Escrito por Jordi Dapeña, Socio de Ascom, Certificado CESCOM®
Firme compromiso de la organización de instaurar y mantener una Cultura Corporativa.
Adoptar e implementar un sistema de gestión de cumplimiento (SGC) teniendo como única motivación dar respuesta a una exigencia legal, limitando su desarrollo a una finalidad estrictamente defensiva ante el riesgo de sanciones o penas derivadas de incidencias relevantes de incumplimiento normativo, implica diseñar un sistema sobre cimientos de cristal que si bien pudiera tener idoneidad inicial en su diseño (plano teórico), a buen seguro estará falto de toda efectividad final (plano de desempeño y ejecución) y con el tiempo derivará en un fake-compliance o paper-compliance.
A día de hoy, debemos entender que una organización empresarial apuesta por una gestión ética, diligente y sostenible, cuando junto y prioritariamente a los objetivos de negocio propiamente dichos (obtención de beneficios), se fijan también los objetivos compliance, tomándose conciencia de que el único camino para garantizar la sostenibilidad es cumplir con las obligaciones compliance (requirements y commitments), integrando una cultura corporativa ética y de respeto a dichas obligaciones en todos los procesos operacionales, de gestión y de toma de decisiones de la organización. De esta forma, esa cultura ética y de respeto a la legalidad constituye un objetivo estratégico más, que prima la continuidad de la actividad a largo plazo frente a la generación y obtención de beneficios a cualquier coste.
El elemento inicial sobre el que cimentar un SGC con aspiraciones de ser efectivo debe ser la convicción y la voluntad del órgano de gobierno y/o de administración de instaurar en la organización, de forma permanente y continua, una auténtica y real cultura corporativa – valores, ética y creencias de la organización – que interactuando con las estructuras, procesos y sistemas de control de aquella, promueva conductas éticas y de firme compromiso con el cumplimiento normativo en todos los niveles de actuación social, como única vía aceptable para alcanzar los objetivos de negocio fijados por la organización y garantizar la sostenibilidad de la actividad empresarial.
La Federal Corporate Sentencing Guidelines, al facilitar directrices para disponer de un Effective Compliance and Ethics Program, en su punto 8 B2.1, dispone que la organización deberá: (i) Ejercitar la diligencia debida para la prevención y detección de conductas criminales, y (ii) Promover una cultura organizacional que promueva las conductas éticas y el compromiso con el cumplimiento normativo.
Ahora bien, dado el grado de riesgo residual que soporta todo sistema de gestión, toda organización que pretenda alcanzar una gestión ética y responsable deberá adoptar no un modelo lineal, a modo de check-list, sino un sistema de gestión (Qué y Cómo) que garantice razonablemente la consecución de los objetivos de negocio y de cumplimiento fijados por la organización y con ello la sostenibilidad de la empresa, es decir, un SGC idóneo en su diseño y eficaz en su ejecución.
Para ello, esa cultura corporativa deberá materializarse en un SGC que partiendo de la comprensión de la organización y su contexto, de las necesidades y expectativas de las partes interesadas y de los objetivos de cumplimiento pretendidos, instaure una estructura organizativa y una estructura normativa interna (políticas, procedimientos y controles) que integrándose en los procesos operacionales, de gestión y de gobernanza otorgue al sistema capacidad para prevenir o reducir significativamente los riesgos identificados, así como capacidad de detección y capacidad de reacción (interna y externa), concretada ésta última en acciones de corrección y de mejora continua, dándose cumplimiento al ciclo Deming para la mejora continua (Planificar – Hacer – Verificar – Actuar).
Si bien respecto al bloque compliance penal, la cultura corporativa como objetivo y el riesgo residual que soporta todo sistema, vienen recogidos por la Circular 1/2016 de la Fiscalía General del Estado al manifestar que “El objeto de los modelos de organización y gestión (…) es promover una verdadera cultura ética corporativa, de tal modo que su verdadera eficacia reside en la importancia que tales modelos tienen en la toma de decisiones de los dirigentes y empleados, y en qué medida constituyen una verdadera expresión de su cultura de cumplimiento.”
Así mismo, huye del concepto de seguridad absoluta y admite que la materialización de un riesgo no convierte por sí solo el sistema en ineficaz, pues todo programa de prevención, por eficaz que sea, soportará un cierto grado de riesgo residual, de manera que la capacidad de detección se valorará como elemento de validez y eficacia del modelo, y añade que detectada la conducta delictiva, sancionando al infractor y poniéndola en conocimiento de la autoridad (capacidad de reacción), la fiscalía deberá solicitar la exención de la responsabilidad penal de la persona jurídica, al evidenciarse no sólo la efectividad el sistema, sino su consonancia con la cultura de corporativa existente en la organización.
En definitiva, esa cultura corporativa deberá tener un alcance global y no limitarse a las funciones de prevención y detección, sino extenderse también a la función de reacción y mejora continua, siendo este desempeño global el que da pleno sentido a esa cultura corporativa y el que dota al sistema de eficacia en términos de razonabilidad.
Si por eficacia de un sistema se entiende la capacidad de garantizar razonablemente la consecución de los objetivos compliance (objetivo macro “tolerancia cero al incumplimiento” – que no a la exposición al riesgo), la cultura corporativa no debe contentarse con la prevención y detección, sino que en cumplimiento de esa tolerancia cero al incumplimiento, debe reaccionar, corrigiendo y mejorando el sistema para evitar que vuelva a repetirse en un futuro.
Si bien la materialización de un riesgo no implica necesariamente la ineficacia del sistema, su repetición por falta de reacción y mejora continua, si será prueba de su deficiencia e ineficacia para gestionar los riesgos a los que la organización esta expuesta.
Binomio Eficacia/Seguridad razonable.
En el primer documento del Committe Of Sponsoring Organizations, COSO I (Internal Control-Integrated Framework 1992) se señala como uno de los objetivos de los modelos de control interno, el proporcionar una seguridad razonable que ayude a alcanzar los objetivos de la organización.
Posteriormente, la Australian Standart AS 3806-2006, estándar local que alcanzó reconocimiento internacional a raíz de que en el 2011 fuera reconocido por el Instituto de Auditores Público Alemán (IDW), como marco de referencia genérico en materia de Compliance Management System, y que sirvió como base de trabajo de la ISO 19600, recoge directrices que permiten adoptar, desarrollar y mantener un programa de cumplimiento efectivo, asociando dicho término a la capacidad del programa para demostrar el nivel de compromiso de la organización con sus objetivos de cumplimiento y que se concreta en una estructura organizativa y de control interno que deriva en la ejecución de acciones concretas que se plasman en evidencias documentales.
A continuación, en el año 2011 el Instituto de Auditores Públicos Alemán aprobó la IDW AssS 980 (o PS 980), norma técnica de assurance para verificar sistemas de gestión de cumplimiento, que utiliza y relaciona los términos de efectividad y seguridad razonable.
La IDW AssS 980 parte de la idea de que un CMS no es infalible, su implementación no garantiza que no se hayan producido o no vayan a producirse no conformidades o incumplimientos, de manera que el objetivo de la verificación es otorgar una seguridad razonable a las organizaciones empresariales acerca de la idoneidad y eficacia de su sistema. Esta norma pretende verificar que además de la prevención y detección, el sistema tiene capacidad de reacción y mejora continua ante incumplimientos y que éstos serán inmediatamente reportados a las personas con facultad de decisión para adoptar acciones correctivas y de mejora para que no vuelvan a producirse en el futuro.
Con la IDW AssS 980 el término eficacia adquiere tangibilidad pudiendo ser auditado y medible en términos de razonabilidad.
Está idea de la mediación de la eficacia del diseño, de la implementación y de la ejecución del sistema se recoge como buena práctica en los modernos estándares que responden a la estructura de alto nivel ISO. Buena práctica que no debe limitarse a la verificación/auditoría anual realizada por la 3ª línea de defensa (Auditoría Interna), sino que debe incluir las labores operativas diarias propias de la gestión del sistema (ej: monitorización continúa, revisiones planificadas o sobrevendidas, reportes operativos, memorias anuales, formación, etc.), a efectuar en unos casos por la 1ª línea de defensa responsable de la aplicación diaria de las procedimientos y de la ejecución de los controles (risk owners), y en otros supuestos por el órgano de cumplimiento situado en la 2ª línea de defensa, en su condición de garante de la gestión del sistema.
Acciones todas ellas que se concretarán en documentos e informes sobre la mediación del desempeño y la eficacia del sistema que como evidencias se integrarán en la información documentada se reportarán a la alta dirección y al órgano de gobierno para que adopten las decisiones pertinentes y que, a su vez, serán de gran utilidad por la información que contienen para la Auditoría Interna cuando deba procederse a la verificación anual de la idoneidad y eficacia del sistema.
Los modernos marcos de referencia (estructuras de alto nivel-ISO) – Estándar Genérico Internacional ISO 19600:2014 Sistemas de Gestión de Compliance, Estándar Específico Internacional ISO 37001:2017 Sistemas de Gestión Antisoborno y Estándar Específico Nacional UNE 19601:2017 Sistemas de Gestión de Compliance Penal – recogen el testigo del binomio eficacia/seguridad razonable.
Así todos ellos hacen referencia a la seguridad razonable, huyendo de la seguridad absoluta inexistente en los SGC, aceptando cierto grado de riesgo residual, de manera que la materialización de un riesgo no implica necesariamente la ineficacia de aquel.
Los referidos marcos de referencia permiten la adopción, la implementación, el mantenimiento, la evaluación y la mejora continua de los elementos que configuran un SGC eficaz, dotándolo de una estructura robusta y dinámica capaz de dar respuesta a las funciones de prevención, detección y gestión de los riesgos (reacción y mejora continua), garantizando razonablemente a la organización la consecución de los objetivos de negocio a través del cumplimiento y respeto de las obligaciones compliance fijadas por la organización.
La eficacia del SGC puede definirse como la capacidad de que todos sus elementos interactúen, materializándose en acciones propias de la labor diaria de su gestión operativa permitiendo alcanzar los objetivos compliance que traen causa de una real cultura corporativa instaurada en todos los niveles de la organización en el desarrollo diario de la actividad empresarial.
En síntesis, los estándares modernos son una herramienta útil que permiten planificar el Cómo (qué elementos debe contener, cuál será la interacción entre ellos, así como su integración en los procesos operacionales, de gestión y de toma de decisiones) para alcanzar el Qué (una real y firme cultura corporativa ética y de cumplimiento normativo cuya manifestación máxima sea la tolerancia cero al incumplimiento -que no la exposición al riesgo-), teniendo un alcance global de las funciones de prevención, detección, reacción y mejora continua, siendo la operatividad acumulativa de todas ellas por la función compliance la que permitirá que el sistema pueda ser calificado de eficaz, al garantizar razonablemente la consecución de los objetivos compliance fijados por la organización.