Estamos acostumbrados a oír hablar de compliance para la empresa privada, pero el ámbito del cumplimiento normativo puede extenderse a otras organizaciones y entidades, también públicas, como es el caso que nos ocupa en este artículo, la aplicación del compliance para universidades.
En las siguientes líneas haremos un repaso de las claves principales del compliance en universidades, desde la normativa que lo regula, hasta cómo implementar un plan de compliance en la universidad.
En este artículo hablamos de:
¿Deben las universidades tener un plan de compliance?
Como en otras muchas actividades y sectores, tener un plan de compliance en la universidad no es una obligación, ni en las universidades privadas ni en las públicas. Sin embargo, que algo no sea obligatorio, no quiere decir que no sea necesario, especialmente cuando hablamos de cumplimiento normativo y ética.
Las universidades privadas, de hecho, han sido pioneras en la implantación de programas de compliance en este tipo de entidades en España, puesto que no dejan de ser, en esencia, una empresa privada, en la que la ética, la transparencia y el buen gobierno son clave para mantener la confianza de la sociedad y su reputación como institución académica, siendo el compliance un elemento fundamental para alcanzar esos objetivos y evitar la comisión de posibles ilícitos administrativos y penales, que puedan afectar a la imagen y confianza de la institución.
Pero, además, las universidades privadas, como personas jurídicas, necesitan tener un plan de compliance efectivo para poder reducir o exonerar su responsabilidad penal, en caso de que alguno de sus miembros cometiera algunos de los delitos de los que se derivaría dicha responsabilidad penal, tal y como recoge el artículo 31.2 bis del Código Penal.
En el caso de las universidades públicas, hasta ahora no existía una obligación de contemplar e implementar un plan de compliance en ellas, sin embargo, tras la entrada en vigor de la LOSU (Ley Orgánica del Sistema Universitario, Ley 2/2023) en febrero de 2023, sí que se crea esa necesidad de tener un programa de compliance para las universidades públicas, aunque en su caso, y cómo veremos a continuación, no está relacionado con el citado artículo del Código Penal (que no es de aplicación al tratarse de la administración pública), sino con la necesidad de garantizar la ética y la integridad en el funcionamiento de las universidades públicas y evitar el fraude.
¿Qué normativa regula el compliance para universidades?
Son dos las normativas que regulan el compliance para universidades. Por un lado, la ya citada LOSU, que en su artículo 47 recoge, si no literalmente, sí de manera implícita la obligación de tener un plan o programa de compliance en la universidad pública y privada. En concreto, el apartado 2, letra l) de este artículo nos dice que es función del Consejo Social de la universidad:
Velar por el cumplimiento de los principios éticos y de integridad académica, así como de las directrices antifraude, que deben guiar la función docente y la investigación, en colaboración con los organismos y planes de los que, para estos efectos, disponga cada universidad.
Es decir, que el Consejo Social de la universidad recibe una nueva función relacionada con el control del cumplimiento ético y normativo dentro de la universidad.
Por otro lado, la otra ley que regula o, cuanto menos, implica la aplicación de medidas de compliance en la universidad, es la Ley de protección de denunciantes de corrupción o ley del canal de denuncias, que obliga a las universidades (como al resto de organismos públicos y empresas privadas de más de 50 empleados) a implementar un canal de denuncias (o sistema de interno de información) con las garantías adecuadas para proteger a los denunciantes (o informadores).
¿Cómo implementar un plan de compliance en la universidad?
Implementar un plan de compliance en la universidad es un proceso no muy distinto a cómo se haría en la empresa, aunque con algunas diferencias, teniendo en cuenta las particularidades de este ámbito, donde existen otros riesgos específicos a tener en cuenta y unos actores que no encontramos en el ámbito empresarial, como son los profesores y los alumnos y las relaciones que se establecen entre ambos, y entre estos y el órgano administrativo de la universidad.
En cualquier caso, la metodología para la implementación del plan de compliance en las universidades sigue unos pasos similares a los de cualquier empresa privada; es necesario el compromiso del órgano administrativo con la ética, la transparencia y el buen gobierno, es necesario conocer las leyes y normas que son de aplicación y los riesgos de incumplimiento que se derivan de ellas, la definición de protocolos y la elaboración de un código ético, el establecimiento de un régimen disciplinario interno y un proceso de seguimiento y mejora continua.
Controlar el compliance en la universidad es una responsabilidad del Consejo Social, tal y como hemos dicho más arriba, forma parte de sus funciones, y para hacerlo debe colaborar con el organismo de cumplimiento que se haya designado en la universidad y el plan de compliance que este haya elaborado e implementado.
Es decir, que el Consejo Social no tiene tanto la obligación de elaborar el plan de compliance, sino de controlar su puesta en marcha, ejecución y cumplimiento, para lo que es necesario, como ocurre en otras entidades privadas, crear un organismo de compliance o departamento de compliance o compliance officer, encargado de la gestión del plan de compliance.
Riesgos específicos de compliance para universidades
Para poder tomar medidas que minimicen o eliminen los riesgos de cumplimiento en la universidad, es fundamental identificar y analizar los riesgos específicos que se derivan del ámbito y la actividad universitaria.
Por lo tanto, se deberá realizar un análisis de riesgos que tenga en cuenta las particularidades del ecosistema universitario: su normativa interna, las relaciones docentes-alumnos, la investigación docente, las becas, los programas y titulaciones, la asignación presupuestaria, etc., así como las leyes y normas que afectan directamente a las universidades y el desarrollo de su actividad.
Estos riesgos específicos deben dar lugar a un informe en el que se establezcan las prioridades en cuanto a su mitigación y prevención.
Medidas y controles para la mitigación del riesgo
Basándose en el informe del análisis de riesgos, el departamento de compliance deberá elegir y aplicar aquellas medidas y controles destinados a minimizar los riesgos de cumplimiento identificados, es decir, reducir las posibilidades de que se materialicen esos riesgos, así como reducir el impacto que tendría dicha materialización para la universidad y sus miembros.
Asimismo, las medidas y controles aplicados también deben permitir la prevención y la detección temprana de conductas ilícitas o contrarias a las leyes y normas externas, así como a la normativa interna.
Entre esas medidas y controles para la mitigación del riesgo de incumplimiento está la elaboración del código ético y la puesta en marcha de protocolos de actuación en caso de detectar conductas o acciones que puedan suponer un riesgo de incumplimiento, así como de la aplicación de políticas de compliance específicas para la universidad y sus miembros (que deberían incluir también a los alumnos).
En cualquier caso, las medidas y controles adoptados en el plan de compliance resultante deben ser específicos y a medida de cada universidad.
Departamento de compliance
Cómo ya hemos adelantado, será necesario crear un departamento de compliance, que funcionará como un compliance officer en la empresa, es decir, un organismo o persona encargada de elaborar el plan de compliance e implementarlo, supervisando su ejecución y control.
La persona o personas que formen el departamento de compliance deben tener conocimientos y experiencia en la materia, no solo en lo que al cumplimiento normativo se refiere, sino también sobre el funcionamiento y vida dentro de la universidad, de sus particularidades y peculiaridades propias.
Asimismo, aunque el departamento de compliance tendrá que colaborar con el Consejo Social y estar bajo su supervisión, debe gozar de independencia y autonomía suficientes para poder desempeñar sus funciones y responsabilidades de manera eficaz, por lo que, además, deberá contar con los recursos humanos y materiales necesarios para ello.
Canal de denuncias
Finalmente, la implementación del canal de denuncias obligatorio en la universidad es fundamental, puesto que este sistema interno de información permite la detección temprana y la prevención de conductas o acciones que puedan suponer infracciones administrativas o penales, así como de otras normativas, lo que fomenta la cultura del cumplimiento y la ética en la institución.
El proceso para implementar el canal de denuncias en la universidad es el mismo que podríamos seguir en una empresa privada:
- Elegir si la gestión del canal de denuncias será interna o externa.
- Elegir las vías de comunicación para realizar las denuncias.
- Nombrar al responsable del canal de denuncias (cargo que puede desempeñar un miembro del departamento de compliance).
- Elaborar y comunicar el reglamento del canal de denuncias.
- Elaborar el procedimiento del canal de denuncias (protocolo de recepción de denuncias, gestión, tramitación y proceso de investigación de las denuncias o su archivo).
- Llevar el registro de denuncias recibidas, resueltas y archivadas.
- Nombrar un Delegado de Protección de Datos (si bien, la universidad, como entidad pública, ya debería contar con esta figura).
- Publicar la existencia del canal de denuncias.
En definitiva, el compliance para universidades es ya una necesidad para las universalidades públicas, aunque es un ámbito nuevo para ellas y será necesario contar con la ayuda de expertos en compliance para elaborar planes de compliance específicos para universidades, que implanten y promuevan la cultura del cumplimiento y la ética dentro de los campus.