Cómo prevenir la pérdida de la iniciativa en un proyecto continuado de RGPD o de compliance

La gestión continuada de proyectos tan exigentes como como los relativos al RGPD, el compliance penal o el compliance general implica un trabajo de verificación periódica del modelo de prevención y de la eficacia de los controles. Esta gestión está rodeada de amenazas que pueden provocar cambios en las prioridades, retrasos en la planificación y otros efectos que ponen en peligro la consecución de los objetivos establecidos por el órgano de control.

En este artículo se relacionan las principales circunstancias que pueden provocar la pérdina de la iniciativa, y, en consecuencia el cambio de las prioridades del responsable del proyecto, interno o externo, así como las medidas aplicables para evitar que ello ocurra.

Objetivos del proyecto continuado

El responsable interno o externo del proyecto, y preferiblemente ambos de mutuo acuerdo, establecen, al inicio del ejercicio, los objetivos del proyecto continuado de RGPD o de compliance. Entre estos objetivos cabe citar los siguientes:

  1. Mantener actualizado el mapa de riesgos.
  2. Mantener actualizada la estructura de control.
  3. Mantener actualizada la estructura normativa.
  4. Verificar el cumplimiento de las obligaciones legales.
  5. Verificar la eficacia de los controles.
  6. Obtener evidencias de la eficacia de los controles.
  7. Crear pruebas del esfuerzo realizado, la diligencia y la cultura de cumplimiento.
  8. Prevenir incumplimientos.
  9. Prevenir sanciones en caso de infracción.
  10. Mantener actualizado el repositorio de evidencias.

Estos objetivos generan una larga lista de tareas recurrentes que deben ser realizadas con la frecuencia establecida para cada una de ellas y que corresponden al concepto de la verificación periódica, común a todos los proyectos orientados al cumplimiento normativo.

El problema reside en la constancia y la regularidad de la realización de estas tareas, que puede quedar afectada por cualquiera de las circunstancias comentadas en el punto siguiente.

Circunstancias que pueden hacer perder la iniciativa

Entre las circunstancias o cambios que pueden provocar interferencias en la rutina establecida para la verificación periódica del cumplimiento, o agotar todas las horas y recursos disponibles para esta labor, cabe citar las siguientes:

  1. Cambios legislativos o jurisprudenciales.
  2. Nuevas guías o instrucciones del regulador de la autoridad de control.
  3. Cambios en los criterios del regulador o de la autoridad de control.
  4. Alta frecuencia de consultas.
  5. Alta frecuencia de incidentes y conflictos internos o externos.
  6. Conflictos de competencias. Por ejemplo, entre Asesoría Jurídica y Auditoría Interna.
  7. Redefinición permanente de los órganos de control y de la estructura de control.
  8. Apuesta de la empresa por una cultura abierta que huye de las normas y el control previo.
  9. Falta de acuerdo sobre las prioridades.
  10. Cambio constante en las prioridades.
  11. Empresa familiar no profesionalizada.
  12. Crecimiento acelerado del negocio que dificulta la aplicación del modelo de prevención.
  13. Problemas de comunicación con el negocio.
  14. Falta de recursos.
  15. Falta de apoyo de la alta dirección.
  16. Falta de autoridad o de reconocimiento frente al negocio.
  17. Exceso de confianza con el negocio.
  18. Falta de claridad en la asignación de las distintas responsabilidades y tareas a realizar.
  19. Alto nivel de ocupación de los interlocutores.

Consecuencias de la pérdida de la iniciativa y escenarios en los que ésta puede evidenciarse

La pérdida de la iniciativa en estos proyectos que exigen dedicación constante se traduce irremediablemente en el retraso de las tareas planificadas. En algunas ocasiones, el retraso puede ser muy grande y puede poner en peligro los objetivos de cumplimiento.

El responsable del proyecto intentará de forma repetida recuperar la iniciativa y volver a la planificación, pero antes de que lo consiga, pueden darse una serie de escenarios que evidenciarán el retraso, generando la apariencia de que éste es imputable al responsable del proyecto, cuando en realidad no es así. 

Entre estos escenarios cabe destacar aquéllos en los que se va a requerir un informe de la situación del proyecto y del modelo de prevención:

  1. Auditoría solicitada por un accionista o un consejero.
  2. Due diligence de un posible inversor.
  3. Proceso de profesionalización de la empresa familiar, en el que la familia se aparta y se renueva el equipo directivo.
  4. Relevo generacional en la empresa familiar.
  5. Compra de la empresa y cambio del equipo directivo
  6. Cambios en la dirección de la empresa.
  7. Cambio de interlocutores internos o externos en el proyecto.

Medidas para prevenir la pérdida de la iniciativa

Es evidente que la mejor forma de mantener la iniciativa es aprender a nadar y a guardar la ropa, es decir, atender todas las exigencias del proyecto y hacer frente a las amenazas que pueden poner en peligro los objetivos marcados sin desatender las tareas recurrentes y la verificación periódica.

Ello puede parecer muy fácil al planificar el ejercicio, pero entraña una gran dificultad en la práctica.

Entre las medidas que pueden contribuir a mantener la iniciativa, cabe citar las siguientes:

  1. Negociar con el Consejo de Administración la delegación de autoridad necesaria para el proyecto.
  2. Conseguir el reconocimiento del negocio a la utilidad del proyecto a través de la prevención de la responsabilidad individual de los directivos.
  3. Negociar y aprobar los objetivos y las prioridades al inicio de cada ejercicio.
  4. Bloquear un porcentaje de tiempo y recursos para las tareas recurrentes y la verificación periódica.
  5. Identificar los puntos de verificación más críticos y marcar los que son irrenunciables. En el RGPD hemos identificado más de 325 puntos de verificación. En Compliance, la lista tiende al infinito.
  6. Simplificar las tareas de verificación.
  7. Acordar con el negocio la creación de indicadores que faciliten la verificación.
  8. Asignar a una persona el control del cumplimiento de las tareas recurrentes y la verificación periódica.
  9. Establecer alertas automáticas para el momento en que se superen los plazos acordados para la aplicación de un control y para la entrega de las evidencias.
  10. Incrementar las acciones de formación y concienciación.
  11. Utilizar el canal de denuncias y el sistema disciplinario interno para corregir las malas prácticas y prevenir incumplimientos, siendo las sanciones una prueba de la eficacia del modelo de prevención.

Paco Umbral consiguió que la frase “He venido a hablar de mi libro”, se convirtiese en un ejemplo de vehemencia e insistencia en la consecución de un objetivo. Aunque en este artículo sólo hemos realizado una aproximación a las medidas que podemos aplicar para intentar evitar que las interferencias externas pongan en peligro el proyecto, la solución pasa por colaborar con todos los niveles de la empresa y asegurar el tiempo y los recursos que necesitamos para hablar de nuestro libro, y para que lo compren.

ARGUMENTO 25 – Exención o atenuación de la responsabilidad penal

He dejado este argumento intencionadamente al final, ya que lo normal sería que fuese el primero. Se entiende que todas las empresas deberían invertir todos sus esfuerzos en evitar que ellas o sus directivos fuesen declarados penalmente responsables.

Si embargo, en la práctica, algunos directivos siguen anteponiendo el negocio y los intereses económicos a la prevención de las infracciones, por lo que intentar convencerlos con este argumento parece una tarea inútil.

Si un directivo está convencido de que no puede mantener el negocio sin cruzar la línea roja del incumplimiento, será reacio a establecer un modelo de cumplimiento que ponga límites a su actuación, y se manifestará especialmente en contra de realizar un análisis de riesgos que no conseguirá otra cosa que demostrar la incapacidad de la empresa para reducir el riesgo de incumplimiento.

Pero el argumento de la exención de la responsabilidad penal está plenamente vigente y debe llevar a las empresas a establecer controles y medidas preventivas que permitan asegurar el esfuerzo realizado para evitar el incumplimiento.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 24 – Mejora de la posición negociadora al contratar o renovar un seguro de responsabilidad civil (D&O y RC)

Los inversores quieren invertir en empresas que sean sostenibles en el tiempo, las entidades financieras quieren financiar a empresas que aseguren su solvencia y su continuidad en el negocio, los trabajadores quieren trabajar en empresas que les ofrezcan seguridad en el empleo y las compañías de seguros quieren tener garantías de que la cobertura de sus seguros se aplica a empresas que están haciendo todo lo posible para no tener que utilizarlos.

Las compañías de seguros realizan análisis de riesgos que pueden extenderse a un sector, a una actividad o a una empresa concreta. Ese análisis de riesgos en una empresa puede traducirse en recomendaciones de mejora cuando el resultado demuestra que existen deficiencias en la aplicación de las correspondientes medidas preventivas.

Un modelo de compliance contiene un conjunto estructurado y ordenado de controles y medidas que permite realizar una estimación sobre el impacto que la actividad preventiva tiene sobre el riesgo. Las evidencias de dicha actividad preventiva deberían colocar a la empresa en una mejor posición que una empresa sin modelo de cumplimiento a la hora de negociar la prima con la compañía aseguradora.

En otras palabras, una empresa que acredite la eficacia de su programa de cumplimiento debería pagar una prima inferior que otra empresa del mismo tamaño y la misma actividad, pero sin modelo de cumplimiento.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 23 – Incremento de la confianza del mercado en la empresa a través de los indicadores de cumplimiento en la memoria de RSC o en su portal ético

La responsabilidad social de las empresas va íntimamente ligada al cumplimiento, ya que una empresa no puede afirmar que es socialmente responsable si incumple normas básicas diseñadas para proteger a los ciudadanos de riesgos relacionados con el medio ambiente, la salud o la seguridad pública, por ejemplo.

La mayor parte de las memorias de RSC tienen referencias directas o indirectas al cumplimiento normativo y muchos de los indicadores GRI también. Por ello resulta lógico afirmar que una empresa que apuesta por el cumplimiento y que consigue reducir las infracciones y las sanciones a la mínima expresión, puede destinar una parte de la memoria a describir la evolución de los indicadores relacionados con el cumplimiento y de su esfuerzo por mejorar su sector.

En 2016 nuestro despacho diseñó una página de indicadores de cumplimiento para las memorias de RSC de las grandes compañías. Se trata de algo tan sencillo como indicar el número de sanciones que una empresa ha tenido en cada uno de los apartados del mapa de compliance de la compañía. El objetivo evidente es que todos los indicadores estén a cero y que ello refleje el resultado de un esfuerzo continuado por conseguir el famoso retorno del beneficio empresarial a la sociedad en forma de respeto a los ciudadanos y cumplimiento de las obligaciones legales y contractuales asumidas.

En muchas memorias de RSC se describe ese retorno a la sociedad, por ejemplo, mediante inversiones en la mejora del medio ambiente que previamente se ha dañado. Pero tal vez lo que interesa es explicar el esfuerzo que se ha hecho para evitar que la actividad de la empresa sea perjudicial, en vez de explicar cómo se compensa el daño producido, ya que esta compensación nunca será proporcional.

Como decía Robert Baden-Powell, no es más limpio el que más limpia, sino el que menos ensucia. En definitiva, la responsabilidad social no es invertir los beneficios en reparar el daño causado con el incumplimiento, sino procurar que los beneficios se obtengan respetando la ley y sin provocar daños ni a las personas ni al entorno.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 22 – Mejora de los resultados al plantear el cumplimiento como un factor diferencial frente a los competidores

Este es otro argumento relacionado directamente con el negocio. Todas las empresas tienen el legítimo interés de diferenciarse de sus competidores y de ofrecer a sus clientes información sobre elementos cualitativos que acrediten esas diferencias y que influyan en la decisión de contratar sus productos y servicios.

Los modelos de cumplimiento normativo ofrecen una oportunidad para ello, ya que dan garantías a los clientes de que la voluntad de la empresa es asumir sus compromisos, cumplir sus promesas ante el mercado y hacer frente a sus obligaciones legales y contractuales.

Los departamentos de marketing y de ventas pueden apoyar sus argumentos y campañas en esas diferencias y conseguir una ventaja competitiva que influirá en los resultados económicos de la empresa y forzará a sus competidores a estar al mismo nivel.

Un ejemplo lo podemos ver en la progresiva disminución de conservantes tóxicos en la industria alimentaria.

Por contra, las empresas que aparecen públicamente asociadas a infracciones pueden perder la confianza del mercado y de los clientes, con la consiguiente merma en sus resultados y en su cuota de mercado.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 21 – Reducción del riesgo de exclusión del mercado ante la progresiva vigilancia entre empresas y la exigencia recíproca de compliance

Además de los requisitos en materia de cumplimiento que las grandes empresas están incluyendo en el proceso de selección de proveedores, se está difundiendo en el mercado la necesidad de vigilar el cumplimiento de los proveedores, los clientes y los trabajadores.

Las empresas son cada vez más conscientes del riesgo de contagio o contaminación de una situación de incumplimiento por parte de una empresa con la que se mantiene una relación continuada. Por motivos éticos o estéticos una empresa no querrá ser emparentada públicamente con otra que ha salido en los medios como investigada o condenada por un delito grave.

La obligación de control sobre los proveedores a los que se externalizan funciones críticas se convierte en una vigilancia permanente de eventuales incumplimientos que puedan generar responsabilidad para la empresa que los contrata. El afán de evitar la culpa in eligendo y la culpa in vigilando lleva a muchas empresas a elaborar un mapa de relaciones y a evaluar a las otras empresas con el fin de tomar decisiones sobre quién es apto para hacer negocios con la empresa y quién no.

Un antecedente claro y plenamente consolidado es el de la calidad y la trazabilidad alimentaria, en la que cada parte de la cadena de suministro debe controlar a la anterior, la que le entrega la materia prima o elaborada. Otro ejemplo es el de la ISO 9001, en la que el control de la calidad se extiende a toda la cadena de suministro.

Esta vigilancia permanente, y la exigencia de estándares éticos y de cumplimiento puede provocar, a la larga, una exclusión del mercado de las empresas que no ofrezcan garantías de cumplimiento.

Por contra, las empresas que dispongan de un modelo de cumplimiento y puedan acreditar su voluntad de hacer frente a sus obligaciones legales y contractuales, verán reducido ese riesgo de exclusión.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 20 – Mejora de la posición en operaciones de financiación y refinanciación

Las entidades financieras forman parte de los grupos de interés que pueden quedar afectados por cualquier tipo de circunstancia que ponga en riesgo la continuidad del negocio de sus clientes. Es evidente que el cierre una empresa o el inicio de un proceso concursal tiene graves consecuencias para los créditos concedidos a la misma, y un incumplimiento grave puede ser el desencadenante de una situación de crisis empresarial.

Por ello es habitual que, en el momento en que una empresa solicita financiación o negocia una operación de refinanciación, la entidad financiera solicite información sobre los elementos clave que puedan afectar a su solvencia y a la continuidad del negocio.

Las empresas que disponen de un modelo de cumplimiento normativo ofrecen una imagen de orden y de voluntad de cumplimiento que puede influir en el nivel de confianza de sus acreedores en su capacidad para hacer frente a sus obligaciones.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 19 – Mejora de la posición en concursos públicos y privados

El nivel de exigencia a los proveedores en los procesos de homologación establecidos por las grandes y medianas empresas y por el Sector Público es cada vez mayor.

Progresivamente, las empresas se van dotando de plataformas o portales de compras en los que hay que acreditar documentalmente el cumplimiento de los requisitos establecidos para poder ser proveedor de la empresa. No se trata sólo de aplicaciones de gestión documental de TC1 y TC2 o de coordinación de actividades empresariales a los efectos de la prevención de riesgos laborales. Las empresas empiezan a exigir políticas anticorrupción, códigos éticos y modelos de cumplimiento.

Esta progresiva automatización de los procesos de acreditación y homologación de proveedores es especialmente evidente en la convocatoria de concursos, tanto públicos como privados.

Y todo ello nos lleva a la conclusión de que las empresas que mejor puedan acreditar la existencia y la eficacia de un modelo de cumplimiento tendrán una ventaja superior en los concursos convocados por entidades públicas y por empresas privadas para la contratación de productos o servicios.

En este caso es muy claro el argumento de que el compliance favorece al negocio y su ausencia lo perjudica, ya que disponer de un modelo de cumplimiento permite conseguir más puntos en un proceso de selección de proveedores y no disponer de él incrementa el riesgo de exclusión del mercado, al no ser capaces de demostrar que un candidato a convertirse en proveedor de una empresa tiene el mismo nivel de prevención y control del incumplimiento que ésta.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 17- Continuidad del negocio y sostenibilidad basada en el cumplimiento

Decíamos en el argumento 16 que los inversores están interesados en empresas que ofrezcan garantías de continuidad, y que no vean en peligro sus beneficios futuros o incluso su propia existencia a causa de incumplimientos que puedan generar grandes sanciones e indemnizaciones.

La continuidad y la sostenibilidad del negocio son objetivos que también buscan otros grupos de interés como los trabajadores, los clientes y los proveedores de la empresa.

Por ello cada vez es más frecuente que las empresas sean analizadas desde el punto de vista del cumplimiento normativo por todas aquellas personas físicas o jurídicas que van a entrar en relación con ellas.

  1. El candidato a formar parte de la plantilla quiere conocer el perfil de empresa en la que se va a incorporar. Su aspiración es establecer una relación duradera y no puede arriesgarse a que un incumplimiento grave de la ley provoque el fin de la empresa o un expediente de regulación de empleo.
  2. El cliente quiere que los servicios que contrata o los productos que adquiere ofrezcan la máxima seguridad en materia de seguridad, riesgos para la salud y para el medio ambiente. No querrá asumir riesgos para su familia ni quedarse sin recambios o mantenimiento.
  3. El proveedor también quiere un cliente duradero, que no ponga en riesgo su política de cumplimiento y su solvencia, y que no desaparezca sin pagar sus facturas.

Las grandes empresas disponen para ello de una sección en sus sedes web dedicada a la transparencia y al cumplimiento normativo que ayudan a los diferentes grupos de interés a mantener la confianza con la empresa.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Cómo evaluar un factor de riesgo a partir de tres niveles de interlocución

Nuevo vídeo de nuestra aplicación Compliance 3.0 en el que explicamos cómo se evalúa un factor de riesgo a través de tres niveles de interlocución de un departamento. El departamento escogido como ejemplo es el Comercial, que es el que más discrepancias ofrece entre el nivel más alto y el más bajo en asuntos recurrentes, como las invitaciones, atenciones y regalos a clientes.