Cómo se estructura el papel del Compliance Officer dentro de Euskaltel
En el momento de su designación en junio de 2017, el Grupo Euskaltel incluyó la Función de Compliance dentro de Secretaría General, dependiendo el Compliance Officer funcionalmente del Secretario General y reportando directamente a la Comisión de Auditoría y Control.
Tras varios cambios organizativos, a la fecha de esta entrevista las Funciones de Riesgos, Cumplimiento Normativo y Auditoría Interna se gestionan bajo una misma Dirección que depende de la Comisión de Auditoría y Control. Si bien de este modo la segunda y tercera línea de defensa se integran bajo una misma Dirección, se garantiza la autonomía e independencia del Compliance Officer por el hecho de que este continúa reportando directa y regularmente a la Comisión de Auditoría y Control.
En línea con lo referido por el Instituto de Auditores Internos en su documento Relación entre Auditoría Interna y Cumplimiento Normativo, el Grupo Euskaltel ha tratado de optimizar con esta estructura la relación entre Auditoría Interna y Cumplimiento Normativo, ayudando a la organización a lograr un gobierno corporativo responsable y un sistema eficaz de control de los riesgos.
¿Cómo se incorporó a este puesto? ¿Cuál es el día a día?
Con el conocimiento adquirido de los procedimientos, Departamentos y funcionamiento de las actividades de Euskaltel, y luego de las empresas R Cable y Telecomunicaciones de Galicia y Telecable de Asturias que se incorporaron al Grupo Euskaltel, tras casi 20 años en la asesoría jurídica del Grupo, la creación de la Función de Cumplimiento Normativo como un órgano unipersonal conllevó mi incorporación al puesto.
En junio de 2017 partimos de la base de tres escenarios distintos en las tres empresas referidas en cuanto al avance en materia de Compliance. Recopilada, estudiada y actualizada la normativa existente en las tres empresas el Grupo Euskaltel aprobó un Código Ético, un Canal Ético, unas Instrucciones de Conducta y una Política Anticorrupción de aplicación al Grupo que han servido de base para la implantación y el desarrollo posterior del modelo de cumplimiento, especialmente del Compliance Penal al inicio de la actividad.
Además del desarrollo del modelo general del Grupo, el día a día en este ejercicio de 2019 está sobre todo centrado:
- En la explotación del modelo de Compliance penal sobre una nueva herramienta informática de la que el Grupo se ha dotado para la gestión de todos sus riesgos, incluyendo los corporativos, de cumplimiento (inicialmente penales), de protección de datos y que continuará con los de SCIIF, riesgos no penales y ciberrriesgos.
- En la gestión de un Plan de comunicación y formación anual para establecer una cultura ética y de cumplimiento. Con este Plan, llevamos a cabo de forma estructurada y recurrente comunicaciones y formaciones en materia de cumplimiento normativo en coordinación con el resto de funciones del Grupo.
- En la revisión de la gestión de políticas y normativa del Grupo Euskaltel, habiendo elaborado en lo que va de ejercicio la Política Corporativa y el Procedimiento de Conflictos Interés, y lanzado el proyecto relativo a normativa sobre confidencialidad y secretos empresariales.
- En la atención de tareas recurrentes como revisión de cláusulas de Compliance en los contratos del Grupo, atención a consultas internas y externas, y en la elaboración de un cuadro de mando de Compliance como herramienta de reporte a la Comisión de Auditoría y Control.
Qué rasgos debe definir a un Compliance Officer en una empresa o entidad
Es muy importante que conozca las actividades y procedimientos internos de la empresa o entidad y el sector en el que opera. Es también importante que tenga facilidad de acceso a los órganos de decisión y que pueda desarrollar su trabajo con autonomía e independencia, tanto funcional como presupuestaria, gozando para tales labores de un presupuesto acorde con el tipo de empresa de que se trate.
En todo caso, debe contar con poderes autónomos de iniciativa y control, tal y como se establece en el Código Penal.
A nivel personal, debería ser una persona accesible y empática, con capacidad de escuchar, y resolutiva a la vista de las cuestiones respecto de las cuales puede tener que intervenir en el ámbito de la empresa.
En la medida en que sea capaz de generar y transmitir confianza hacia los empleados y la organización, y sea valorado por ambos, su actuación podrá ser, o no, relevante dentro de la misma dar los frutos que con la creación de la Función de Cumplimiento Normativo se pretenden.
¿Qué papel juega la formación continua en un profesional de sus características?
La formación continua es imprescindible, tanto a nivel técnico como de desarrollo de otras habilidades necesarias para el desempeño del cargo, como puedan ser asertividad, empatía, comunicación, etc.
Una formación recurrente y continuada permitirá al Compliance Officer estar al día de las novedades y cambios legislativos y/o regulatorios para su implantación en la empresa, tanto de aquellas que resulten legalmente exigibles, como de aquellas otras que, sin serlo, redunden en buenas prácticas empresariales. Más si cabe, ante la continua evolución y aparición de nuevos sistemas de gestión de Compliance certificables (recientemente el tributario, por ejemplo, a través de la ISO 19602).
En esta formación continua incluyo, por su importancia, el networking, ya que de los contactos con otros profesionales de Cumplimiento puede aprenderse mucho en cuanto al tratamiento y resolución por otras organizaciones de problemas similares a los propios.
Quiero a este respecto señalar cómo, iniciativas desarrolladas por ASCOM como encuentros, desayunos de trabajo, webinar o sesiones formativas presenciales fomentan y facilitan la formación y la relación entre profesionales del sector y ayudan al desarrollo y trabajo diario en una profesión que podemos considerar todavía de reciente creación, con las incertidumbres que de ello se derivan para los profesionales y las empresas.
Usted acaba de superar las pruebas de CESCOM. ¿Qué valor tiene contar con este certificado homologado de conocimientos?
Considero que tiene relevancia ya que siendo la Función de Compliance de reciente implantación, y no existiendo una titulación o reconocimiento oficial del Compliance Officer, el hecho de obtener este certificado es un modo de avalar y acreditar frente a terceros que aquellos que han superado con éxito el examen de CESCOM reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión.
En la medida en que la certificación CESCOM debe renovarse cada tres años, ello obliga a quienes la obtuvieron a preocuparse de realizar una formación permanente, y así, a actualizar los conocimientos de forma recurrente. De este modo, no solo garantiza unos conocimientos y cualificación en un momento, como una foto fija, sino que el mantenimiento de la certificación da garantía de una actualización permanente en la materia.
Por último, comparto con ASCOM el hecho de que aumenta las posibilidades de empleabilidad de las personas que la obtienen, ya que las empresas que buscan estos perfiles lo están valoran positivamente. Más si cabe, teniendo en cuenta que las personas que superan el examen de CESCOM obtienen una acreditación internacional, como es la de Internationally Certified Compliance Professional, reconocida por las asociaciones miembro de IFCA (Federación Internacional de Asociaciones de Compliance).
Realmente, ¿Qué aporta a una pyme tener bien organizado su programa de cumplimiento normativo?
Yo diría a este respecto que son todo ventajas. Aporta claridad al funcionamiento de la organización y rapidez de respuesta ante problemas concretos.
Si las actuaciones se encuentran previstas y procedimentadas, si se analizan sus consecuencias y se revisan los resultados, se facilita la actividad del día a día de la empresa puesto que cada empleado conoce sus actividades y responsabilidades, y permite agilidad de respuesta ante cualquier situación, lo que es importante a nivel interno, pero de especial relevancia ante, por ejemplo, requerimientos externos (de un juzgado, de un organismo regulador, de una Administración, de la Agencia de Protección de datos) que exigen una respuesta robusta y rápida en el tiempo.
Igualmente, un programa de cumplimiento bien estructurado y organizado aporta muchas facilidades de auditoría, tanto interna como de terceros, y, por tanto, cuando las empresas se plantean obtener certificaciones de sus procedimientos de actuación, que, como establece la Circular 1/2016 de la Fiscalía, sin ser garantía plena por sí mismas del correcto funcionamiento de un programa (en este caso, penal), aportan evidencias de que la empresa ha puesto en marcha y se preocupa por disponer de un programa de cumplimiento dentro de la organización.
¿Es necesario que estos profesionales tengan un estatuto jurídico propio para delimitar su responsabilidad y proteger su independencia?
El artículo 31bis del Código Penal nos da pistas sobre las responsabilidades de los Compliance Officers, como por ejemplo cuando establece que consistirá en un órgano de la persona jurídica, que ejerce sus funciones con poderes autónomos de iniciativa y control y que debe llevar a cabo su actividad sin que en la misma se produzca omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control.
Pero de la legislación sacamos pistas, y considero que esto no es suficiente, sobre todo, para poder blindar cuestiones relevantes de la profesión, tales como la de disponer de poderes autónomos de iniciativa y control dentro de la empresa con los que, inexcusablemente, un Responsable de Cumplimiento debería contar, o bien las responsabilidades penales que podrían resultar imputables por razón de su cargo.
Pienso que cuestiones como las citadas, el ágil acceso a los órganos de Dirección, o la posibilidad de acceder a cualquier información y/o documentación de la empresa son cuestiones que deberían recogerse detalladamente en un estatuto vinculante. Y ello, sin perjuicio de todas aquellas otras cuestiones que, internamente, cada sociedad establezca adicionalmente a estas.
De este modo, se dotaría de seguridad jurídica tanto a las empresas como a los profesionales del Compliance, y se garantizaría la efectividad de su funcionamiento si efectivamente se aprobara un estatuto jurídico propio que delimitara, con mínimos, sus derechos y responsabilidades, garantizando cuestiones como las anteriormente citadas.