¿Qué son las políticas de Compliance?

Los valores, la ética, el liderazgo, los procesos y las normativas son las estructuras organizacionales sobre las cuales se fundamenta el desarrollo de un buen gobierno corporativo, que permite que la organización se asegure de ejecutar sus funciones, aplicar las estrategias y alcanzar los objetivos.

Las normativas, entendidas como el conjunto de disposiciones o reglas que regulan tanto a los sujetos como las actividades que se desarrollan en una organización, contribuyen a controlar el buen y eficaz funcionamiento del gobierno corporativo. Por tanto, las normativas tienen una gran importancia dentro de la organización, pues con ellas se podrán alcanzar las metas u objetivos propuestos.

El código ético, las políticas, los procedimientos, las instrucciones y especificaciones técnicas, así como los modelos y manuales integran el sistema normativo de una organización y se encuentran jerarquizados unos por encima de otros, lo cual determina el nivel de influencia que tiene el superior sobre el inferior, pues de cada uno se deriva la validez del que se encuentra en el siguiente nivel.

Dentro de las referidas normas destaca el código ético, por cuanto se encuentra en la cúspide de la pirámide, y constituye el referente de las demás normativas. El código ético incorpora e implementa dentro de la organización, a través de declaraciones de principios y valores, algunos fundamentos morales y éticos que identifican a la compañía. El código ético presenta la filosofía corporativa, asociada a los objetivos y a la identidad de la compañía, que orientará el desempeño de los directores, administradores, gerentes y empleados en la marcha de la compañía.

Las políticas, calificadas como normas de ciclos, pues en su vida son objeto de un constante monitoreo, actualización y mejoras, y los procedimientos como normas de los procesos. Estas dos especies de normativas van a tratarse con detenimiento en el presente módulo, ya que se desarrollarán distintos aspectos de su naturaleza, su ciclo de vida, la creación de un sistema de gestión de las políticas y los procedimientos, y se presentarán modelos, ejemplos y casos prácticos de los mismos. De igual manera, se hablará de los distintos tipos de políticas y procedimientos, haciendo especial énfasis en aquellas vinculadas al Compliance, tema principal de este curso. Asimismo, se revisarán las políticas de segundo nivel, donde se encuentran el código de conducta, los códigos financieros, códigos para proveedores, códigos de uso de activos, conflictos de interés, retención de documentación y, finalmente, se tratará el Compliance de terceras personas.

La actividad del responsable de cumplimiento normativo o Compliance Officer en la empresa se enmarca en esta área como una figura del responsable de supervisar y gestionar todas las cuestiones relacionadas con el cumplimiento normativo, lo que le va a obligar a estar preparado para hacer frente a todo tipo de incidentes y a tratar de manera eficiente las evidencias digitales.

Sus principales funciones son:

1. La identificación de riesgos
2. Analizar cambios estatutarios y reguladores
3. Determinar medidas preventivas y correctivas
4. Impartir formación a directivos y empleados para que conozcan y apliquen todas las normas
5. Revisar periódicamente la actualización de los procedimientos

Esta figura tan relevante podría denominarse de otro modo, aunque en realidad está enfocada a aquellos profesionales especializados en tecnologías de la información y de las comunicaciones que desempeñan su labor en el ámbito procesal, como es el valor probatorio de las llamadas evidencias digitales.

El responsable de Compliance (CCO o Compliance Officer) tiene como objetivo principal implementar un “programa de cumplimiento” basado en procedimientos que aseguren el adecuado diseño de actividades de cumplimiento normativo interno y externo en sentido amplio.

En España, la reforma lleva a cabo una mejora técnica en la regulación de la responsabilidad penal de las personas jurídicas, introducida en nuestro ordenamiento jurídico por la Ley Orgánica 5/2010, de 22 de junio, con la finalidad de delimitar adecuadamente el contenido del “debido control”, cuyo quebrantamiento permite fundamentar su responsabilidad penal. El rol del Compliance Officer se está generalizando a raíz de la entrada en vigor de dicha reforma.

Con ello se pone fin a las dudas interpretativas que había planteado la anterior regulación, que desde algunos sectores había sido interpretada como un régimen de responsabilidad vicarial, y se asumen ciertas recomendaciones que en ese sentido habían sido realizadas por algunas organizaciones internacionales. En todo caso, el alcance de las obligaciones que conlleva ese deber de control se condiciona, de modo general, a las dimensiones de la persona jurídica.

Como explica Javier Puyol: “Se ha pasado de un concepto reactivo a un concepto preventivo del cumplimiento normativo”.

Esto ha llevado a la creación de protocolos específicos de Compliance que afectan a las diferentes áreas funcionales y que han creado la figura del Compliance Officer, figura establecida desde hace tiempo en las empresas americanas.

Por tanto, el responsable de cumplimiento asume del empresario algunas funciones delegadas como son los deberes de control de la peligrosidad de la actividad empresarial y de supervisión y vigilancia de otras personas. Al hilo de ello, la persona jurídica es susceptible de incurrir en responsabilidad si hay delito. Los más relevantes en el ámbito de la empresa son los de corrupción, estafa y medio ambiente. Esta modificación ha provocado la proliferación de una figura no del todo conocida, la del Compliance Officer, la persona responsable de la supervisión y gestión de cuestiones relacionadas con el cumplimiento.

Generalmente, entre sus funciones se encuentran:

1. Diseñar y aplicar controles, normativas y procedimientos internos que permitan garantizar el cumplimiento de la legislación y normativa aplicables.
2. Gestionar las auditorías e investigaciones sobre cumplimiento y normativas o responder a las solicitudes de información de los organismos reguladores.
3. Supervisar el cumplimiento de los códigos de conducta voluntarios de las compañías.

Puede afirmarse que el Chief Compliance Officer (CCO) es el arquitecto y administrador de la estrategia de cumplimiento de la empresa, la estructura y los procesos. Como líder de las tareas relativas al cumplimiento y experto en la materia, el director de cumplimiento es responsable de establecer las normas y la aplicación de los procedimientos para asegurar que los programas relativos al mismo en toda la organización son eficaces y eficientes en la identificación, prevención, detección y corrección de las faltas de cumplimiento con las normas y reglamentos aplicables.

Además, debe proporcionar una seguridad razonable a la Alta Dirección y al Consejo de Administración de que hay políticas y procedimientos eficaces y eficientes en el lugar, bien entendidas y respetadas por todos los empleados, y que la compañía está cumpliendo con todos los requisitos reglamentarios.

El riesgo reputacional es un concepto que ha ido ganando relevancia en el ámbito empresarial en los últimos años. La normativa europea en algunos sectores, como el financiero, ha ayudado a que las empresas se acerquen a este concepto con más profundidad de lo que habían hecho hasta ahora, buscando con seriedad modelos y métodos que incluyan desde una buena identificación hasta una valoración lo más exacta posible, para guiar mecanismos de prevención y control.

Según Puyol, hay otros elementos que considerar:

1. El Compliance Officer ha de contar con un nivel de formación suficiente, y en todo caso, ello es especialmente importante con relación al conocimiento que el mismo ha de poseer del funcionamiento de la organización, de su cultura corporativa y de las normas públicas y privadas que en cada momento le van a ser aplicables.
2. Debe hacerse especial alusión a la existencia de programas de verificación y vigilancia internos, que ayuden en el desempeño de la función.
3. El Compliance Officer debe poseer un acceso diáfano y nítido a la información de la empresa, y al mismo tiempo a todas las funciones y procesos que se desarrollen en el seno de la misma.
4. Debe prestarse una especial atención a la función que el área de Compliance debe tener con otras unidades de la entidad. En este sentido, deben destacarse las de auditoría, control interno, gestión de riesgos y cuantas otras desarrollen funciones análogas, conforme a cada estructura societaria en particular.

En lo que se refiere al perfil competencial del cargo, siguiendo a Casanovas se pueden determinar los siguientes:

1. Formación académica. El máximo responsable de cumplimiento tendrá normalmente formación y conocimientos sobre el marco legal de sus cometidos. Por ello, su formación académica será normalmente de tipo superior, relacionada con su ámbito de cumplimiento y con información adicional o experiencia en las restantes.
2. Experiencia práctica. La función de cumplimiento relevante para la organización y de su inadecuado desempeño puede derivar en daños económicos y reputacionales importantes. Por ello, es aconsejable que el máximo responsable de cumplimiento disponga de experiencia en el desarrollo de tal cometido, adquirida paulatinamente dentro de la propia realización o en puestos externos anteriores.
3. Historia profesional. Ninguna persona relacionada con la función de cumplimiento deberá haberse visto involucrada en circunstancias que apunten a un comportamiento poco ético o de incumplimiento, dentro o fuera de la organización.
4. Competencias personales. Puesto que la función de cumplimiento mantiene diálogo directo con la Alta Dirección y se relaciona con áreas corporativas relevantes, se precisan adecuadas competencias de comunicación y coordinación. Igualmente, cuando se lidera un equipo de cumplimiento, se requerirán competencias de organización y liderazgo. e. Posición jerárquica dentro del organigrama de la empresa, el máximo responsable de cumplimiento debe ocupar una posición acorde a su rango e independencia: normalmente como función interna independiente con acceso directo a los administradores, al consejero delegado o al comité de auditoría. No estará subordinado a personas u órganos que puedan verse afectados negativamente por sus acciones.
5. Contratación consistente: la contratación laboral o mercantil con el responsable de cumplimiento debe ser consistente con todo lo anterior. Evidentemente, ello se traduce en un régimen económico acorde a la relevancia y responsabilidades del cargo.

Así, y en este contexto, la Sala Segunda del Alto Tribunal, en su STS 300/2015 de 19 de mayo, y al enjuiciar la aceptación incondicional de los pantallazos aportados al proceso, viene a confirmar que toda prueba de una comunicación bidireccional mediante cualquiera de los múltiples sistemas de mensajería instantánea “debe ser abordada con todas las cautelas”, recogiendo los planteamientos de audiencias provinciales, especialmente fecundas en este campo (como la Audiencia Provincial de Cádiz, SAP 31/2014 de 28 de enero o la Audiencia Provincial de Madrid, SAP 1260/2012 de 1 de octubre).

El TS reconoce que la posibilidad de una manipulación de los archivos digitales mediante los que se materializa cualquier comunicación es un hecho real, de ahí que la impugnación de la autenticidad de cualquiera de esas comunicaciones desplace la carga de la prueba hacia quien pretende aprovechar su idoneidad probatoria, abriendo por otro lado la puerta a la justificación de este tipo de evidencias con una actividad probatoria reforzada mediante la concurrencia de otro tipo de evidencias, documentos o registros.

Desde que hace más de quince años nuestro Tribunal Supremo reconoció el “ocaso de la civilización del papel, de la firma manuscrita y del monopolio de la escritura sobre la realidad documental” (STS Sala 3.ª, sentencia de 3 de noviembre de 1997. RJ 1997\8251), se viene afirmando en todas las instancias que el documento, como objeto corporal que refleja una realidad fáctica con trascendencia jurídica, no puede identificarse ya, en exclusiva, con el papel como soporte ni con la escritura como unidad de significación. Sin embargo, y aunque la Ley de Enjuiciamiento Civil reconoce en su articulado (v. gr. arts. 299 o 812 LEC) la posibilidad de aportación de otros “instrumentos que permiten archivar y conocer o reproducir” o de documentos “firmados por el deudor (…) o con cualquier otra señal, física o electrónica”, lo cierto es que, debido a la facilidad de alteración de estas evidencias, se hace precisa una actividad probatoria reforzada para permitir la mejor convicción del juzgador.

Sobre esta base se han venido aceptando como prueba distintos documentos que conforman el conjunto heterogéneo al que nos referimos bajo el nombre de “evidencias electrónicas”. Así, se emplean para levantar la carga de la prueba que exige la ley desde correos electrónicos a documentos PDF aceptados con firma en mapa de bits inserta en ellos, imágenes de captura de pantalla (“pantallazos”) con las que se pretende justificar un determinado hecho ocurrido en la web, SMS, o incluso los mensajes enviados a través de WhatsApp (desde que el Auto del Tribunal Supremo de 14 de febrero de 2013 considera este sistema de mensajería instantánea como un medio válido para acreditar determinados hechos).

Pero estos elementos, por sí solos, y ante la duda razonable de que pueden resultar modificados por su facilidad de manipulación, son los que el Tribunal Supremo declara que deben ser admitidos “con cautela”, y es, por tanto, la concurrencia de otras circunstancias, actos propios de los implicados o medios complementarios de prueba y su aportación en juicio lo que está llamado a convertirse, sin duda, en la clave para consagrar, de una vez por todas, la validez de las evidencias electrónicas.

Del mismo modo, continúa Puyol, como elementos que tener en consideración en la creación de la figura del Compliance Officer se deben ponderar las siguientes cuestiones:

1. Soft skills. Disponer de una gran capacidad de comunicación, interactuación y networking con quienes son los destinatarios finales de nuestros servicios, sea el cliente interno (en el caso del Compliance Officer), sea el cliente externo (en el caso de servicio de Compliance, inclusive la externalización de la función de Compliance Officer), es imprescindible. Ante todo, el Compliance Officer debe tener una total empatía con el negocio y con las áreas de soporte a ese negocio. El objetivo final no es ser tangencial, transversal, paralelo, perpendicular, al negocio. El objetivo es ser parte del negocio.
2. Ser “la persona/departamento del NO” impide apreciar los riesgos y gestionarlos. La gestión de cumplimiento debe ser una actividad para ayudar a identificar los riesgos asociados a una determinada actividad, expresados de manera sencilla, clara y directa, para que puedan gestionarse.
3. Conocer es el primer paso para poder actuar. Vivimos una era en que puede llegar a ser más importante saber cómo manejar las múltiples fuentes de información que tenemos a nuestra disposición, que acumular conocimiento en nuestra cabeza.
4. La tecnología no es una alternativa. La base tecnológica como driver de la actividad económica es una constante en (casi) todas las empresas, pequeñas, medianas y grandes. Es con ella como mejoran su actividad, amplían su negocio y llegan a nuevos mercados (y no solo internet).
5. La automatización es esencial para ser más eficiente, mejor y más barato. Más allá de consecuencias sociales que desde luego hay que gestionar, lo cierto es que actualmente la tendencia es que, siempre que sea posible, las tareas se hacen con máquinas y software, y no con personas. Y esa afirmación es extensible a las actividades de cumplimiento normativo.

Así, por desarrollar este planteamiento de nuestro Alto Tribunal, podríamos proponer como medios complementarios los llamados logs, que como evidencia digital suponen un registro informático de eventos acaecidos durante un rango de tiempo en particular y que tienen su plena acogida no solo en determinada normativa sectorial, sino en la jurisprudencia menor donde, por ejemplo, la Audiencia Provincial de Sevilla (Sentencia núm. 390/2011 de 27 septiembre de la Sección 5.ª JUR 2012\2595) lo ha definido como “un registro de eventos de naturaleza informática durante un periodo de tiempo” o la Audiencia Provincial de Madrid (Sentencia núm. 97/2012 de 20 de marzo de la Sección 28.ª AC 2012\898) lo ha utilizado como elemento fáctico sobre el que ha basado el sentido de su fallo en un relevante pleito sobre competencia desleal entre dos editoriales jurídicas.