Cada día se publican en los distintos boletines oficiales normas que regulan las actividades empresariales en sentido amplio. Las fuentes normativas son muchas y variadas (UE, estado central, CCAA, Ayuntamientos,…). Asimismo, cada día se publican sentencias de diversos tribunales (nacionales y comunitarios) que modifican las interpretaciones de las normativas en vigor.
A parte de la diversidad normativa, la pluralidad, volumen y complejidad de las operaciones económicas alimenta la necesidad de incrementar las regulaciones, hecho que afecta directamente a la actividad empresarial.
Asimismo, aunque se suele asociar el control de riesgos legales a los riesgos propios de la concreta actividad empresarial desarrollada, no hay que olvidar que los riesgos de naturaleza jurídica no derivan exclusivamente de un marco regulatorio en sentido estricto sino, en general, de cualquier fuente de obligaciones.
Todo ello nos conduce a un mapa normativo e interpretativo muy complejo para las empresas, de muy difícil control (sobre todo en determinadas materias o sectores), que aboca a un necesario control preventivo de los riesgos.
El Compliance es la cultura y metodología que permite establecer un control sobre todos estos riesgos, e imbuir a una organización en el sentimiento de responsabilidad sobre el cumplimiento de las normas y obligaciones legales en presencia.
Por lo tanto, dentro de una estructura de Compliance, tal y como lo conceptúa la ISO 19600 (que constituye el primer estándar que define un sistema orientado a la gestión de las distintas áreas de cumplimiento que afectan a una organización) el establecimiento de controles sobre toda la organización es esencial. Para establecer controles, con carácter previo es preciso llegar a conocer los concretos riesgos de cada organización (incluidos los denominados «riesgos inherentes»).
Gestión del riesgo
Los procesos de gestión del riesgo deben seguir los criterios que marca la ISO 31000 sobre gestión del riesgo (aplicable a la gestión de cualquier tipo de riesgo, y no solo a riesgos de Compliance). En la gestión de los riesgos, antes de entrar a identificar, analizar y evaluar los riesgos, es fundamental conocer de forma profunda la organización y su contexto, analizando y entendiendo de forma completa todos los factores internos y externos que le pueden afectar. Para comprender el contexto es esencial conocer y entender, en primer lugar, el gobierno y la estructura interna de la organización. En particular, es esencial deducir cuál es el proceso de toma de decisiones y quiénes son las personas responsables en ese ámbito.
Asimismo, es necesario que entendamos bien la actividad de la organización, es decir, a qué se dedica y cómo desarrolla sus actividades. En este sentido, debe analizarse: los stakeholders de la actividad, las características de la misma, las actividades de riesgo, el histórico de la organización en cuanto a sanciones y responsabilidades, y sus relaciones con las administraciones públicas.
Una vez esbozada la actividad a controlar, el otro elemento esencial es centrar el marco regulatorio que afecta a la organización y su actividad (en el caso de empresas que actúen en sectores regulados también será relevante conocer las directrices de los reguladores y supervisores competentes).
Riesgos de Compliance
Llegados a este punto estaríamos en condiciones de proceder a identificar los riesgos de Compliance, entendido como el listado detallado de los acontecimientos o de los escenarios que, en caso de que sucedieran, podrían dar lugar a responsabilidades económicas, financieras o reputacionales en la organización.
Identificados los riesgos, hay que proceder al análisis de los mismos. Analizar un riesgo implica comprender el riesgo, y para ello hay que analizar su probabilidad y su eventual impacto en la organización.
Esta metodología, definida en los estándares internacionales, nos va a permitir determinar el nivel de riesgo de Compliance en una organización. Nos va a permitir saber donde están nuestras debilidades, nuestras puertas de entrada de problemas legales. Y ello, cuanto mandos, va a permitir a los administradores tomar decisiones: erradicar el riesgo, minorarlo, asegurarlo, o incluso aceptarlo. Nada peor para una organización y sus administradores que desconocer sus riesgos de Compliance.
Este valioso conocimiento será el punto de arranque para establecer en las organizaciones controles de riesgos de Compliance. Solo conociendo todos los referidos aspectos es posible establecer controles reales y efectivos, controles selectivos. Una organización no tiene una mejor estructura de Compliance por tener más controles, sino por tener los justos y adecuados. Es más, controles genéricos o desafortunados pueden ser contraproducentes y erosionar la fiabilidad del sistema y el entusiasmo de las personas que forman parte del mismo en alguna medida.
COMPLYCONGRESS – 5 de julio
En Cremades & Calvo-Sotelo tenemos un firme compromiso con esta disciplina. Por ello estamos comprometidos con su desarrollo y difusión. Por ello, el próximo 5 de julio de 2017 se celebrará el COMPLYCONGRESS, en Santiago de Compostela, organizado por nuestro despacho y Wolters Kluwer, con la vocación de constituir un relevante foro de debate en materia de Compliance y ayudar a la difusión de la cultura de Compliance entre nuestras empresas.
Si algo necesita el Compliance en España a día de hoy es difusión, pedagogía, información. En la medida que las organizaciones conozcan el Compliance lo valorarán justamente, y lo adoptarán para bien.
Cuando se habla de las principales divisiones del organigrama de una estructura empresarial todo el mundo sitúa las clásicas áreas financiera, recursos humanos, operaciones, etc. Pues bien, deberíamos llegar a un estadio en el que junto a esas se mencionara al Compliance. De hecho, hoy día no puedo entender una organización empresarial de un cierto tamaño o complejidad que se considere bien gestionada que, en mayor o menor medida, no cuente con un departamento de Compliance.
La sedimentación del Compliance en nuestra cultura empresarial ayudará a dar un nuevo enfoque a la gestión de los riesgos legales desde una visión preventiva y proactiva, aparcando la tradicional reactiva, y peligrosa hoy en día ante tantos “depredadores escondidos” y ante los riesgos que los problemas legales suponen para los activos más valiosos de las compañías: su reputación y su marca. Todo ello deberá ayudar a nuestras empresas a ser también más competitivas en un mundo efectivamente globalizado y altamente exigente, y deberá traducirse en un aumento de los beneficios. No olvidemos nunca que el departamento de Compliance es, en realidad, un departamento muy rentable.
Alberto García Ramos
Socio de Cremades & Calvo-Sotelo
Responsable Áreas Compliance y Empresa Familiar