Método, método, método...

En ocasiones sucede que algunas personas, cuando caminan por la calle, hacen deporte o ven la televisión, son capaces de poner la mente en blanco, limitando su actividad a cierta zona de confort donde los movimientos se fundamentan en rutinas automáticas. Acudo en ocasiones a esta imagen para referirme a empresas que –en un intento razonable de elaborar un sistema de compliance, bien por si mismos o bien asesorados por terceros– se han limitado a dotarse de forma automática o automatizada de un código ético, políticas y protocolos (deberes, en cualquier caso) desajustados a las necesidades corporativas reales, pero que “cumplen” al menos de forma teórica con las exigencias del art. 31 bis del Código Penal. La empresa –recomiendo a continuación– debe salir de su zona de confort y fundamentar la gestión de riesgos normativos en un método que dé soporte al resto del sistema de compliance. Se debe construir desde abajo.

Me explico. Cuando el joven Hans Kelsen llegó a la facultad de Derecho, quedó frustrado al apreciar la falta de rigor en el método para explicar las Ciencias Jurídicas. No le convenció, ni de lejos, la clásica cita de que la ciencia del derecho es una divinarum atque humanarum rerum notitia (un conocimiento de las cosas humanas y divinas). Gracias a su “Teoría pura del derecho” y a los esfuerzos de muchos otros, los investigadores de las llamadas ciencias sociales basan ahora su conocimiento en la observación de los hechos con base en la experiencia (observación, medición y verificación) con el fin de dotarse de rigor científico y eliminar la incertidumbre, al estilo de las ciencias empíricas. Y es que el método es básico si queremos que el resultado sea confiable, transparente y comprensible, científico, en una palabra.

En estos últimos siete años hemos comprobado que el tejido empresarial español ha comprendido el valor de la gestión de riesgos normativos como un activo para ganar en competitividad y mejorar su funcionamiento y resultados, esperando de la unidad de Compliance la misma eficacia que el resto de unidades de negocio.

En efecto, en el ámbito corporativo las decisiones se toman para ganar en competitividad, soportadas por datos contrastables, contables, financieros y metodológicos, fundamentados en procesos de negocio, por lo que la unidad de compliance no puede imponer criterios que no estén debidamente fundamentados y sean perfectamente comprensibles por todos y, especialmente, por aquellos que deben tomar la decisión de adoptarlos. A compliance se le debe exigir método.

Es tradicional exigir del órgano de administración y de la alta dirección la involucración absoluta con el sistema de compliance y la aprobación de políticas, códigos y manuales al amparo del “tone from the top”. Pues bien, una dirección implicada es siempre una dirección formada y convencida de la metodología empleada para la evaluación y gestión de los riesgos normativos, pues de lo contrario desvirtuamos el sentido de la función de compliance, teniendo (i) gente voluntarista o (ii) convencida de que compliance “solo” sirve para evitar condenas penales. Kelsen, mucho más claro que yo, sostiene que “el conocimiento siempre destruye el velo que la voluntad extiende sobre las cosas”.

Termino con tres ideas (a modo de tres pasos) que pretenden aclarar mi postura:

1. Compliance debe gestionar riesgos normativos, por lo que habrá que definir, en un primer momento, cuál es el marco normativo y cuáles son los riesgos para la empresa. Siguiendo el hilo de la Teoría pura de derecho, solo deberemos prestar atención a aquellos riesgos que normativamente llevan aparejada una sanción (Si A sucede, debe ser B, siendo B una sanción concreta). Hay quien pretende también gestionar riesgos legales causales (Si A sucede, puede ser B, solo si alguien reclama), si bien debemos recordar que han sido tradicionalmente gestionados por asesoría jurídica basados en la experiencia reactiva.
2. La empresa debe fijar y conocer con exactitud cómo se valora y cuantifica el riesgo normativo (la probabilidad y el impacto). Es imprescindible dotarse de un método de valoración comprensible y estable. Hay numerosos instrumentos internacionales (COSO, ISO 31000, etc.), debiendo, en la medida de lo posible, conciliar la metodología con otras unidades que ya dispongan de un método (auditoría interna, contabilidad y financiero, valoración de riesgos, etc.).
3. Por último, se debe documentar el sistema de compliance (Manual de prevención de delitos, Código ético y de conducta, políticas y protocolos) de conformidad con los riesgos identificados y evaluados, a fin de dotar al sistema de compliance de coherencia interna y externa. El riesgo, insisto: debidamente identificado y evaluado en los pasos anteriores, será la base sobre la que elaborará el Código ético y el resto de políticas y protocolos, debiendo priorizarse los riesgos que han de enfrentarse en primer lugar (aquellos que presenten una mayor probabilidad e impacto) con medidas concretas (controles y tareas específicas asignadas a unidades y personas individuales e identificadas, que respondan de su (in)cumplimiento).

Siguiendo estos pasos, la alta dirección y el órgano de gobierno comprenderán el valor de la función de compliance, obteniendo un resultado doble: el compromiso con la gestión de los riesgos normativos y el respeto a la autonomía del compliance officer, toda vez que su actividad es comprendida, comprensible y asumida con un activo corporativo.

Néstor Aparicio

Governance, Risk & Compliance at Ecix Group

Profesor del programa superior de Compliance del Instituto de Empresa, del máster de la abogacía de la Universidad de Castilla-La Mancha y miembro de la subcomisión de Prevención de Blanqueo de Capitales del Consejo General de la Abogacía Española.