Seguimos desglosando las opiniones de nuestros asociados Francisco Caamaño, Alain Casanovas, Francisco Bonatti, Iñigo Gómez Berruezo, Adriana Antich, Pilar del Rio y Esmeralda Iranzo a raíz del quinto aniversario de la introducción de los programas de compliance en nuestro código penal.
En este segundo reportaje hacemos balance de la evolución de los programas de cumplimiento normativo en esta primera década de su puesta en marcha y sobre el reconocimiento de la figura del Compliance Officer
Francisco Caamaño indica que “en mi opinión, la idea de que un programa de cumplimiento no es solo un plan de prevención de delitos ha ido, afortunadamente, calando y, en consecuencia, teniendo acogida en los programas efectivamente implantados”.
Y señala que “áreas como las de privacidad (protección de datos, pero también secretos empresariales), blanqueo de capitales, contratación y relaciones con proveedores o la de defensa reputacional -sobre todo en redes sociales- son, a día de hoy, parte indiscutible de un buen programa corporate compliance”.
“en paralelo, las nuevas tecnologías de la información ofrecen alternativas y complementos a las fórmulas tradicionales de supervisión y control: firma digital, blockchain, sistemas de encriptación, biomarcadores (huella digital, iris, reconocimiento facial) “, añade.
Caamaño también hace referencia “a lo que podemos añadir los modernos sistemas de gestión documental y control de acceso a la información. Todo ello, permite dotar de una mayor eficiencia a los programas de cumplimiento, acreditar su vigencia real en la organización y, sobre todo, hacerlo sin interferir en exceso en la operativa y procesos internos de la organización”.
Por su parte, Francisco Bonatti considera que “por el camino se han dado hitos relevantes que han ayudado mucho a su crecimiento y progresiva implantación. Uno de esos hechos fue la entrada en vigor del Reglamento General de Protección de Datos y el cambio de modelo que supone para la gestión de los riesgos de privacidad en las organizaciones”.
Y hace alusión “especialmente en el sector PYME y en general las empresas no cotizadas fue un momento de reflexión sobre los costes de oportunidad de impulsar definitivamente programas de compliance más transversales, capaces de afrontar los diversos riesgos de la organización, de modo que después de la UNE 19601, el RGPD fue un hito más en la evolución del Compliance en España”.
Bonatti destaca que “también ha ayudado la progresiva aplicación de la reforma del 2010 en los procesos penales: cada noticia que se publicaba sobre una empresa procesada era un paso más en la concienciación de muchas organizaciones sobre la importancia de implantar programas de compliance consistentes”.
A su juicio, “sin embargo, la eficacia de los programas de compliance depende fundamentalmente de un factor: la madurez del modelo de gobernanza de la organización”
Este jurista considera que “si los propietarios de la organización y su Alta Dirección están decididos a adoptar y aplicar políticas de Buen Gobierno sólidas y sostenibles, el Compliance se consolidará de manera natural e inevitable y trascenderá a todos los niveles de la organización”;
“Por el contrario, si los órganos de gobierno son incapaces de responder decididamente “no” al riesgo de compliance, su programa no dejará de ser un “paper compliance” por más o menos recursos que se destinen al mismo”, apunta este experto.
Sobre la evolución de los programas de compliance, Pilar del Rio destaca que” muchas organizaciones están avanzando en materia de gobernanza y toma de decisiones para velar por la eficacia de estos programas”
En su opinión, “la mayor dificultad, muchas veces, se encuentra en la necesidad de generar equipos transversales con responsables de todo tipo que deben incorporar la visión de compliance en su gestión ordinaria”.
Del Rio considera que “esta gestión del cambio, a todos los niveles, puede ser compleja si no se cuenta con la voluntad, dedicación suficiente y con elementos de software que aligeren de algún modo la profundidad y efectividad de los controles”.
Los programas de compliance han evolucionado
En opinión de Esmeralda Iranzo “por supuesto que los programas de Compliance han evolucionado. Debemos tomar como punto de partida que nuestro Código Penal en el año 2015, en su artículo 31 bis, ter, quater y quinquies recogió todos los elementos que debía contener un programa de Compliance para que pudiera servir para atenuar o eximir la responsabilidad penal de la persona jurídica”-
Esta experta recuerda que “el año 2015 fue un año clave en nuestro país en lo que a programas de Compliance se refiere, además de la reforma citada, la ISO 19600 publicada en diciembre de 2014 se incorporó como norma española en 2015, con la denominación UNE – ISO 19600”.
“Es cierto que existían textos de directrices y estándares que establecían recomendaciones para la adecuada implantación de sistemas de gestión, pero fue la aprobación de esta norma ISO la que supuso un gran avance en la materia”, apunta Iranzo.
Al mismo tiempo señala que “en el año 2017 vio la luz la norma UNE 19601 que establece los requisitos de un sistema de gestión de Compliance penal y que es certificable, por lo tanto, de tener un artículo sucinto, para lo arduo de la materia, en el Código Penal hemos pasado por una ISO a terminar en nuestro país con una norma UNE certificable, por lo que podemos afirmar que sí que han evolucionado”.
En relación a si es complicado contar con un programa de Compliance eficaz, Esmeralda Iranzo indica que “ depende de la voluntad del órgano de gobierno, si esa voluntad es firme y sobre todo tiene como propósito extender una cultura de cumplimiento en la empresa será fácil tener un programa de Compliance eficaz, ahora si las pretensiones son otras y el único objetivo es poder atenuar o eximir la penal a base de “golpe de documentos” será muy difícil conseguir que el programa sea eficaz”.
Para Adriana Antich “los programas de compliance que veíamos en España en el año 2015 poco tienen que ver con los actuales. Considero que, en un inicio, se le daba mucha importancia a las famosas checklists (i.e.: ¿dispone la empresa de un Código Ético?; ¿dispone la empresa de un Canal de Denuncias?)”
A su juicio “hoy en día, hemos avanzado un paso más allá, y las organizaciones buscan, mediante sus programas de compliance, permear en sus empleados y lograr una cultura ética corporativa, huyendo de los denominados fake compliance”.
Para Antich “la clave para que un programa de compliance sea eficaz, es que esté correctamente diseñado desde un inicio, con el asesoramiento de expertos en la materia y que su implementación se lleve a cabo de forma correcta, teniendo una especial relevancia las acciones de comunicación, sensibilización y formación a los miembros de la organización”.
A su juicio, “no considero que sea “complicado” contar con un programa de compliance que realmente sea eficaz, si bien lo cierto es que, como todo, requiere recursos, tiempo y dedicación”.
El papel del compliance officer
Respecto a la figura del compliance officer y su implantación en las organizaciones, Francisco Bonatti destaca que “el término Compliance Officer se ha convertido últimamente en un “trending topic” legal y empresarial, y eso es bueno. Pero sobre la figura del Compliance Officer penden todavía muchas incertidumbres y amenazas”.
A su juicio ”una de las más preocupantes es el debate sobre la responsabilidad penal del Compliance Officer, donde una corriente de opinión jurídica lo desliza peligrosamente hacia una posición de garante que puede llegar a convertir esta función en una verdadera profesión de riesgo que nadie va a querer asumir”.
“creo que este riesgo es fruto del encuadre del Compliance en el marco legal de la Responsabilidad Penal de la Persona Jurídica sin haber tratado paralelamente esta función desde otros ámbitos legislativos que deberían haber establecido un marco de responsabilidades y garantías adecuado, que nos ayudaría a definir mejor su responsabilidad penal”, advierte este experto
Bonatti detecta que “otra amenaza que se cierne sobre esta figura se muestra en los intentos, en unas ocasiones populistas, en otras ocasiones corporativistas y en muchos casos escasamente técnicos de definir o regular esta figura sin tener en cuenta su transversalidad y su marco de definición internacional”.
A su juicio, “ambas amenazas tienen que ver con dos cuestiones que son esenciales para la consolidación de la figura del Compliance Officer: su independencia y su autonomía”.
En su opinión, “es imprescindible que tanto el marco legal como los modelos que se implanten en las organizaciones aseguren a los Compliance Officer que pueden desempeñar su función con independencia y autonomía, para ello la Sociedad debería alcanzar un consenso mayor sobre qué es la Función de Compliance y paralelamente nuestro legislador debería incidir en aquellas normas que configuran los modelos de gestión de las personas jurídicas y las relaciones laborales o profesionales que los Compliance Offcier van a mantener con ellas”.
Alain Casanovas comenta que “desde luego, el nivel de difusión de la figura del Compliance Officer ha aumentado significativamente en los últimos años, y continuará haciéndolo. Desempeñando un rol clave para una gestión responsable, muy vinculada con buenas prácticas de gobierno corporativo, se ha convertido en una posición destacada en la práctica totalidad de sociedades cotizadas”.
A su juicio “las grandes organizaciones -no cotizadas- también siguen esta misma línea, de modo que el nivel de madurez y visibilidad del Compliance Officer es mucho mayor que años atrás”.
Al mismo tiempo revela que “en organizaciones medianas y pequeñas, también es una figura en claro ascenso, aunque las limitaciones de recursos dificultan su profesionalización interna, recurriendo entonces a fórmulas compartidas (dedicación no exclusiva a los cometidos de Compliance). El entorno más alejado a la figura son las micro-empresas, por una cuestión de recursos y masa crítica para la profesionalización de funciones”.
Una figura asentada, pero no madura
Para Iñigo Gómez Berruezo “es una figura asentada pero no madura. Me explico, no creo que nadie cuestione la necesidad de contar con un responsable de cumplimiento o compliance dentro de una organización. Pero la madurez es una cuestión de tiempo, experiencia, entornos… y eso, en un lustro, todavía tiene mucho recorrido”.
Al mismo tiempo reconoce que “se sigue vinculando a la figura del compliance al Departamento Jurídico, auditoría interna incluso a RRHH, producto quizás de que todavía se sigue viendo esta figura como un gasto y no una inversión…respondiendo a tu segunda pregunta, no está madura todavía pero no vamos por mal camino”.
Francisco Caamaño señala que “aunque ha avanzado mucho, me temo que le queda mucho por andar. Una gran mayoría de las organizaciones han optado por atribuir la condición de CCO ha personas que ya tenían otros cometidos en la organización, de suerte que compaginan su tarea previa con la de responsable último de cumplimiento normativo”:
Considera que “sin duda, es una forma de ahorrar costes de personal, pero no parece la mejor de las soluciones y, en mi criterio, a larga tiene más inconvenientes que ventajas”.
Caamaño reconoce que “si se hace el esfuerzo sincero de implementar un programa de cumplimiento en el interior de una organización, es fundamental garantizar no solo la autonomía funcional del CCO, sino también su autonomía de pensamiento, es decir, la particular “mirada” con la que debe examinar la realidad de la organización para que su trabajo sea realmente útil y efectivo”.
Y revela que “muchas veces, el compliance officer tendrá que enfrentarse a la asesoría jurídica, o al departamento financiero o al de compras e, incluso, aportar una visión distinta y crítica con la sostenida por la dirección o el órgano de gobierno de la entidad. Y, esa capacidad de “advertir” y mostrar los “peros”. forma parte principal de su tarea. Algo que difícilmente puede hacerse cuando una misma persona tiene que asumir otras responsabilidades”.
Para Adriana Antich la figura del compliance officer está asentada “Sí, totalmente. Mis primeros contactos con compliance officers los tuve cuando trabajaba como abogada en el despacho Garrigues, y la mayoría de ellos eran responsables de cumplimiento de compañías que formaban parte de grupos de empresas internacionales o que operaban en sectores regulados, como por ejemplo el sector bancario o farmacéutico”.
En su opinión “hoy, diez años después, puedo asegurar que no es una figura que encontramos únicamente en grupos de empresas internacionales ni en sectores regulados, sino que cada vez son más las empresas que cuentan con un responsable de cumplimiento normativo en su organización, perteneciendo éstas a sectores muy diversos. Esto demuestra que es una clara muestra de que la figura de los compliance officers es tenida en cuenta por las empresas como un activo para la compañía”.
Otra visión diferente tiene Pilar del Río que señala que “salvo las grandes organizaciones, las empresas aún tienen dificultad para asumir la necesidad de esta figura a tiempo completo e independientemente de otras funciones. Por un lado, por la escasez de recursos de muchas de ellas, pero también por la dificultad de comprender la gestión transversal de esta materia”.
Para esta jurista “aún predominan figuran mixtas de dedicación parcial, la generación de comités de compliance sin un líder tractor, o la externalización de buena parte de estas funciones. Todavía queda un recorrido importante más allá de los sectores regulados”.
Al mismo tiempo cree que “habrá que ver si a las empresas sujetas a supervisión por la CNMV se les exige esta figura, ya que suelen ser el referente de organización bien gobernada a la que aspiran otros y podría ser un buen impulso para todos, en general”.
Para Esmeralda Iranzo “la figura del Compliance Officer o si hablamos de órganos colegiados, de Comités de Compliance o de cumplimiento, sí se han asentado en este país. Son nuevos elementos que todo el mundo en las organizaciones empresariales ha interiorizado que tienen un papel relevante”.
A su juicio, “en positivo podemos afirmar que, sí son figuras tenidas en cuenta en la empresa, ahora bien, falta camino por recorrer, no todo es el IBEX 35, todavía vemos que la independencia y la autonomía que debe caracterizar a la función de Compliance, son características que deberán trabajarse más y crear más cultura sobre esos dos caracteres fundamentales de la función”.
Al mismo tiempo cree que “a su vez, será necesario avanzar en otras cuestiones como el papel del Compliance Officer en el procedimiento penal, entre otras”.