Compliance es un término anglosajón cuyo significado literal podría traducirse como conformidad, aunque habitualmente se utiliza como sinónimo de cumplimiento. No existe una definición exacta de compliance, si bien podemos decir que es el conjunto de buenas prácticas que nos orientan sobre cómo gestionar los riesgos normativos en una organización.
Esta definición puede resultar bastante abstracta por ello es frecuente encontrar situaciones en las que se confunden diferentes términos o no se consigue determinar del todo la realidad a la que nos estamos refiriendo, lo que da lugar a proyectos de compliance poco concretos y, por lo tanto, ineficaces. Vayamos por partes.
Hemos dicho que compliance generalmente es traducido como cumplimiento o conformidad, pero ¿con qué?
Aquí podemos distinguir dos niveles de obligaciones que podemos llamar requisitos y compromisos. Digamos que constituyen requisitos todo el marco obligacional de la organización (leyes y normativas generales y sectoriales, contratos, etc.). Por su parte, los compromisos son aquellas obligaciones que la organización decide cumplir (normativa interna, buenas prácticas sectoriales, etc.). Dicho esto, podemos afirmar que compliance hace referencia al cumplimiento de las obligaciones (impuestas y asumidas) de una organización.
La siguiente pregunta que podemos plantearnos es, bien, sabemos lo que es, pero ¿cómo se materializa el compliance en una organización?
El compliance se implanta en una organización a través de los denominados modelos de compliance. Un modelo, según la RAE, es un ´arquetipo o punto de referencia para imitarlo o reproducirlo´. Esta cuestión va a depender, una vez más, del ámbito obligacional que la organización en cuestión deba y quiera asumir.
Con carácter general hablamos de modelos de compliance ´a secas´ para referirnos a aquellos que abarcan la gestión de riesgos normativos de diversos ámbitos con un carácter transversal. Por otro lado, cuando utilizamos algún ´apellido´, para acompañar a la palabra compliance, generalmente estamos acotando los riesgos normativos gestionados por el modelo a una materia o sector concreto. Te sonarán términos como compliance penal, compliance tributario o compliance laboral, al igual que compliance bancario o compliance farmacéutico.
A su vez, los modelos de compliance en función de la metodología que incluyan detrás podrán ser entendidos como programas, planes o sistemas.
Pues bien, veamos cuáles son los modelos más conocidos en compliance:
Compliance transversal
El modelo más representativo para este tipo de proyectos, aunque de momento poco llevado a la práctica por la complejidad que hasta hoy ostenta, es el estándar ISO 37301- Sistemas de gestión de compliance (el cual sustituyó con su publicación en abril del 2021 a la emblemática norma ISO 19600- Sistemas de gestión de compliance).
Compliance penal
En esta materia nos encontramos principalmente dos modelos que, aunque distintos por el volumen de requisitos que posee cada uno de ellos, son compatibles ya que el segundo ha tenido en consideración los requisitos del primero. Nos referimos al modelo amparado en los requisitos que el Código Penal establece en su artículo 31 bis numeral 5 para los ´modelos de organización y gestión que incluyen las medias de vigilancia y control idóneas para prevenir delitos y al estándar UNE 19601- Sistemas de gestión de compliance penal, respectivamente.
Como decíamos, el estándar UNE trata de desarrollar los requisitos recogidos en el Código Penal y de ampliarlos para armonizarlos con las buenas prácticas internacionales en materia de compliance.
Compliance antisoborno
Se trata de uno de los modelos más utilizados por organizaciones de todo el mundo ya que aglutina la estructura de alto nivel de ISO con los requisitos de la normativa más exigente a nivel mundial (FCPA, UK Bribery Act…) y las mejores prácticas internacionales en la materia. Se trata, además de un estándar certificable, por lo que es utilizado como garantía frente a terceros tanto en el sector público como el privado.
Para otro tipo de marcos normativos existen estándares y buenas prácticas nacionales e internacionales, como en el caso del compliance tributario (UNE 19602- Sistemas de gestión de compliance tributario), compliance laboral (Planes de Igualdad, Políticas frente al acoso laboral y sexual, etc.), canales de denuncia (Directiva UE 2019/1937 y el Proyecto de Ley para su transposición, ISO 37002 Sistemas de gestión el canal de denuncias, etc.)
Y si ninguno de estos estándares da respuesta a las necesidades de mi organización, ¿puedo crear un modelo ad hoc?
Por supuesto, es necesario recordar en este punto que el objetivo de cualquier modelo de compliance es conseguir que la organización conozca su realidad, valore sus riesgos normativos (con la amplitud que se considere adecuada en cada caso) y actúe de conformidad con estos aspectos, por lo tanto, la opción de crear un sistema de compliance adaptado a las necesidades reales de cada organización es posible y, además, deseable.
Para desarrollar un sistema de compliance creado a medida será, por lo tanto, necesario contar con una metodología contrastada que incluya los siguientes aspectos:
- Un profundo conocimiento de la organización
- Unos objetivos reales, alcanzables y medibles adecuadamente trazados
- Una planificación eficiente basada en las mejores prácticas en compliance
- Una ejecución responsable y comprometida de acuerdo con la estrategia marcada