El Compliance Officer como arquitecto de decisiones

marzo 26, 2019

El Compliance tiene como propósito impulsar conductas y comportamientos orientados al cumplimiento dentro de las organizaciones y para lograrlo el Compliance Officer debe aprovechar todas las herramientas a su disposición.

Dentro de la psicología social aplicada a la economía se encuentra la Nudge Theory, o teoría del empujón, y es una de las más útiles para el Compliance Officer en su tarea de generar cultura de buen cumplimiento normativo.

¿Qué dice la Nudge Theory? (Teoría del ’empujón’)

Esta teoría fue propuesta por Richard Thaler, ganador del premio Nobel de la Economía por sus aportes en el campo de la psicología social en la economía.  De forma muy resumida, el concepto de nudge acuñado por Thaler propone que los humanos podemos ser “empujados” a tomar mejores decisiones que nos beneficien a largo plazo, y explica los distintos sesgos que regularmente nos conducen a que tomemos decisiones menos acertadas.

Se han hecho muchos experimentos sobre el tema; los expertos han demostrado cómo somos más propensos a mantener una dieta más saludable cuando hay un arquitecto de decisiones detrás de los comedores o supermercados que coloca las frutas o vegetales estratégicamente y en porciones que nos resultan más atractivas.

Esos sesgos, que cada uno de nosotros vamos formando de manera inconsciente pero que pueden ser identificados, son los que nos llevan entre otras cosas a escoger comida rápida por encima de un menú saludable, o a posponer una tarea que ayudará a nuestro desarrollo personal y profesional por ver repeticiones de Friends. Como consecuencia de esos sesgos, en muchas ocasiones sobrevaloramos el beneficio a corto plazo y subestimamos las consecuencias de nuestras acciones (o inacción) a largo plazo.

La arquitectura de las decisiones dentro de una organización.

Si trasladamos esa misma teoría al contexto de una organización, el reto está en ayudar al personal a que tome mejores decisiones, contribuyendo tanto al crecimiento sostenible de la organización como a su desarrollo personal, en un entorno en el cual el beneficio a corto plazo puede ser generar problemas a largo plazo.

Un ejemplo crítico en materia de Compliance puede ser el de un empleado que piense que pagando un soborno está ayudando a la empresa a cumplir con un objetivo de facturación y que ese beneficio a corto plazo -una mayor rentabilidad inmediata-, supera las consecuencias a largo plazo para su organización (que le multen, sancionen o pierda oportunidades de negocio a futuro), y para él (despido y cárcel).

En otros casos hay directivos o altos cargos que, aun siendo conscientes de que hay una normativa que deben cumplir y que su infracción trae consecuencias, deciden incumplir porque no son capaces de apreciar el impacto real de ese riesgo sobre la organización y sobre ellos mismos.

La mayoría de las personas saben que pagar un soborno está mal, aun cuando desconozcan con exactitud la severidad de las consecuencias; la mayoría de las veces, los directivos y altos cargos saben que deben cumplir la ley. Sin embargo, en determinadas circunstancias, toman las decisiones equivocadas porque los sesgos le desvían la atención y su escala de incentivos no está en el lugar correcto.

Es en esos momentos en que los ‘nudges’ o empujones son un recurso crítico de Compliance, y debe utilizarse para influir positivamente en el proceso de toma de decisiones de los miembros de la organización.

El Compliance Officer como arquitecto de decisiones

Thaler y su colega Cass Sunstein hablan en su bestseller Nudge sobre la arquitectura de decisiones. Entienden que las entidades públicas u organizaciones privadas tienen un interés en generar un mayor beneficio para los ciudadanos y que por tal motivo tienen la responsabilidad de ayudarles sin imponer una prohibición o restricción. Este principio trasladado a una organización convierte al Compliance Officer en un arquitecto de decisiones por excelencia.

Desde que se concibe el sistema, el C.O. está tomando decisiones dirigidas a influir en la conducta de los miembros de la organización en todos sus niveles, y por tanto es esencial conocer los distintos sesgos a los que se enfrenta y que condicionarán la efectividad del sistema, para poder así generar una verdadera cultura de cumplimiento.

Algunos ejemplos de ‘nudges’ en el Compliance:

Uso de semáforos en la evaluación de riesgos:

Una evaluación de riesgos puede ser presentada al Consejo de Administración como un largo informe con un completo análisis de todas las áreas de la organización, sus procesos y las conductas potencialmente riesgosas, descritas a lo largo de más de 200 páginas con 1200 filas y 14 columnas de Excel. Y a nivel de contenido, podría ser un documento impecable.

Sin embargo, los directivos tienen un tiempo muy limitado y además deben cumplir con otras responsabilidades, por lo cual entregar un documento de estas características sin una guía que sirva de resumen ejecutivo, puede condenar al sistema de Compliance a al cajón del olvido, aunque estos directivos sean conscientes de la importancia de la evaluación y las acciones que de ella derivan.

Para ‘empujar’ a los directivos hacia una mayor comprensión de los riesgos (y por tanto a que actúen de manera más informada), se puede utilizar un mapa de riesgos que sintetiza la información y la refleja en una matriz de probabilidad e impacto, con un sistema de semáforo para ilustrar las áreas en que se ubican los principales riesgos, marcando en rojo las áreas de riesgo alto, en amarillo las de riesgo medio y en verde las de riesgo bajo, como reflejamos a continuación:

Matriz de Riesgos - Nudge, Compliance y Arquitectura de Decisiones

En la elaboración del Código de Conducta y políticas corporativas:

Es muy frecuente -especialmente para quienes venimos del mundo jurídico- pensar que la prohibición es la medida más contundente que se puede tomar para prevenir una conducta. Bajo esa premisa, bastaría con establecer en el Código de Conducta un redactado de este estilo:

 “X no tolerará ningún tipo de conducta corrupta y queda terminantemente prohibido que sus directivos o empleados realice cualquier tipo de pago a funcionarios públicos.”

Sabemos que en la realidad este tipo de enunciados, por contundentes que parezcan, son insuficientes, y en la mayoría de los casos en que una empresa se ha visto involucrada en escándalos de corrupción, había un Código Ético o una Política Anticorrupción que ya lo prohibía (y en el 100% de los casos esa prohibición viene dada por Ley de forma expresa).

Pero los buenos Códigos de Conducta y políticas anticorrupción están llenas de pequeños ‘nudges’ para ayudarnos a no sólo a conocer sino a interiorizar todas esas normas, en algunos casos de forma imperceptible.

Tomemos como ejemplo el Código de Conducta de Johnson & Johnson:

  • En sus primeras páginas encontramos un Credo Corporativo, en el cual la primera persona del plural está siempre presente: “…Somos responsables con nuestros empleados, los hombres y mujeres que trabajan con nosotros en todo el mundo.”
  • Tiene una representación gráfica de un árbol de decisiones que explica los pasos a seguir en caso de encontrarnos en una situación de duda.
  • Las conductas se describen en un contexto de negocios en el cual se identifica el por qué la importancia de la responsabilidad en la toma de decisiones.

El estilo de redacción, la disposición de los contenidos y hasta las ilustraciones buscan que los lectores puedan contextualizar mejor lo que se espera de ellos, y son mucho más que meros elementos decorativos.  Lo mismo ocurre con las formaciones, que mientras más didácticas y menos técnicas son más efectivas a la hora de transmitir los mensajes clave.

Integración del Compliance en los procesos informáticos:

En ocasiones, los controles de Compliance pueden ser tan sencillos como pedir al empleado que confirme que ha cumplido con un proceso de verificación.

Supongamos el caso de un empleado que debe verificar la documentación de identidad de los clientes de una agencia bancaria, como parte del esquema de prevención de blanqueo de capitales, y enviar un comprobante de que realizó la revisión pertinente en cada caso. Es posible que deba realizar decenas de operaciones al día y al ser una tarea repetitiva, se incrementa el riesgo de error o inefectividad del control.

Una manera de facilitarle el trabajo al empleado es incluir una alerta en la herramienta de gestión que le recuerde que debe verificar la documentación y le impida avanzar de pantalla hasta que marque con un “check” que efectivamente realizó ese paso. Un ejemplo de este tipo de ’empujones’ en otro contexto, es lo que hace Gmail cuando escribimos la palabra “adjunto” pero olvidamos hacer la carga del archivo:

Este tipo de recursos debe utilizarse con criterio; implementar controles de forma estratégica mejora la gestión. No obstante hay que evitar la saturación de los procesos con excesivas alertas y recordatorios, dado que puede ser contraproducente y provocar el efecto contrario al deseado.

El arquitecto de decisiones detrás del Compliance debe asumir que el sistema de gestión se dirige a personas, y que como humanos no siempre somos capaces de tomar la mejor decisión aún cuando tengamos la información a nuestra disposición. Un ser éticamente perfecto ni siquiera necesitaría de Compliance, porque la ley sería suficiente; pero los humanos necesitamos toda la ayuda posible, y mientras más fácil y a nuestro alcance se encuentre el buen cumplimiento, mejores será el diseño del sistema de Compliance.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal,  contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

El Data Protection Officer y el Compliance Officer: Los “Avengers” del cumplimiento normativo.

julio 9, 2018

 

Flickr

En el año 2008, Marvel ha iniciado el desarrollo de un proyecto denominado “Marvel Cinematic Universe” (MCU), con el cual pretendían crear -como en efecto hicieron- una serie de películas con personajes de comics, cada uno protagonista de su propia película, en un mismo universo en donde las tramas entrelazadas se cruzarían periódicamente para generar las épicas películas de The Avengers, con la participación de todos los héroes.

Pues bien, el cumplimiento normativo de las organizaciones vive su propio universo, en donde los héroes no llevan capa, pero cumplen una imperiosa labor para proteger los intereses tangibles e intangibles de la empresa: El cumplimiento normativo.

Y aunque en muchas ocasiones estos garantes del cumplimiento normativo comparten una visión, cada uno tiene su particularidad y especialidad que les permite actuar de manera complementaria. Dos de los grandes protagonistas del cumplimiento normativo son el Data Protection Officer y el Compliance Officer.

1. El Compliance Officer.

No son pocas las veces en que en alguna charla termino comparando al Compliance Officer con el Capitán América. Ambos se distinguen por su profundo interés en preservar la integridad. El primero de la organización, siendo el defensor por excelencia de las buenas prácticas organizacionales, mientras que el segundo es el defensor de la ciudadanía y de los valores de la sociedad.

En otras ocasiones hemos tratado cuáles son las funciones y el rol en el organigrama del Compliance Officer; sin embargo, como todo miembro de un equipo, tiene una misión y unas características que hacen que su perfil sea único, y es esta uniqueness lo que queremos destacar en este artículo. Estos son algunos de los atributos del Compliance Officer:

  • Aportar visión integral al negocio:

El Compliance Officer no es un especialista, sino un generalista. Su experiencia y su conocimiento de las buenas prácticas, así como del negocio y la organización, le permiten detectar situaciones de riesgo antes de que lleguen a un punto crítico. También es quien vela porque se implementen las acciones y controles en el momento oportuno y en las áreas más sensibles, valiéndose de esa visión amplia que tiene de la realidad organizacional.

Cuando la organización apunta a una estrategia demasiado arriesgada o agresiva en una de sus áreas de negocio, el Compliance Officer tendrá que contar con un sensor (o “sentido arácnido”, cuando sea posible) que le permita atajar el problema y plantear la necesaria discusión con la alta dirección, y proponer las medidas para evitar que se materialice una conducta indebida.

  • Tener habilidades humanas y jurídicas:

También se espera que el Compliance Officer aporte un buen balance en sus habilidades, combinando la empatía y el don de gentes con el conocimiento jurídico.

Es clave esa capacidad de empatizar con el entorno y transmitir los mensajes de “por qué debemos hacer lo correcto” a la vez que entienda las motivaciones del resto de la organización para tomar ciertas decisiones. No basta con que un Compliance Officer “prohíba el riesgo”, pues esto es imposible; deberá ser lo suficientemente hábil como para captar los objetivos de la organización, capturar las necesidades y establecer unos límites en los cuales la organización pueda seguir operando para alcanzar esos objetivos.

Por otra parte, el Compliance Officer también deberá tener conocimientos jurídicos. Aunque en algunos casos el responsable del cumplimiento no es jurista y esto no necesariamente está mal[1], para poder actuar de “sensor” requiere conocer las normas de obligatorio cumplimiento de la empresa. Esto implica que si no es jurista, al menos debe contar con el soporte experto de abogados externos a quien pueda desviar las consultas.

  • Es buen comunicador y mentor:

Aunque es probable que la mayoría de los Compliance Officers no cuenten con las habilidades telepáticas del Profesor Xavier, deberán buscar otros medios más terrenales para comunicarse eficientemente con su entorno. Para ello es clave el factor humano que destacábamos hace algunos párrafos, pues deberán comprender las motivaciones del personal, de los clientes y de terceros para poder desarrollar soluciones que éstos consideren válidas.

Recordemos que un Compliance Officer no se limitará a investigar y a sancionar, sino que buena parte de su trabajo depende de su habilidad de generar awareness y reforzar el buen cumplimiento normativo desde la prevención y ello sólo se logra comunicando bien.

  • Tiene independencia de criterio:

Un buen Compliance Officer tiene que estar dispuesto a estar en desacuerdo con la dirección si se toman decisiones que pueden perjudicar al negocio, aunque esto implique iniciar una Civil War organizacional. Si el criterio técnico del Compliance Officer -sustentado adecuadamente por los hechos, sus propios dictámenes, la opinión de consultores externos, y cualquier otro recurso que estime necesario- determina que una decisión operativa o estratégica pone en riesgo los mejores intereses del negocio, deberá defenderlo hasta sus últimas consecuencias.

Esto no implica desoír los argumentos ajenos; sino ser conscientes de que no hay forma de que una justificación económica, técnica o personal se imponga a la obligación de hacer las cosas en apego a la Ley. La resolución en caso de llegar a esta coyuntura siempre debe pasar por el más riguroso análisis por parte de los involucrados, para garantizar que se cumpla con las normas.

2. El Data Protection Officer.

Y aunque la gallardía del Compliance Officer lo convierte en el héroe clásico, ese defensor de la organización que luce el logotipo en su “escudo” requiere de otros compañeros que manejen los distintos bloques de cumplimiento en la medida en que la organización va creciendo y se potencian sus riesgos. Por eso el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) nos ha traído al Data Protection Officer.

El Data Protection Officer (DPO), aunque comparte el mismo objetivo general que tiene el Compliance Officer (mitigar riesgos de incumplimiento normativo y evitar así perjuicios económicos y reputacionales), tiene su propia manera de hacer las cosas y cuenta con un set de habilidades particulares.

Una gran ventaja que tiene el DPO, al menos en el entorno europeo, es que sus funciones están bastante mejor definidas que las del Compliance Officer, ya que el propio Reglamento establece en su artículo 39 cuáles son.

Por otra parte, y en cuanto a su set de habilidades, el DPO es el Iron-Man de los defensores del cumplimiento normativo, ya que su perfil tecnológico marca la diferencia:

  • Vocación tecnológica:

    El DPO debe tener un amplio dominio de las nuevas tecnologías, no sólo a nivel de usuario sino a nivel de desarrollo. Se trata de un rol que debe saber valerse de todos los recursos disponibles para detectar y prevenir brechas de seguridad que pueda comprometer la información de la organización; abarcando no sólo los datos personales, sino cualquier dato o documentación sensible que mantenga la organización. Si el Compliance Officer recurre a la ley, a las políticas y a las buenas prácticas, el DPO debe recurrir a las herramientas tecnológicas, actualizándose permanentemente.

  • Conocimientos jurídicos:

    Al igual que el Compliance Officer el DPO debe conocer las normas legales aplicables, si bien en este caso ya no se trata de un generalista sino de alguien que, provenga del área de auditoría informática o del ámbito jurídico, maneje la legislación en protección de datos, en seguridad de la información, se actualice constantemente y según el caso en regulaciones del entorno digital, e-commerce, blockchain, IoT, entre otros.

  • Independencia:

    El DPO también debe mantener su independencia de criterio a la hora de dar sus recomendaciones de actuación, toda vez que está resguardando un bien jurídico de la organización y más allá de la voluntad de la alta dirección, la responsabilidad del DPO es con los accionistas y deberá actuar para proteger sus mejores intereses, garantizando el cumplimiento de las disposiciones previstas en materia de protección de datos.

  • Liderazgo:

    El DPO deberá hacer requerimientos tanto a procesadores como a controladores de datos, y tendrá que establecer procesos para reducir la probabilidad de que se materialicen brechas de seguridad. Para ello no basta con establecer un protocolo automático en un sistema, sino que es necesario generar un alto nivel de awareness para mantener comprometidos a los usuarios en la ejecución de medidas que suelen ser tediosas para los trabajadores, como por ejemplo el cambio periódico de contraseñas.

Estas son brevemente algunas de las habilidades del Compliance Officer y del DPO, como parte del equipo de defensores de la organización en materia de cumplimiento normativo. Evidentemente no son los únicos, y hay otros héroes sin capa dentro de las organizaciones que también contribuyen a mitigar los riesgos, como lo pueden ser el HR Compliance Officer o el especialista en Compliance Ambiental, entre otros tanto que en ocasiones van de encubierto pero que alzan su voz cuando es necesario.

Y quizás en unos años cuando ya estemos pensando en los créditos, y el universo de los responsables de cumplimiento normativo ya esté más evolucionado en España, nos encontraremos con más frecuencia a una figura aún más poderosa y capaz de defender como ningún otro la integridad y valores de la organización: El Chief Ethics Officer.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal, por favor contacta con nuestros expertos o comunícate al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

 

[1] Desconfiad de quien os diga como verdad absoluta que el Compliance Officer debe obligatoriamente ser abogado, o investigador privado, o pertenecer a un gremio exclusivo pues únicamente os está vendiendo su libro. El mejor Compliance Officer debe conocer todas esas disciplinas, pero son sus atributos personales, su conocimiento y autoridad en la empresa lo que lo hará realmente apto para llevar a cabo la función.

El Compliance Officer: ¿Qué perfil debe tener?

octubre 28, 2017

Por:  Alex Garberí Mascaró José Alejandro Cuevas Sarmiento

La función del Compliance Officer abarca la supervisión, control y vigilancia del cumplimiento normativo de la empresa. Premisa que es bastante amplia y que por tanto obliga a analizar qué características debe cumplir una persona que asuma tales responsabilidades dentro de una empresa.

¿El Compliance Officer debe ser un abogado?

La profesión de abogado implica una serie de conductas propias de un profesional que conoce las normas y obligaciones legales, sabiendo cómo interpretarlas y diseñar estrategias en torno a las mismas. Esa base de formación académica hace propicia la función del abogado para ejercer cargos de supervisión y vigilancia.

Sin embargo, debe distinguirse del rol del abogado defensor. El Compliance Officer velará por el cumplimiento de las leyes, pero es recomendable que la representación y defensa legal de la empresa dependa de otro profesional del Derecho para evitar una confusión en los roles. Es por ello que muchas grandes empresas han optado por separar su Departamento Legal de su Departamento de Compliance.

En este sentido, el rol del Compliance Officer deberá velar por que cada quien dentro de la empresa cumpla con sus funciones, en lugar de interpretar las normas, ejercer o implementar estrategias defensivas en el caso de incumplimiento.

¿El Compliance Officer debe ser un experto en todas las materias?

Al tener la responsabilidad de ejercer el control, supervisión y vigilancia dentro de la empresa, puede existir la percepción de que el Compliance Officer tendría que ser un experto en todas las materias. Sin embargo, esto no sólo es extremadamente improbable en la práctica sino que diluiría toda su capacidad de detectar incidencias al tener que abarcar áreas muy extensas.

El Compliance como disciplina involucra un conjunto de bloques normativos, que dependiendo del país pueden estar agrupados de distintas maneras. El Compliance Officer no tiene que ser un técnico especializado en cada una de ellas, pero sí debe poder supervisar las áreas, detectar los puntos débiles dentro de la organización, tener la capacidad de desarrollar mecanismos de control y controlar su evolución.

Es por ello que muchas empresas farmacéuticas optan por designar a ingenieros químicos como Compliance Officers, o que las TIC se inclinen por un experto en seguridad informática. En la medida en que las empresas tienen estructuras más amplias, se dará siempre el caso de un Chief Compliance Officer que aun siendo experto en alguna de las ramas, deberá confiar en otros profesionales para aquellas que no maneja directamente.

Conviene destacar que en España la noción de Compliance como obligación legal se generaliza a través del Código Penal y creando un catálogo cerrado de delitos que generan responsabilidad penal a la persona jurídica. La transversalidad de la legislación penal, que puede afectar delitos de los distintos bloques normativos, le da al penalista un perfil adecuado para atender los requerimientos de la función de un Compliance Officer integral, siempre trabajando de la mano de profesionales de otras disciplinas que lo asistan en la gestión de otros bloques normativos específicos.

¿Es acertado hablar del Compliance Officer como un policía dentro de la empresa?

 En muchas ocasiones se plantea que el rol del Compliance Officer es el de un policía dentro de la empresa. Al ser la función a cargo de la supervisión y vigilancia, es una percepción perfectamente comprensible. Sin embargo, debe acotarse que las responsabilidades del oficial de cumplimiento deben ir mucho más allá de una mera detección de incumplimientos, debiendo entre otras cosas:

  • Identificar las obligaciones a que están sujetas las empresas (Hard Law y Soft Law).
  • Comprender los procesos y procedimientos de la empresa.
  • Frente a los empleados, el Compliance Officer será el responsable de proveer o coordinar las formaciones en materia de cumplimiento normativo.
  • Responderá por la adecuada comunicación del programa de Compliance.
  • Contribuir en la descripción de las obligaciones de Compliance que sean inherentes a cada área o cargo dentro de la empresa, como parámetro objetivo en la evaluación de desempeño del personal.

Adicionalmente debe implementar las medidas y controles que le permitan conocer oportunamente los riesgos e incidencias, por lo cual la visión del Compliance Officer como “policía” de la empresa, si bien puede ser una analogía válida, debe ir complementada de una serie de elementos que dotan su función de una verdadera autoridad como garante del cumplimiento normativo corporativo.

También te puede interesar:

Delegación de funciones al Órgano de Compliance Penal

marzo 27, 2017

Cuando el artículo 31.2 bis del Código Penal introdujo como requisito de exención de la responsabilidad penal de la persona jurídica la exigencia de que la «supervisión» del funcionamiento y del cumplimiento del modelo de prevención fuera confiado a un órgano con poderes autónomos de iniciativa y control, se produjo un intenso debate acerca del alcance de las tareas y responsabilidades de dicho órgano.

Ello ha provocado en ocasiones la confusión con la figura del llamado Compliance Officer (en este sentido, véase la Circular 1/2016 de la FGE y este artículo por Adán Nieto y Juan Antonio Lascuraín) que no es nada más -ni nada menos- que un delegado del Órgano de Gobierno, el cual mantendría, por indelegable, la facultad o deber de supervisión de su delegado por mor del artículo 236 de la Ley de Sociedades de Capital, que le responsabiliza claramente de los actos u omisiones contrarios a la ley o a los estatutos que tengan lugar en la sociedad capitalista que administra.

El conflicto y la confusión descendieron, también, a la distribución competencial y de responsabilidades entre Compliance Officer y Órgano de Gobierno, debido en parte a la indefinición de conceptos relacionada con los modelos de prevención penal, existente hasta el momento.

La Norma UNE 19601, sobre Sistemas de Gestión de Compliance Penal, viene a aportar cierta luz al problema, toda vez que contiene definiciones cuya estandarización contribuirá a distinguir las competencias entre delegante y delegado, esto es entre el Órgano de Gobierno y el Órgano de Compliance Penal.

Nos referimos a los términos «Política de Compliance Penal», competencia indelegable del primero que se erige en el instrumento que recoja el marco adecuado para la definición, revisión y consecución de los objetivos de Compliance Penal; así como al «Órgano de Compliance Penal», a quien competerá la supervisión de la eficacia del sistema de gestión por delegación del Órgano de Gobierno.

Esta última función, en la que nos detenemos, dada su complejidad y la especialización que requiere, debe ser delegada por el Órgano de Gobierno ya que difícilmente será atendida en su justa medida de lo contrario por quien diariamente atiende la marcha del negocio mediante decisiones de todo tipo. Esto sin perjuicio de lo establecido para las personas jurídicas de pequeñas dimensiones.

Ahora bien, la delegación de la función del Órgano de Compliance Penal debe reunir ciertos requisitos para su eficacia, so pena de resultar fallida o inexistente; a saber:

Adecuada selección del Compliance Officer:

a) La selección del delegado es esencialmente libre para el delegante, pudiendo escoger a la persona o personas que considere aptas para el ejercicio de las funciones; si bien debe serlo también para el delegado, a quien no se le puede asignar arbitrariamente la tarea. Debe huirse, pues, de las designaciones impuestas de entre el personal que conforma la empresa que normalmente asumirá la función por compromiso más que por vocación. Por ejemplo, encomendar la tarea de Compliance Officer al Director Financiero puede ser práctico para el CEO porque se trata de una persona de su confianza que conoce a la empresa, pero pueden generarse incompatibilidades. Dichas prácticas deben ser evaluadas cautelosamente y así advertimos siempre a nuestros clientes.

b) La función debe recaer en un verdadero especialista (sea en forma de Compliance Officer u Órgano de Compliance Penal compuesto por varios miembros) capaz de analizar riesgos, sugerir medidas de control, administrar denuncias, proponer sanciones y en todos los casos con la facultad suficiente para hacer cumplir los objetivos fijados en la Política de Compliance Penal.

Dotación de dominio:

Los deberes de seguridad que originariamente recaen en la cúspide de la empresa, el Órgano de Gobierno, sólo se delegan eficazmente cuando se dota al Órgano de Compliance Penal del necesario dominio para el cumplimiento del deber, esto es, poder de influencia material y de dirección personal (poderes autónomos de iniciativa y control, dice el Código Penal), así como los medios requeridos para el desempeño de la función, entre los que figuran, desde luego, la necesaria información, pero también una formación adecuada.

No se olvide, no obstante, que el Órgano de Compliance Penal seguirá siendo un delegado del Órgano de Gobierno de la organización, y, por más que se prediquen sus atributos de independencia en cuanto a iniciativa y control, seguirá despachando con su delegante. Tan sólo en aquéllas personas jurídicas en las que exista el Órgano de Supervisión (legalmente exigible en unos casos, voluntariamente impuesto en otros) al que se refiere el artículo 31 bis 2 del Código Penal puede a priori afirmarse que hay una completa independencia y autonomía, escenario que difícilmente veremos en las PyMES y medianas empresas

Reflexiones sobre la función del Órgano de Compliance Penal

Todo lo anterior lleva a que la designación del Órgano de Compliance Penal es materia capital dentro del sistema de Compliance Penal para garantizar que realmente se pueda demostrar el cumplimiento de los objetivos de la Política de Compliance Penal, algo que nuestras empresas deben tomar en serio si quieren hacer valer la eximente o atenuante en el supuesto de imputación por responsabilidad penal de la persona jurídica.

¿Y qué debe evitarse en la práctica?

  • Malas praxis como la designación “a dedo” de empleados carentes de conocimientos suficientes, en roles que puedan generar conflicto de intereses y sin brindarles una adecuada formación.
  • Designación genérica de la función del Órgano de Compliance Penal mediante un acta del Órgano de Gobierno, sin especificar los objetivos ni las funciones, siendo deseable que la designación conste en un contrato.
  • Designación de un Órgano de Compliance Penal que no tenga la autoridad dentro de la organización ni los recursos humanos ni económicos para cumplir con los objetivos de la Política de Compliance.

Incurrir en cualquiera de estas conductas puede viciar a todo el modelo de Compliance Penal en el caso de que la organización requiera demostrar su eficiencia, por lo cual es determinante dotarse, desde el principio, de una Política de Compliance Penal bien definida y delimitar las funciones del Órgano de Compliance Penal siguiendo los mecanismos adecuados. Para ello conviene recurrir a expertos en la materia y no arriesgarse con soluciones a medias que pueden traer más problemas.

Alex Garberí es Fundador y Director del Área de Derecho penal y Compliance de Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal, por favor contacte con nuestros expertos o comuníquese al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

También te interesa:

Debatiendo sobre la Responsabilidad Penal de la Persona Jurídica

octubre 17, 2016

Profesionales del Derecho y la Investigación se reunieron el pasado mes de junio en Madrid para debatir sobre la responsabilidad penal de la persona jurídica y los modelos de prevención de delitos.

Tras la celebración del 1er. Debate entre Profesionales sobre la Responsabilidad Penal de las Personas Jurídicas y los Modelos de Prevención de Delitos en el pasado mes de junio, los ponentes invitados se comprometieron a la publicación de un documento que recogiera sus conclusiones, planteando la necesidad de aclarar algunas cuestiones sobre la materia: Quién debe realizar e implementar los programas, qué son los órganos de supervisión y control, y cómo se realizan las investigaciones internas empresariales son algunas de ellas.

Son éstos precisamente los principales temas tratados en el documento publicado por los letrados Nestor Aparicio (ECIX Group), Alex Garberí (Garberí Penal y CNC), y la experta en investigaciones internas Gertrudis Alarcón (Grupo GAT), con introducción a cargo del moderador del debate, Ricardo Agud (Escudo Legal).

Entre las conclusiones del documento elaborado por los profesionales del Compliance, destacan:

1. La importancia de la cultura del cumplimiento y que “el sistema debe ser dinámico y actualizado y actualizable, con el fin de adaptarse a las necesidades y entorno de la empresa”.

2. La necesidad de que “la delegación otorgada al responsable del Compliance” exprese claramente las funciones de control a todos los niveles.

3. La relevancia de la investigación de posibles delitos “ya que del resultado dependerán las decisiones que afecten” a la empresa y sus trabajadores.

El evento fue el primero de una serie de debates entre expertos que está previsto se repita en otras localidades de España.

El  documento  que recoge las ponencias y conclusiones se encuentra disponible en a continuació en nuestro perfil de SlideShare.

 

El Compliance Officer en el organigrama empresarial

octubre 16, 2016

Dónde se ubica el Compliance Officer en el organigrama empresarial es una de las mayores dudas que ha surgido desde la reforma del artículo 31 bis del Código Penal.

Es uno de los temas en donde el Corporate Compliance, el derecho mercantil y el derecho penal, deben conciliarse para brindar una solución eficaz a un tema que está regulado de una manera dispersa.

Desde el punto de vista del Corporate Compliance, se exige que la función responsable del cumplimiento normativo (sea Compliance Officer, Comité, o quien haga sus veces bajo cualquier otra denominación) se rija por dos principios fundamentales: Independencia y Autonomía. A mayor grado de independencia y autonomía, más eficaz se considerará su función y el sistema (ISO 19600).

En lo que respecta al derecho mercantil, la Ley de Sociedades de Capital no contempla expresamente la figura del Compliance Officer, pero sus funciones se pueden encontrar en al menos dos cargos:

1. Por una parte, el artículo 529 octies establece como funciones del secretario del consejo de administración “velar por que las actuaciones del consejo de administración se ajusten a la normativa aplicable y sean conformes con los estatutos sociales y demás normativa interna”.

2. Por otra, el artículo 529 terdecies señala que el consejo de administración deberá constituir “al menos, una comisión de auditoría…”.

Ambas figuras -sin perjuicio de las responsabilidades residuales de supervisión y vigilancia que recaen en el propio administrador- tienen atribuciones que bien pueden ser asignadas al Compliance Officer.

Por último, en la esfera del derecho penal, encontramos que el artículo 31 bis 2 2ª del Código penal encarga la supervisión del modelo a un “órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos…”.

Como se puede apreciar el mandato legal es bastante general y disperso. En ningún lugar se define cuál debe ser la configuración de la función de Compliance Officer o Comité de Compliance; no se establece quién debe designarlo; sus atribuciones, ni el grado de responsabilidad que recaerá sobre sus hombros.

Sin embargo, es perfectamente posible armonizar las distintas disposiciones legales para crear no uno, sino varios modelos de órgano de supervisión y control dentro de la empresa, cuestión de que se adapte al funcionamiento de cada una.

Si se quiere hilar fino, habría que tener en cuenta el principio de autonomía de la voluntad, la capacidad del órgano de administración para delegar la función y los modelos que estamos replicando de otras jurisdicciones.

1. Primacía del principio de autonomía de la voluntad:

Si bien el marco legislativo exige que se designe a los responsables de la función de supervisión y vigilancia de la empresa, no debemos olvidar que en materia mercantil y civil rige el principio de autonomía de la voluntad.

Las sociedades se rigen por un conjunto de pautas legales que tiene por objeto brindar una mayor seguridad a sus propios accionistas y respecto al actuar de la persona jurídica frente a terceros. La Ley de Sociedades de Capital establece un mínimo de exigencia. Desde ese punto en adelante, las empresas pueden determinar libremente la configuración de su actuación.

Es decir, una sociedad mercantil puede nombrar como Compliance Officer a su secretario del consejo, quien tiene la obligación de “velar por que las actuaciones del consejo de administración se ajusten a la normativa aplicable”; o bien puede designar como Compliance Officer a otro miembro del consejo (preferiblemente que no tenga responsabilidades vinculadas a la administración del negocio), con funciones ad-hoc y que armonice su gestión junto a la del consejero.

También puede designar un Comité de Auditoría, y dentro de ese Comité, designar a un Chief Compliance Officer, que se encargue de la supervisión y control de toda la gestión operativa de la empresa, incluyendo las actuaciones del resto del consejo de administración.

Puede incluso colocarse al Compliance Officer como un empleado dependiente del Consejo de Administración con poder de iniciativa e independencia presupuestaria, en el caso de personas jurídicas de pequeñas dimensiones y con las salvedades que mencionaremos en el siguiente punto.

En todo caso, no existe una fórmula sacramental ni un mandato que obligue a utilizar una figura u otra. En todos los casos habrá que tenerse en cuenta la estructura de la empresa, sus estatutos y Reglamento para conseguirle el mejor encaje a la función, siempre teniendo en cuenta el principio de autonomía de la voluntad, hasta tanto no exista una normativa que diga lo contrario.

2. ¿Deja el Código Penal la puerta abierta a que el Compliance Officer sea un delegado del órgano de administración?

En la práctica se discute si el Compliance Officer puede ser designado por el órgano de administración y si puede ser un empleado o incluso un asesor externo. Para ello se hace necesario determinar hasta qué punto dicho órgano está en capacidad de delegar las funciones de supervisión y control.

En los casos previstos en los artículos 31 bis 1 (delitos cometidos por quienes toman la decisión en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma) y 31 bis 4 (delitos cometidos por aquellos sometidos a la autoridad de quienes toman las decisiones), la empresa puede quedar exenta de responsabilidad si la supervisión del funcionamiento y del cumplimiento del modelo de prevención ha sido confiada a un órgano con poderes autónomos de iniciativa o control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos.

¿Puede hablarse de un órgano con poderes autónomos de iniciativa o control que dependa organizativamente del órgano de administración? La voluntad de las partes da libertad para mucho, y los estatutos o el reglamento pudieran crear algún encaje, pero difícilmente se pueda hablar de un mecanismo eficaz si el supervisado decide el grado de autonomía de quien lo supervisa.

Respecto al segundo caso, quien tiene encomendada legalmente la función de supervisar la eficacia de los controles internos es el presidente de la comisión de auditoría, conforme al artículo 529 quaterdecies en el primer literal del numeral cuarto.

Tras el filtro del artículo 31 bis, pareciera que el Compliance Officer tendría que estar dentro de las más altas esferas de la empresa: Secretario del consejo, consejero no ejecutivo, miembro de la comisión de auditoría o similar… De lo contrario se pone en tela de juicio la autonomía de control e iniciativa. Mientras más abajo en la organización o mayor sujeción a las decisiones de los administradores vinculados a la operación de la empresa, más difícil será demostrar la eficacia del sistema.

No obstante, el Código Penal deja una salida para el caso de personas jurídicas de pequeñas dimensiones, caso en el cual las funciones de supervisión pueden ser asumidas directamente por el órgano de administración. En este supuesto, parece viable una delegación parcial de funciones, quedando siempre bajo los administradores la responsabilidad de vigilar el cumplimiento del sistema y la aprobación de la gestión del Compliance Officer.

3. Siguiendo el ejemplo de los creadores del Legal Compliance

Ahora bien, más allá de los supuestos legales que esbozan algunos aspectos de la función de supervisión y vigilancia, no hay que dejar de lado que el Compliance proviene de la cultura anglosajona, en donde el origen del cumplimiento normativo como mecanismo de control es autoimpuesto por las propias impresas y no deriva de un mandato legal.

El manual de las Sentencing Guidelines establece que “personal de alto nivel” debe tener la responsabilidad global sobre el programa de Compliance, pero no hace recomendaciones sobre quién específicamente debe ostentarla.

Pero aparte de ser una persona de alto nivel, la recomendación más importante es que no exista la posibilidad de un conflicto de intereses.

Cuando la función del Compliance Officer coincide con el administrador o está imbuida dentro de la operativa de la empresa, existe el riesgo de un eventual conflicto de intereses. ¿Un consejero delegado que sea informado por su oficial de cumplimiento sobre una irregularidad que ponga en duda su gestión, será capaz de decidir lo mejor para la empresa? ¿un órgano de administración que haya delinquido, va a informar a los accionistas de su actuación?

Son estas las cuestiones que obligan a fijar muy alta la vara del Compliance si una empresa quiere tomarse en serio el cumplimiento normativo. No basta con designar un empleado que asuma las funciones de supervisión y se convierta en una especie de títere.

El riesgo de la empresa trasciende a la prevención de delitos y a la persona jurídica, por tanto, si realmente quiere instaurarse una cultura ética eficaz dentro de una compañía, hay que velar porque el Compliance Officer cuente con independencia, autonomía e incluso libertad de reportar a los accionistas cuando detecte que el órgano de administración está delinquiendo.

4. El Compliance Officer en las grandes empresas

Las grandes empresas están instaurando la función de Compliance en las más altas esferas, no tanto en lo que a jerarquía de mando se refiere, sino en relación a la importancia de su función y su grado de autonomía respecto del Órgano de Gobierno.

A continuación algunos ejemplos:

a) Telefónica

En el caso de Telefónica encontramos que existe una Comisión de Auditoría y Control cuya estructura sería perfectamente con las funciones de Compliance, dado que se trata de un órgano que goza de total autonomía e independencia del gobierno corporativo y tiene la potestad de informar a la Junta General de Accionistas sobre las cuestiones relacionadas con el control interno de la sociedad.

Comisión de Auditoria y Control de TEelefónica

 

Fuente: Web Telefónica, Estructura Organizativa.

b) Iberia

En el caso de IBERIA, los accionistas designan a un Consejo de Administración, en el cual existen cuatro comisiones. Una de ellas, la Comisión de Auditoría y Cumplimiento.

 

Representación gráfica del gobierno corporativo en IAG e Iberia

Fuente: Informe de Responsabilidad Corporativa IBERIA, página 62.

c) Barcelona FC

El club de fútbol ha sido una de las personas jurídicas que más ha resonado en temas de Compliance, gracias al caso Neymar. Recientemente han dado a conocer su organigrama, en el cual se aprecia que la Oficina de Compliance cuelga de la Presidencia y Junta Directiva, pero también abarca otras funciones relacionadas en distintos niveles, como lo son la de Control Interno, Asesoría Jurídica y Riesgos Corporativo.

 

Organigrama y Oficina de Compliance de Barcelona FC

Fuente: “Nota de Sport.es: Conozca el nuevo organigrama del FC Barcelona”

La práctica es la que determinará la verdadera eficacia del sistema, pues un sistema de Compliance debe considerarse un ente vivo y no una fotografía de la estructura organizativa. Sin embargo, que ya existan empresas que estén ubicando al Compliance dentro de su primera línea de mando es una buena señal.

José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí PenalPara la implementación de sistemas de gestión de Compliance Penal, por favor contacte con nuestros expertos o comuníquese al 937 004 455 de 09:00 a 19:00, de lunes a viernes.

¿Qué es el Compliance Officer?

abril 15, 2016

Por: Alex Garberí y José Alejandro Cuevas 

La figura del Compliance Officer (Oficial de Cumplimiento, en castellano) apareció originalmente en los mercados financieros altamente regulados y en el sector farmacéutico, como una función encargada de vigilar el debido cumplimiento de la extensa normativa que debían cumplir las empresas en esos sectores.

A raíz de los escándalos financieros corporativos de principios de los 2000 y posteriormente la promulgación de la Sarbanes-Oxley Act en 2002 en los Estados Unidos de América, se comenzó a designar a esta figura como una especie de intendente para garantizar el cumplimiento normativo dentro de la empresa, con cada vez mayor injerencia en las decisiones del negocio.

Otros países han ido exigiendo en su legislación, bien sea tácita o expresamente, la existencia de una figura u órgano responsable del cumplimiento normativo corporativo. Tal es el caso de países como Inglaterra, Italia o Alemania, en donde incluso ya existen precedentes de sanciones por incumplimiento de la responsabilidad del Compliance Officer.

Hoy en día, el Compliance Officer es considerado dentro del entorno corporativo como una pieza vital en la dirección de las empresas. Su rol como garante del cumplimiento normativo lo ha convertido en una figura ya no consultiva o reactiva, sino un verdadero partícipe en la toma de decisiones empresariales.

En las macroestructuras de Compliance ya no se habla sólo de un Compliance Officer, sino de un Chief Compliance Officer (CCO), figura de mayor autoridad y responsabilidad dentro de la empresa que goza de independencia operativa y financiera, con la capacidad para promover y ejecutar medidas específicas de prevención de riesgos legales, comunicar los planes y llevar a cabo las formaciones del personal, realizar investigaciones y recomendar sanciones.

En España, la figura del Compliance Officer fue importada primordialmente de los países de habla inglesa, como una función de las empresas internacionales que se veían obligadas a cumplir con regulaciones extranjeras o políticas internas donde ya se exigía esta función.

Ni la reforma al Código Penal del año 2010 ni la reciente modificación que entró en vigor el 1 de julio de 2015, se refieren específicamente al Compliance Officer. Sin embargo, sí establece esta última la obligación de cumplir con un deber de supervisión o vigilancia que tácitamente se resume en el cargo en cuestión; ello como condición sine qua non para hacer valer la exención de la responsabilidad penal de la empresa en el supuesto en que se concrete un delito que la genere.

Se trata entonces de un cargo que no está regulado expresamente en el marco jurídico español, pero que ejerce unas funciones que son de obligatorio cumplimiento para la prevención de riesgos penales. Es por ello que las empresas deben definir claramente cuál es el rol que jugará el Compliance Officer, estableciendo sus responsabilidades y por encima de todo dotándolo de las atribuciones suficientes para que pueda ejercer la función encomendada que no es otra que la supervisión o vigilancia respecto al cumplimiento normativo de la empresa.

En el presente documento se desarrolla de manera referencial el marco general de las obligaciones y responsabilidades del Compliance Officer, tomando en cuenta tanto la legislación vigente, como la normativa internacional de referencia y la novel norma ISO 19600 sobre sistemas de gestión de Compliance.

1. Marco Legal del Compliance Officer

Como se ha mencionado, el Compliance Officer no está definido en la legislación española. No obstante, las funciones de supervisión y vigilancia sí están contempladas en el artículo 31 bis del Código Penal, tras la reforma que entró en vigor el 1 de julio de 2015.

Así, las obligaciones relativas a la supervisión y vigilancia derivan concretamente del párrafo segundo de dicha norma, que establece lo siguiente:

  1. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

(…)

2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;

(…)

 4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª

Adicionalmente, es de obligado cumplimiento el cuarto punto del párrafo 5 del mismo artículo 31 bis, que encomienda al órgano encargado de vigilar el funcionamiento y observancia del modelo de prevención, la obligación de informar de posibles riesgos e incumplimientos.

Podemos concluir entonces que la supervisión, vigilancia y control deben ser encomendados a una persona u órgano que deberá cumplir con las siguientes premisas:

  • Disponer de poderes autónomos de iniciativa y de control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos:Una de las características de la función debe ser su capacidad para tomar decisiones por cuenta propia y sin depender de la autorización de otros órganos, teniendo autonomía operativa y presupuestaria para llevar a cabo las investigaciones y ejecutar las medidas que considere apropiadas para garantizar el cumplimiento normativo.
  • Que no se produzca una omisión o ejercicio insuficiente de sus funciones: El Compliance Officer será en muchas ocasiones el último filtro ante la prevención del delito. La determinación del límite que demarca el cumplimiento y la omisión en el ejercicio de sus funciones es una cuestión no exenta de dificultad, no existiendo todavía en nuestro país jurisprudencia sobre la materia. Es por ello que se exigirá al Compliance Officer la máxima diligencia (Diligencia debida) en el desarrollo de sus funciones.
  • Cumplir con el deber de informar los posibles riesgos e incumplimientos:Constituye la piedra angular de la función de supervisión y vigilancia, pues de su habilidad para detectar y notificar los riesgos se desprenderá la capacidad de la empresa para prevenir los delitos y tomar las medidas adecuadas para garantizar el cumplimiento normativo. Esta obligación está en consonancia con la posición de garante del Compliance Officer, tanto frente a la empresa como a terceros.

2. Características de la estructura interna de Compliance

 Si bien el Código Penal enuncia las obligaciones de la función de supervisión, vigilancia y control, siendo su principal característica desde el punto de vista subjetivo la autonomía, no establece sino una limitación en cuanto al diseño de la estructura, y es que en las personas jurídicas de pequeñas dimensiones, las funciones de supervisión podrán ser asumidas directamente por el órgano de administración.

Esto quiere decir que todas aquellas empresas que no sean consideradas personas jurídicas de pequeñas dimensiones deberán designar a una persona o un órgano para ejercer las funciones de supervisión, vigilancia y control.

Por otro lado, aquellas personas jurídicas de pequeñas dimensiones que consideren atribuir las funciones de supervisión al órgano de administración deberán tener en cuenta las dificultades que ello implicará para deslindar la responsabilidad de los Administradores de aquella que correspondería al Compliance Officer.

En todo caso, la función de supervisión y vigilancia, para poder ser considerada adecuada, deberá cumplir al menos con tres elementos:

  • Acceso directo al órgano de gobierno:Si bien hasta hace algunos años era aceptable que la figura del Compliance Officer fuese un cargo intermedio que reportase al área legal o a un gerente o director financiero, hoy en día el estándar deseable es que la persona encargada o uno de los miembros del Comité (el CCO) tenga acceso no sólo al órgano de Administración, sino a quienes ejerzan el control del mismo o ante quienes rinde cuentas el órgano de Administración por ostentar la soberanía de la persona jurídica (Junta General).
  • Independencia:Aunque ya mencionamos la excepción para los casos de las personas jurídicas de pequeñas dimensiones, una de las características (y así está reflejado en la Norma ISO 19600) de un modelo de gestión de Compliance eficaz es la independencia de la función de supervisión y vigilancia, que deberá tener libertad de criterio y la garantía de que no sufrirá represalias por las decisiones que pueda tomar.
  • Nivel de autoridad apropiada y recursos adecuados: Esto incidirá directamente en la eficacia del modelo de Compliance, puesto que un Compliance Officer sin la autoridad y recursos para implementar medidas, no sólo estará limitado en sus funciones sino que denotará falta de voluntad de la empresa en implementar el programa de Prevención de Riesgos Penales. Es clave para la empresa dotar a su Compliance Officer de suficiente autoridad y recursos, de manera que pueda llevar a cabo la gestión del modelo, realizar las investigaciones, las formaciones al personal, consultar a expertos, atender las crisis y mitigar adecuadamente los riesgos, pues no hacerlo puede tener como consecuencia el fracaso de todo el modelo; todo ello sin perjuicio de que reporte y someta sus recomendaciones al órgano de Administración de la empresa.

3. Responsabilidades del Compliance Officer

Las responsabilidades del Compliance Officer en España parten del deber de informar los posibles riesgos e incumplimientos, pero no se limitan a ello. Se trata de una función que para poder cumplir cabalmente con ese deber y ser eficaz en su gestión, requiere ejecutar una serie de tareas de seguimiento, control, implementación, capacitación y notificación a los órganos de gobierno de la empresa.

Si bien no hay un consenso sobre todas las responsabilidades del Compliance Officer, que pueden variar de empresa a empresa según su organigrama y sector, sí existen unas líneas generales de actuación comunes para la función que vienen recogidas recientemente en la Norma ISO 19600. De manera enunciativa, destacan las siguientes:

  • Debe identificar las obligaciones a que están sujetas las empresas, tanto desde el punto de vista legal como también aquellas directrices que deriven de Códigos Sectoriales o de sus propias políticas o de Códigos Éticos. La doctrina refiere estos dos tipos de obligaciones como Hard Law y Soft Law, siendo las primeras aquellas que derivan de un mandato jurídico cuyo incumplimiento representa una infracción, mientras que las últimas son aquellas que voluntariamente decide cumplir la empresa como buenas prácticas sectoriales o de desarrollo de buen gobierno.
  • Debe comprender los procesos y procedimientos de la empresa, de manera que pueda integrar el desarrollo de los mismos con las obligaciones en materia de cumplimiento normativo.
  • Frente a los empleados, el Compliance Officer será el responsable de proveer o coordinar los entrenamientos continuos en materia de cumplimiento normativo, así como la figura que dará soporte en el caso de dudas sobre cómo proceder o si cierta conducta constituye o no una infracción al Compliance de la empresa.
  • De igual modo, es quien responderá por la adecuada comunicación del programa de Compliance a los empleados, debiendo divulgar cualquier información relevante en materia de cumplimiento a las empresas y hacer entrega del Código de Conducta y las políticas a que estará sujeto el personal.
  • El Compliance Officer deberá también contribuir en la descripción de las obligaciones de Compliance que sean inherentes a cada área o cargo dentro de la empresa, como parámetro objetivo en la evaluación de desempeño del personal.
  • Teniendo en cuenta que una de las principales responsabilidades del Compliance Officer es informar sobre cualquier incumplimiento, debe implementar las medidas y controles que le permitan conocer oportunamente los riesgos e incidencias, bien sea a través del personal o inferidas de la propia documentación que recaba a través de procesos internos. Ejemplo de ello son:

a – Sistema de denuncias,quejas y soporte telefónico o mediante correos electrónicos.

b – Reuniones periódicas con los responsables de procesos.

c – Informes periódicos de reporte de incidencias.

d –Mecanismos de soporte directo a los empleados que tengan dudas sobre si una conducta o no representa un riesgo, antes de ejecutarla.

e – Checkpoints y controles de procesos en los casos en que se exceda de los parámetros normales de operación en los cuales se requiera la aprobación del Compliance Officer (Por ejemplo: Firma de contratos que excedan determinado monto, autorización de obsequios corporativos).

f – Indicadores de desempeño y de cumplimiento de las medidas establecidas para garantizar el cumplimiento normativo y que reflejen la evolución del sistema de prevención de riesgos.

  • Dado que uno de los sectores que puede generar riesgos para las empresas son sus relaciones con terceras partes, es también responsabilidad del Compliance Officer identificar y atender los riesgos derivados de sus relaciones con clientes, proveedores, distribuidores y comerciales externos, así como con cualquier colaborador que pudiese ser considerado representante de la empresa.
  • Monitorear el funcionamiento del sistema de prevención de riesgos y tomar las medidas preventivas y correctivas que garanticen su eficacia y asegurar la revisión en los intervalos planificados.
  • Proveer asesoría a la organización en materia de Compliance, bien sea directamente o a través de expertos externos.

Como se puede apreciar, se trata de un conjunto de responsabilidades importantes no sólo para el cargo sino que puede incidir sobre la actividad de la empresa, y es por ello que se debe garantizar que quien funja como Compliance Officer o conforme un Comité a tales fines, sea una persona que demuestre valores como integridad, compromiso, liderazgo, comunicación efectiva, la habilidad para insistir y convencer sobre la aceptación de sus recomendaciones y un conocimiento profundo (o el acceso a expertos en la materia) en temas de cumplimiento normativo.

Cabe destacar que el incumplimiento de estas responsabilidades puede acarrear no sólo las sanciones penales que establece el Código Penal para la empresa, sino también responsabilidades personales para elCompliance Officer que no haya ejercido su deber de vigilancia diligentemente. Aunque por lo novedoso del tema en España no tenemos aún pronunciamientos judiciales, existen precedentes en el entorno europeo, como el de un Tribunal Federal en Alemania que condenó a la Compliance Officer de una empresa de basura de Berlín en el año 2009 por haber incurrido en omisiones respecto a su deber de supervisión y vigilancia a pesar de haber notificado el incumplimiento. Caso que, desde luego, será el espejo en el que se mirarán nuestros tribunales en breve como viene sucediendo en materia de Derecho Comunitario de la Unión Europea.

4. ¿Compliance Officer o Comité?

Hasta ahora nos hemos referido indistintamente al Compliance Officer o al Comité, en el entendido de que las funciones deberán ser ejecutadas por uno u otro de la misma manera. Sin embargo una de las primeras dudas que se plantea la empresa es cómo definir su estructura de Compliance.

La decisión de designar a una persona que ya ejecute otra función en la empresa, crear un nuevo cargo, instaurar un comité o contratar a un externo que se encargue del tema dependerá de la complejidad organizativa y tamaño de la empresa, teniendo en consideración sus singularidades y resultaría difícil recomendar a priori alguna estructura específica.

Es habitual que las empresas pequeñas designen a una sola persona para ejercer estas funciones, como también lo es que decidan asignar estas responsabilidades a otra persona que ejerce labores de supervisión dentro de la empresa. Sin embargo, esta última alternativa, aunque aceptable en unos casos, tiene sus riesgos en tanto pueda generarse un conflicto de intereses o no se dote de una verdadera autonomía al Compliance Officer, poniendo en duda uno de los principios que debe regir la función.

Mención aparte para las personas jurídicas de pequeñas dimensiones, que por estar autorizadas para dejar la supervisión y vigilancia en manos del órgano de Administración, pueden incurrir no sólo en un conflicto de intereses (al estar sujetos a revisar sus propias actuaciones), sino en una falta de autonomía que podría hacer ineficaz el modelo. Es por ello que, en este supuesto, lo recomendable es que quien ejerza la función sea un director o administrador que no esté directamente vinculado con el área operativa, de manera que su labor no esté sujeta a la manera como se ejecutan los procesos.

Recomendaciones Generales

Resumimos a continuación algunas que pueden servir de orientación a las empresas al momento de definir su función de supervisión, vigilancia y control:

  • La definición de la función del Compliance Officer será fundamental en la demostración de la eficacia del modelo, por tanto debe plantearse como una necesidad y darle la relevancia que tiene al cargo.
  • La figura debe estar dotada de autonomía funcional y presupuestaria.
  • Debe tener acceso a la Junta General y derecho a voz en los órganos de Administración.
  • Debe ser reconocido como una autoridad en el cumplimiento, tanto por el personal como por la propia administración de la empresa.
  • Su designación debe ser, en la medida de lo posible, realizada por la Junta General y no sujeta a revocación por parte de los Administradores.
  • Quien ejerza las funciones debe tener suficiente tiempo para atender los asuntos relacionados al cumplimiento normativo.
  • Debe tener acceso directo a expertos en materia de Compliance, Buen Gobierno, Fiscalidad, Penal, así como de cualquier otro tema en donde pudiera surgir un riesgo para la empresa.
  • El Compliance Officer debe ser partícipe de las decisiones estratégicas, de manera que pueda analizar los riesgos antes de que se ejecuten las acciones que puedan poner en peligro a la empresa.

Para la implementación de sistemas de gestión de Compliance Penal y formación al Compliance Officer visita la sección de Consultoría o escríbenos a info@garberipenal.com.

También te puede interesar:

Infografía: Responsabilidades del Compliance Officer

octubre 16, 2015

Las responsabilidades del Compliance Officer en España parten del deber de informar los posibles riesgos e incumplimientos, pero no se limitan a ello. Se trata de una función que para poder cumplir cabalmente con ese deber y ser eficaz en su gestión, requiere ejecutar una serie de tareas de seguimiento, control, implementación, capacitación y notificación a los órganos de gobierno de la empresa.

 

 

Si bien no hay un consenso sobre todas las responsabilidades, que pueden variar de empresa a empresa según su organigrama y sector, sí existen unas líneas generales de actuación comunes para la función que vienen recogidas recientemente en la Norma ISO 19600. De manera enunciativa, destacan las siguientes:

 

infografia compliance 22

 

Esta infografía es una publicación de contenido netamente informativo cuyo único fin es orientar de forma general a los lectores sobre aspectos generales de cumplimiento normativo y no sustituye de forma alguna la asesoría de profesionales especializados en la atención de dudas concretas.

 

También te interesa:

 

[double_line_divider]

 

Compliance personalizado y a medida.

 

La dedicación y transparencia distinguen nuestros servicios de asesoría, en consonancia con nuestra capacidad para entender las necesidades de la pequeña, mediana industria y comercios.

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Contáctenos[/button]

 

 

 

Guía Rápida para Empresas: El Compliance Officer

septiembre 1, 2015

Garberí Penal se complace en ofrecer en descarga gratuita a partir de hoy el primer ebook de la serie Guía Rápida para Empresas. Se trata de una colección que abarcará diversos aspectos del Compliance Penal, sirviendo de introducción a los empresarios en un tema que se ha vuelto especialmente relevante en los últimos meses, y que será fundamental implementar dentro del entorno empresarial.

Hemos dedicado el primero de esta serie a la figura del Compliance Officer, considerada hoy en día dentro del entorno corporativo como una pieza vital en la dirección de las empresas. Su rol como garante del cumplimiento normativo lo ha convertido en una figura ya no consultiva o reactiva, como podía serlo hasta hace algunos años, sino un verdadero partícipe en la toma de decisiones empresariales.

A raíz de la entrada en vigor de la reforma del Código Penal, las empresas deberán contar con una función de supervisión, vigilancia y control a fin de hacer valer la exención de responsabilidad penal prevista en la norma en el supuesto de que se presente algún delito dentro de la empresa. Es por ello que el Compliance Officer cobra una especial importancia hoy en día en España, bien sea que sus funciones sean asumidas por una persona designada a tal fin, un Comité o directamente ejercidas por el Órgano de Administración, en los casos en que está autorizado por ley para hacerlo.

La Guía Rápida para Empresas: El Compliance Officer, es una publicación de contenido netamente informativo cuyo único fin es orientar de forma general a los lectores sobre aspectos generales de cumplimiento normativo y no sustituye de forma alguna la asesoría de profesionales especializados en la atención de dudas concretas. Puede contactarnos haciendo click aquí si desea más información o asesoría legal especializada.

Por favor complete el formulario para descargar la Guía Rápida para Empresas: El Compliance Officer.

[yikes-mailchimp form=”4″]

Al enviar sus datos, estará aceptando los Términos y Condiciones
Consultar términos y condiciones.