Nosotros y ellos: third party compliance
Néstor Aparicio
Abogado, compliance officer, consultor, escritor, profesor, conferencista y formador
Los Dinka viven en Sudán del Sur desde el siglo X. En su lenguaje nilótico, dinka significa “personas”, supongo que para diferenciarse de los otros, los que no son Dinka. Paradójicamente, la tribu vecina de los Dinka son los Nuer (enemigos acérrimos, como todo vecino que se precie) que, en su lengua, se autodenominan “personas originales”, para diferenciarse de los que no son personas o no son lo suficientemente originales (los otros, los Dinka y el resto de tribus bárbaras). El modelo es exportable y reconocible en naciones, razas, ciudades, pueblos, barrios, empresas… En todo aquel ambiente en el que el humano pone su pie.
Ellos, los otros, los demás, en la vida, en la calle, en los negocios… Y es que siempre existe un nosotros y un ellos, los otros, con los que solo compartimos el aire que nos sobra alrededor.
En el mundo corporativo, los otros eran los que no son la empresa: proveedores, sindicatos, clientes, el comercial, el contable, el vigilante de seguridad y el abogado subcontratado… Y parecía que nada de lo que hicieran nos podía afectar. Al fin y al cabo eran los otros.
Eran, hasta que el Código Penal estableció que la persona jurídica era responsable de determinados hechos delictivos cometidos por empleados; concepto desdibujado por la Circular 1/2016 de la FGE cuando explica que no es “necesario que se establezca una vinculación directa con la empresa, quedando incluidos autónomos, trabajadores subcontratados y empleados de empresas filiales, siempre que se hallen integrados en el perímetro de su dominio social”. Es decir, los otros, los demás, son para la empresa todo aquel que esté vinculado de forma directa o indirecta, siempre que se halle sometido a la autoridad de administradores y directivos.
Los otros son ahora menos otros para convertirse en nosotros, de forma que la empresa tiene que controlar su actividad para que no le afecten los posibles incumplimientos de esos otros. De ahí la importancia del control de proveedores y otras partes interesadas: el denominado “third party compliance”.
La UNE 19601 habla de la necesidad de identificar las partes interesadas (todo aquel que pueda afectar, verse afectado o percibirse como afectado de una decisión o actividad) y los socios de negocio (aquel con quien la empresa establece o prevé establecer cualquier relación de negocio) y tomar medidas de diligencia debida sobre la base del risk assessment continuado, con el objetivo de conocer y tener confianza en las contrapartes, hacer negocios éticos y responsables, evitar el daño reputacional y proporcionar seguridad a la propia empresa, a socios, clientes y a la sociedad en general.
Esta due diligence requerirá diferentes análisis dependiendo del tipo de socio de negocio. Por ello:
- Se tendrá en cuenta la vinculación con la empresa: socio con “capacidad de actuar en nombre de la organización”, proveedor de bienes o servicios, etc.
- Se analizará la influencia en la organización de conformidad con el riesgo/actividad concreta, de forma que la empresa deberá decidir cómo de lejos llega en sus averiguaciones (proveedor de proveedor, por ejemplo: el llamado “fourth party compliance”)
Con el fin de no perjudicar los procesos de negocio y facilitar el control, recomiendo empacar los análisis:
- Uno general, estandarizado, compuesto de cuestionarios preventivos de autoevaluación y evaluaciones recurrentes y periódicas; y
- Un modelo específico aplicable a operaciones con riesgos normativos superior a bajo, que incluye medidas genéricas y un análisis en profundidad de la contraparte, de sus antecedentes reputacionales, del ámbito geográfico y competencial donde se ubica.
En uno y otro caso, habrá de analizarse con especial atención el contrato y la forma de pago (fees, domicilio fiscal y bancario, etc.). Y para que las promesas no se pierdan entre los cuatro papeles del contrato, habrá de reservarse la empresa la facultad de pedir la actualización de la información del cuestionario de autoevaluación o de someter a la tercera o cuarta parte a una auditoría preventiva y planificada o reactiva ante novedades legislativas, corporativas, sociales o reputacionales en el otro.
Termino, no sin antes recordar la mítica sentencia de 29 de febrero de 2016 de nuestro Tribunal Supremo, que insistía en la necesidad de fomentar una cultura ética y de cumplimiento normativo corporativo, sin concretar sus límites. A la vuelta de un año, queda claro que la empresa no es un islote imperturbable, sino que afecta y se ve afectada por decisiones de otros, cuyos riesgos es necesario minimizar. Los Dinka y los Nuer están llamados a entenderse, porque los-unos y los-otros (no por placer, sino por necesidad) son cada vez más nosotros.
Néstor Aparicio
Governance, Risk & Compliance at Ecix Group
Profesor del programa superior de Compliance del Instituto de Empresa, del máster de la abogacía de la Universidad de Castilla-La Mancha y miembro de la subcomisión de Prevención de Blanqueo de Capitales del Consejo General de la Abogacía Española.