La Figura del Compliance Officer en las PYMES: Guía Completa

by on

Es posible que asociemos el compliance con las grandes empresas y que pensemos que es algo que no va con las pymes o que no lo necesitan. Sin embargo, las leyes y las obligaciones que se derivan de ellas afectan a todas las empresas por igual, tanto grandes como medianas y pequeñas.

Gracias al compliance para pymes, el empresario puede conocer y dar cumplimiento a esas obligaciones legales de una manera mucho más eficiente, además de alineada con los objetivos y procesos de la pyme. El compliance o cumplimiento normativo es uno de los temas que más interés está suscitando en las organizaciones en los últimos años.

Se conoce como compliance al conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos. El objetivo del compliance es evitar que una compañía incurra en delitos, sanciones o situaciones que puedan repercutir en el negocio o su reputación y comprometer su viabilidad.

Compliance implica no solo cumplir con los requisitos legales (algo de por sí obvio), sino también con aquellos otros requisitos voluntarios que la organización decide suscribir (por ejemplo, los Códigos Éticos o de Conducta) y con los requisitos contractuales acordados con los socios de negocio. Sin duda, el mercado y los consumidores están demandando que las organizaciones sean serias, transparentes, éticas, cumplan con sus obligaciones legales y tengan un compromiso social y ambiental.

Origen y Evolución del Compliance en España

El concepto de compliance empresarial nació en Estados Unidos en los años 70 ligado a casos de corrupción contrarios a la libre competencia en el sector financiero. Décadas más tarde, en el año 2005, el Comité de Supervisión Bancaria de Basilea definió el compliance corporativo como “el riesgo de que una compañía pueda incurrir en sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado del incumplimiento de leyes, regulaciones, normas de autorregulación o códigos de conducta que apliquen a su actividad”.

El concepto de compliance tiene sustento en la legislación española en 2010, con la reforma del Código Penal (Ley Orgánica 5/2010 de 22 de junio). El artículo 31 bis de esta ley introdujo la responsabilidad penal de las personas jurídicas, vinculando estrechamente el compliance de las empresas con el cumplimiento de la normativa penal. Tras la reforma operada en el Código Penal por la LO 1/2015 de 30 de marzo, se introduce en nuestra legislación la figura del “Legal Compliance”, que trata de prevenir o reducir al máximo las posibilidades de comisión de delitos penales dentro de la empresa eximiendo o atenuando, en su caso, la responsabilidad que por ello se transmitiría a las personas jurídicas, rompiendo así con la antigua posición que ostentaban las mismas en el derecho español, pues carecían de responsabilidad penal («Societas delinquere non potest»).

Más tarde, en 2015, una nueva revisión del Código Penal sirvió para introducir una cláusula que hace obligatorio para las empresas contar con planes de prevención de riesgos penales y un órgano o función responsable de su verificación. Este cambio normativo ha permeado hacia otros ámbitos jurídicos, como el de la Protección de Datos, y ha impulsado en la última década la creación de la figura del Compliance Officer, la persona responsable del cumplimiento normativo en una organización.

Dicha figura (el Compliance) no viene sola, sino que trae aparejada multitud de conceptos. El primero, con un sistema de Compliance que parte de «The Bribery Act. 2010». El segundo, Italia, que a raíz de la publicación del Decreto Legislativo 8 giugno 2001, n. 231 -Disciplina della responsabilita’ amministrativa delle persone giuridiche, delle societa’ e delle associazioni anche prive de personalita’ giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. Este último modelo italiano ha sido uno de los grandes inspiradores del Compliance español. Un ejemplo de esta vinculación lo encontramos dentro en el Art.6, núm 1, ap b) del Decreto Italiano al hablarnos del Compliance Officer.

Beneficios del Compliance para PYMES

Aunque la ley no obliga a tener implementado un plan de prevención de delitos penales en las empresas, lo cierto es que el compliance aporta varios beneficios a las empresas, siendo el más importante la posibilidad de atenuar o eximir a la empresa de su responsabilidad penal.

Los principales beneficios son:

  • Atenuación o exención de la responsabilidad penal: Este es el beneficio más significativo, ya que un plan de compliance robusto puede proteger a la pyme de sanciones severas.
  • Ayuda en la contratación con terceros: Actualmente, la mayoría de grandes empresas contratan o subcontratan servicios con pymes. Contar con un plan de compliance puede ser un diferenciador.
  • Facilita la obtención de financiación: De cara a obtener financiación, tanto de entidades financieras como de posibles subvenciones, las pymes que cuenten con plan de compliance tendrán más facilidades, puesto que podrán dar más garantías en cuanto al cumplimiento fiscal y la prevención de delitos como el blanqueo de capitales.
  • Mejora la imagen y la reputación corporativa: Las pymes que tengan implementado un plan de compliance mostrarán una mejor imagen y reputación corporativa tanto de cara a sus clientes como a una sociedad cada vez más preocupada con la sostenibilidad, el respeto de los derechos de los trabajadores o la igualdad. Los planes de compliance muestran el compromiso de las pymes con el cumplimiento de la ley y las normas y su cero tolerancia hacia irregularidades en el desempeño de su actividad.

El Rol del Compliance Officer en PYMES

En este sistema de Compliance se inserta el concepto de Compliance Officer, sobre el que existe una gran confusión ya que quien ostenta este cargo no es el encargado de elaborar el Programa de Cumplimiento Normativo o Compliance Program. En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2.ª del apartado 2 del Art. 31 bis del Código Penal podrán ser asumidas directamente por el órgano de administración. En las pymes que puedan formular cuenta de pérdidas y ganancias abreviada, esta función puede recaer en el órgano de administración de la pyme.

Aún con esta posibilidad que nos otorga la Ley, puede que haya casos en que sea más aconsejable para la pequeña y mediana empresa que la función de Compliance Officer esté ostentada por un órgano colegiado para poder dividir tanto las funciones como la toma de decisiones y responsabilidades. Esto es algo clave, ya no solo en cuanto al Compliance Officer, sino en referencia a todo el programa de Compliance en sí, ya que una de las medidas más importantes de evitación y disminución de riesgos penales es que exista una disgregación en las funciones a desempeñar.

Sea como fuere, lo que queda claro es que, actualmente, la legislación penal no establece ningún requisito formal, pues al hablar de «órgano de la persona jurídica» y no de «organismo» (como es el caso del Decreto Legislativo 8 giugno 2001, n. 231) parece que el legislador deja abierta la puerta a cualquier opción y, aunque en la mayoría de los casos lo más recomendable pueda ser la existencia un órgano colegiado, la empresa puede tomar la decisión que mejor se adapte a la misma.

¿Externalizar la función del Compliance Officer?

En cuanto a la opción de externalizar o no dicha función, nos encontramos con la misma posibilidad que en el caso anterior, pues nada nos dice el legislador. Aunque aquí, sí que parece que el fin principal de la autorregulación normativa que el Compliance otorga a las personas jurídicas, aleja la opción de externalización total de dicho cargo. Es más, en la Circular 1/2016 de la Fiscalía General del Estado se utiliza la expresión «necesariamente» en referencia a que el órgano debe pertenecer a la persona jurídica.

Perfil del Compliance Officer

Cada tipo de empresa necesitará un perfil de Compliance Officer determinado que, aunque deba guardar un perfil jurídico-económico para ser más competente, lo más importante es que tenga un conocimiento amplio de la empresa, de su funcionamiento, del ámbito en el que opera… etc. para así garantizar el cumplimiento efectivo de sus funciones. Por lo que la empresa deberá buscar una configuración determinada del órgano.

Funciones del Compliance Officer

En lo referente a estas, el Art. 31 bis nos dice que serán las de «supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado». Este es el motivo principal y más importante de la función del Compliance Officer en la empresa: guiar el programa de cumplimiento normativo dentro de la misma.

Llegados a este punto, es completamente necesario hacer referencia al fragmento del Código Penal donde establece que el órgano de vigilancia dispondrá de «poderes autónomos de iniciativa y de control». Con esto queda claro que, a la hora de constituir el órgano de cumplimiento dentro de la empresa, aquél tendrá una posición jerárquica paralela al órgano de administración, debiendo rendir cuentas a éste pero desde una situación de autonomía, transfiriéndole esa posición de «garante del deber de diligencia» que el órgano de administración ostenta en la persona jurídica (Art. 225 LSC).

Por ello debe de quedar claro que, aunque no hay una transmisión total del deber de diligencia, el Compliance Officer puede llegar a ser responsable de un delito penal dentro de la empresa por incumplir sus funciones de vigilancia dentro de la misma si en última instancia se cometiera un delito por incumplimiento de sus tareas de supervisión y control («culpa in vigilando»).

Elaboración e Implementación de un Plan de Compliance para PYMES

Para hacer un plan de compliance para pymes, nos podemos fijar en los requisitos que se especifican en el artículo 31 bis del Código Penal, puesto que son los que, en un hipotético juicio, se van a exigir para reducir o eximir a la pyme de su responsabilidad penal.

Es de recibo mencionar en este punto, qué aspectos se hacen necesarios a la hora de elaborar de manera correcta un programa de Compliance. Para que un programa de compliance penal sea realmente efectivo, no basta con su mera existencia en papel, sino que debe ser aplicado y actualizado de manera continua. Para que un programa de compliance penal sea efectivo, debe ser aplicado de forma transversal en la organización. El entorno normativo está en constante evolución, por lo que un programa de cumplimiento penal debe ser flexible y capaz de adaptarse a nuevos requisitos legales.

Pasos para la Implementación del Plan de Compliance

  1. Determinación del nivel de madurez en compliance: En un primer paso, es necesario determinar el nivel de madurez en compliance de la pyme, para así poder saber qué se está haciendo ya en materia de compliance y qué no y es necesario incluir en el plan de compliance de la pyme. Este tipo de cuestionarios, que deben incluir un sistema de puntuación, servirá para conocer el punto de partida de la pyme en cuanto a cumplimiento normativo, las medidas que ya tiene en marcha y cuáles son necesarias adoptar.
  2. Determinación de recursos financieros: En un segundo paso, se deben determinar los recursos financieros que se van a destinar a la implementación del plan de compliance.
  3. Identificación y análisis de riesgos (Mapa de Riesgos):
    • Identificación de riesgos: Será necesario tener una lista de las posibles infracciones y delitos penales en los que puede incurrir la pyme derivados de su actividad y procesos y a los que está expuesta.
    • Análisis y evaluación de riesgos: Consiste en determinar la probabilidad de que ocurra un riesgo y el nivel de impacto negativo que tendría para la pyme si el riesgo termina materializándose. Este tipo de análisis se efectúa, normalmente, recurriendo a un mapa de riesgos, que permite medir ambas variables y determinar el nivel de riesgo antes de aplicar ninguna medida de control (lo habitual es que se clasifique el riesgo en nivel bajo, medio, alto y muy alto). El siguiente paso es realizar un mapa de riesgos compliance basado en las normativas que afectan a la empresa en base a su contexto (actividad, tamaño, localización, etc.).
  4. Diseño de controles y medidas de tratamiento: En base al informe extraído del mapa de riesgos, se podrán diseñar los controles necesarios para prevenir los riesgos de cumplimiento, es decir, se elegirán aquellas medidas y procedimientos más adecuados para reducir las probabilidades de materialización de los riesgos, así como la mitigación de su impacto en caso de que ocurran. En esta fase se definen los controles y medidas de tratamiento para reducir los niveles de riesgos hasta que sean aceptables. Se aplicarán aquellas medidas y controles más adecuados para prevenir, detectar o evitar los riesgos de cumplimiento.
  5. Canal de Denuncias: Contar con canal de denuncias es un requisito indispensable del programa de compliance. Hoy en día existen muchas vías de canal de denuncias en el mercado, por lo que parece recomendable escoger entre ellas la que permita un acceso rápido y eficaz desde cualquier lugar garantizando la comunicación de irregularidades cometidas respecto a medidas y controles del programa de Compliance. Pero no solo eso, sino que deben servir también para conocer fallos o mejoras en el funcionamiento de la empresa. El Art.31 bis, ap. 5, párrafo 4º Código Penal establece: “Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención." Se produce por tanto una sinergia entre los principales requisitos que un programa de Compliance debe cumplir.
  6. Régimen Sancionador: Se establecerá un régimen sancionador para castigar los incumplimientos de las medidas y procedimientos establecidos en el plan de compliance.
  7. Divulgación y Formación: Efectuar una divulgación dentro de la empresa del Compliance, tanto entre sus miembros como con terceros que lleguen a tener relación con ella.
  8. Seguimiento y Revisión Continua: Finalmente, se deberá llevar un seguimiento del plan de compliance, evaluando el nivel de aplicación y efectividad de las medidas y procedimientos adoptados, para comprobar si realmente funcionan. Se volverán a evaluar los riesgos teniendo en cuenta las medidas y controles aplicados para obtener el nivel de riesgo residual (el nivel que es tolerable para la pyme). Si el nivel de riesgo no disminuye, será necesario buscar otros controles y medidas que sí lo hagan.

Metodología para implementar un Sistema de Gestión del Compliance (SGC) ISO 37301:2021

Tipos de Compliance en la Empresa

A la hora de poner en práctica el compliance en la empresa, distinguimos entre los modelos genéricos y los modelos específicos de cumplimiento:

Modelos Genéricos

  • Modelo genérico o de superestructura de compliance: se apoya en el marco regulatorio global que ofrece la norma ISO 19600, la cual fija las directrices y buenas prácticas para implantar la función de compliance en cualquier empresa u organización.

Modelos Específicos

Los modelos específicos de cumplimiento son los que abordan áreas jurídicas concretas, por ejemplo:

  • Compliance penal
  • Compliance corporativo
  • Compliance medioambiental
  • Compliance de prevención de riesgos laborales
  • Compliance anticorrupción
  • Compliance de salud pública
  • Compliance fiscal y tributario

La labor del Compliance Officer pasa por integrar los sistemas específicos en un marco general y mantener una coordinación y supervisión del modelo para garantizar su eficacia, y que esté alineado con las necesidades del negocio.

Certificación del Compliance: Un Valor Añadido

¿Se puede certificar el compliance?

Sí, por supuesto. Igual que desde hace muchos años las organizaciones disponen de modelos de gestión en ámbitos muy diversos (calidad, medio ambiente, seguridad laboral, etc.) recientemente se han desarrollado estándares que ayudan a las compañías a implantar y certificar sistemas de gestión en compliance. Aquellas que se embarcan en estos proyectos quieren garantizar que hacen bien las cosas y que se adoptan todas las medidas preventivas para minimizar la materialización de un riesgo.

Beneficios de la Certificación

Obtener una certificación permite mejorar la reputación empresarial, fortalecer la confianza de los clientes y, en definitiva, robustecer la posición competitiva.

¿Es obligatoria la certificación?

No, no hay ningún requisito legal que obligue a una organización a certificarse en compliance.

Modelos de Certificación

Las organizaciones que desean implantar un modelo de gestión y, posteriormente, obtener una certificación o reconocimiento externo disponen actualmente de cuatro modelos:

Normas Genéricas

  • ISO 37301: sistema de gestión de compliance. Es el modelo más ambicioso y complicado, ya que analiza los riesgos relacionados con todas las obligaciones de cumplimiento normativo, independientemente de las consecuencias (administrativas, penales, reputacionales, etc.) que puedan tener para la organización.
  • UNE 19601: sistema de gestión de compliance penal. La norma se centra en prevenir la comisión de delitos en las organizaciones para evitar su imputación penal, de acuerdo con el Código Penal español en vigor.

Normas Específicas

  • ISO 37001: sistema de gestión de antisoborno. Norma centrada en prevenir los delitos de corrupción, cohecho, tráfico de influencias, malversación, etc., todos aquellos ligados al concepto de soborno.
  • UNE 19602: sistema de gestión de compliance tributario. Norma orientada a gestionar los riesgos tributarios (elusión de pago de impuestos y de la Seguridad Social, etc.).

La experiencia de los últimos años nos indica que la mayoría de las organizaciones optan por la certificación de su sistema de gestión de compliance penal según la norma UNE 19601. Esta decisión viene motivada porque el Código Penal, en su artículo 31 bis, contempla la exención de la responsabilidad penal de las personas jurídicas si, entre otros requisitos, antes de la comisión del delito se implanta un sistema de gestión enfocado a la prevención. Y sin duda, obtener una certificación, es la prueba más robusta para demostrar el compromiso con el cumplimiento legal de una entidad ante las autoridades judiciales.

En muchos casos, las organizaciones optan también por implantar y certificar simultáneamente la norma ISO 37001 de antisoborno, considerando los casos de corrupción que se han conocido en los últimos años y el impacto que tendría la comisión de este delito en una organización. En cualquier caso, la decisión debe tener en cuenta, entre otros aspectos, qué riesgos quiere mitigar la empresa y cuáles son los requisitos de los clientes. A corto-medio plazo no hay duda de que cada vez más organizaciones implantarán y requerirán una certificación de compliance (principalmente, por exigencia de sus grandes clientes). Además, en los próximos meses está previsto que se publiquen otras normas específicas relacionadas con la libre competencia, aspectos laborales o el blanqueo de capitales.

Casos Reales de Compliance en Empresas

Hoy en día no es difícil encontrar algún ejemplo de compliance de una empresa, ya que cada vez son más las compañías que se preocupan de llevar al día su cumplimiento normativo.

Caso Villarejo (Repsol, CaixaBank, Iberdrola Renovables y BBVA)

Para ponernos un poco en antecedentes, estas cuatro empresas están imputadas en el caso Villarejo (macrocausa ‘Tándem’) como piezas separadas, para aclarar una serie de contratos y pagos que se hicieron a la empresa Cenyt (perteneciente al ex-comisario) para que esta llevará a cabo diferentes trabajos, algunos de los cuales consistían en espionaje e investigación y obstaculización de competidores, entre otros. Por todos estos delitos, Repsol, CaixaBank, Iberdrola Renovables y BBVA podrían enfrentar como empresas penas que, aparte de elevadas multas, también podrían implicar desde la suspensión de su actividad, pasando por la inhabilitación para obtener ayudas públicas o contratar con el sector público, hasta la disolución de la compañía. Para muestra, ya en junio de 2022, el juez instructor de la causa archivó la investigación sobre Repsol y CaixaBank, porque estas habían aportado durante la investigación su «modelo de organización y gestión para la prevención de delitos», que en el momento de los hechos investigados, cumplía con los requisitos que exige el artículo 31.2 bis del Código Penal para estos planes.

Caso Barçagate (FC Barcelona)

Hablamos del conocido como el caso Barçagate, en el que se imputó a varios directivos de la cúpula del club, entre ellos el entonces presidente, Josep María Bartomeu, por los delitos de administración desleal y corrupción entre particulares. El Barçagate es un claro ejemplo de la importancia de tener no solo un programa de compliance, sino que este debe ser efectivo y promover la cultura del cumplimiento dentro de la empresa, algo que implica a los propios directivos, que son quienes deben implementar el denominado ‘tone at the top’.

Caso Volkswagen (Dieselgate)

El último de nuestros casos reales de compliance nos lleva fuera de España (aunque también nos afectó), nos referimos al caso Volkswagen, también conocido como ‘Dieselgate’. El caso Volkswagen saltó en 2015, cuando la EPA (Agencia de Protección Medioambiental de Estados Unidos) descubrió que los coches del fabricante alemán tenían implementado en el ordenador de abordo un programa que permitía trucar las pruebas de emisiones, de manera que durante las mismas emitía menos contaminantes que cuando se conducía en condiciones normales. El escándalo salpicó a directivos y al chief compliance officer (jefe de cumplimiento) de la compañía (que además fue detenido y finalmente declarado culpable). Sin embargo, Volkswagen tenía implementado un sistema de compliance y un código ético. Lo que ocurrió es que la directiva decidió ignorar su propio sistema de compliance y aceptar el riesgo que suponía trucar las pruebas. Incluso llegó a indicar a sus ingenieros que debían ocultar toda la información relativa a ello.

El Compliance como Ventaja Estratégica

En el análisis DAFO (acrónimo del proceso que ayuda a identificar Debilidades, Amenazas, Fortalezas y Oportunidades de un negocio) que realiza el equipo gestor de una compañía el cumplimiento normativo suele situarse en el marco de los riesgos y amenazas al crecimiento, bien por las novedades normativas que impacten sobre un sector productivo o bien por un contexto de inestabilidad política y legislativa que puedan comprometer ciertas operaciones empresariales. En la actualidad, el público objetivo de una empresa (sus clientes, trabajadores, proveedores, inversores y la sociedad en general) demandan una conducta y un cumplimiento que con frecuencia va más allá del umbral de lo que fijan las leyes. Sin duda, el compliance es un ámbito en plena expansión, necesario para generar confianza con los clientes y para minimizar el riesgo en las organizaciones. La ausencia de un plan de prevención de delitos expone a la empresa a múltiples riesgos, tanto legales como reputacionales.

tags: #la #figura #del #compliance #officer #en

Publicaciones populares: