El modo de gestionar el creciente cumplimiento de las normas y estándares éticos que afectan a la actividad empresarial viene siendo un quebradero de cabeza desde hace años.
El empresariado está siendo objeto de una creciente presión para extremar las medidas de vigilancia y control en éste y otros ámbitos, sin que se hubiesen compilado, a pesar de ello, unas directrices generalmente aceptadas para acreditar la razonabilidad de las estructuras de Compliance.
El pasado mes de julio tuvieron lugar en Viena las que serían últimas sesiones de trabajo del grupo ISO PC 271 sobre Compliance Management Systems (CMS), pues quienes participamos en ellas finalizamos la redacción del primer estándar internacional sobre sistemas de gestión de cumplimiento que, ya terminado, se difundirá en los próximos días: la norma ISO 19600. Familiarizarse con este texto es fundamental para cualquier persona que se dedique al Compliance por los motivos que explicaré a continuación.
El estándar define un sistema orientado a la gestión de las distintas áreas de cumplimiento que afectan a una organización, y que abarca tanto las de cumplimiento obligado como las asumidas voluntariamente. Considerando la diversidad de materias que se pueden incluir partiendo de tal definición, se ha dicho que el estándar permite articular superestructuras de Compliance, es decir, sistemas orientados a gestionar o coordinar el cumplimiento de obligaciones de diversos ámbitos y naturaleza, que a su vez pueden estar siendo tratadas a través de sistemas específicos (medioambiental, de prevención penal, etc).
Una superestructura de Compliance es susceptible de aglutinar diferentes sistemas de cumplimiento específicos. Sin embargo, las directrices del estándar también permiten articular tales sistemas específicos de Compliance cuando no se dispone de directrices especializadas en sus respectivos ámbitos. Es decir, el conocimiento de los principios o componentes del estándar sobre CMS no sólo es útil para articular las indicadas superestructuras, sino también para ordenar modelos específicos, llegado el caso. Quien conoce la estructura y directrices de la ISO 19600 tiene mucho avanzado en el conocimiento de modelos de gestión del cumplimiento en cualquier ámbito. Y la prueba de ello la tenemos en el siguiente estándar sobre cumplimiento en el que también trabaja actualmente ISO, la futura norma 37001 sobre Anti-bribery Management Systems (ABMS), que sigue fielmente la estructura esencial del texto sobre CMS, adaptándola a las particularidades de la prevención del soborno. Lo mismo sucederá con cualesquiera otros estándares específicos de Compliance que posiblemente veremos en los años venideros, de modo que conocer las directrices generales para CMS facilitará comprenderlos e implantarlos adecuadamente.
El rol clave que desempeñará la norma ISO 19600 no sólo proviene de su vocación general, sino de incorporar el estado del arte más relevante en este ámbito. Como expliqué en este blog [link al post del 15.05.14 “Compliance y proxy advisors”], encontramos los antecedentes de dicho texto en el estándar australiano 3806-2006 sobre CMS que, a pesar de ser una norma local, alcanzó gran difusión internacional no sólo por ser el primer estándar monográfico sobre modelos de cumplimiento sino, especialmente, por lo elaborado de su contenido. Al incorporar las best practices en sus textos, ISO imprime a sus normas el nivel técnico más elevado en el momento de su emisión, como sucederá con la norma 37001 sobre ABMS que no sólo sigue la estructura lógica y principios esenciales de la ISO 19600, sino que incorporará una buena parte del régimen sustantivo ya presente en la norma británica BS 10500, que fue el punto de partida para la elaboración del citado estándar específico, por ser el texto nacional más moderno en su ámbito.
Incorporar las mejores prácticas en los modelos de Compliance empresariales es una necesidad en el entorno de negocios globalizado actual, pues permite diseñar estructuras de gestión del cumplimiento sensatas, con independencia de las jurisdicciones donde se opere, fijando unos principios de actuación consistentes en todas ellas, amparados además en las mejores prácticas internacionales. Disponer, tanto de superestructuras de Compliance, como de modelos de gestión específicos alineados con esas prácticas, constituye un sólido argumento para defender su razonabilidad y la diligencia de quienes los impulsaron. Es decir, que deja de ser una materia opinable, como ha venido sucediendo y ocasionando malestar entre el empresariado, según denunciaba al principio. Sin embargo, conseguir ese objetivo puede requerir una labor de adaptación: la de conciliar los eventuales requisitos exigidos por la normativa nacional a las directrices internacionales. En España disponemos de un buen ejemplo con los modelos de prevención penal contemplados en la modificación del Código Penal que se halla en tramitación parlamentaria.
Se trata de una regulación más modesta que la recogida en estándares internacionales solventes como los que estamos tratando y, por ello, su valor como modelo extrapolable a la realidad global es tremendamente limitado. De ahí la importancia de asegurarse de que el modelo de prevención penal en la empresa, además de cumplir con los requisitos mínimos impuestos por el Código Penal, esté alineado con otros componentes que soporten su razonabilidad más allá de nuestras fronteras. Un inadecuado modelo de incentivos para el personal, por ejemplo, constituye una forma rápida de promover conductas de riesgo y, por ello, su revisión es uno de los cometidos relevantes de la función de Compliance, según reconocen los mejores textos sobre el particular. El silencio que nuestro Código Penal guarda en esta materia, como en tantas otras, ejemplifica que sin una labor de adaptación a estándares internacionales, una organización española difícilmente estará en condiciones de medirse en los mercados extranjeros. Por cierto, este mes publico un caso práctico que ilustra hasta qué punto los modelos de incentivos mal diseñados degradan la cultura de cumplimiento de la organización y corrompen a sus personas, generando un entorno del cual es sumamente difícil escapar.
Autor: Alain Casanovas.
Alain Casanovas, actualmente compagino mi actividad profesional como socio en KPMG Abogados con la de gestión del riesgo de servicios legales en España y Chief Operating Officer de la red de servicios legales en KPMG a nivel mundial. A lo largo de mi carrera profesional he ocupado el cargo de Secretario del Consejo en diversas organizaciones multinacionales y he asesorado en procesos de organización de la función jurídica interna y de cumplimiento
