Como hemos venido hablando en los post publicados las semanas anteriores, con relación a la detección y gestión de riesgos penales, la última reforma del Código Penal, en vigor desde el 1 de julio de 2015, establece en su art 31bis, la obligación del órgano de administración de adoptar un Sistema de Gestión de Riesgos para la Prevención de Delitos, como requisito previo, eficaz e idóneo para poder alegar exoneración o atenuación de su responsabilidad penal.

Acabábamos el post anterior mencionando que el sistema de gestión de compliance no llegará a buen término si no hay un liderazgo claro por parte de la Gerencia de la organización con respecto al tema.

La ausencia de liderazgo, como bien sabes trae consecuencias negativas en las organizaciones:

• Los mandos medios no asumen su responsabilidad como líderes y se ponen del lado de sus subordinados, oponiéndose a la empresa.
• Los mandos superiores no saben conducir personas (no son líderes).
• La gente está desmotivada y no se sabe qué hacer, a pesar de pagarles en tiempo y forma.
• El personal no valora la relación con el cliente.
• Las personas se quejan constantemente.
• Las personas no sienten reconocidos sus esfuerzos.

En particular, la ausencia de liderazgo en el caso de los sistemas de gestión de compliance es especialmente crítico, como vas a poder ver a continuación.

El apartado de liderazgo dentro de la ISO 19600:2015 de Sistemas de Gestión de Compliance contiene a su vez 3 sub-apartados, que siguen la línea de la estructura de alto nivel (ANNEX SL) definida por ISO.

Vamos a ir viendo más a fondo cada uno de ellos:

5.1 Liderazgo y compromiso

Lamentablemente, tenemos muchos casos recientes en nuestro entorno que demuestran que una organización sin un liderazgo claro y decidido en temas de compliance acaba por presentar problemas (en muchos casos legales) que afectarán de manera importante a toda la organización.

El liderazgo y compromiso deben demostrarse en la práctica, ¿cómo?:

• Estableciendo y defendiendo los valores fundamentales.
• Estableciendo políticas y objetivos de compliance, y siendo estas formalmente aprobadas por el órgano de gobierno. Además las pol´ticas y procesos de la organización no cumplirán simplemente lo estrictamente legal, deberán ir más allá y definir códigos voluntarios y valores fundamentales de la organización.
• Asegurando recursos.
• Asegurando la integración de la compliance en el resto del negocio.
• Comunicando la importancia de una gestión de compliance eficaz, con comunicados, sensibilización, etc. Pero también dando ejemplo, ya lo decía mi madre, obras son amores y no buenas razones. Traído a este nivel, significa que para demostrar y ejercer un liderazgo claro, hará falta algo más que un comunicado.
• La función de compliance debe tener un nivel de autoridad que le permita demostrar su importancia en la organización, y por supuesto, con un acceso directo al órgano de gobierno.

Escribirlo es fácil, ponerlo en práctica, no tanto.

5.2 Política de compliance

El órgano de gobierno y la alta dirección, preferiblemente tras consultar con los empleados, debe establecer una política (documentada) de compliance que defina:

• El alcance del sistema
• La medida en la que la compliance va a estar integrada con otras funciones
• La medida en la que la compliance va a estar embebida en las políticas, los procedimientos y los procesos operacionales
• El grado de independencia y autonomía de la función de compliance
• Los principios bajo los cuales se van a gestionar las relaciones con las partes interesadas
• Las consecuencias de los incumplimientos de compliance
• Etc.

Además, la política de compliance no debería ser un documento único sino que debería estar apoyado por otros documentos, incluyendo políticas, procedimientos y procesos operacionales; y que tiene que establecerse en línea con los valores, objetivos y estrategia de la organización, ya que establece los principios generales para lograr el compliance

5.3 Roles, responsabilidades y autoridades en la organización

Una muestra de la importancia que se otorga a este apartado es que la norma emplea más de 3 páginas en detallar los aspectos que deben cumplirse.

Detalla requisitos concretos para los órganos de gobierno y la Dirección, para la función de compliance y para todos los empleados.

En concreto, la función de compliance, trabajando conjuntamente con la Dirección debería ser responsable de:

• Identificar las obligaciones de compliance y traducirlas en políticas, procedimientos y procesos viables
• Promover la inclusión de las responsabilidades de compliance en los procesos de gestión de desempeño de los empleados
• Establecer indicadores de desempeño de compliance
• Poner en marcha un sistema de documentación e información de compliance
• Proporcionar apoyo formativo continuo a la plantilla
• Etc.

La norma no obliga a la definición de una función de compliance, deja la puerta abierta a que se pueda asignar esta función a una posición existente. Pero sí que asigna responsabilidades concretas que debe desarrollar trabajando conjuntamente con la dirección:

• Identificar e integrar las obligaciones de compliance.
• Asegurar formación continua para la plantilla.
• Promover la inclusión de las responsabilidades de compliance en las descripciones de los puestos de trabajo.
• Establecer indicadores de desempeño de compliance y analizar dicho desempeño.
• Identificar los riesgos de compliance y gestionarlos,
• Etc.

Estas algunas de las destacables en una larga lista.

Nada fácil ¿verdad? A nadie se le escapa que en organizaciones grandes se producirán choques con otras Áreas o Departamentos de la empresa y por ello el compromiso, liderazgo y apoyo de la Alta Dirección mencionado en el anterior post es tan crítico para un funcionamiento eficaz del sistema.

En cuanto a los empleados en general, entre otras cosas, la norma establece que deberían informar sobre preocupaciones o fallos de compliance. Cómo establecer un sistema que sea operativo y confidencial dependerá en gran medida de la cultura y tamaño de la organización.

Estate atento a las próximas publicaciones en este post que traerán más información sobre esta norma y su aplicación práctica.