Tras un momento inicial en el que la Función de Cumplimiento Normativo se asoció, casi exclusivamente, con la aplicación de la conocida como normativa “MiFID”, su zona de influencia no ha dejado de crecer en los últimos años, para incluir, por ejemplo, la prevención del blanqueo de capitales, los sistemas que introducen medidas de diligencia debida para exonerar o mitigar la responsabilidad penal de las personas jurídicas o el seguimiento del concepto, un tanto etéreo, de regulación.
López Jiménez (2016) destaca este nuevo enfoque, que amplía la originaria -e insuficiente- identificación de esta función con los mercados de instrumentos financieros:
"Nadie podrá negar, desde luego, la relevancia que en toda entidad bancaria ha adquirido la función de cumplimiento normativo, cuyo ejercicio pleno se ha convertido en un elemento indispensable para la estabilidad del sector, y en todo un reto para quienes asumen, en estos tiempos que corren, esta función".
Ya nadie duda de la sustancial actividad de la Función de Cumplimiento Normativo en las entidades financieras, pero aún existen muchas incertidumbres sobre como materializar la misma.
La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) insta a las entidades para que establezcan una Función de Cumplimiento Normativo permanente y eficaz para gestionar el riesgo de cumplimiento, y para que nombren a una persona como responsable de esta función en toda la entidad (el director o responsable de cumplimiento –Chief Compliance Officer-) (EBA, 2018).
El Banco de Pagos Internacionales define el "riesgo de cumplimiento" ("compliance risk") como el riesgo de sanciones legales o regulatorias, de pérdida financiera material o de reputación que un banco puede sufrir como resultado del incumplimiento de leyes, regulaciones, reglas, normativa interna y códigos de conducta aplicables a las actividades bancarias.
Y es aquí donde comienza la verdadera problemática. Una de las principales características del sector financiero es su extensa y compleja regulación. Tal es esto que el propio organismo de velar por vigilar, detectar y mitigar el riesgo sistémico, la Junta Europea de Riesgo Sistémico (ESRB, por sus siglas en inglés), ha advertido recientemente, entre otros muchos efectos negativos, de que una regulación excesiva y compleja puede producir riesgo sistémico por el incentivo de transferir el riesgo en instituciones fuera del perímetro de la regulación (ESRB, 2019).
En este entorno, el responsable de la Función de Cumplimiento Normativo tiene el deber in vigilando de que ninguna norma se escape del control de la entidad, para así evitar daños reputacionales o financieros. A esto hay que añadir que a las normas integradas en este perímetro inacabable se le añaden disposiciones internas, recomendaciones (el denominado "soft law") y la interpretación que de todo ello hacen los supervisores bancarios.
En estos tiempos de "tsunami regulatorio" continuo debemos ser críticos con la distancia existente entre la regulación, la supervisión y la gestión de los bancos. La generalidad con la que se expresan en algunas ocasiones los legisladores y los supervisores dificulta el cumplimiento por parte de los bancos de lo que se espera de ellos. Peor aún, las prioridades de unos y otros -los legisladores y los supervisores- no siempre coinciden.
Con todo esto, la Función de Cumplimiento Normativo se erige como el equilibrio en este terreno de juego lleno de intervinientes.
La EBA (2018) solicita a las entidades financieras que la Función de Cumplimiento Normativo tenga:
- Independencia frente a las Unidades de Negocio[1].
- Recursos, conocimientos, competencias y experiencia adecuados.
- Suficiente autoridad, asesorando al órgano de administración sobre las medidas que se vayan a tomar para garantizar el cumplimiento de las leyes, normas, regulación y estándares aplicables, y evaluando el posible impacto de cualquier cambio en el entorno jurídico o regulatorio sobre las actividades de la entidad y el marco de cumplimiento.
- Establecimiento de relaciones con las áreas de Riesgos y Auditoría Interna[2].
Los responsables de la Función han sido situados en los organigramas con dependencia jerárquica o funcional del Consejo de Administración y/o los Comités de Auditoría y Riesgos, o bajo la dependencia de las Secretarías Generales o Departamentos de Riesgos (bajo la responsabilidad del Chief Risk Officer) (en este último caso, con la justificación de que el riesgo de cumplimiento se encuadra como una tipología más del riesgo y, consecuentemente, bajo el paraguas de estos departamentos). También se pueden suscitar dudas, en cuanto a las relaciones y el reparto de funciones, en el seno de cada entidad, entre las áreas de Cumplimiento y Asesoría Jurídica.
Pero ni la regulación ni las recomendaciones de "soft law" se han pronunciado sobre la esencial cuestión del perímetro de esta función. Como reflexiona Navajas Martínez (2008) "situando la función de cumplimiento en términos deportivos, resulta prioritario determinar el perímetro del terreno de juego y sus reglas antes de comenzar el partido".
La inexistencia de claridad en las funciones concretas que la Función de Cumplimiento Normativo debe gestionar (salvo responsabilidades específicas en algunas regulaciones como la de MIFID[3]) supone una de las cuestiones a resolver por los bancos y provoca, en términos comparativos, grandes diferencias en la banca europea.
Es por ello que la situación de la Función de Cumplimiento Normativo en los organigramas sea la que delimite el perímetro y el perfil del responsable de la Función. Aquellos bancos donde la dependencia del responsable de Cumplimiento sea de la Secretaría General, su actividad y perfil se circunscribirá a ámbitos más jurídicos (Prevención del Blanqueo de Capitales y Financiación del Terrorismo, Gobierno Corporativo o Abuso de Mercado, entre otros). Sus solapamientos sé producirán, principalmente, con la Asesoría Jurídica, como ya hemos anticipado.
Por otro lado, aquellos bancos que entienden la Función como el control de un riesgo ("riesgo de cumplimiento") se suelen centrar en el control de riesgos como el de conducta (en su doble vertiente, empleados y clientes), el riesgo penal o el riesgo reputacional, entre otros. Sus solapamientos sé producirán, primordialmente, con los equipos de riesgos, y el perfil del responsable de la Función no será estrictamente jurídico sino con conocimientos, competencias y experiencia adecuados en relación con las técnicas y procedimientos de gestión del riesgo.
Finalmente, aquellas Funciones con mayor independencia (por su dependencia jerárquica del Consejo de Administración o del Consejero Delegado) podrán tener un perfil más heterogéneo, siendo una nueva tendencia la selección de un perfil más tecnológico. Al fin y al cabo, la digitalización y el tratamiento ("Big Data") y la protección de datos (Reglamento General de Protección de Datos, en cuanto a los propios de personas físicas) son algunos de los factores del riesgo de cumplimiento.
Pero el listado de funciones es interminable y no sigue unas pautas comunes en el sector financiero.
Volviendo al inicio de mi reflexión, si bien la Función de Cumplimiento Normativo deberá cumplir con las tareas que le sean encomendadas en cada entidad, su responsabilidad no acabará aquí. Como hemos señalado anteriormente, la Función de Cumplimiento Normativo debe establecer los controles necesarios que permitan conocer si una entidad está cumpliendo las normas y, si no fuera así, cuál es el riesgo real de su incumplimiento.
En mi opinión, son dos las reflexiones que debemos traer a colación:
- ¿Cómo establecer una "cultura de cumplimiento" en una entidad bancaria?
- ¿Cómo de medible es el "riesgo de cumplimiento"?
Respecto al primer punto, no es mi intención la de atribuir a la Función de Cumplimiento Normativo unos poderes imposibles de acometer. Es decir, la Función de Cumplimiento Normativo "debe verificar que las normas son efectivas e informar periódicamente al consejo de administración", pero será este último el que deberá tomar medidas para hacer frente al incumplimiento normativo detectado[4].
La manera de abordar que todas las normas se cumplan es la implementación de una verdadera "cultura de cumplimiento". Esto significa la concienciación en una entidad sobre el impacto del incumplimiento de la norma en las decisiones adoptadas por la dirección y, más en general, por los empleados en el desarrollo de sus actividades diarias (quizá baste con recordar que "la ignorancia de las leyes no excusa de su cumplimiento", artículo 6.1 del Código Civil español).
Una posible recomendación es el diseño de una gobernanza robusta que permita identificar, priorizar, seguir y asignar de forma continua las normativas (tanto "hard" como "soft law") bajo la responsabilidad de la Función de Cumplimiento Normativo. Esto implicaría la interlocución continua con las diferentes direcciones en un banco pero facilitaría enormemente la información a reportar al Consejo de Administración –y a sus Comités delegados- para la toma de decisiones. En esta gobernanza sería importante tener en cuenta las inspecciones vigentes y las recomendaciones emitidas por las diferentes autoridades de supervisión.
En lo referente a la cuantificación del "riesgo de cumplimiento" la cuestión es si realmente esto se puede medir a través de métricas. Se trata de una pregunta que las entidades se están haciendo y que no parece que, hasta la fecha, tenga una solución. Un incumplimiento de una norma puede derivar en infracciones y sanciones administrativas, sanciones penales, recomendaciones supervisoras o incrementos en los requerimientos de capital y/o de liquidez[5]. Pero también tiene impacto en la reputación del banco, lo que puede originar, por ejemplo, la pérdida de negocio o salidas de los fondos de depositantes.
En este sentido, la proyección de escenarios de forma recurrente parece la vía más plausible para conseguir medir el "riesgo de cumplimiento" (enfoque prospectivo). Si no, la Función de Cumplimiento Normativo deberá conformarse con informar de los impactos ya consumados (enfoque retrospectivo).
En definitiva, la Función de Cumplimiento Normativo y su responsable (el Chief Compliance Officer) están "de moda", porque de ellos depende gestionar que los bancos sean capaces de cumplir los requerimientos de la normativa y las expectativas supervisoras, sin hacer renunciar a lo prioritario, que no es otra cosa que el modelo de negocio y la rentabilidad (aunque, a veces, se olvide).
Bibliografía
LOPEZ JIMENEZ, JOSÉ MARÍA (2016): «La función de cumplimiento normativo en las entidades bancarias». Estrategia Financiera, nº 343, noviembre.
NAVAJAS MARTINEZ, FRANCISCO (2008): «La función de cumplimiento normativo en el nuevo entorno de la MiFID. El incumplimiento de la normativa como nuevo riesgo para las entidades». Observatorio sobre la reforma de los mercados financieros europeos.
EUROPEAN BANKING AUTHORITY (2018): «Directrices sobre gobierno interno».
EUROPEAN SYSTEMIC RISK BOARD (2019): «Regulatory complexity and the quest for robust regulation».
ZUNZUNEGUI, F (2019): «Cumplimiento normativo en el mercado de valores y en el crédito inmobiliario».
[1] En un esquema de "Tres Líneas de Defensa" se constituiría como una línea de control (2ª Línea de defensa).
[2] En el modelo de las Tres Líneas de Defensa, el negocio es la primera línea de defensa, las funciones de supervisión de riesgos, controles y cumplimiento normativo son la segunda línea de defensa; y el aseguramiento de todo lo anterior es la tercera (Auditoría Interna).
[3] La Autoridad Europea de Valores y Mercados (ESMA, por sus siglas en lengua inglesa) sometió a consulta pública, el 15-7-2019, el proyecto de nuevas directrices sobre la Función de Cumplimiento Normativo en el marco de MiFID II.
[4] Palabras de Fernando Zunzunegui en El Ilustre Colegio de Abogados de Granada (ICAGR) bajo la Jornada: "Cumplimiento normativo en el mercado de valores y en el crédito inmobiliario" de 31 de mayo de 2019.
[5] En este caso, no existe una metodología que relacione los requerimientos de capital o liquidez adicionales por parte de los supervisores prudenciales con el incumplimiento total o parcial que se incluyen en las conclusiones emitidas en sus procesos de evaluación. Bajo mi opinión, esto genera grandes dificultades a los bancos a la hora de priorizar en sus decisiones y gran discrecionalidad en el proceso de supervisión.
