El ser humano no actúa de la misma manera cuando percibe que su actividad está siendo monitorizada y que va a ser sancionado si incumple. Un ejemplo evidente lo tenemos en las zonas de la autopista en las que la velocidad es controlada mediante un radar.

Una de las conclusiones de la teoría de las ventanas rotas es que la falta de control genera una percepción de que los incumplimientos no son castigados y ello da paso a otros incumplimientos más graves. Si en una fábrica abandonada no se reparan las ventanas rotas la sensación de falta de control hará que alguien se atreva a forzar la puerta y a entrar. Lo mismo ocurre con un coche abandonado.

Siguiendo esta línea argumental se dice que el 10% de los trabajadores de una empresa no cometerá infracciones aunque la percepción de control sea baja y el 10% cometerá infracciones aunque la percepción de control sea alta. Pero la gran mayoría, el 80% restante, no cometerá infracciones si percibe que éstas serán descubiertas y sancionadas.

Una empresa con compliance dispondrá de un órgano supervisor, una estructura de control y un sistema sancionador que mantendrá alto el nivel de percepción de que las infracciones serán descubiertas y sancionadas. Ello generará un efecto disuasorio que favorecerá la creación de una cultura de cumplimiento.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

La conducta de la empresa antes y después de la infracción puede encajar en alguno de los supuestos previstos en las leyes administrativas que permiten aplicar una reducción en la cuantía de la sanción.

Existen precedentes en materia de Competencia, tanto en resoluciones del TJUE (Caso Schindler) como de la CNMC (Caso mudanzas), en las que se indica que disponer previamente de programas internos de cumplimiento en materia de competencia no supone automáticamente una circunstancia atenuante, sino que hay que analizar las circunstancias de cada caso. Una vez analizadas, la existencia de un modelo de compliance puede actuar como elemento moderador de la sanción. Así ocurrió en el caso relativo al acuerdo de las empresas de mudanzas, en el que la CNMC redujo la sanción a una empresa que había implantado un programa de cumplimiento normativo tras conocer la infracción. Se entiende que la reducción de la sanción habría sido mayor si el programa de compliance hubiese estado implantado con anterioridad.

En materia de protección de datos, el artículo 83.2.d del RGPD establece que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.

También se tendrá en cuenta la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción, y si la empresa estaba adherida a códigos de conducta o a mecanismos de certificación.

Todos estos puntos a valorar son indicadores del esfuerzo realizado por la empresa para cumplir la ley y permiten a la autoridad administrativa aplicar criterios de moderación que tengan como resultado final una reducción de la sanción aplicada.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Este argumento es uno de los que menos explicación necesitan.

Si en la lista completa de argumentos encontramos muchos efectos indirectos o colaterales del incumplimiento, en este caso las multas y las penas interdictivas tienen un impacto directo en las cuentas de la empresa.

A las sanciones administrativas multimillonarias que una empresa puede soportar por prácticas anticompetitivas se suman ahora las sanciones del Reglamento General de Protección de Datos de la UE (RGPD), que pueden llegar hasta los 20 millones de euros o al 4% de la facturación global de la empresa.

Si en los 25 años transcurridos desde la aprobación de la LORTAD sólo habíamos presentado ante el Consejo de Administración de nuestros clientes los resultados de un proyecto de protección de datos en escasas ocasiones, y de forma breve, desde la entrada en vigor del RGPD ha cambiado la tendencia y se está incrementando dramáticamente el número de presentaciones y la duración de las mismas.

Es un claro ejemplo de que el compliance no es caro cuando permite evitar sanciones tan altas. Pero además de la cuantía neta de la sanción hay que calcular el coste del tiempo dedicado a la defensa de la empresa y de sus directivos (en materia de competencia la CNMC puede también sancionarlos), las indemnizaciones a los perjudicados y el impacto en ventas que puede tener la noticia de la sanción.

La empresa debe tener en cuenta el sector al que pertenece y las sanciones que mayor impacto pueden tener en su negocio. Por ejemplo, una sanción de la CNMC a una empresa de gran consumo del sector de la alimentación puede tener un impacto reducido en las ventas, pero la simple noticia de la contaminación de un producto para bebés por una bacteria nociva tendrá un efecto inmediato y devastador, al que se unirá el coste de retirada del producto, la gestión de la crisis, la campaña informativa y el esfuerzo posterior para recuperar la confianza del consumidor, que puede durar años.

Capítulo aparte merece la pena de inhabilitación de la empresa para contratar con el Sector Público, que puede llegar hasta los 15 años. El impacto de este tipo de penas es demoledor en las empresas cuyo principal cliente es la Administración Pública. No hace falta decir que una pena de inhabilitación para contratar con el principal, y a veces único cliente de la empresa, pone seriamente en peligro su continuidad en el mercado.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Cuando una empresa analiza los riesgos de cada departamento y proceso, identifica los controles a aplicar y obtiene evidencias de su eficacia, acostumbra a encontrar defectos y errores en aspectos operativos que inciden directamente en la rentabilidad del negocio.

El proceso normal del trinomio Riesgo – Control – Evidencia acostumbra a dar los siguientes resultados:

1. Se identifican riesgos que hasta ese momento eran desconocidos.
2. Se detectan déficits de control que exigen nuevos controles que hasta entonces no se aplicaban.
3. Se descubren déficits de prueba que demuestran la inexistencia o la ineficacia de los controles requeridos.

Pero este trabajo también permite revisar desde otra óptica y de manera muy alejada de los diagramas de flujo y centrada absolutamente en los resultados reales de cada proceso, la actividad que desarrolla cada directivo y cada departamento de manera conjunta con otros directivos y departamentos.

Por eso es fácil que, al revisar los riesgos y controles asociados a cada proceso, se produzcan los siguientes hallazgos:

1. Problemas de comunicación entre departamentos.
2. Procesos defectuosos o incompletos.
3. Procesos que no se aplican o se aplican parcialmente.
4. Errores graves de gestión que afectan a la rentabilidad.
5. Competencias solapadas.
6. Conflictos internos.
7. Graves ineficiencias.
8. Controles que sólo existen en el papel.
9. Auditorías extremadamente superficiales y sin evidencias.
10. Controles obsoletos.
11. Controles y procesos aplicados en modo automático y sin adaptar.
12. Tolerancia al error y al incumplimiento.
13. Complacencia con el modelo.

No me atrevo a decir que de la función de GRC (Governance, Risc and Control) deba surgir forzosamente un proyecto BPR (Business Process Reengineering) pero sí es cierto que al realizar la función de Compliance se producen hallazgos muy útiles para la mejora de la eficiencia operativa.

Por otro lado, el incumplimiento es un gran ladrón de tiempo y de recursos. Como decía Paul McNulty: “Si piensas que el compliance es caro, prueba el no-compliance”.

Cuando se produce el descubrimiento y la posterior publicación en los medios de un incumplimiento grave por parte de una empresa, la prioridad número uno de los directivos será mitigar los efectos negativos de esa crisis en sus activos tangibles e intangibles, corporativos y personales. Esa prioridad va a desviar la atención del negocio o lo va a poner en modo automático.

La gestión de una crisis reputacional y penal grave obsorbe una gran cantidad de tiempo y recursos de manera continuada durante meses o años y puede afectar a los resultados de varios ejercicios. Incluso en el caso de que coincida con la recuperación del sector, y los beneficios sepulten aparentemente la crisis reputacional, un incumplimiento que tenga un impacto equivalente al 50% de la facturación mundial de una empresa dejará de manera implacable su huella en las cuentas anuales y en la estructura del Consejo de Administración.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

“Gracias al Compliance he conocido actividades, zonas y riesgos de la empresa que ni sabía que existían”.

“En los años que llevo en la empresa nunca había llegado a conocerla tan a fondo como ahora, gracias al Compliance”

Son dos frases que habitualmente pronuncian las personas que ejercen la función de Compliance en grandes y medianas empresas. Si la metodología es correcta, el Compliance Officer llegará a un nivel de conocimiento muy alto de las actividades de todos los departamentos y unidades de negocio de la empresa.

Uno de los requisitos del artículo 31 bis del Código Penal es justamente identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Esta exigencia, necesaria para acceder a la exención de la responsabilidad penal, marca un recorrido por la empresa que acaba siendo muy enriquecedor para el Compliance Officer y para todas las personas implicadas en el trayecto.

Se trata de un circuito ineludible que permitirá visitar todos los rincones de la empresa, desde las alturas hasta los cimientos, conocer o retomar el contacto con personas clave para adquirir ese conocimiento y con las que debe existir una relación constante que permita la monitorización de los controles y de sus efectos en los riesgos identificados.

Al diseñar nuestra aplicación Compliance 3.0 le dimos mucha importancia a tres áreas de las que me siento especialmente satisfecho:

1. La posibilidad de obtener en cualquier momento el mapa de riesgos de cada uno de los departamentos de la empresa.
2. La herramienta que permite dibujar los procesos, con cada una de sus etapas y los riesgos, controles, responsables y departamentos implicados en cada etapa.
3. El formulario o ficha que permite el análisis de riesgos basado en la información obtenida de los tres niveles clave de cada departamento, con sus diferentes grados de proximidad al riesgo y de credibilidad. Es habitual que el nivel más alto defienda más su gestión y esté más alejado del riesgo y de la valiosa información que éste suministra, mientras los niveles más bajos acostumbran a desvelar más detalles de la cruda realidad.

Este recorrido por la empresa debe ser repetido cada año con el fin de cumplir el requisito de la verificación periódica y el de la actualización del modelo de control. Al final del circuito, como al final de todo viaje, el Compliance Officer habrá atesorado un caudal de información que será muy útil para conocer y evaluar los riesgos reales de la actividad de cada departamento y el nivel de eficacia de los controles aplicados.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Halloween, black friday, compliance, whistleblower… Son conceptos norteamericanos que han ido arraigando paulatinamente en Europa. Nada impide que la figura de la recompensa por ayudar a descubrir una infracción, tan habitualmente utilizada en EEUU, se extienda también a ámbitos en los tradicionalmente no se había aceptado.

Constantemente se publican noticias de recompensas millonarias que la SEC ha pagado a un whistleblower.

En Europa el artículo 32.4 del Reglamento de Abuso de Mercado establece que los Estados miembros podrán prever, de acuerdo con la normativa nacional aplicable, la concesión de incentivos económicos a las personas que ofrezcan información relevante sobre posibles infracciones de dicho Reglamento. El artículo 32.2.b también exige la protección adecuada de las personas que trabajen en virtud de un contrato de trabajo que comuniquen infracciones, frente a represalias, discriminación u otros tipos de trato injusto.

Como anticipo de las recompensas, los programas de clemencia están arraigando también en Europa. Mientras la recompensa y la protección frente a represalias van dirigidan principalmente al confidente interno, los programas de clemencia se orientan más a informadores externos, habitualmente competidores implicados en la misma infracción.

En España es conocido el programa de clemencia de la CNMC dirigido a descubrir acuerdos contrarios a la libre competencia.

Tanto los programas de clemencia como las recompensas generan una amenaza evidente para las empresas infractoras, ya que en ambos casos el confidente surge del círculo de confianza al que me refería en el ARGUMENTO 01.

Por ello, la mejor estrategia que puede seguir una empresa es asegurar que todos los niveles de su estructura están concienciados de que el cumplimiento es el único camino en relación a la ley que asegura la sostenibilidad del negocio. Cada vez va a ser más difícil sobrevivir en el mercado si el negocio se asienta en los lodos del incumplimiento, ya que cualquier persona a la que consideramos de confianza y cualquier competidor puede convertirse en el artífice de una crisis de reputación que pondrá en riesgo la continuidad del negocio. La metodología en la que se basa el compliance va dirigida a organizar y acreditar el esfuerzo de la empresa para evitar la infracción.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

La eliminación abrupta de directivos y de proveedores genera una fractura en el círculo de confianza de la empresa. Todas las empresas tienen secretos, tanto buenos (kow how) como malos (incumplimientos graves en algunas ocasiones) que comparten con personas de confianza.

Los círculos de confianza son precarios y efímeros por naturaleza. Y cada vez lo serán más gracias a las exigencias de cumplimiento entre empresas y a la proliferación de los canales de denuncia y de los programas de clemencia. Algunas empresas tienen la habilidad de mantenerlos en el tiempo gracias al cuidado de las personas que comparten los secretos más inocentes, los más estratégicos y los más inconfesables. Pero esta práctica será cada vez menos sostenible.

En los 23 años en que participé en el canal de denuncias de la BSA (Business Software Alliance) pude apreciar que la mayor parte de las denuncias provenían de personas que habían sido expulsadas abruptamente del círculo de confianza de una empresa, especialmente trabajadores despedidos.

Muchos casos de corrupción han llegado a los tribunales gracias a la colaboración de una persona expulsada de forma abrupta de un círculo de confianza.

Directivos, socios, proveedores, trabajadores, familiares, parejas sentimentales… En todos ellos puede haber una persona capaz de transferir información confidencial a la competencia o de denunciar a la empresa por sus delitos cuando son maltratados o expulsados injustamente de ella.

La entrevista de salida es un buen momento para detectar posibles animadversiones contra la empresa.

Nuestra aplicación Compliance 3.0 tiene una sección que permite monitorizar el riesgo de denuncia por parte de las personas que dejan la empresa, a través de indicadores asociados a cada uno de los riesgos gestionados o compartidos por la persona que sale del círculo de confianza. Ello permite conocer y monitorizar los conflictos surgidos con los grupos de interés y establecer los controles pertinentes para minimizar el riesgo subyacente, a través de la regularización urgente de cualquier posible incumplimiento. El objetivo inicial es valorar la gravedad del conflicto y la posibilidad de denuncia, pero el objetivo final es eliminar el incumplimiento y la vulnerabilidad que éste genera para la empresa.

Apostar por el cumplimiento elimina la dependencia de estos círculos de confianza, de manera que la empresa deja de estar expuesta a la denuncia externa cuando las personas que forman parte de ellos salen de ellos descontentos y con la intención de vengarse de la empresa. 

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

En 2010, al realizar presentaciones sobre la reforma del Código Penal ante consejos de administración y directivos era habitual encontrar miradas de reticencia e incluso sospechas  de que el cumplimiento normativo podría ser un obstáculo para el negocio: “Si vamos a 120 km/h en un sector donde todos van a 150, pasaremos de la primera posición a la última.”

Tras siete años, todavía encontramos discrepancias entre la versión oficial que ofrecen los códigos éticos y la actividad diaria de los departamentos comerciales, la forma de influir en el legislador o de contratar con el sector público, por citar algunos ejemplos fáciles.

Los Compliance Officer que son conscientes de estas discrepancias se esfuerzan en crear poco a poco una cultura de cumplimiento en sus empresas, pero a veces tienen que luchar contra la incredulidad y la falta de apoyo de los órganos de gobierno y de los directivos, que son los que más tendrían que defender una posición clara de la empresa a favor del cumplimiento.

En la primera edición del curso de compliance de Thomson Reuters Aranzadi incluimos una presentación con 10 argumentos destinada a sensibilizar a órganos de administración y directivos incrédulos en materia de compliance. Esta presentación ha ido evolucionando con los años y en la actualidad un buen número de Compliance Officers están utilizándola en sus acciones de concienciación.

Concienciar y sensibilizar es una tarea difícil, en especial en algunos sectores, a la que queremos contribuir publicando una selección de los múltiples argumentos que pueden ayudar a acreditar las ventajas del cumplimiento normativo.

1. Reducción de la vulnerabilidad de la empresa derivada de la progresiva precariedad de los círculos de confianza.
2. Reducción de la vulnerabilidad de la empresa derivada del progresivo incremento de los programas de clemencia y de recompensa a confidentes.
3. Mayor conocimiento de la empresa y de las actividades y riesgos de cada departamento.
4. Eficiencia operativa derivada de la mejora de procesos y de la menor dedicación a la reparación de incumplimientos.
5. Ahorro de costes derivados de pleitos, sanciones, indemnizaciones, pérdida de facturación y contratos públicos.
6. Reducción de las sanciones en materia de competencia, protección de datos y otras infracciones administrativas.
7. Efecto disuasorio de la percepción del control, de acuerdo con la teoría de las ventanas rotas.
8. Mayor descentralización y eficacia del control.
9. Distribución de responsabilidades coherente con el criterio de proximidad del riesgo.
10. Incremento de la coordinación entre departamentos eliminando controles solapados y esfuerzos antagónicos.
11. Ampliación del perímetro de control y mejora del control de proveedores y socios de negocio.
12. Aseguramiento de que ningún control quede sin asignar a un responsable.
13. Creación de cortafuegos que ayuden a aislar la responsabilidad en los verdaderos autores del incumplimiento.
14. Estrategia de defensa basada en pruebas preconstituidas, ordenadas, centralizadas y con sello de tiempo (Defense file)
15. Prevención del riesgo reputacional derivado de la implicación de la empresa en tramas de corrupción y otros delitos.
16. Exigencia de inversores, accionistas y fondos activistas.
17. Continuidad del negocio y sostenibilidad basada en el cumplimiento.
18. Prevención de responsabilidad heredada en fusiones y absorciones.
19. Mejora de la posición en concursos públicos y privados.
20. Mejora de la posición en operaciones de financiación y refinanciación.
21. Reducción del riesgo de exclusión del mercado ante la progresiva vigilancia entre empresas y la exigencia recíproca de compliance.
22. Mejora de los resultados al plantear el cumplimiento como un factor diferencial frente a los competidores.
23. Incremento de la confianza del mercado en la empresa a través de los indicadores de cumplimiento en la memoria de RSC o en su portal ético.
24. Mejora de la posición negociadora al contratar o renovar un seguro de responsabilidad civil (D&O y RC).
25. Exención o atenuación de la responsabilidad penal.

Esta lista es una selección de 25 argumentos que serán objeto de desarrollo y ampliación en artículos posteriores, intentando dar un mayor énfasis en los argumentos de negocio, que son los que al final convencen a los directivos.

Hoy ha finalizado la introducción de todos los controles del Reglamento General de Protección de Datos en nuestra aplicación Compliance 3.0.

Los controles incluyen 34 checklists.

Estos controles ya se han sincronizado con las aplicaciones de todos nuestros clientes.

Los usuarios de la aplicación pueden acceder a ellos a través de la sección Librerías del menú principal, e importar los controles RGPD de forma selectiva o en bloque.

La próxima actualización se referirá a los controles de la UNE 19601, que se unirán a los de la ISO 37001, ya disponibles en la aplicación desde enero de 2017.