No sabes nada, Compliance Officer

mayo 29, 2019

Foto: Flickr.

Pero lo bueno, es que hasta de la fantasía se pueden ir aprendiendo lecciones que ayuden a cualquier responsable de cumplimiento en su día a día.

Game of Thrones ha sido un fenómeno cultural, no sólo por el interés que ha generado en los millones de televidentes y lectores que nos hemos enganchado a la saga, sino por un reflejo particular de la relación de los humanos con el poder. Entre otras cosas, nos enseña que el bien y el mal, como absolutos, rara vez existen y que las decisiones -más que las intenciones- tienen consecuencias.

Para no perdernos en el universo de personajes de George RR Martin en su Canción de Hielo y de Fuego, vamos a quedarnos con algunas lecciones de los personajes que ejercieron el liderazgo como Reyes de Westeros. Si además de los que aparecen abajo identificáis alguna otra lección que podamos trasladar al Compliance, fantástico porque así abriremos el debate.

Por mantener la buena práctica de advertir, os comento que, si no habéis visto la última temporada de Game of Thrones, debo advertir que hay ligeros spoilers a continuación.

1. Robert Baratheon y la importancia de implementar un sistema de Compliance.

El Rey Robert Baratheon gobernó Westeros por años, y tuvo una gestión regular, pero solvente. Su muerte desencadenó los eventos que transcurrieron durante ocho temporadas en la serie de HBO y cuyo desenlace aún desconocemos en la saga de George RR Martin.

Pero antes de morir, nos deja varias lecciones sobre la importancia de contar con un sistema de gestión de Compliance, que se asemejan a lo que puede ocurrir en organizaciones pequeñas o familiares que concentran sus procesos y conocimiento de la compañía en una sola persona y que no están preparadas para enfrentar cambios o situaciones imprevistas.

Robert lograba resultados con lo justo, pero no se involucraba en la gestión diaria del Reino, ni se preocupó por fomentar una buena cultura corporativa, elementos que habrían permitido una sucesión ordenada y la continuidad de su gestión una vez fue dado de baja, mediante la participación de un equipo gestor competente. En su lugar, su Consejo actuó distribuyéndose parcelas de poder que interactuaban entre sí sólo cuando había un beneficio de por medio.

Un Compliance Officer en su Consejo habría detectado que Littlefinger no era un tesorero apto, e incluso habría podido dar una respuesta a la denuncia puesta por Ned Stark sobre el incumplimiento de requisitos del sucesor de Robert, el Rey Joffrey.

2. Joffrey y la ausencia absoluta de tone-from-the-top.

Joffrey representó el liderazgo tóxico propio de empresas que no sólo no fomentan una cultura corporativa sino que premian las conductas delictivas y desplazan intencionalmente cualquier control que pueda existir.

Y aunque pueda parecer exagerado, hay líderes que toman decisiones con un criterio similar al que exhibió Joffrey:

  • Sanciones a empleados sin cumplir con un procedimiento debidamente documentado y de forma totalmente arbitraria.
  • Prácticas de mercado agresivas para eliminar a la competencia, incumpliendo la normativa en la materia.
  • Incumplimiento del deber de informar a los stakeholders sobre el estado de la Compañía.

3. Tommen y la hypegiaphobia.

A diferencia de Joffrey, Tommen Baratheon no era un Rey autoritario, sino más bien todo lo contrario. Durante su corto reinado, pudimos apreciar las dificultades que se le presentaban a la hora de tomar decisiones.

En cada reunión con sus directivos, le veíamos dudoso y altamente influenciable, lo cual representa un error garrafal en materia de cumplimiento normativo. Sea en el caso del líder de la organización o del Compliance Officer, este tipo de conductas genera un riesgo importante, porque paraliza y deja expuesta a la organización ante hechos que no se están controlando adecuadamente.

Alain Casanovas identifica este miedo irracional a la responsabilidad en materia de Compliance como hypegiaphobia y lo relaciona con la aversión a los riesgos. En efecto, esta situación es nada deseable en posiciones de liderazgo porque en ese intento de evitar cualquier tipo de riesgo, lo que se consigue es renunciar al control y dejar que sean circunstancias externas las que condicionen el resultado.

4. Cersei Lannister y la gestión de la reputación.

Hay estrategias comerciales que resultan rentables a corto plazo, pero que socavan la reputación de la organización frente a aliados que resultan estratégicos a mediano y largo plazo o frente a los propios clientes.

Si a los trabajadores, por ejemplo, se le imponen condiciones excesivamente duras, confiándose en la necesidad de éstos, puede que se vean obligados a aceptar por un tiempo, pero en el momento que encuentren una alternativa, no dudarán en realizar un cambio.

De igual forma los clientes, cuando ven que el servicio que reciben no es óptimo, serán más susceptibles a valorar otras alternativas, especialmente cuando se les hace una oferta y luego no se cumple. Esto puede derivar no sólo en baja de clientes sino en eventuales reclamos legales que terminarán incendiando las líneas telefónicas de atención al consumidor.

Cersei Lannister aprovechó cada oportunidad para concentrar el poder de gestión en sus manos, y en el camino fue socavando su reputación y confiabilidad como líder. Perdió la confianza de todos sus stakeholders y a pesar de contar con recursos económicos para afrontar tiempos difíciles, su mala reputación fue uno de los factores clave de su pérdida de liderazgo.

Desde el área de Compliance se gestiona información clave que permite a una organización tener la visibilidad para mejorar la toma de decisiones, no sólo desde el punto de vista legal sino considerando también el impacto organizacional. Si Cersei hubiera contado con un Compliance Officer que le mantuviera al tanto de los riesgos reputacionales que implicaba el incumplimiento de su contrato de envío de soldados al Norte, o le hubiese explicado que la ejecución de rehenes es una violación al Convenio de Ginebra sobre Derechos Humanos, quizás habría tomado otras decisiones.

5. Daenerys Targaryen y el fake Compliance.

Todo lo que puede llevar a que una organización apoye la gestión de un líder, se puede destruir con una mala decisión, y llegado a ese punto puede ser tarde para recuperar el liderazgo.

Daenerys Targaryen decidió, voluntariamente, cometer un acto contrario al marco legal y con ello terminó alienando a gran parte de sus trabajadores, que se sintieron traicionados por la organización de la cual formaban parte.

Esas son las consecuencias de un fake Compliance. Cuando en una organización existe un Código de Conducta, unas políticas corporativas y se pone de manifiesto una cultura de cumplimiento, pero ésta no es cumplida por la propia dirección, hay una brecha que puede terminar condenando a toda la organización.

Y esto es lo que suele ocurrir en las grandes organizaciones que ya cuentan con un sistema de Compliance implementado, pero se toman decisiones que demuestran poco compromiso con ese sistema. Lo hemos visto recientemente en el sector automotriz, farmacéutico y tecnológico.

De allí la importancia de que el Compliance se gestione de manera coherente y cohesionada con los objetivos de la organización, integrándose en los procedimientos que deben cumplir todos los empleados, mandos intermedios y la alta dirección.

Conclusiones:

La guardia del Compliance Officer nunca termina, pero se puede hacer más sencilla si reforzamos el muro de cumplimiento normativo de la organización, teniendo en cuenta las lecciones aprendidas:

  1. Implantar un sistema de Compliance permite dotar a la organización de un mecanismo de defensa, dando visibilidad al más alto nivel de la organización y dotando de credibilidad las acciones ejecutadas para que la gestión no se vea perjudicada por eventuales situaciones de riesgo que escapen de su control. Aquí encontrarás más información.
  2. El tone-from-the-top es un elemento esencial para la eficacia del sistema de Compliance. El liderazgo debe tener una conducta ejemplar, pues de lo contrario se propicia un clima de malas prácticas que afecta no sólo al liderazgo, sino al resto de la organización. Entre otras cosas, para construir el tone-from-the-top se requiere formación.
  3. Tanto las posiciones de liderazgo como los responsables de Compliance deben ser conscientes de los riesgos inherentes a la actividad que realizan y gestionarlos de manera oportuna. Tener a las personas clave en los cargos claves, y una estrategia que permita a todos los responsables conocer las implicaciones de sus decisiones es esencial para la sostenibilidad del negocio. En nuestro mailing gratuito, Compliance Think, encontrarás varias guías sobre la gestión de los riesgos penales y cómo debe actuar el Compliance Officer.
  4. La reputación debe gestionarse, pues es el activo más importante de una organización. En ese sentido, debe tenerse en consideración que el beneficio no se mide únicamente en rendimiento económico y considerar los intangibles que inciden en la sostenibilidad del negocio: Buenas relaciones con los proveedores, nivel engagement del personal, baja conflictividad laboral, consideración de las Administraciones Públicas, valoraciones en rankings de reputación que repercuten en la imagen de la organización frente a los clientes y usuarios, etc.
  5. El fake Compliance puede tener un impacto enorme en una organización, y los líderes que no actúen de forma coherente con la legislación y las buenas prácticas pueden terminar respondiendo personalmente por sus incumplimientos, y las organizaciones deberán sanearse para continuar existiendo, a riesgo de terminar sometida a penas y sanciones. Y la mejor solución para poder contar con un sistema de Compliance eficaz, es con la asesoría de expertos en la materia.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal,  contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

El Compliance Officer como arquitecto de decisiones

marzo 26, 2019

El Compliance tiene como propósito impulsar conductas y comportamientos orientados al cumplimiento dentro de las organizaciones y para lograrlo el Compliance Officer debe aprovechar todas las herramientas a su disposición.

Dentro de la psicología social aplicada a la economía se encuentra la Nudge Theory, o teoría del empujón, y es una de las más útiles para el Compliance Officer en su tarea de generar cultura de buen cumplimiento normativo.

¿Qué dice la Nudge Theory? (Teoría del ’empujón’)

Esta teoría fue propuesta por Richard Thaler, ganador del premio Nobel de la Economía por sus aportes en el campo de la psicología social en la economía.  De forma muy resumida, el concepto de nudge acuñado por Thaler propone que los humanos podemos ser “empujados” a tomar mejores decisiones que nos beneficien a largo plazo, y explica los distintos sesgos que regularmente nos conducen a que tomemos decisiones menos acertadas.

Se han hecho muchos experimentos sobre el tema; los expertos han demostrado cómo somos más propensos a mantener una dieta más saludable cuando hay un arquitecto de decisiones detrás de los comedores o supermercados que coloca las frutas o vegetales estratégicamente y en porciones que nos resultan más atractivas.

Esos sesgos, que cada uno de nosotros vamos formando de manera inconsciente pero que pueden ser identificados, son los que nos llevan entre otras cosas a escoger comida rápida por encima de un menú saludable, o a posponer una tarea que ayudará a nuestro desarrollo personal y profesional por ver repeticiones de Friends. Como consecuencia de esos sesgos, en muchas ocasiones sobrevaloramos el beneficio a corto plazo y subestimamos las consecuencias de nuestras acciones (o inacción) a largo plazo.

La arquitectura de las decisiones dentro de una organización.

Si trasladamos esa misma teoría al contexto de una organización, el reto está en ayudar al personal a que tome mejores decisiones, contribuyendo tanto al crecimiento sostenible de la organización como a su desarrollo personal, en un entorno en el cual el beneficio a corto plazo puede ser generar problemas a largo plazo.

Un ejemplo crítico en materia de Compliance puede ser el de un empleado que piense que pagando un soborno está ayudando a la empresa a cumplir con un objetivo de facturación y que ese beneficio a corto plazo -una mayor rentabilidad inmediata-, supera las consecuencias a largo plazo para su organización (que le multen, sancionen o pierda oportunidades de negocio a futuro), y para él (despido y cárcel).

En otros casos hay directivos o altos cargos que, aun siendo conscientes de que hay una normativa que deben cumplir y que su infracción trae consecuencias, deciden incumplir porque no son capaces de apreciar el impacto real de ese riesgo sobre la organización y sobre ellos mismos.

La mayoría de las personas saben que pagar un soborno está mal, aun cuando desconozcan con exactitud la severidad de las consecuencias; la mayoría de las veces, los directivos y altos cargos saben que deben cumplir la ley. Sin embargo, en determinadas circunstancias, toman las decisiones equivocadas porque los sesgos le desvían la atención y su escala de incentivos no está en el lugar correcto.

Es en esos momentos en que los ‘nudges’ o empujones son un recurso crítico de Compliance, y debe utilizarse para influir positivamente en el proceso de toma de decisiones de los miembros de la organización.

El Compliance Officer como arquitecto de decisiones

Thaler y su colega Cass Sunstein hablan en su bestseller Nudge sobre la arquitectura de decisiones. Entienden que las entidades públicas u organizaciones privadas tienen un interés en generar un mayor beneficio para los ciudadanos y que por tal motivo tienen la responsabilidad de ayudarles sin imponer una prohibición o restricción. Este principio trasladado a una organización convierte al Compliance Officer en un arquitecto de decisiones por excelencia.

Desde que se concibe el sistema, el C.O. está tomando decisiones dirigidas a influir en la conducta de los miembros de la organización en todos sus niveles, y por tanto es esencial conocer los distintos sesgos a los que se enfrenta y que condicionarán la efectividad del sistema, para poder así generar una verdadera cultura de cumplimiento.

Algunos ejemplos de ‘nudges’ en el Compliance:

Uso de semáforos en la evaluación de riesgos:

Una evaluación de riesgos puede ser presentada al Consejo de Administración como un largo informe con un completo análisis de todas las áreas de la organización, sus procesos y las conductas potencialmente riesgosas, descritas a lo largo de más de 200 páginas con 1200 filas y 14 columnas de Excel. Y a nivel de contenido, podría ser un documento impecable.

Sin embargo, los directivos tienen un tiempo muy limitado y además deben cumplir con otras responsabilidades, por lo cual entregar un documento de estas características sin una guía que sirva de resumen ejecutivo, puede condenar al sistema de Compliance a al cajón del olvido, aunque estos directivos sean conscientes de la importancia de la evaluación y las acciones que de ella derivan.

Para ‘empujar’ a los directivos hacia una mayor comprensión de los riesgos (y por tanto a que actúen de manera más informada), se puede utilizar un mapa de riesgos que sintetiza la información y la refleja en una matriz de probabilidad e impacto, con un sistema de semáforo para ilustrar las áreas en que se ubican los principales riesgos, marcando en rojo las áreas de riesgo alto, en amarillo las de riesgo medio y en verde las de riesgo bajo, como reflejamos a continuación:

Matriz de Riesgos - Nudge, Compliance y Arquitectura de Decisiones

En la elaboración del Código de Conducta y políticas corporativas:

Es muy frecuente -especialmente para quienes venimos del mundo jurídico- pensar que la prohibición es la medida más contundente que se puede tomar para prevenir una conducta. Bajo esa premisa, bastaría con establecer en el Código de Conducta un redactado de este estilo:

 “X no tolerará ningún tipo de conducta corrupta y queda terminantemente prohibido que sus directivos o empleados realice cualquier tipo de pago a funcionarios públicos.”

Sabemos que en la realidad este tipo de enunciados, por contundentes que parezcan, son insuficientes, y en la mayoría de los casos en que una empresa se ha visto involucrada en escándalos de corrupción, había un Código Ético o una Política Anticorrupción que ya lo prohibía (y en el 100% de los casos esa prohibición viene dada por Ley de forma expresa).

Pero los buenos Códigos de Conducta y políticas anticorrupción están llenas de pequeños ‘nudges’ para ayudarnos a no sólo a conocer sino a interiorizar todas esas normas, en algunos casos de forma imperceptible.

Tomemos como ejemplo el Código de Conducta de Johnson & Johnson:

  • En sus primeras páginas encontramos un Credo Corporativo, en el cual la primera persona del plural está siempre presente: “…Somos responsables con nuestros empleados, los hombres y mujeres que trabajan con nosotros en todo el mundo.”
  • Tiene una representación gráfica de un árbol de decisiones que explica los pasos a seguir en caso de encontrarnos en una situación de duda.
  • Las conductas se describen en un contexto de negocios en el cual se identifica el por qué la importancia de la responsabilidad en la toma de decisiones.

El estilo de redacción, la disposición de los contenidos y hasta las ilustraciones buscan que los lectores puedan contextualizar mejor lo que se espera de ellos, y son mucho más que meros elementos decorativos.  Lo mismo ocurre con las formaciones, que mientras más didácticas y menos técnicas son más efectivas a la hora de transmitir los mensajes clave.

Integración del Compliance en los procesos informáticos:

En ocasiones, los controles de Compliance pueden ser tan sencillos como pedir al empleado que confirme que ha cumplido con un proceso de verificación.

Supongamos el caso de un empleado que debe verificar la documentación de identidad de los clientes de una agencia bancaria, como parte del esquema de prevención de blanqueo de capitales, y enviar un comprobante de que realizó la revisión pertinente en cada caso. Es posible que deba realizar decenas de operaciones al día y al ser una tarea repetitiva, se incrementa el riesgo de error o inefectividad del control.

Una manera de facilitarle el trabajo al empleado es incluir una alerta en la herramienta de gestión que le recuerde que debe verificar la documentación y le impida avanzar de pantalla hasta que marque con un “check” que efectivamente realizó ese paso. Un ejemplo de este tipo de ’empujones’ en otro contexto, es lo que hace Gmail cuando escribimos la palabra “adjunto” pero olvidamos hacer la carga del archivo:

Este tipo de recursos debe utilizarse con criterio; implementar controles de forma estratégica mejora la gestión. No obstante hay que evitar la saturación de los procesos con excesivas alertas y recordatorios, dado que puede ser contraproducente y provocar el efecto contrario al deseado.

El arquitecto de decisiones detrás del Compliance debe asumir que el sistema de gestión se dirige a personas, y que como humanos no siempre somos capaces de tomar la mejor decisión aún cuando tengamos la información a nuestra disposición. Un ser éticamente perfecto ni siquiera necesitaría de Compliance, porque la ley sería suficiente; pero los humanos necesitamos toda la ayuda posible, y mientras más fácil y a nuestro alcance se encuentre el buen cumplimiento, mejores será el diseño del sistema de Compliance.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal,  contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

El Data Protection Officer y el Compliance Officer: Los “Avengers” del cumplimiento normativo.

julio 9, 2018

 

Flickr

En el año 2008, Marvel ha iniciado el desarrollo de un proyecto denominado “Marvel Cinematic Universe” (MCU), con el cual pretendían crear -como en efecto hicieron- una serie de películas con personajes de comics, cada uno protagonista de su propia película, en un mismo universo en donde las tramas entrelazadas se cruzarían periódicamente para generar las épicas películas de The Avengers, con la participación de todos los héroes.

Pues bien, el cumplimiento normativo de las organizaciones vive su propio universo, en donde los héroes no llevan capa, pero cumplen una imperiosa labor para proteger los intereses tangibles e intangibles de la empresa: El cumplimiento normativo.

Y aunque en muchas ocasiones estos garantes del cumplimiento normativo comparten una visión, cada uno tiene su particularidad y especialidad que les permite actuar de manera complementaria. Dos de los grandes protagonistas del cumplimiento normativo son el Data Protection Officer y el Compliance Officer.

1. El Compliance Officer.

No son pocas las veces en que en alguna charla termino comparando al Compliance Officer con el Capitán América. Ambos se distinguen por su profundo interés en preservar la integridad. El primero de la organización, siendo el defensor por excelencia de las buenas prácticas organizacionales, mientras que el segundo es el defensor de la ciudadanía y de los valores de la sociedad.

En otras ocasiones hemos tratado cuáles son las funciones y el rol en el organigrama del Compliance Officer; sin embargo, como todo miembro de un equipo, tiene una misión y unas características que hacen que su perfil sea único, y es esta uniqueness lo que queremos destacar en este artículo. Estos son algunos de los atributos del Compliance Officer:

  • Aportar visión integral al negocio:

El Compliance Officer no es un especialista, sino un generalista. Su experiencia y su conocimiento de las buenas prácticas, así como del negocio y la organización, le permiten detectar situaciones de riesgo antes de que lleguen a un punto crítico. También es quien vela porque se implementen las acciones y controles en el momento oportuno y en las áreas más sensibles, valiéndose de esa visión amplia que tiene de la realidad organizacional.

Cuando la organización apunta a una estrategia demasiado arriesgada o agresiva en una de sus áreas de negocio, el Compliance Officer tendrá que contar con un sensor (o “sentido arácnido”, cuando sea posible) que le permita atajar el problema y plantear la necesaria discusión con la alta dirección, y proponer las medidas para evitar que se materialice una conducta indebida.

  • Tener habilidades humanas y jurídicas:

También se espera que el Compliance Officer aporte un buen balance en sus habilidades, combinando la empatía y el don de gentes con el conocimiento jurídico.

Es clave esa capacidad de empatizar con el entorno y transmitir los mensajes de “por qué debemos hacer lo correcto” a la vez que entienda las motivaciones del resto de la organización para tomar ciertas decisiones. No basta con que un Compliance Officer “prohíba el riesgo”, pues esto es imposible; deberá ser lo suficientemente hábil como para captar los objetivos de la organización, capturar las necesidades y establecer unos límites en los cuales la organización pueda seguir operando para alcanzar esos objetivos.

Por otra parte, el Compliance Officer también deberá tener conocimientos jurídicos. Aunque en algunos casos el responsable del cumplimiento no es jurista y esto no necesariamente está mal[1], para poder actuar de “sensor” requiere conocer las normas de obligatorio cumplimiento de la empresa. Esto implica que si no es jurista, al menos debe contar con el soporte experto de abogados externos a quien pueda desviar las consultas.

  • Es buen comunicador y mentor:

Aunque es probable que la mayoría de los Compliance Officers no cuenten con las habilidades telepáticas del Profesor Xavier, deberán buscar otros medios más terrenales para comunicarse eficientemente con su entorno. Para ello es clave el factor humano que destacábamos hace algunos párrafos, pues deberán comprender las motivaciones del personal, de los clientes y de terceros para poder desarrollar soluciones que éstos consideren válidas.

Recordemos que un Compliance Officer no se limitará a investigar y a sancionar, sino que buena parte de su trabajo depende de su habilidad de generar awareness y reforzar el buen cumplimiento normativo desde la prevención y ello sólo se logra comunicando bien.

  • Tiene independencia de criterio:

Un buen Compliance Officer tiene que estar dispuesto a estar en desacuerdo con la dirección si se toman decisiones que pueden perjudicar al negocio, aunque esto implique iniciar una Civil War organizacional. Si el criterio técnico del Compliance Officer -sustentado adecuadamente por los hechos, sus propios dictámenes, la opinión de consultores externos, y cualquier otro recurso que estime necesario- determina que una decisión operativa o estratégica pone en riesgo los mejores intereses del negocio, deberá defenderlo hasta sus últimas consecuencias.

Esto no implica desoír los argumentos ajenos; sino ser conscientes de que no hay forma de que una justificación económica, técnica o personal se imponga a la obligación de hacer las cosas en apego a la Ley. La resolución en caso de llegar a esta coyuntura siempre debe pasar por el más riguroso análisis por parte de los involucrados, para garantizar que se cumpla con las normas.

2. El Data Protection Officer.

Y aunque la gallardía del Compliance Officer lo convierte en el héroe clásico, ese defensor de la organización que luce el logotipo en su “escudo” requiere de otros compañeros que manejen los distintos bloques de cumplimiento en la medida en que la organización va creciendo y se potencian sus riesgos. Por eso el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) nos ha traído al Data Protection Officer.

El Data Protection Officer (DPO), aunque comparte el mismo objetivo general que tiene el Compliance Officer (mitigar riesgos de incumplimiento normativo y evitar así perjuicios económicos y reputacionales), tiene su propia manera de hacer las cosas y cuenta con un set de habilidades particulares.

Una gran ventaja que tiene el DPO, al menos en el entorno europeo, es que sus funciones están bastante mejor definidas que las del Compliance Officer, ya que el propio Reglamento establece en su artículo 39 cuáles son.

Por otra parte, y en cuanto a su set de habilidades, el DPO es el Iron-Man de los defensores del cumplimiento normativo, ya que su perfil tecnológico marca la diferencia:

  • Vocación tecnológica:

    El DPO debe tener un amplio dominio de las nuevas tecnologías, no sólo a nivel de usuario sino a nivel de desarrollo. Se trata de un rol que debe saber valerse de todos los recursos disponibles para detectar y prevenir brechas de seguridad que pueda comprometer la información de la organización; abarcando no sólo los datos personales, sino cualquier dato o documentación sensible que mantenga la organización. Si el Compliance Officer recurre a la ley, a las políticas y a las buenas prácticas, el DPO debe recurrir a las herramientas tecnológicas, actualizándose permanentemente.

  • Conocimientos jurídicos:

    Al igual que el Compliance Officer el DPO debe conocer las normas legales aplicables, si bien en este caso ya no se trata de un generalista sino de alguien que, provenga del área de auditoría informática o del ámbito jurídico, maneje la legislación en protección de datos, en seguridad de la información, se actualice constantemente y según el caso en regulaciones del entorno digital, e-commerce, blockchain, IoT, entre otros.

  • Independencia:

    El DPO también debe mantener su independencia de criterio a la hora de dar sus recomendaciones de actuación, toda vez que está resguardando un bien jurídico de la organización y más allá de la voluntad de la alta dirección, la responsabilidad del DPO es con los accionistas y deberá actuar para proteger sus mejores intereses, garantizando el cumplimiento de las disposiciones previstas en materia de protección de datos.

  • Liderazgo:

    El DPO deberá hacer requerimientos tanto a procesadores como a controladores de datos, y tendrá que establecer procesos para reducir la probabilidad de que se materialicen brechas de seguridad. Para ello no basta con establecer un protocolo automático en un sistema, sino que es necesario generar un alto nivel de awareness para mantener comprometidos a los usuarios en la ejecución de medidas que suelen ser tediosas para los trabajadores, como por ejemplo el cambio periódico de contraseñas.

Estas son brevemente algunas de las habilidades del Compliance Officer y del DPO, como parte del equipo de defensores de la organización en materia de cumplimiento normativo. Evidentemente no son los únicos, y hay otros héroes sin capa dentro de las organizaciones que también contribuyen a mitigar los riesgos, como lo pueden ser el HR Compliance Officer o el especialista en Compliance Ambiental, entre otros tanto que en ocasiones van de encubierto pero que alzan su voz cuando es necesario.

Y quizás en unos años cuando ya estemos pensando en los créditos, y el universo de los responsables de cumplimiento normativo ya esté más evolucionado en España, nos encontraremos con más frecuencia a una figura aún más poderosa y capaz de defender como ningún otro la integridad y valores de la organización: El Chief Ethics Officer.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal, por favor contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

 

[1] Desconfiad de quien os diga como verdad absoluta que el Compliance Officer debe obligatoriamente ser abogado, o investigador privado, o pertenecer a un gremio exclusivo pues únicamente os está vendiendo su libro. El mejor Compliance Officer debe conocer todas esas disciplinas, pero son sus atributos personales, su conocimiento y autoridad en la empresa lo que lo hará realmente apto para llevar a cabo la función.

El Compliance Officer: ¿Qué perfil debe tener?

octubre 28, 2017

Por:  Alex Garberí Mascaró José Alejandro Cuevas Sarmiento

La función del Compliance Officer abarca la supervisión, control y vigilancia del cumplimiento normativo de la empresa. Premisa que es bastante amplia y que por tanto obliga a analizar qué características debe cumplir una persona que asuma tales responsabilidades dentro de una empresa.

¿El Compliance Officer debe ser un abogado?

La profesión de abogado implica una serie de conductas propias de un profesional que conoce las normas y obligaciones legales, sabiendo cómo interpretarlas y diseñar estrategias en torno a las mismas. Esa base de formación académica hace propicia la función del abogado para ejercer cargos de supervisión y vigilancia.

Sin embargo, debe distinguirse del rol del abogado defensor. El Compliance Officer velará por el cumplimiento de las leyes, pero es recomendable que la representación y defensa legal de la empresa dependa de otro profesional del Derecho para evitar una confusión en los roles. Es por ello que muchas grandes empresas han optado por separar su Departamento Legal de su Departamento de Compliance.

En este sentido, el rol del Compliance Officer deberá velar por que cada quien dentro de la empresa cumpla con sus funciones, en lugar de interpretar las normas, ejercer o implementar estrategias defensivas en el caso de incumplimiento.

¿El Compliance Officer debe ser un experto en todas las materias?

Al tener la responsabilidad de ejercer el control, supervisión y vigilancia dentro de la empresa, puede existir la percepción de que el Compliance Officer tendría que ser un experto en todas las materias. Sin embargo, esto no sólo es extremadamente improbable en la práctica sino que diluiría toda su capacidad de detectar incidencias al tener que abarcar áreas muy extensas.

El Compliance como disciplina involucra un conjunto de bloques normativos, que dependiendo del país pueden estar agrupados de distintas maneras. El Compliance Officer no tiene que ser un técnico especializado en cada una de ellas, pero sí debe poder supervisar las áreas, detectar los puntos débiles dentro de la organización, tener la capacidad de desarrollar mecanismos de control y controlar su evolución.

Es por ello que muchas empresas farmacéuticas optan por designar a ingenieros químicos como Compliance Officers, o que las TIC se inclinen por un experto en seguridad informática. En la medida en que las empresas tienen estructuras más amplias, se dará siempre el caso de un Chief Compliance Officer que aun siendo experto en alguna de las ramas, deberá confiar en otros profesionales para aquellas que no maneja directamente.

Conviene destacar que en España la noción de Compliance como obligación legal se generaliza a través del Código Penal y creando un catálogo cerrado de delitos que generan responsabilidad penal a la persona jurídica. La transversalidad de la legislación penal, que puede afectar delitos de los distintos bloques normativos, le da al penalista un perfil adecuado para atender los requerimientos de la función de un Compliance Officer integral, siempre trabajando de la mano de profesionales de otras disciplinas que lo asistan en la gestión de otros bloques normativos específicos.

¿Es acertado hablar del Compliance Officer como un policía dentro de la empresa?

 En muchas ocasiones se plantea que el rol del Compliance Officer es el de un policía dentro de la empresa. Al ser la función a cargo de la supervisión y vigilancia, es una percepción perfectamente comprensible. Sin embargo, debe acotarse que las responsabilidades del oficial de cumplimiento deben ir mucho más allá de una mera detección de incumplimientos, debiendo entre otras cosas:

  • Identificar las obligaciones a que están sujetas las empresas (Hard Law y Soft Law).
  • Comprender los procesos y procedimientos de la empresa.
  • Frente a los empleados, el Compliance Officer será el responsable de proveer o coordinar las formaciones en materia de cumplimiento normativo.
  • Responderá por la adecuada comunicación del programa de Compliance.
  • Contribuir en la descripción de las obligaciones de Compliance que sean inherentes a cada área o cargo dentro de la empresa, como parámetro objetivo en la evaluación de desempeño del personal.

Adicionalmente debe implementar las medidas y controles que le permitan conocer oportunamente los riesgos e incidencias, por lo cual la visión del Compliance Officer como “policía” de la empresa, si bien puede ser una analogía válida, debe ir complementada de una serie de elementos que dotan su función de una verdadera autoridad como garante del cumplimiento normativo corporativo.

También te puede interesar:

El Compliance Officer en el organigrama empresarial

octubre 16, 2016

Dónde se ubica el Compliance Officer en el organigrama empresarial es una de las mayores dudas que ha surgido desde la reforma del artículo 31 bis del Código Penal.

Es uno de los temas en donde el Corporate Compliance, el derecho mercantil y el derecho penal, deben conciliarse para brindar una solución eficaz a un tema que está regulado de una manera dispersa.

Desde el punto de vista del Corporate Compliance, se exige que la función responsable del cumplimiento normativo (sea Compliance Officer, Comité, o quien haga sus veces bajo cualquier otra denominación) se rija por dos principios fundamentales: Independencia y Autonomía. A mayor grado de independencia y autonomía, más eficaz se considerará su función y el sistema (ISO 19600).

En lo que respecta al derecho mercantil, la Ley de Sociedades de Capital no contempla expresamente la figura del Compliance Officer, pero sus funciones se pueden encontrar en al menos dos cargos:

1. Por una parte, el artículo 529 octies establece como funciones del secretario del consejo de administración “velar por que las actuaciones del consejo de administración se ajusten a la normativa aplicable y sean conformes con los estatutos sociales y demás normativa interna”.

2. Por otra, el artículo 529 terdecies señala que el consejo de administración deberá constituir “al menos, una comisión de auditoría…”.

Ambas figuras -sin perjuicio de las responsabilidades residuales de supervisión y vigilancia que recaen en el propio administrador- tienen atribuciones que bien pueden ser asignadas al Compliance Officer.

Por último, en la esfera del derecho penal, encontramos que el artículo 31 bis 2 2ª del Código penal encarga la supervisión del modelo a un “órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos…”.

Como se puede apreciar el mandato legal es bastante general y disperso. En ningún lugar se define cuál debe ser la configuración de la función de Compliance Officer o Comité de Compliance; no se establece quién debe designarlo; sus atribuciones, ni el grado de responsabilidad que recaerá sobre sus hombros.

Sin embargo, es perfectamente posible armonizar las distintas disposiciones legales para crear no uno, sino varios modelos de órgano de supervisión y control dentro de la empresa, cuestión de que se adapte al funcionamiento de cada una.

Si se quiere hilar fino, habría que tener en cuenta el principio de autonomía de la voluntad, la capacidad del órgano de administración para delegar la función y los modelos que estamos replicando de otras jurisdicciones.

1. Primacía del principio de autonomía de la voluntad:

Si bien el marco legislativo exige que se designe a los responsables de la función de supervisión y vigilancia de la empresa, no debemos olvidar que en materia mercantil y civil rige el principio de autonomía de la voluntad.

Las sociedades se rigen por un conjunto de pautas legales que tiene por objeto brindar una mayor seguridad a sus propios accionistas y respecto al actuar de la persona jurídica frente a terceros. La Ley de Sociedades de Capital establece un mínimo de exigencia. Desde ese punto en adelante, las empresas pueden determinar libremente la configuración de su actuación.

Es decir, una sociedad mercantil puede nombrar como Compliance Officer a su secretario del consejo, quien tiene la obligación de “velar por que las actuaciones del consejo de administración se ajusten a la normativa aplicable”; o bien puede designar como Compliance Officer a otro miembro del consejo (preferiblemente que no tenga responsabilidades vinculadas a la administración del negocio), con funciones ad-hoc y que armonice su gestión junto a la del consejero.

También puede designar un Comité de Auditoría, y dentro de ese Comité, designar a un Chief Compliance Officer, que se encargue de la supervisión y control de toda la gestión operativa de la empresa, incluyendo las actuaciones del resto del consejo de administración.

Puede incluso colocarse al Compliance Officer como un empleado dependiente del Consejo de Administración con poder de iniciativa e independencia presupuestaria, en el caso de personas jurídicas de pequeñas dimensiones y con las salvedades que mencionaremos en el siguiente punto.

En todo caso, no existe una fórmula sacramental ni un mandato que obligue a utilizar una figura u otra. En todos los casos habrá que tenerse en cuenta la estructura de la empresa, sus estatutos y Reglamento para conseguirle el mejor encaje a la función, siempre teniendo en cuenta el principio de autonomía de la voluntad, hasta tanto no exista una normativa que diga lo contrario.

2. ¿Deja el Código Penal la puerta abierta a que el Compliance Officer sea un delegado del órgano de administración?

En la práctica se discute si el Compliance Officer puede ser designado por el órgano de administración y si puede ser un empleado o incluso un asesor externo. Para ello se hace necesario determinar hasta qué punto dicho órgano está en capacidad de delegar las funciones de supervisión y control.

En los casos previstos en los artículos 31 bis 1 (delitos cometidos por quienes toman la decisión en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma) y 31 bis 4 (delitos cometidos por aquellos sometidos a la autoridad de quienes toman las decisiones), la empresa puede quedar exenta de responsabilidad si la supervisión del funcionamiento y del cumplimiento del modelo de prevención ha sido confiada a un órgano con poderes autónomos de iniciativa o control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos.

¿Puede hablarse de un órgano con poderes autónomos de iniciativa o control que dependa organizativamente del órgano de administración? La voluntad de las partes da libertad para mucho, y los estatutos o el reglamento pudieran crear algún encaje, pero difícilmente se pueda hablar de un mecanismo eficaz si el supervisado decide el grado de autonomía de quien lo supervisa.

Respecto al segundo caso, quien tiene encomendada legalmente la función de supervisar la eficacia de los controles internos es el presidente de la comisión de auditoría, conforme al artículo 529 quaterdecies en el primer literal del numeral cuarto.

Tras el filtro del artículo 31 bis, pareciera que el Compliance Officer tendría que estar dentro de las más altas esferas de la empresa: Secretario del consejo, consejero no ejecutivo, miembro de la comisión de auditoría o similar… De lo contrario se pone en tela de juicio la autonomía de control e iniciativa. Mientras más abajo en la organización o mayor sujeción a las decisiones de los administradores vinculados a la operación de la empresa, más difícil será demostrar la eficacia del sistema.

No obstante, el Código Penal deja una salida para el caso de personas jurídicas de pequeñas dimensiones, caso en el cual las funciones de supervisión pueden ser asumidas directamente por el órgano de administración. En este supuesto, parece viable una delegación parcial de funciones, quedando siempre bajo los administradores la responsabilidad de vigilar el cumplimiento del sistema y la aprobación de la gestión del Compliance Officer.

3. Siguiendo el ejemplo de los creadores del Legal Compliance

Ahora bien, más allá de los supuestos legales que esbozan algunos aspectos de la función de supervisión y vigilancia, no hay que dejar de lado que el Compliance proviene de la cultura anglosajona, en donde el origen del cumplimiento normativo como mecanismo de control es autoimpuesto por las propias impresas y no deriva de un mandato legal.

El manual de las Sentencing Guidelines establece que “personal de alto nivel” debe tener la responsabilidad global sobre el programa de Compliance, pero no hace recomendaciones sobre quién específicamente debe ostentarla.

Pero aparte de ser una persona de alto nivel, la recomendación más importante es que no exista la posibilidad de un conflicto de intereses.

Cuando la función del Compliance Officer coincide con el administrador o está imbuida dentro de la operativa de la empresa, existe el riesgo de un eventual conflicto de intereses. ¿Un consejero delegado que sea informado por su oficial de cumplimiento sobre una irregularidad que ponga en duda su gestión, será capaz de decidir lo mejor para la empresa? ¿un órgano de administración que haya delinquido, va a informar a los accionistas de su actuación?

Son estas las cuestiones que obligan a fijar muy alta la vara del Compliance si una empresa quiere tomarse en serio el cumplimiento normativo. No basta con designar un empleado que asuma las funciones de supervisión y se convierta en una especie de títere.

El riesgo de la empresa trasciende a la prevención de delitos y a la persona jurídica, por tanto, si realmente quiere instaurarse una cultura ética eficaz dentro de una compañía, hay que velar porque el Compliance Officer cuente con independencia, autonomía e incluso libertad de reportar a los accionistas cuando detecte que el órgano de administración está delinquiendo.

4. El Compliance Officer en las grandes empresas

Las grandes empresas están instaurando la función de Compliance en las más altas esferas, no tanto en lo que a jerarquía de mando se refiere, sino en relación a la importancia de su función y su grado de autonomía respecto del Órgano de Gobierno.

A continuación algunos ejemplos:

a) Telefónica

En el caso de Telefónica encontramos que existe una Comisión de Auditoría y Control cuya estructura sería perfectamente con las funciones de Compliance, dado que se trata de un órgano que goza de total autonomía e independencia del gobierno corporativo y tiene la potestad de informar a la Junta General de Accionistas sobre las cuestiones relacionadas con el control interno de la sociedad.

Comisión de Auditoria y Control de TEelefónica

 

Fuente: Web Telefónica, Estructura Organizativa.

b) Iberia

En el caso de IBERIA, los accionistas designan a un Consejo de Administración, en el cual existen cuatro comisiones. Una de ellas, la Comisión de Auditoría y Cumplimiento.

 

Representación gráfica del gobierno corporativo en IAG e Iberia

Fuente: Informe de Responsabilidad Corporativa IBERIA, página 62.

c) Barcelona FC

El club de fútbol ha sido una de las personas jurídicas que más ha resonado en temas de Compliance, gracias al caso Neymar. Recientemente han dado a conocer su organigrama, en el cual se aprecia que la Oficina de Compliance cuelga de la Presidencia y Junta Directiva, pero también abarca otras funciones relacionadas en distintos niveles, como lo son la de Control Interno, Asesoría Jurídica y Riesgos Corporativo.

 

Organigrama y Oficina de Compliance de Barcelona FC

Fuente: “Nota de Sport.es: Conozca el nuevo organigrama del FC Barcelona”

La práctica es la que determinará la verdadera eficacia del sistema, pues un sistema de Compliance debe considerarse un ente vivo y no una fotografía de la estructura organizativa. Sin embargo, que ya existan empresas que estén ubicando al Compliance dentro de su primera línea de mando es una buena señal.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal, por favor contacte con nuestros expertos o comuníquese al 937 004 455 de 09:00 a 19:00, de lunes a viernes.

Compliance Officer: Todo lo que la Empresa debe conocer.

septiembre 29, 2015

  Alex Garberí Mascaró

  José Alejandro Cuevas Sarmiento

 

A raíz de la entrada en vigor del Código Penal en 1 de julio de 2015,  se  habla del Compliance Officer (también llamado Oficial de Cumplimiento o Controller Jurídico), una figura que tendrá una función sumamente importante y delicada dentro de las empresas, y que en otros países ya es considerada como una pieza vital en el entorno corporativo. Aunque desarrollamos ampliamente el tema en nuestra Guía Rápida para Empresas, a continuación exponemos cuatro elementos que toda empresa debe conocer sobre esta función.

 

  1. El Código Penal no regula expresamente al Compliance Officer:

 

Ni la reforma al Código Penal del año 2010 ni la reciente modificación que entró en vigor el 1 de julio de 2015, establecen mención alguna al Compliance Officer como tal. Sin embargo, sí establece esta última la obligación de cumplir con un deber de supervisión o vigilancia dentro de la empresa, que implícitamente se refiere al cargo en cuestión; esto como condición sine qua non para hacer valer la exención de responsabilidad de la empresa en el supuesto en que se concrete un delito que genere responsabilidad penal a la misma.

 

  1. La función de supervisión y vigilancia puede ser organizada de distintas maneras:

  

  • Una persona designada exclusivamente para esa función (Compliance Officer).
  • Un Comité organizado para atender los asuntos relacionados con cumplimiento normativo, que contará con un Chief Compliance Officer como líder del grupo.
  • En el caso de personas jurídicas de pequeñas dimensiones, la función puede ser asumida por el órgano de administración.

 

  1. La función de supervisión y vigilancia debe cumplir con tres condiciones para ser efectiva:

 

Si bien existe flexibilidad en cuanto a la forma en que se puede configurar la función de supervisión y vigilancia, sí debe en todo caso cumplir con ciertas condiciones:

 

  • Tener acceso directo al órgano de gobierno: A fin de mantener comunicación directa con quienes toman las decisiones y poder notificar oportunamente toda incidencia y las recomendaciones.
  • Independencia: Como garantía de la objetividad y autonomía de la función, que deberá ser ejercida sin ningún tipo de sesgo o temor a represalias.
  • Nivel de autoridad apropiada y recursos adecuados: Que garanticen la efectividad de las medidas y recomendaciones de la función de supervisión y vigilancia.

 

En el caso de las personas jurídicas de pequeñas dimensiones (aquellas que por ley estén autorizadas a presentar cuentas abreviadas), que opten por atribuir las funciones de supervisión y vigilancia al órgano de Administración o alguno de sus miembros, deberá buscarse un mecanismo que permita compatibilizar estos tres elementos con las funciones operativas, para lo cual conviene asesorarse con expertos en la materia y buscar soluciones efectivas que protejan tanto a los Administradores como a los responsables de la función y a la empresa. Se trata de evitar, en definitiva, situaciones de conflicto de intereses que puedan perjudicar en última instancia a la empresa.

 

  1. La función de supervisión o vigilancia no exonera de responsabilidad a los Administradores

 

Aunque el Compliance Officer tendrá atribuido un conjunto de responsabilidades directas que deberá cumplir como parte de su función y será el garante del cumplimiento normativo dentro de la empresa, los Administradores siguen siendo responsables de su supervisión a fin de la función se ejecute adecuadamente.

 

Asimismo, deberán discutir periódicamente los asuntos relacionados con Compliance, atender las recomendaciones del Compliance Officer y demostrar un compromiso permanente con el cumplimiento, como parte del programa de prevención de riesgos penales.

 

Si bien la ignorancia podía resultar una eximente en un pasado, hoy en día el no conocer sobre un hecho o una conducta dentro de la empresa, puede representar una falta grave a la obligación de supervisión y derivar en responsabilidad penal para la empresa y para el Administrador personalmente.

 

También te interesa:

[double_line_divider]

Compliance personalizado y a medida.

La dedicación y transparencia distinguen nuestros servicios de asesoría, en consonancia con nuestra capacidad para entender las necesidades de la pequeña, mediana industria y comercios.

Para la implementación de sistemas de gestión de Compliance Penal y formación al Compliance Officer visita la sección de Consultoría o escríbenos a info@garberipenal.com.

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Contáctenos[/button]