El 'compliance' que nos afecta a todos
La efectividad del 'compliance' reposa en procesos de control interno"
Ya en el año 2003 la International Federation of Accountants (IFAC) concluyó en su documento Rebuilding public confidence in financial reporting: an international perspective, que dejar de reconocer la primacía de la integridad era el factor que más había contribuido a los escándalos financieros de inicios de siglo. Más adelante, en el año 2007, el Institute of Chartered Accountants in England and Wales (Icaew) estudió en profundidad el significado empresarial del término integridad en su documento Reporting with integrigy, llegando a la conclusión de que se juzgaba, entre otras cosas, el cumplimiento de las leyes por parte de las organizaciones y de las personas que las componen. El anglicismo compliance tiene mucho que ver con ello, aunque el contenido del concepto evoluciona con gran rapidez.
Tradicionalmente se ha relacionado el compliance con el control del cumplimiento de determinado marco legal, propio de los mercados regulados donde operan algunas organizaciones, como las financieras, las aseguradoras, las productoras o distribuidoras de energía, las que actúan en el mercado de las telecomunicaciones o los laboratorios farmacéuticos, por poner algunos ejemplos. Es en estos contextos donde aparecieron los primeros departamentos de compliance y la figura del chief compliance officer (CCO).
Sin embargo, en los últimos años concurren varios factores que expanden las fronteras del compliance. Aunque se liberalizan determinados mercados, esto no lleva aparejada una desregulación, sino que se mantiene o incrementa la normativa aplicable. A las normas tradicionales (hard law) se unen regulaciones de cumplimiento voluntario igualmente importantes para las organizaciones (soft law). La defensa de los colectivos más expuestos en el mercado (consumidores y usuarios) da lugar a normas que velan por su protección y que impactan tanto en la actividad principal de algunas industrias como en sus actividades accesorias (publicidad o etiquetado, por poner un ejemplo). Además, se promulgan normas que, por su amplio espectro objetivo y subjetivo, afectan a la práctica totalidad de organizaciones, como las regulaciones relacionadas con la protección de datos personales, y finalmente irrumpe la esfera penal en las actividades de la empresa a través de la imputabilidad de las personas jurídicas, con las drásticas consecuencias que se derivan de ello y que pueden conducir a su intervención judicial o incluso su disolución.
Por ello, no es extraño que las nociones más avanzadas de compliance abandonen su corsé de origen y extiendan notablemente su ámbito de aplicación, siendo el governance risk and compliance (GRC) capability model del Open Compliance & Ethics Group (OCEG), descrito en su conocido Red book, un claro ejemplo de esta concepción actual. Por los motivos indicados, el cumplimiento con el entorno normativo es actualmente una cuestión que afecta a todas las organizaciones, con independencia de su tamaño y de los mercados en que desarrollen su actividad.
El término compliance ya hace algún tiempo que dejó de asociarse exclusivamente con ratios técnicos y ser patrimonio de un reducido grupo de organizaciones, convirtiéndose en un recurso necesario en cualquier empresa. Cuestión distinta es que su cometido quede ocasionalmente integrado en otras áreas más tradicionales, como la asesoría jurídica interna o incluso la secretaría de las sociedades.
Pero el verdadero quebradero de cabeza de los responsables de compliance no radica solo en inventariar las normas a vigilar, sino, especialmente, conocer a tiempo cuándo concurren dentro de la organización circunstancias que motiven su aplicación y requieran, por lo tanto, de actuación. Con las modernas técnicas de knowledge management, la dificultad no está en la localización de la normativa, sino en conocer con antelación las actividades que se producirán en las distintas áreas funcionales o unidades de negocio de la empresa y que provocan su aplicación. Salvo en pequeñas compañías, el conocimiento efectivo de estas informaciones solo puede garantizarse a través de mecanismos de control establecidos al efecto. Por eso, la efectividad en la función de compliance reposa necesariamente en procesos de control interno específicos para su cometido (control legal interno).
Según un reciente estudio de KPMG, más de la mitad de empresas encuestadas manifestaban que la función jurídica interna estaba poco o nada soportada en procesos y herramientas diseñadas para la captación de información jurídica relevante.
Estas cifras invitan a reflexionar sobre la importancia que está alcanzando la función de la actividad de compliance y los recursos que se ponen a su disposición del mismo, pues esta proporción constituye un indicador más de diligencia en la gestión por los responsables de las organizaciones.
Alain Casanovas. Socio del área legal de KPMG Abogados