas de gestión GRC (Governance, Risk management & Compliance), lo que desencadena una serie de consecuencias que dificultan sobremanera la rápida ubicación de una función tan crítica como la de Compliance.

Sugiriendo que la Comisión de RSC se ocupe de cuestiones estrechamente vinculadas con el buen gobierno, y que la Comisión de auditoría haga la propio respecto de la gestión del riesgo, es clara su correlación con los cometidos de Governance y de Risk management propios de un modelo GRC. Sin embargo, los cometidos de Compliance, cuya sustantividad brilla por su ausencia en el código, no quedan unívocamente asignados, sino que se distribuyen entre ambas comisiones según tengan naturaleza “no financiera” o “financiera”. Y esto conduce a las inconsistencias conceptuales y problemas prácticos que señalaré a continuación.

Es cuestionable que los riesgos relacionados con el cumplimiento de la legalidad se califiquen de “no financieros”, a juzgar por el impacto en los estados financieros que se deriva de su régimen sancionador, según comprobamos en la prensa económica diaria. También es cuestionable que los riesgos fiscales, inevitablemente anclados a la comisión de auditoría por exigencia de la Ley de sociedades de capital, no compartan la condición de riesgo legal, considerando que su régimen regulador y sancionador deriva de la Ley General Tributaria y demás normativa fiscal. Esta división artificial dificulta ubicar bajo una misma supervisión el conjunto de obligaciones de cumplimiento, que es precisamente el ánimo de las superestructuras de Compliance que pretenden las mejores prácticas. Por otra parte, tal división genera una gran vis atractiva hacia la Comisión de auditoría, que mantiene necesariamente cautivos aquellos riesgos que puedan entenderse “financieros” -como los fiscales- y que está habilitada para asumir también los que no lo son (pero que son igualmente riesgos a supervisar). Esto conlleva una notable concentración de responsabilidades en esta comisión y sus miembros.

En caso de que la Comisión de RSC u otra creada al efecto asuma los riesgos legales, tampoco podrá desvincularse completamente el sistema de gestión de cumplimiento (Compliance Management System, CMS) de la Comisión de auditoría, por cuanto no deja de ser interpretable en clave de sistema específico de gestión de riesgos, cuya supervisión constituye una de sus obligaciones ex lege. Por eso, la partición de las obligaciones de cumplimiento entre las dos comisiones (auditoría y RSC) precisará que la función de Compliance establezca vías de comunicación con ambas y añadirá complejidad al modelo.

Depredadores

Por Alain Casanovas
on 31. 07. 2014

Desde una perspectiva de Compliance, suele asumirse que conviven en las organizaciones tres clases de personas: las que siempre observarán una conducta adecuada (25%), aquellas cuyo comportamiento depende en gran medida del entorno en que se hallen (50%) y, finalmente, las que tienden a observar conductas desviadas, incluso con independencia del contexto en que se encuentren (25%). De acuerdo con esta partición, las conductas que desarrollará el grueso de la población en la empresa están condicionadas por la cultura de cumplimiento que ésta irradie y los elementos de prevención dispuestos al efecto. En líneas generales, este conjunto es susceptible de cometer incumplimientos de oportunidad, entendidos como aquellos en que se incurre ante circunstancias propicias. Así, por ejemplo, si un empleado tiene capacidad de acceder a datos personales de terceros, susceptibles de proporcionarle ingresos, podrá sentirse tentado de hacerse con ellos ante la ausencia de medidas de prevención y vigilancia que lo eviten (físicas o lógicas).

Sin embargo, el grupo remanente de personas con propensión al incumplimiento no sólo aprovechará las vulnerabilidades de control, sino que actuará conscientemente para soslayar los mecanismos de vigilancia. Para conseguirlo, su conducta no producirá anomalías detectables por las medidas de vigilancia al uso, que además conocen bien.

A comienzos de este año se publicaron en España las memorias de Vasili Sáitsev, el francotirador soviético que fue galardonado con la Estrella de Oro de Héroe de la Unión soviética por sus méritos en la atroz batalla que se libró en Stalingrado (1942). Cuando perseguía a un francotirador enemigo, llamaba poderosamente la atención de sus compañeros que nunca pretendiese localizarlo mediante la observación directa, sino indagando las circunstancias en las que habían sido alcanzadas sus víctimas y formándose un juicio sobre qué emplazamiento elegiría él mismo para asestar tal impacto letal. A partir de ahí, esperaba a que el contrario se manifestase, atraído por algún señuelo dispuesto al efecto. El destello de un disparo durante una fracción de segundo, era la fugaz evidencia que delataba su posición, pero sólo si en ese momento se estaba vigilando la zona. Záitsev sabía que era inútil otear los alrededores, pues un tirador experto jamás provoca anomalías en el paisaje, y tratar de localizarlo visualmente equivale a convertirse en su próxima víctima. Las técnicas de Záitsev todavía se instruyen en la actualidad.

Uno de los cometidos de Compliance es detectar incumplimientos, tanto de las obligaciones que vienen impuestas a la organización como de aquellas que asume voluntariamente. En cualquier caso, tanto unos como otros incumplimientos pueden cometerse para obtener un enriquecimiento personal, y por ello han sido ocasionalmente clasificados como una modalidad de fraude. De hecho, la corrupción, que es uno de los ámbitos típicos de los modelos de Compliance, se identifica como el fraude que más ha crecido porcentualmente en el mundo respecto de años previos, según el Report to the Nations emitido en 2014 por la Association of Certified Fraud Examiners (ACFE). El Caso que publico este mes guarda relación con ello, e ilustra como el incumplimiento de las normas que previenen la corrupción y el fraude suelen ir de la mano.

La prevención y detección de conductas corruptas, como modalidad de fraude, se proyecta sobre un perfil de sujetos bastante estudiado, caracterizado por su nivel de madurez en la organización y, por lo tanto, por conocer el entorno de control y sus vulnerabilidades. De hecho, es un grupo que se nutre de personas que inicialmente formaban parte de ese 50% del conjunto y que, a base de escalar incumplimientos de oportunidad, han devenido “depredadores”: empleados -normalmente directivos-, que defraudan deliberadamente y sin remordimientos, muy preparados para sortear los mecanismos ordinarios de vigilancia.

La primera medida preventiva es evitarlos por medio de una adecuada selección del personal, poniendo especial cuidado en los cargos llamados a desarrollar cometidos de control, pues no hay mayor desacierto que instalar al zorro para custodiar el gallinero. Por eso, las líneas directrices recopiladas anualmente por la US Sentencing Commission hacen hincapié en la necesidad de valorar los antecedentes de cumplimiento de las personas que acceden a dichas posiciones.

Si hay algún “depredador” dentro de casa, sólo lo combatiremos persiguiéndolo de forma activa, a sabiendas de que no producirá anomalías perceptibles. Es preciso recurrir a indicios, como hacía Záitsev. Así que toma el fúsil y continúa leyendo.

Llegó el momento de relacionar el data analysis con el Compliance. Uno de los problemas que afronta la actual Sociedad de la Información es la sobreabundancia de datos. Sin embargo, de ese magma digital se obtienen las pistas delatoras de incumplimientos deliberados, ejecutados por personas altamente cualificadas. Olvídate de las técnicas de identificación de desviaciones sobre la media normal de datos, ya que los “depredadores” más peligrosos mimetizan sus acciones dentro de parámetros aparentemente normales.

En la maraña actual de datos gestionados por una organización, existen muchos que son indiciarios cuando se enlazan adecuadamente: identifica, por ejemplo, coincidencias sospechosas, como puedan ser números de cuentas bancarias o direcciones coincidentes en personas de dentro y fuera de la organización, o aquellas personas que realicen transacciones con entidades de nueva creación. Estas y otras sincronías te permitirán formular hipótesis de investigación para luego mantener el foco de control sobre el perímetro adecuado, que es justamente lo que hacía Záitsev setenta años atrás.

En cualquier caso, puesto que estamos hablando de cumplimiento, siempre deben extremarse las precauciones que garanticen el tratamiento de datos personales respetando los derechos de sus titulares, garantizando su disociación antes de tener evidencias inequívocas que delaten al depredador.

 

Poniendo orden en Babel

Por Alain Casanovas
on 15. 07. 2014

¿Quién no conoce el mito de la Torre de Babel? La tradición cuenta que obró un castigo divino cuando la arrogancia humana trató de alcanzar el cielo con esa construcción, lo que desencadenó la multiplicación de las lenguas y su dispersión por toda la Tierra. De hecho, la etimología hebrea de Babel significa balbuceo o confusión. Las evidencias arqueológicas apuntan que, en realidad, fue una construcción de siete plantas y poco más de noventa metros de altura, como describió Herodoto en la antigüedad. La gesta contemporánea que abandona las dimensiones modestas es el crecimiento descomunal de la información que está manejando la humanidad, cuyo tratamiento ha originado el fenómeno del big data. El problema no sólo radica en que el volumen procesable de datos -que ya se mide en petabytes – no logra acompañar su crecimiento imparable; sino también en que las informaciones que contiene no son homogéneas. Se habla mucho y en muchos idiomas, y esto afecta a la Sociedad, en general, y a las empresas, en particular. Quien sea observador comprobará que se está luchando contrarreloj en ambos frentes, lo cual me lleva a hablar del lenguaje extensible en el mundo de los negocios.

El eXtensible Business Reporting Language (XBRL) que gana impulso con el nuevo siglo, está orientado a unificar los estándares de presentación de la información financiera y empresarial, de modo que a través de Internet puedan capturarse datos económicos homogéneos y, por lo tanto, comparables. Está basado en el previo eXtensible Markup Language (XML) creado por W3C. En líneas generales, esta tecnología no sólo muestra datos sino que también los describe, lo que permite tabularlos de manera coherente y compararlos. En Enero del año 2009 el órgano regulador norteamericano, la Securities and Exchange Commission, estableció la obligación de que se reportasen y publicitasen estados financieros en formato XBRL, e incluso dispuso una página web facilitando información sobre cómo hacerlo. Diversos reguladores nacionales siguieron la misma iniciativa, incluido el Español. Hasta la Unión Europea ha terminado sugiriendo la utilización de XBRL en su reciente Directiva 2013/59/UE sobre armonización de los requisitos de transparencia. Se pretende, entre otros beneficios, que los motores de búsqueda de información financiera en Internet puedan capturar información comparable y producir benchmarks fiables y al alcance de todos.

Ahora pongamos en relación esta tendencia con otra no menos evidente: la expansión de los reportes de la empresa a ámbitos que trascienden en mucho la información financiera. Es justamente el objetivo del Integrated Reporting (IR), que está ganando posiciones entre las empresas más importantes del planeta, y es también uno de los propósitos de la última revisión del entorno de control más conocido del mundo, COSO III. Pues bien, ya se reflexiona sobre el modo en que XBRL e IR pueden converger, de modo que la información empresarial –no limitada a la financiera- pueda comunicarse en lenguaje universal. Es el primer eslabón para poner orden en Babel, al menos en cuanto a la comunicación de datos de las empresas.

Es interesante conocer estas tendencias, pues las mejores prácticas del ámbito de la información financiera han influido notablemente y continuarán haciéndolo en la esfera del Compliance. No en vano el Instituto Alemán de Auditores Públicos (IDW) acuñó su reconocido estándar sobre Compliance, el AssS 980, sobre la base, entre otros, del propio COSO framework. Así, viendo hacia dónde se dirigen las prácticas más avanzadas en reporte empresarial, es fácil formarse una idea de lo que está por venir en el mundo del Compliance.

Es evidente la tendencia a uniformizar la nomenclatura y las técnicas habituales de Compliance, como demuestra el trabajo de normalización que está desarrollando ISO sobre Compliance Management Systems, que ya he comentado en otras ocasiones. Esta armonización ayudará a evaluar la razonabilidad de las estructuras de cumplimiento sobre la base de indicadores generalmente aceptados, como los que trato en el caso de este mes. La existencia de una taxonomía acordada sobre una materia facilita mucho aplicar después sobre ellas el lenguaje extendido, que es justamente lo que ya ocurrió con la norma ISO 20022 y su traslado a XML en el sector financiero. Y vistos los antecedentes, no es en absoluto descabellado pensar que el proceso de ordenación que está experimentando Compliance conduzca hacia lo mismo…

Por otra parte, el camino hacia la igualación de prácticas y lenguaje en la esfera del Compliance atraviesa necesariamente por uniformar su formación, circunstancia que también está sucediendo en la actualidad a través de posgrados universitarios de especialización.

Cuenta la leyenda que el castigo divino que recayó en Babel fue también un don para el Hombre, de forma que pudiese retomar el buen camino perdido; mensaje que, paradójicamente, concorda con la enseñanza de muchos entornos de control interno y también de Compliance, según la cual todo riesgo lleva implícita una oportunidad de mejora.

 

Certificaciones de Compliance en España

Por Alain Casanovas
on 27. 06. 2014

Según el diccionario de la lengua española, “certificar” es asegurar, afirmar o dar por cierta alguna cosa. Y el certificador es quien emite tal testimonio.

En la última sesión del KPMG Compliance Think Tank, comenté los diferentes estadios de tramitación de las normas ISO sobre Compliance, y surgieron algunas dudas sobre las posibilidades de certificación que existen o existirán en España en relación con las mismas. Para comprender el alcance de las diferentes opciones al respecto, es conveniente prestar atención a tres aspectos clave: (i) la entidad que certifica, (ii) el proceso de certificación que utiliza, y (iii) la norma o estándar sobre la base del cual emite su certificación.

En primer término, la entidad de certificación es la que emite un juicio de certeza, cuyo valor guarda cierta relación con el reconocimiento que le dispensa el mercado. Si nos quedamos aquí, sin considerar el resto de aspectos señalados anteriormente, una entidad puede certificar la razonabilidad de un modelo de Compliance, atendiendo a sus propios procedimientos de certificación y criterios técnicos. Existen diversas opciones de esta naturaleza a nivel internacional, algunas de ellas notablemente reputadas por considerar las recomendaciones emanadas de plataformas internacionales tan importantes como la OCDE.

Los siguientes peldaños en la cadena de apreciación de una certificación se suben sumando un procedimiento de trabajo tasado, y considerando el estado del arte que definen los expertos en la materia: es la emisión de una certificación sobre la base de un estándar derivado de una normalización ordenada, en lugar de hacerlo según especificaciones privadas.

Puesto que los criterios para “dar por cierta una cosa” –utilizando los términos de la Real Academia Española- pueden no corresponder necesariamente con la opinión de quienes más conocen sobre ella, adquieren sentido e imprimen valor las revisiones guiadas por estándares, es decir, desarrolladas atendiendo a los criterios fijados por expertos a través de un proceso de normalización.

La normalización es la actividad destinada a elaborar y aprobar normas ante determinados problemas o necesidades de orden tecnológico, político o económico. Los diferentes Estados otorgan esta capacidad a organismos que, a través de un proceso regulado, transparente y participativo, asumen dicho rol. En España, las normas UNE son, precisamente, las creadas por Comités Técnicos de Normalización.

Del mismo modo que ciertos organismos nacionales tienen la capacidad de emitir estas normas, pueden igualmente impulsar y participar en la elaboración de normas internacionales, esto es, normas ISO. En cualquier caso, tanto las normas nacionales como las internacionales se elaboran incorporando expertos conocedores de la materia objeto de las mismas. Es más, normalmente toman parte en ellas los agentes sociales más vinculados con ellas, incluida la representación de las propias entidades que serán sus destinatarias. De ahí que el proceso de normalización sea enriquecedor, y como resultado del mismo se emitan normas robustas, que reflejan el estado del arte transmitido por las voces más cualificadas en sus respectivos ámbitos. Emitir una certificación sobre la base de una norma nacional o internacional destierra sospechas de mediocridad, y de ahí la gran difusión que han tenido estándares internacionales, como lo son el grupo de normas ISO 9000 sobre calidad o las normas ISO 14000 sobre sistemas de gestión medioambiental, ambas auténticos referentes internacionales sobre sus respectivas materias. ¿Quién no las conoce?

Pero volvamos al tema que nos ocupa, que son las certificaciones en materia de Compliance en España. Actualmente no existe en España una norma UNE sobre Compliance, ni de alcance general ni en el ámbito concreto de la prevención penal. Por otra parte, no podemos todavía recurrir a normas internacionales, puesto que las dos únicas normas ISO sobre el particular se encuentran hoy en fase de preparación: la ISO DIS 19600 sobre Compliance Management Systems (CMS) y la ISO WD 37001 sobre Anti-Bribery Management Systems. Además, el primero de dichos estándares no será certificable, por los motivos que apunté en mi post anterior.

Así las cosas, no pueden emitirse todavía en España certificaciones sobre la base de normas UNE (nacional) ni ISO (internacional) en los ámbitos indicados, por los motivos que acabo de explicar. Mientras tanto, disponemos en España de opiniones o certificaciones basadas en especificaciones o requisitos de carácter privado, con las limitaciones inherentes a dichas aproximaciones. Si no queremos esperar a la emisión de dichas normas, debemos al menos ser conscientes de las limitaciones indicadas, evitando situaciones de falso confort y sorpresas desagradables.

Con independencia de lo anterior, ya existen organizaciones que soportan la razonabilidad de sus estructuras de Compliance no sobre la base de certificaciones sino en opiniones de auditoría, lo cual nos lleva a hablar de los estándares de assurance en dicho ámbito, materia suficientemente compleja como para dedicarle un post monográfico más adelante…

Compliance y proxy advisors

Por Alain Casanovas
on 15. 05. 2014

No hace mucho tiempo se publicó una entrevista realizada a Heather Loewenthal, responsable de Compliance para Barclays Africa Group, y antigua responsable Global de Compliance en el Grupo ING. Como bien manifestó, en el complejo entorno normativo en que se desenvuelven actualmente las empresas, no es difícil incurrir en incumplimientos susceptibles de producir una pérdida de confianza entre clientes, accionistas, reguladores y la sociedad en general. Las entidades que prestan servicio a inversores y asesoran respecto del ejercicio de derecho de voto en entidades cotizadas, es decir los proxy advisors, son muy conscientes de ello, lo que explica su creciente interés en los Compliance Management Systems (CMS) a que se refiere la entrevistada. Saben bien que disponer actualmente de un CMS adecuado no es un lujo, sino una necesidad, considerando el crecimiento exponencial de las normas no sólo en número sino también en complejidad. Para ellos y para los responsables de las relaciones con inversores en las empresas, es una buena noticia la próxima emisión de una norma internacional que proporcionará directrices para disponer de un CMS robusto, de forma que las necesidades de unos y otros puedan cubrirse a través de las buenas prácticas reconocidas en este ejercicio de normalización internacional. En particular, Heather Loewenthal se refiere a la norma ISO 19600, basada inicialmente en el conocido Australian Standard AS3806, y cuyo texto se ha perfeccionado hasta convertirlo en el futuro referente global sobre CMS. Este tipo de normas internacionales atraviesan por diferentes estadios de progresión, según describe ISO en su propia página web. Pues bien, la norma 19600 tiene actualmente la consideración de Draft International Standard (DIS) y, tras un periodo final de análisis por parte del grupo de expertos que trabajamos en ella, pasará a estar lista para su aprobación y publicación. Por consiguiente, cabe esperar que la norma vea la luz a principios del año 2015. Se trata de una norma de directrices (guidelines) y no de requisitos de obligado cumplimiento (requirements, en nomenclatura ISO), queriendo así evitar los gravámenes que ocasionalmente producen los estándares de requirements, que encorsetan a las organizaciones en ellos y las abocan al coste adicional de certificarse periódicamente.

Las directrices permiten que las empresas se doten de un modelo sin esa rigidez, y dispongan de una superestructura de cumplimiento que introduzca sistemática y consistencia en la gestión de sus diferentes ámbitos de cumplimiento, normalmente tratados de manera fragmentada o coordinados, en el mejor de los casos, mediante metodologías singulares o ajenas al mundo del Compliance.

La futura norma 19600 sigue una aproximación basada en el riesgo (Risk Based Approach –RBA-), lo cual significa que el CMS deberá proyectarse, de manera priorizada, sobre los riesgos de cumplimiento que afectan a cada organización. Es un enfoque al que también suelen recurrir otras funciones en la empresa, como Control Interno y Auditoría Interna, la primera al enfocar el diseño de controles, y la segunda al determinar las pruebas a desarrollar para validar su eficacia, por ejemplo. Un aspecto clave para la eficacia de un CMS es su capacidad de encajar perfectamente con otras funciones de la empresa y, en especial, con aquellas que comparten un mismo enfoque RBA. En el Caso que publico este mes (“Caso 5: Las indefiniciones no benefician a nadie“) abordo la problemática asociada con ello, ilustrando que la dificultad en conseguir modelos exitosos de CMS no radica tanto en su propia definición, sino en la capacidad de integrarlos con el resto de las estructuras de la propia organización, y muy especialmente con aquellas que son claramente sinérgicas.

 

Crear monstruos

Por Alain Casanovas
on 28. 04. 2014

Si las personas en las organizaciones siguiesen fielmente las instrucciones facilitadas para observar las normas y los estándares éticos, seguramente la probabilidad de incumplimientos disminuiría drásticamente. En este sentido, podría pensarse que la mejora de las capacidades de las personas para acatar directrices e instrucciones es uno de los objetivos de la función de Compliance. Sin embargo, esa no es una conclusión del todo correcta.

La historia nos demuestra que la obediencia, tanto de las normas como de las instrucciones que emanan de ellas a través de un acto de mera disciplina, no de reflexión, produce consecuencias terribles. Los entornos en los que concurre la denominada “obediencia debida”, donde el ejecutante de una instrucción no se considera responsable de sus consecuencias por ser un mero brazo ejecutor de quien la ha dictado, suelen asociarse al entorno militar, aunque también puede darse en otros contextos donde la presión sobre el sujeto condiciona notablemente su conducta.

En 1945 Leon Goldensohn, médico y psiquiatra del ejército de los Estados Unidos, se entrevistó con diferentes acusados y testigos en los tristemente famosos Juicios de Núremberg. Cuando le preguntó a Rudolf Hoss, comandante en jefe del campo de concentración de Auschwitz (1940-1943), si se sentía perturbado por haber enviado a la muerte al increíble número de dos millones y medio de hombres, mujeres y niños, aquel contestó impertérrito “pensaba que estaba haciendo lo correcto, obedecía órdenes”. Leon Goldensohn murió poco antes que se desarrollara en los Estados Unidos uno de los experimentos que más ha consternado a la sociedad norteamericana. El psicólogo de la Universidad de Yale, Stanley Milgram, llevó a cabo, a partir de 1961, ciertos trabajos de investigación relacionados con la “obediencia a la autoridad”. Milgram quería conocer si los terribles crímenes contra la humanidad que se juzgaron en Núremberg tenían su origen en un perfil patológico de sujetos o, por el contrario, podían llegar a cometerse por personas normales. El experimento consistía en que un voluntario, siguiendo normas previamente acordadas con el director del experimento, administraba descargas eléctricas a otro voluntario –esta vez fingido-, cada vez que éste erraba su respuesta a ciertas preguntas. Ante cada error, el voltaje aumentaba hasta alcanzar magnitudes no sólo dolorosas sino nocivas para la salud del voluntario fingido (450 Voltios). Fue curioso comprobar que sólo el 35% de voluntarios se negaban a infligir daños, sucumbiendo los demás a la presión derivada de las instrucciones recibidas y autoridad aparente de quien las emitía. Llegó a la conclusión que la conducta desviada de los individuos más obedece a las circunstancias en que se hallan sumidos que a una patología individual.

Lo más inquietante del experimento de Milgram están siendo sus secuelas. En 2009 un equipo de televisión repitió el experimento, comprobando con horror que, en la actualidad, la proporción de personas capaces de administrar el máximo voltaje ya no se situaba entre un 1 o 2%, como en la época de las experiencias de Milgram, sino que la mayoría de los voluntarios participantes estaban dispuestos a ello. ¿Nos encontramos en una época donde el individuo cede más fácilmente ante la presión del entorno?

Llegados aquí, podríamos decir que el cometido de la función de Compliance no radica en contribuir a un entorno de obediencia ciega a normas e instrucciones, sino a formar sujetos que las comprendan y puedan dirigir rectamente sus decisiones. Es la llamada aproximación basada en la integridad, donde las conductas de cumplimiento derivan de un acto reflexivo y no de la disciplina o el miedo, a cuya sombra, como hemos visto, se gestan los monstruos. Este enfoque tiene grandes ventajas, pues una vez que los sujetos conocen e interiorizan la ratio de las normas, disminuye la necesidad de ejercer vigilancia sobre ellos, cual ha venido siendo el objetivo de la denominada aproximación tradicional del compliance. Actualmente, ambas aproximaciones conviven en los marcos de referencia de Compliance, que enfatizan la necesidad de crear y mantener una cultura de cumplimiento basada principalmente en la formación, pero también exigen establecer mecanismos de vigilancia y control para reducir los riesgos de incumplimiento.

A nadie escapará que ambos objetivos entrañan su dificultad. En el Caso nº 4 que publico este mes de abril se aprecian las dificultades de la formación y cómo debería ir unida a un entrenamiento constante en el día a día de las personas, para producir así una cultura de cumplimiento. La formación, como flor de un día, tiene una capacidad muy limitada para influir en los sujetos que operan en entornos adversos, y la función de Compliance debe ser consciente de ello.

 

Los valores ¿no se traen desde casa?

Por kpmg españa
on 20. 03. 2014

A las personas que asumen por primera vez roles de Compliance, les llama poderosamente la atención que muchos textos acerca de su función la vinculen con la formación. Efectivamente, una gran parte de marcos de referencia sobre Compliance, tanto genéricos como específicos subrayan la importancia de que los sistemas de gestión de cumplimiento (CMS) contemplen esta faceta. El estándar más avanzado en Compliance que actualmente está en fase final de desarrollo, la futura norma ISO 19600 dedica todo un apartado (7.2 Competence and training) a detallar las características de la formación que se espera que una organización procure a sus empleados en materia de Compliance. Uno puede preguntarse, ¿para qué impartir formación sobre el cumplimiento de las obligaciones y los estándares éticos de la empresa? ¿Acaso las personas que se contratan no conocen bien sus obligaciones y carecen de valores morales?

En el año 2010 la Office of Fair Trading británica [link a http://www.oft.gov.uk/] realizó su Competition Law Compliance Survey entrevistando a empresas de distintos sectores de actividad sobre potenciales incumplimientos en materia de competencia. Se descubrió que determinadas conductas, claramente irregulares (el acuerdo con competidores sobre la distribución de mercado, por ejemplo), no solían percibirse como contrarias al derecho de la competencia. Esto ilustra cómo pueden desarrollarse incumplimientos sin llegar a tener siquiera conciencia de ello, y de ahí la importancia de no dar por supuesto su conocimiento.

Cuando entramos en materia de valores éticos, la necesidad se hace igual de patente a causa de las grandes diferencias de percepción sobre el particular entre las personas, en ocasiones debidas a condicionantes culturales. Tanto al guardar cola en la entrada del cine, como ante la puerta de embarque de nuestro vuelo, dudamos que todas las personas vayan a observar una conducta igual de ordenada que la nuestra, y por eso nos mantenemos automáticamente alerta al respecto, tratando de poner orden ante desviaciones inesperadas. Si asumimos esta posibilidad de forma inconscientemente en muchas esferas de nuestra vida cotidiana, reconoceremos que existen situaciones análogas que pueden reproducirse, a otra escala, dentro del mundo de la empresa. De ahí la necesidad de trabajar los valores de las personas y alinearlos con las expectativas de cada organización, sin dar por hecho que se traen desde casa y que son todos iguales.

Sin embargo, la formación en el ámbito del Compliance tiene también un objetivo que trasciende lo comentado hasta ahora: es un factor clave para que cada persona de la organización conozca las obligaciones de cumplimiento que le son propias. Es decir, constituye una herramienta esencial para adquirir conciencia de que las obligaciones de Compliance son inherentes a la actividad que cada individuo desarrolla y, por ello, tienen una dimensión personal inevitable. El hecho de que exista una función de Compliance no supone una traslación de esas responsabilidades individuales hacia un equipo de especialistas, sino tan solo que ciertas personas, por su perfil profesional y experiencia, prestan soporte a los propietarios reales de los riesgos de incumplimiento. Un error conceptual frecuente sobre Compliance, que precisamente analizo en el Caso nº2, es pensar que dicha función asume los cometidos de cumplimiento que en verdad afectan a cada una de las personas de la organización, circunstancia que es materialmente imposible y, por lo tanto, también ingestionable.