La inutilidad del corporate compliance frente a la tolerancia

La lectura del artículo Algunos hombres malos de Manuel Conthe en Expansión, a principios de agosto, fue doblemente inspiradora. En primer lugar, porque sus argumentos coincidían con mis repetitivas recomendaciones sobre el riesgo de la tolerancia, la presión comercial y las restricciones presupuestarias en relación a la eficacia de un proyecto de corporate compliance. Y en segundo lugar, porque el artículo me descubrió a Max H. Bazerman y a Ann E. Tenbrunsel y su libro Blind Spots, cuya lectura me aportó argumentos adicionales para demostrar la inutilidad de los códigos éticos y los programas de corporate compliance si las empresas crean paralelamente una cultura de incumplimiento de los principios teóricos que defienden o dan instrucciones que contradicen en la práctica dichos principios.

Tolerancia dolosa

El informe anual de responsabilidad social corporativa es prácticamente un repositorio de evidencias de cumplimiento normativo, que puede ser muy útil para acreditar el constante esfuerzo de la empresa para actuar de forma ética y prevenir el incumplimiento de la ley. En la práctica, sin embargo, una política de RSC impoluta puede estar ocultando una cultura paralela que entra en contradicción con los principios éticos que la empresa defiende.

Imaginemos una entidad financiera que da mucha importancia a sus departamentos de auditoría interna, control interno y cumplimiento normativo, pero que después tolera que el departamento comercial de banca patrimonial valore mucho más a los candidatos que acrediten que pueden aportar clientes con grandes patrimonios, o datos financieros sobre los mismos, que en la actualidad están gestionando en otra entidad.

Manuel Conthe explica el caso de un hedge fund que disponía de una unidad de cumplimiento normativo de 38 profesionales pero, en la práctica, toleraba la contratación de gestores de cartera y analistas que tuvieran fuentes de información privilegiada. La SEC acusó a esta entidad de indiferencia corporativa ante la conducta ilegal de sus empleados y de tolerar que la constante búsqueda de oportunidades crease una cultura corporativa paralela que no rechazaba el uso de información privilegiada.

En la práctica puede darse el caso de que haber aplicado un control sea peor que no haberlo aplicado. Y me refiero con ello al siguiente esquema:

  1. Si el riesgo no está identificado y el control todavía no ha sido aplicado, podemos estar ante un supuesto de falta de diligencia, que podría ser tratado como conducta imprudente en caso de delito.
  2. Si el riesgo está identificado y el control se ha aplicado, pero después ha sido retirado de forma expresa o ignorado a través de la permisividad y la existencia de infracciones no sancionadas, podríamos estar ante un supuesto de tolerancia dolosa.

Presión comercial

De forma inconsciente una empresa puede estar promoviendo esta cultura paralela y generar riesgos de incumplimiento. Los códigos éticos pueden pasar a un segundo plano cuando el negocio debe cumplir unos objetivos mensuales de los que depende la continuidad en la empresa de un rango determinado de directivos. Si estos directivos pueden alterar o solicitar a un superior la modificación de sus privilegios informáticos o de sus límites de contratación, y esta conducta se tolera, se estarán desvirtuando los controles que prevenían la comisión de delitos. La tolerancia habrá derogado el control.

Igualmente, un exceso de presión comercial puede inspirar a un directivo que ya ha agotado todos los recursos para vender más, a intentar que la competencia venda menos. En el Digital Attack Map, el mapa gestionado por Google en el que se reflejan los ataques de denegación de servicio que se están produciendo en el mundo en tiempo real, se puede ver el flujo de datos con los que los servidores de unos estados bombardean los servidores de otros estados. Algo parecido sucede durante las campañas navideñas entre algunas plataformas de comercio electrónico que compiten entre si. El objetivo no es tumbar el servidor, sino ralentizar su funcionamiento para que los clientes se impacienten y vayan a la competencia. La existencia de estos ataques está comprobada. La cuestión es saber si las empresas en las que se originan los han ordenado, los toleran o desconocen su existencia.

Restricciones presupuestarias

Los esfuerzos de las empresas por reducir gastos también pueden influir en la creación de culturas paralelas de incumplimiento. Por ejemplo, si a un departamento de informática se le exige más capacidad de reporting y con mayor frecuencia,  pero al mismo tiempo se le recorta el presupuesto, se puede producir una situación de tolerancia a la instalación de software sin licencia. Ello puede generar una tormenta perfecta, ya que las empresas de software tienen sus propias dificultades para crecer con clientes nuevos y por lo tanto están incrementado las auditorías de sus clientes históricos.

El mismo riesgo puede surgir en los departamentos de I+D+i, donde la presión por innovar y crear nuevos productos, sin el consiguiente refuerzo económico, puede provocar situaciones de espionaje industrial o infracciones de la propiedad intelectual e industrial de otras empresas.

Los nuevos requisitos del corporate compliance

El nuevo proyecto de reforma del Código Penal establece los requisitos que deben cumplir los programas de corporate compliance para que la empresa consiga la exención de la responsabilidad penal derivada de los delitos cometidos por sus empleados.

Sus criterios, que coinciden con los manifestados por la Fiscalía General del Estado, exigen una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica y la eliminación de situaciones de tolerancia que produzcan la derogación de dichas medidas.

Como los autores de Blind Spots defienden en su libro, la evaluación de los empleados no puede depender de criterios y objetivos estrictamente cuantitativos, sino también éticos. Y la ética no es un papel, ni un código, ni un informe anual. La ética, al igual que el cumplimiento normativo, es algo que hay que practicar cada día, compatibilizándola con los objetivos de facturación y las prioridades del negocio, sin culturas paralelas ni conductas toleradas. Y además de practicarla, hay que ser capaz de demostrarlo.

3 pensamientos en “La inutilidad del corporate compliance frente a la tolerancia

  1. Estimado Xavier, muy conforme con lo que indicas en tú texto, pero como trabajador por cuenta ajena, el trabajar dejando “evidencias” para auditores, creo que insano. Hay acciones que no puedes documentar, comentarios, correos, doicumentos temporales. Entiendo que esta labor debe darse desde una política interiorizada en la entidad, una manera de trabajar. Y eso es muy complicado. De todas formas, esperemos a que haya más jurisprudencia sobre resp penal de empresas para ver cómo se interpretan esas medidas.

    • Estimado José Ignacio:

      El proceso de creación, sellado de tiempo y custodia de las evidencias se puede automatizar y externalizar. De hecho, es un servicio que prestamos a través de la empresa Certificación y Custodia de Evidencias Electrónicas, S.L.

      Tampoco hay que guardarlo todo. Se pueden realizar muestreos y guardar un número de evidencias suficientemente representativo.

      Muchas gracias.

  2. Pingback: La responsabilidad del Compliance Officer como estrategia de defensa de la empresa | Xavier Ribas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s