Los marcos normativos y regulatorios que afectan a las empresas se están volviendo más complejos y exigentes y la vigilancia sobre estas también va en aumento, tanto de los propios organismos de control como de la propia sociedad. Es por ello que cada vez son más las empresas que optan por implementar un Sistema de Gestión de Compliance (SGC) para llevar un control más eficaz respecto al cumplimiento de todas aquellas normas, leyes y reglamentos, nacionales e internacionales, que le afectan. Pero ¿qué es un Sistema de Gestión de Compliance?
En este artículo hablamos de:
- ¿Qué es un Sistema de Gestión de Compliance?
- ¿Para qué sirve un sistema de compliance?
- ¿Qué elementos tiene un Sistema de Gestión de Compliance?
- ¿Cómo implementar un Sistema de Gestión Compliance?
- ¿Es certificable el Sistema de Gestión Compliance?
- Beneficios del Sistema de Gestión de Compliance para la empresa
¿Qué es un Sistema de Gestión de Compliance?
Un Sistema de Gestión de Compliance es la estructura que comprende las medidas, procesos y políticas que adopta y aplica una organización con el objetivo de prevenir, detectar y gestionar los riesgos derivados del cumplimiento de las normas que la afectan (sea esta una empresa privada, una entidad pública o una organización sin ánimo de lucro). El sistema de compliance debe ser aceptado, conocido, apoyado y promovido por la alta dirección.
Entendemos aquí por normas tanto leyes y reglamentos emanados de los Estados y los organismos internacionales, como aquellas autoimpuestas por la propia organización, es decir, la normativa interna adoptada por ella (como, por ejemplo, códigos de conducta, código ético, códigos de buenas prácticas, etc.).
Dado que el compliance o cumplimiento normativo, puede dividirse en diferentes tipos, en función de los ámbitos normativos que se quieren abarcar, podemos hablar desde sistemas de gestión de compliance legal (con un carácter más amplio y general), hasta sistemas más específicos, como pueden ser los sistemas de gestión de compliance derivados del compliance fiscal, del compliance medioambiental, del compliance tecnológico o del compliance penal.
En cualquier caso, las organizaciones elegirán aquel sistema de gestión compliance que más les convenga en función de su contexto, sector de actividad, tamaño y riesgos de cumplimiento a los que puedan estar expuestas, entre otros factores.
¿Para qué sirve un sistema de compliance?
El sistema de compliance sirve para diferentes fines. Por un lado, a través de su implementación se pone en funcionamiento el plan de compliance de la organización para gestionar y controlar los diversos riesgos de cumplimiento a los que está expuesta y que se derivan de leyes y normas que le afectan (como, por ejemplo, normativa fiscal, normativa laboral, de protección de datos, competencia, corrupción y blanqueo de capitales, etc.).
Gracias al Sistema de Gestión de Compliance, la organización reduce y mitiga esos riesgos de cumplimiento, es decir, reduce la posibilidad de la comisión de delitos dentro de su seno (por sus miembros) y el impacto que su posible comisión podría tener para ella como persona jurídica (no olvidemos que desde 2010, las personas jurídicas en España tiene responsabilidad penal en la comisión de determinados delitos del Código Penal).
Por otro lado, adoptar un Sistema de Gestión de Compliance efectivo sirve a las empresas para evitar las peores consecuencias de la comisión de delitos o infracciones, como puede ser la imposición de multas o sanciones derivadas de su responsabilidad penal, el daño reputacional, la pérdida de clientes e inversores o la pérdida de subvenciones o contratos públicos.
¿Qué elementos tiene un Sistema de Gestión de Compliance?
Cualquier Sistema de Gestión de Compliance efectivo debe tener los siguientes elementos:
- Tone from the top o el compromiso de la alta dirección
El compromiso con el cumplimiento normativo y, por extensión, el éxito de cualquier Sistema de Gestión de Compliance, deben partir desde la alta dirección de la empresa, es decir, es necesario que esta adopte los compromisos con la cultura del compliance y los transmita al resto de la empresa, y que se convierta en ejemplo de ese compromiso, es decir, que supervise y controle la aplicación de las políticas y procedimientos de compliance que forman parte de su sistema de gestión de compliance y, además, los cumpla.
Así, la dirección debe aprobar el programa de compliance y asegurar que se cumplen los objetivos establecidos en él. Para ello, deberá crear un órgano de compliance dentro de la organización, pero independiente y autónomo, al que dotará de los recursos necesarios para que el Sistema de Gestión de Compliance sea efectivo.
- Objetivos del plan de compliance
Todo Sistema de Gestión de Compliance debe tener fijados unos objetivos que alcanzar; estos objetivos se establecen en base a las normas que se deben cumplir, como son aquellas leyes y reglamentos que afectan a la empresa en base a su actividad, su tamaño, su localización geográfica, su sector, etc., y aquellas otras normas de carácter interno, como el código ético o de buenas prácticas.
Estos objetivos de compliance serán la base sobre la que se crearán las políticas (medidas y acciones) y procedimientos (métodos para cumplir con las políticas) de compliance que formarán parte del Sistema de Gestión de Compliance.
- Órgano de compliance
Para poder implementar las políticas de compliance y poner en marcha los procedimientos con los que darle cumplimiento, es fundamental que el sistema de compliance esté gestionado y supervisado por un órgano de compliance o compliance officer.
Este órgano, que puede ser individual o colegiado, debe ser independiente y autónomo (si bien es cierto que, en organizaciones más pequeñas, esta función puede ser asumida por la propia dirección). Entre sus funciones están el monitoreo y supervisión el sistema y el reporte a la alta dirección. No es función del órgano de compliance el diseño del sistema de compliance, aunque sí puede colaborar y asistir esa etapa, ya que es recomendable que la creación de este órgano se produzca con carácter previo a la elaboración del sistema.
- Análisis de riesgos
El análisis de riesgos es un elemento fundamental de cualquier Sistema de Gestión de Compliance, puesto que a través de la elaboración de mapas de riesgos de cumplimiento, en los que se correlacionan probabilidad e impacto de los riesgos que afectan a cada departamento de la empresa, se puede determinar los riesgos de cumplimiento a los que está expuesta la empresa en función de diferentes factores y normas que la afectan.
El análisis de riesgos, además, permite elaborar una estrategia y diseñar medidas para reducir la probabilidad de materialización de los riesgos y, en caso de que se materialicen, responder ante ellos y reducir su impacto.
- Protocolos, políticas y controles
Como decíamos, la identificación de los riesgos permite al órgano de compliance diseñar y adoptar las medidas, procedimientos y controles necesarios para mitigar tanto la posibilidad de materialización de los riesgos como su impacto si ocurren.
Estas medidas, procedimientos y controles se articulan en protocolos y políticas de cumplimiento para la organización en su conjunto y para cada departamento (si es necesario, en función de los riesgos de cumplimiento que se hayan podido detectar en el análisis de riesgos) o en un plan de compliance.
Son ejemplos de estas medidas los protocolos de protección de datos, la implementación del canal de denuncias, la formación de los empleados, el protocolo contra el acoso laboral, el plan de prevención de delitos penales, etc.
Todas estas políticas y procedimientos deben quedar documentados.
- Comunicación e información
La comunicación e información en el Sistema de Gestión de Compliance es fundamental, puesto que a través de la información obtenida de fuentes internas y externas, la dirección y el órgano de compliance pueden realizar una mejor supervisión y control del sistema y conocer el nivel de cumplimiento de cada área o departamento o de la empresa en su conjunto.
Además, las medidas y procedimientos de cumplimiento deben ser comunicados a todos los miembros de la organización, para que conozcan sus obligaciones y responsabilidades en materia de cumplimiento normativo.
En ese sentido, el Sistema de Gestión de Compliance también debe incluir acciones de formación sobre compliance para todos los miembros de la plantilla, pero con especial atención para aquellos que ostenten cargos de responsabilidad.
- Monitorización y sistema disciplinario
El Sistema de Gestión de Compliance debe evaluarse de manera continua, para comprobar el nivel de desempeño de cada medida y procedimiento adoptado e implementado en la empresa, para saber si se están cumpliendo los objetivos establecidos o es necesario adoptar medidas correctoras o implementar nuevas medidas.
Así mismo, todo Sistema de Gestión de Compliance debe contar con un sistema disciplinario de compliance que castigue los comportamientos o acciones en contra del propio sistema, es decir, un régimen sancionador interno (dentro de los límites que marca la ley y que sea proporcional), para castigar a aquellos empleados o miembros de la organización que incumplan las políticas o procedimientos de compliance.
¿Cómo implementar un Sistema de Gestión Compliance?
La implementación de un Sistema de Gestión de Compliance debe seguir estos pasos:
- Definir los objetivos del plan de compliance para la empresa. Estos objetivos, como decíamos más arriba, dependerán de las normas que afecten a la empresa y del propio contexto en el que desarrolla su actividad, pero deben ser unos objetivos realistas y con un plazo de tiempo que permita alcanzarlos.
- Asignar roles y responsabilidades dentro de la empresa. Y crear o designar el órgano de compliance encargado del diseño, gestión y supervisión del sistema de compliance.
- Realizar los correspondientes análisis de riesgos.
- Determinar las medidas y procedimientos del plan de compliance.
- Implementación y seguimiento del plan de compliance.
- Fijar el régimen sancionador interno.
- Evaluación periódica del plan de compliance y replanificación si es necesario (bien sea por problemas detectados, por insuficiencias de las medias o porque se hayan producido novedades normativas que puedan afectar a la empresa).
Cabe señalar que para llevar a cabo la implementación y seguimiento de un Sistema de Gestión Compliance, se pueden emplear soluciones digitales, como un software de gestión de compliance, que agrupan en una sola herramienta todos los elementos del sistema.
¿Es certificable el Sistema de Gestión Compliance?
Actualmente, los Sistemas de Gestión de Compliance basados en la norma ISO 37301 son certificables; a diferencia de lo que ocurría con la ISO 19600, anterior estándar internacional para la implementación de un Sistema de Gestión de Compliance, que no lo era, la ISO 37301 es una guía con todos los requisitos y directrices que debe cumplir el SGC para su certificación.
En España la certificación de la UNE-ISO 37301:2021 puede solicitarse a AENOR, que someterá a una auditoría externa el Sistema de Gestión de Compliance implementado en la empresa.
Si bien la certificación del sistema de compliance de la empresa no es obligatoria, tenerla es una muestra del nivel de compromiso con el cumplimiento normativo y la cultura ética de la empresa. Además, en posibles procesos judiciales en los que pueda verse envuelta la empresa, facilitará la acreditación de contar con un programa de compliance efectivo.
Beneficios del Sistema de Gestión de Compliance para la empresa
Tener un Sistema de Gestión de Compliance en la empresa puede aportar los siguientes beneficios o ventajas:
- Reducción de la responsabilidad penal de la empresa ante la comisión de determinados delitos por parte de sus miembros.
- Mejora la organización, los procedimientos y el control interno.
- Ayuda a detectar posibles comportamientos o acciones ilícitas de directivos o empleados.
- Mejora la reputación y genera confianza entre los stakeholders de la empresa.
- Permite tener una mejor visión y control del cumplimiento de las diferentes leyes, normas y reglamentos que afectan a la empresa, tanto a nivel nacional como internacional.
- Supone una ventaja a la hora de competir por los contratos públicos y las subvenciones.
- Crea un efecto disuasorio ante el fraude y otros comportamientos ilícitos dentro de la empresa.
- Facilita encontrar socios o proveedores que cumplan con sus obligaciones legales.
En definitiva, el Sistema de Gestión de Compliance es una herramienta imprescindible para cualquier empresa que quiera reducir los riesgos de cumplimiento derivados de la aplicación de diferentes normas y leyes que puedan afectar y que tiene la obligación de cumplir. Además, supone una forma de atenuar y, en algunos casos eximir, a la empresa de la responsabilidad penal por los delitos que hayan podido cometer sus miembros.