El peligro que entraña cualquier materia novedosa o de reciente implantación de la que es susceptible de continuos cambios, como el <em<Compliance, es la cantidad ingente y desproporcionada de información que se genera, además, la mayoría de veces contradictoria. Así como, hace unos años cuando no existía internet, teníamos que hacer un esfuerzo considerable en encontrar la información, el problema de hoy, es saber seleccionar la información idónea.
Alrededor de la palabra "Compliance" se han formado una serie de ideas, mitos, creencias, discursos etc. imprecisos que han terminado por generar confusión tanto a profesionales del sector como a las empresas. Así pues, fruto de las reuniones con clientes, conferencias, artículos, etc. hemos seleccionado el "Top 5" siguiente relativo a las confusiones más habituales:
1.- "Esto del Compliance consiste en que la empresa introduzca unos controles para evitar la comisión de delitos dentro de la compañía"
Esta frase viene siendo un clásico. Para entender la finalidad que persigue el artículo 31 bis del Código Penal, sobre los supuestos en los que las personas jurídicas serán penalmente responsables.
Lo primero que debemos tener claro es que tal responsabilidad se dará, siempre que concurran los requisitos del artículo y, únicamente, para la comisión de unos determinados delitos del Código penal, no todos.
En segundo lugar, cuando en el artículo 31 bis del C.P. se dice "por cuenta y en beneficio directo o indirecto de las mismas", se refiere a que puede haber responsabilidad penal de la empresa si la acción o acto le genera provecho. Por otro lado puede producirse un delito por un empleado de la empresa dónde la empresa no reciba beneficio y, además, es víctima por los actos del trabajador.
En tercer lugar, al referirse el artículo 31 bis del C.P. "en el ejercicio de actividades sociales" deja claro que los actos que se lleven a cabo pueden no tener relación con actividades sociales de la empresa y, aunque se pueda haber cometido un presunto delito por el autor, no existirá responsabilidad penal de la persona jurídica.
2.- "El Compliance se dedica únicamente a la prevención de delitos para evitar cualquier responsabilidad penal de la empresa"
Es cierto que la prevención de delitos es una parte fundamental y decisiva de la función de Compliance así como de cualquier Modelo de Prevención y Control. A pesar de ello, no debemos cometer el error de pensar que es la única responsabilidad del Compliance Officer o Departamento de Compliance en una empresa.
Así pues, si enfocamos el Compliance desde el prisma del cumplimiento legal, sus funciones pueden tener competencia para velar por el cumplimiento de la normativa en materia de Protección de Datos, mercado y consumidores, competencia etc. Por otro lado, desde el prisma organizativo y de riesgos en la empresa hallamos funciones asociadas al buen gobierno corporativo, ética y responsabilidad social corporativa etc. Además, la reforma del Código Penal deja claro que la función del Compliance en la empresa va mucho más allá de un programa de prevención de delitos.
3.- "Esto con enviar/elaborar el Código Ético que tiene la empresa a todos los empleados ya cumplimos con las obligaciones de Compliance"
La comunicación a los trabajadores del Código Ético/Conducta es, sin lugar a dudas, uno de los elementos claves que la empresa debe realizar para la implantación de un modelo de Compliance. De todos modos, no es el único elemento dentro del elenco de instrumentos que nos ayudarán a crear una efectiva cultura de cumplimiento en la empresa. A lo largo de un proyecto de Compliance se deben pasar varias fases.
Desde la definición del alcance y ámbito de las materias que se abarcarán, la estructura organizativa, el nombramiento de la función de Compliance, establecimiento de los recursos destinados a Compliance, las competencias que tendrá Compliance en el seno de la empresa, establecimiento y aprobación del marco normativo, procedimientos, protocolos, políticas (ya sean para empleados, proveedores etc.), identificación de los riesgos, implantación de los debidos controles para evitar los riesgos, funciones de revisión y auditoría para comprobar la eficacia de las medidas de control, niveles de periodicidad y madurez de la empresa.
Como vemos el Compliance no es "pim pam pum" sino que va más allá de hacer un Código Ético y divulgarlo. La Circular de la Fiscalía insiste que lo fundamental no es tener un Código de autorregulación con toda la teoría incluida sino el acreditar que los gestores o los órganos de gobierno de la sociedad han ejercido (en la práctica) todas las medidas exigibles para prevenir, detectar y reaccionar ante un posible delito consiguiendo una verdadera cultura de cumplimiento en la empresa. De nada sirve un Make-Up Compliance basado en un modelo de Código de muchas páginas que lo regula todo sin que se centre en las particularidades de cada empresa.
4.- "Compliance es lo mismo que el Departamento/Área de Legal de la empresa, ambos tratan de que se cumplan leyes"
El Compliance en cada empresa, a nivel organizativo, suele ser diferente atendiendo a razones de tamaño, actividad, sector, etc. de cada compañía. Si bien es cierto que, al final, se trata de hacer cumplir las leyes, no debemos quedarnos con este corto concepto ya que, dentro de la función de Compliance, encontramos funciones de control de las normativas internas, externas, sectoriales, códigos de conducta etc.
Otro motivo por el que se suele confundirse es porqué, generalmente, la figura del Compliance Officer suele recaer en alguien que sea abogado o cualquier otro perfil que tenga formación jurídica. Como ya comentamos en el artículo La relación entre Compliance y otras áreas de la empresa, el Área de Compliance, a diferencia de Legal, tiene carácter autónomo e independiente con el fin de investigar cualquier conducta sin interrupciones y/o interferencias de otras áreas de la empresa. Por otro lado, un carácter más preventivo y asociado al análisis y gestión de los riesgos y, también, potestad para llevar a cabo una investigación interna, por denuncia o no, con el fin de aclarar los hechos y valorar si se ha vulnerado las normas o políticas de la empresa.
5.- "Esto del Compliance en ésta empresa no puede funcionar…"
Hasta la fecha únicamente hemos tenido dos sentencias en materia de Compliance, ya comentadas en el blog de Compliance en Legal Today (¡Habemus sentencia! y Que el ritmo no pare). Podríamos decir que las empresas españolas están empezando a ponerse las pilas para implementar Modelos de Prevención y Control de delitos en el seno de la compañía. De todos modos, queda mucho por recorrer. España no es un país de mucha tradición en cuanto a la preconstitución de la prueba y a la toma de evidencias, elementos fundamentales en cualquier Modelo de Compliance eficaz.
En los próximos años, aquellas empresas que no hayan dado importancia a tener un buen modelo de Compliance quedarán aisladas del mercado por no haber tomado las pertinentes medidas y esfuerzos en conseguir una cultura de cumplimiento en la empresa ya que, aunque sea de manera progresiva, en España, se irá consolidando una cultura centrada en la exigencia de cumplimiento por parte de los clientes y/o proveedores de la empresa, basado en la transparencia y la ética en el negocio.