ARGUMENTO 09 – Distribución de responsabilidades coherente con el criterio de proximidad del riesgo

Una gran ventaja del compliance es el esfuerzo que hay que invertir en designar a los responsables de cada control y en conseguir que toda la estructura de control funcione de manera coordinada y eficaz.  Para ello tiene que producirse una delegación de autoridad y de responsabilidad distribuida, que obligue a ordenar la matriz de poderes de la parte superior y los job description de toda la estructura.

Cuando hablamos del propietario del control también nos referimos a la necesidad de que el responsable de una medida preventiva tenga un sentimiento de propiedad sobre ella, con todas sus consecuencias, positivas y negativas. No se trata de “apadrinar” un control, sino de hacerse cargo realmente del mismo, sabiendo que de él depende que un riesgo muy concreto no se materialice. Por eso no es bueno que ciertos controles se asignen de forma compartida en un mismo nivel jerárquico y en una misma franja horaria.

La verdadera cultura de cumplimiento exige que cada miembro de la organización sea su propio Compliance Officer y realice su trabajo sabiendo que forma parte de un engranaje en el que cualquier desliz puede bloquear la máquina entera.

Para ello tiene que haber una distribución de responsabilidades. Cada persona de la organización debe conocer sus funciones de control. Éstas deben estar claramente indicadas en su Descripción del Puesto de Trabajo o en su nombramiento, como una delegación directa del órgano de administración a través de la estructura de control de la que forma parte esencial. Y con una clara percepción del cuadrante del mapa de riesgos en el que se ubica su labor.

La distribución de responsabilidades debe ser coherente con los recursos disponibles y con la gravedad, la probabilidad y la proximidad del riesgo. Ni el control puede estar alejado del riesgo, ni puede asignarse un número excesivo de controles a una sola persona, ni pueden gestionarse riesgos graves y probables con escasos recursos.

En nuestra aplicación Compliance 3.0 cada control debe ir asociado a un responsable y cada responsable debe tener asociada una Descripción del Puesto de Trabajo, unas tareas periódicas de control con sus correspondientes alertas y recordatorios y unas evidencias que periódicamente debe obtener e introducir en la aplicación.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 08 – Mayor descentralización y eficacia del control

Un buen programa de compliance debe basar la eficacia de su estructura de control en el principio de proximidad del riesgo y, como consecuencia directa de ello, en la descentralización del control.

El Compliance Officer o el Comité de Compliance tienen funciones de supervisión delegadas del órgano de administración y tienen los mismos problemas que éste: están alejados de los riesgos que genera el negocio, no son expertos en la amplia gama de materias a controlar y pierden eficacia si centralizan sus funciones de supervisión y control.

Un ejemplo claro es la prevención de riesgos laborales, ya que la figura del delegado de PRL permite acercar el control al lugar en el que se genera el riesgo y crear una estructura de control absolutamente descentralizada. Hoy en día no se concibe que una empresa con varias fábricas no tenga delegados de PRL en todas ellas y obligaciones de control asignadas en las DPT (Descripción del Puesto de Trabajo) de todos los jefes de equipo. Ello hace que, en las grandes empresas, las responsabilidades derivadas de los accidentes de trabajo estén también cada vez más localizadas cerca del lugar donde se ha producido el accidente.

Si aplicamos el mismo esquema en todas las áreas de control basadas en tipologías concretas de riesgo veremos la importancia de complementar las tres líneas clásicas de defensa: Negocio, Compliance y Auditoría interna por líneas verticales muy especializadas y dinámicas.

La tradicional escasez de recursos de Compliance y de Auditoría Interna hace que las verificaciones periódicas centralizadas se concentren en procesos concretos y con una periodicidad limitada. La descentralización permite que exista una estructura de control dinámica, experta y eficaz, que transporta el esfuerzo de control a cada punto de la organización donde se haya identificado un riesgo.

En el diseño de nuestra aplicación Compliance 3.0 se dio prioridad a esta estructura descentralizada, de manera que el principal objetivo es que exista una estructura de control y cada control tenga un responsable asignado, seleccionado en función del principio de proximidad del riesgo.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 07 – Efecto disuasorio de la percepción del control, de acuerdo con la teoría de las ventanas rotas

El ser humano no actúa de la misma manera cuando percibe que su actividad está siendo monitorizada y que va a ser sancionado si incumple. Un ejemplo evidente lo tenemos en las zonas de la autopista en las que la velocidad es controlada mediante un radar.

Una de las conclusiones de la teoría de las ventanas rotas es que la falta de control genera una percepción de que los incumplimientos no son castigados y ello da paso a otros incumplimientos más graves. Si en una fábrica abandonada no se reparan las ventanas rotas la sensación de falta de control hará que alguien se atreva a forzar la puerta y a entrar. Lo mismo ocurre con un coche abandonado.

Siguiendo esta línea argumental se dice que el 10% de los trabajadores de una empresa no cometerá infracciones aunque la percepción de control sea baja y el 10% cometerá infracciones aunque la percepción de control sea alta. Pero la gran mayoría, el 80% restante, no cometerá infracciones si percibe que éstas serán descubiertas y sancionadas.

Una empresa con compliance dispondrá de un órgano supervisor, una estructura de control y un sistema sancionador que mantendrá alto el nivel de percepción de que las infracciones serán descubiertas y sancionadas. Ello generará un efecto disuasorio que favorecerá la creación de una cultura de cumplimiento.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

ARGUMENTO 06 – Reducción de las sanciones en materia de competencia, protección de datos y otras infracciones administrativas

La conducta de la empresa antes y después de la infracción puede encajar en alguno de los supuestos previstos en las leyes administrativas que permiten aplicar una reducción en la cuantía de la sanción.

Existen precedentes en materia de Competencia, tanto en resoluciones del TJUE (Caso Schindler) como de la CNMC (Caso mudanzas), en las que se indica que disponer previamente de programas internos de cumplimiento en materia de competencia no supone automáticamente una circunstancia atenuante, sino que hay que analizar las circunstancias de cada caso. Una vez analizadas, la existencia de un modelo de compliance puede actuar como elemento moderador de la sanción. Así ocurrió en el caso relativo al acuerdo de las empresas de mudanzas, en el que la CNMC redujo la sanción a una empresa que había implantado un programa de cumplimiento normativo tras conocer la infracción. Se entiende que la reducción de la sanción habría sido mayor si el programa de compliance hubiese estado implantado con anterioridad.

En materia de protección de datos, el artículo 83.2.d del RGPD establece que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.

También se tendrá en cuenta la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción, y si la empresa estaba adherida a códigos de conducta o a mecanismos de certificación.

Todos estos puntos a valorar son indicadores del esfuerzo realizado por la empresa para cumplir la ley y permiten a la autoridad administrativa aplicar criterios de moderación que tengan como resultado final una reducción de la sanción aplicada.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

ARGUMENTO 05 – Ahorro de costes derivados de pleitos, sanciones, indemnizaciones, pérdida de facturación y contratos públicos

Este argumento es uno de los que menos explicación necesitan.

Si en la lista completa de argumentos encontramos muchos efectos indirectos o colaterales del incumplimiento, en este caso las multas y las penas interdictivas tienen un impacto directo en las cuentas de la empresa.

A las sanciones administrativas multimillonarias que una empresa puede soportar por prácticas anticompetitivas se suman ahora las sanciones del Reglamento General de Protección de Datos de la UE (RGPD), que pueden llegar hasta los 20 millones de euros o al 4% de la facturación global de la empresa.

Si en los 25 años transcurridos desde la aprobación de la LORTAD sólo habíamos presentado ante el Consejo de Administración de nuestros clientes los resultados de un proyecto de protección de datos en escasas ocasiones, y de forma breve, desde la entrada en vigor del RGPD ha cambiado la tendencia y se está incrementando dramáticamente el número de presentaciones y la duración de las mismas.

Es un claro ejemplo de que el compliance no es caro cuando permite evitar sanciones tan altas. Pero además de la cuantía neta de la sanción hay que calcular el coste del tiempo dedicado a la defensa de la empresa y de sus directivos (en materia de competencia la CNMC puede también sancionarlos), las indemnizaciones a los perjudicados y el impacto en ventas que puede tener la noticia de la sanción.

La empresa debe tener en cuenta el sector al que pertenece y las sanciones que mayor impacto pueden tener en su negocio. Por ejemplo, una sanción de la CNMC a una empresa de gran consumo del sector de la alimentación puede tener un impacto reducido en las ventas, pero la simple noticia de la contaminación de un producto para bebés por una bacteria nociva tendrá un efecto inmediato y devastador, al que se unirá el coste de retirada del producto, la gestión de la crisis, la campaña informativa y el esfuerzo posterior para recuperar la confianza del consumidor, que puede durar años.

Capítulo aparte merece la pena de inhabilitación de la empresa para contratar con el Sector Público, que puede llegar hasta los 15 años. El impacto de este tipo de penas es demoledor en las empresas cuyo principal cliente es la Administración Pública. No hace falta decir que una pena de inhabilitación para contratar con el principal, y a veces único cliente de la empresa, pone seriamente en peligro su continuidad en el mercado.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Cómo evaluar un factor de riesgo a partir de tres niveles de interlocución

Nuevo vídeo de nuestra aplicación Compliance 3.0 en el que explicamos cómo se evalúa un factor de riesgo a través de tres niveles de interlocución de un departamento. El departamento escogido como ejemplo es el Comercial, que es el que más discrepancias ofrece entre el nivel más alto y el más bajo en asuntos recurrentes, como las invitaciones, atenciones y regalos a clientes.

ARGUMENTO 04 – Eficiencia operativa derivada de la mejora de procesos y de la menor dedicación a la reparación de incumplimientos

Cuando una empresa analiza los riesgos de cada departamento y proceso, identifica los controles a aplicar y obtiene evidencias de su eficacia, acostumbra a encontrar defectos y errores en aspectos operativos que inciden directamente en la rentabilidad del negocio.

El proceso normal del trinomio Riesgo – Control – Evidencia acostumbra a dar los siguientes resultados:

  1. Se identifican riesgos que hasta ese momento eran desconocidos.
  2. Se detectan déficits de control que exigen nuevos controles que hasta entonces no se aplicaban.
  3. Se descubren déficits de prueba que demuestran la inexistencia o la ineficacia de los controles requeridos.

Pero este trabajo también permite revisar desde otra óptica y de manera muy alejada de los diagramas de flujo y centrada absolutamente en los resultados reales de cada proceso, la actividad que desarrolla cada directivo y cada departamento de manera conjunta con otros directivos y departamentos.

Por eso es fácil que, al revisar los riesgos y controles asociados a cada proceso, se produzcan los siguientes hallazgos:

  1. Problemas de comunicación entre departamentos.
  2. Procesos defectuosos o incompletos.
  3. Procesos que no se aplican o se aplican parcialmente.
  4. Errores graves de gestión que afectan a la rentabilidad.
  5. Competencias solapadas.
  6. Conflictos internos.
  7. Graves ineficiencias.
  8. Controles que sólo existen en el papel.
  9. Auditorías extremadamente superficiales y sin evidencias.
  10. Controles obsoletos.
  11. Controles y procesos aplicados en modo automático y sin adaptar.
  12. Tolerancia al error y al incumplimiento.
  13. Complacencia con el modelo.

No me atrevo a decir que de la función de GRC (Governance, Risc and Control) deba surgir forzosamente un proyecto BPR (Business Process Reengineering) pero sí es cierto que al realizar la función de Compliance se producen hallazgos muy útiles para la mejora de la eficiencia operativa.

Por otro lado, el incumplimiento es un gran ladrón de tiempo y de recursos. Como decía Paul McNulty: “Si piensas que el compliance es caro, prueba el no-compliance”.

Cuando se produce el descubrimiento y la posterior publicación en los medios de un incumplimiento grave por parte de una empresa, la prioridad número uno de los directivos será mitigar los efectos negativos de esa crisis en sus activos tangibles e intangibles, corporativos y personales. Esa prioridad va a desviar la atención del negocio o lo va a poner en modo automático.

La gestión de una crisis reputacional y penal grave obsorbe una gran cantidad de tiempo y recursos de manera continuada durante meses o años y puede afectar a los resultados de varios ejercicios. Incluso en el caso de que coincida con la recuperación del sector, y los beneficios sepulten aparentemente la crisis reputacional, un incumplimiento que tenga un impacto equivalente al 50% de la facturación mundial de una empresa dejará de manera implacable su huella en las cuentas anuales y en la estructura del Consejo de Administración.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

ARGUMENTO 03 – Mayor conocimiento de la empresa y de las actividades y riesgos de cada departamento

“Gracias al Compliance he conocido actividades, zonas y riesgos de la empresa que ni sabía que existían”.

“En los años que llevo en la empresa nunca había llegado a conocerla tan a fondo como ahora, gracias al Compliance”

Son dos frases que habitualmente pronuncian las personas que ejercen la función de Compliance en grandes y medianas empresas. Si la metodología es correcta, el Compliance Officer llegará a un nivel de conocimiento muy alto de las actividades de todos los departamentos y unidades de negocio de la empresa.

Uno de los requisitos del artículo 31 bis del Código Penal es justamente identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Esta exigencia, necesaria para acceder a la exención de la responsabilidad penal, marca un recorrido por la empresa que acaba siendo muy enriquecedor para el Compliance Officer y para todas las personas implicadas en el trayecto.

Se trata de un circuito ineludible que permitirá visitar todos los rincones de la empresa, desde las alturas hasta los cimientos, conocer o retomar el contacto con personas clave para adquirir ese conocimiento y con las que debe existir una relación constante que permita la monitorización de los controles y de sus efectos en los riesgos identificados.

Al diseñar nuestra aplicación Compliance 3.0 le dimos mucha importancia a tres áreas de las que me siento especialmente satisfecho:

  1. La posibilidad de obtener en cualquier momento el mapa de riesgos de cada uno de los departamentos de la empresa.
  2. La herramienta que permite dibujar los procesos, con cada una de sus etapas y los riesgos, controles, responsables y departamentos implicados en cada etapa.
  3. El formulario o ficha que permite el análisis de riesgos basado en la información obtenida de los tres niveles clave de cada departamento, con sus diferentes grados de proximidad al riesgo y de credibilidad. Es habitual que el nivel más alto defienda más su gestión y esté más alejado del riesgo y de la valiosa información que éste suministra, mientras los niveles más bajos acostumbran a desvelar más detalles de la cruda realidad.

Este recorrido por la empresa debe ser repetido cada año con el fin de cumplir el requisito de la verificación periódica y el de la actualización del modelo de control. Al final del circuito, como al final de todo viaje, el Compliance Officer habrá atesorado un caudal de información que será muy útil para conocer y evaluar los riesgos reales de la actividad de cada departamento y el nivel de eficacia de los controles aplicados.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

ARGUMENTO 02 – Reducción de la vulnerabilidad de la empresa derivada del progresivo incremento de los programas de clemencia y de recompensa a confidentes

Halloween, black friday, compliance, whistleblower… Son conceptos norteamericanos que han ido arraigando paulatinamente en Europa. Nada impide que la figura de la recompensa por ayudar a descubrir una infracción, tan habitualmente utilizada en EEUU, se extienda también a ámbitos en los tradicionalmente no se había aceptado.

Constantemente se publican noticias de recompensas millonarias que la SEC ha pagado a un whistleblower.

En Europa el artículo 32.4 del Reglamento de Abuso de Mercado establece que los Estados miembros podrán prever, de acuerdo con la normativa nacional aplicable, la concesión de incentivos económicos a las personas que ofrezcan información relevante sobre posibles infracciones de dicho Reglamento. El artículo 32.2.b también exige la protección adecuada de las personas que trabajen en virtud de un contrato de trabajo que comuniquen infracciones, frente a represalias, discriminación u otros tipos de trato injusto.

Como anticipo de las recompensas, los programas de clemencia están arraigando también en Europa. Mientras la recompensa y la protección frente a represalias van dirigidan principalmente al confidente interno, los programas de clemencia se orientan más a informadores externos, habitualmente competidores implicados en la misma infracción.

En España es conocido el programa de clemencia de la CNMC dirigido a descubrir acuerdos contrarios a la libre competencia.

Tanto los programas de clemencia como las recompensas generan una amenaza evidente para las empresas infractoras, ya que en ambos casos el confidente surge del círculo de confianza al que me refería en el ARGUMENTO 01.

Por ello, la mejor estrategia que puede seguir una empresa es asegurar que todos los niveles de su estructura están concienciados de que el cumplimiento es el único camino en relación a la ley que asegura la sostenibilidad del negocio. Cada vez va a ser más difícil sobrevivir en el mercado si el negocio se asienta en los lodos del incumplimiento, ya que cualquier persona a la que consideramos de confianza y cualquier competidor puede convertirse en el artífice de una crisis de reputación que pondrá en riesgo la continuidad del negocio. La metodología en la que se basa el compliance va dirigida a organizar y acreditar el esfuerzo de la empresa para evitar la infracción.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

ARGUMENTO 01 – Reducción de la vulnerabilidad de la empresa derivada de la progresiva precariedad de los círculos de confianza.

La eliminación abrupta de directivos y de proveedores genera una fractura en el círculo de confianza de la empresa. Todas las empresas tienen secretos, tanto buenos (kow how) como malos (incumplimientos graves en algunas ocasiones) que comparten con personas de confianza.

Los círculos de confianza son precarios y efímeros por naturaleza. Y cada vez lo serán más gracias a las exigencias de cumplimiento entre empresas y a la proliferación de los canales de denuncia y de los programas de clemencia. Algunas empresas tienen la habilidad de mantenerlos en el tiempo gracias al cuidado de las personas que comparten los secretos más inocentes, los más estratégicos y los más inconfesables. Pero esta práctica será cada vez menos sostenible.

En los 23 años en que participé en el canal de denuncias de la BSA (Business Software Alliance) pude apreciar que la mayor parte de las denuncias provenían de personas que habían sido expulsadas abruptamente del círculo de confianza de una empresa, especialmente trabajadores despedidos.

Muchos casos de corrupción han llegado a los tribunales gracias a la colaboración de una persona expulsada de forma abrupta de un círculo de confianza.

Directivos, socios, proveedores, trabajadores, familiares, parejas sentimentales… En todos ellos puede haber una persona capaz de transferir información confidencial a la competencia o de denunciar a la empresa por sus delitos cuando son maltratados o expulsados injustamente de ella.

La entrevista de salida es un buen momento para detectar posibles animadversiones contra la empresa.

Nuestra aplicación Compliance 3.0 tiene una sección que permite monitorizar el riesgo de denuncia por parte de las personas que dejan la empresa, a través de indicadores asociados a cada uno de los riesgos gestionados o compartidos por la persona que sale del círculo de confianza. Ello permite conocer y monitorizar los conflictos surgidos con los grupos de interés y establecer los controles pertinentes para minimizar el riesgo subyacente, a través de la regularización urgente de cualquier posible incumplimiento. El objetivo inicial es valorar la gravedad del conflicto y la posibilidad de denuncia, pero el objetivo final es eliminar el incumplimiento y la vulnerabilidad que éste genera para la empresa.

Apostar por el cumplimiento elimina la dependencia de estos círculos de confianza, de manera que la empresa deja de estar expuesta a la denuncia externa cuando las personas que forman parte de ellos salen de ellos descontentos y con la intención de vengarse de la empresa. 

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.