ComplianceBreves notas acerca del cumplimiento normativo y la autorregulación corporativa

¿Sabes cómo surge el cumplimiento normativo? Para nadie es un secreto que existen ámbitos económicos tradicionalmente sometidos a una fuerte regulación estatal. Casi siempre liderada por un Órgano, Ente Regulador o Supervisor de origen constitucional o legal con amplias competencias para autorizar, controlar y normar administrativamente materias tales como: 

• Banca.
• Seguros.
• Bolsa de Valores.
• Impuestos.
• Mercados de valores o capitales.
• Protección al consumidor.
• Competencia económica, por mencionar a unas pocas. 

En estos sectores “regulados” la toma de decisiones en el giro diario de las organizaciones sometidas a este espectro regulado, y puede pasar por verificar, reconocer y cumplir con alguna directriz legal o administrativa. Derivada de las amplias competencias de los reguladores en dictaminar qué, cómo y cuándo se ejecutan las actividades propias de la organización. Mientras que su incumplimiento supondrá, al menos, la imposición de una sanción económica. 

Así surge el cumplimiento normativo -compliance- como un sistema para la previsión, atención y respuesta de las exigencias regulatorias.

La autorregulación de la mano del cumplimiento normativo

Durante los últimos 10 años ha surgido un común denominador en el patrón legislativo de las naciones hispanoparlantes. El cual se puede definir con una palabra: autorregulación.

La autorregulación no es más que la capacidad de  las organizaciones en regularse a sí mismas, estableciendo de forma -casi- voluntaria, determinadas conductas a través de la aprobación de políticas y controles. 

Vemos pues cómo se entrelazan la regulación y la autorregulación de la mano del cumplimiento normativo y cómo distintas leyes. Si bien no penalizan ni sancionan a la empresa que no cuente con un sistema de gestión de cumplimiento, sí que toman en cuenta su existencia a los efectos de atenuar o eximirlas de responsabilidad administrativa, fiscal, libre competencia o penal, cuando demuestren contar con un debido control organizacional.

Las nuevas y recientes normas legales

Durante los últimos 10 años ha surgido un común denominador en el patrón legislativo de las naciones hispanoparlantes, el cual se puede definir con una palabra: autorregulación. La autorregulación no es más que la capacidad de  las organizaciones en regularse a sí mismas, estableciendo de forma -casi- voluntaria, determinadas conductas a través de la aprobación de políticas y controles. 

Vemos pues cómo se entrelazan la regulación y la autorregulación de la mano del cumplimiento normativo y cómo distintas leyes, si bien no penalizan ni sancionan a la empresa que no cuente con un sistema de gestión de cumplimiento, sí que toman en cuenta su existencia a los efectos de atenuar o eximirlas de responsabilidad administrativa, fiscal, libre competencia o penal, cuando demuestren contar con un debido control organizacional.

Las nuevas y recientes normas legales de la región que fomentan la autorregulación en ámbitos como:

• El penal (modelos de prevención de delitos); fiscal (programas de cumplimiento fiscal).
• Administrativo (programas de integridad).
• Laboral (programas para la prevención del acoso o violencia laboral).
• Datos (programa de gestión de seguridad y protección de datos).
• Derechos Humanos (programas de prevención de violaciones de DDHH).
• Anticorrupción (sistemas de gestión antisoborno).
• Prevención del lavado y financiamiento al terrorismo (enfoque basado en riesgos) están impulsando en las organizaciones el establecimiento de patrones positivos de conducta. Para que, en el caso de materializarse alguna clase de evento de riesgo, se enfrente de acuerdo con el programa o sistema implementado. Pudiendo alegarse y demostrarse ante las autoridades que se contaba con un programa o modelo de prevención de estos riesgos, optando así a la atenuación o exención de responsabilidad. 

Esto lo encontramos en legislaciones de norte a sur del continente americano, desde México hasta Argentina. No aún así en Venezuela. Sin embargo, la asunción de una nueva Asamblea Nacional en este año 2021 abre la puerta a que la futura actividad legislativa pueda incorporar estos elementos a corto o mediano plazo.

¿Cómo deben actuar las empresas en su programa de cumplimiento normativo?

Por ello, las empresas de la región sin importar su tamaño (multinacionales, grandes o pymes), como base para implantar o madurar sus programas de autorregulación o cumplimiento normativo, hoy en día deben:

Delimitar el contexto de su organización a los efectos de su sistema de gestión de cumplimiento: 

Alcance, actividades económicas, sector, entidades jurídicas. También el tamaño, localidades, clase de interacción con funcionarios, legislación aplicable, entre otros).

Evaluar los riesgos de la organización y delimitar sus controles

La evaluación de riesgos permite tomarle una fotografía a la organización acerca de sus áreas y procesos. Y la exposición a los riesgos que presentan en su día a día o que pudieran ser predecibles y de posible ocurrencia: penales, fiscales, laborales, protección de datos, tecnologías de la información, etc..

Para así ponderarlos en escalas de probabilidad e impacto y gestionarlos a través de controles específicamente previstos para su atención, definiendo sus indicadores de gestión, evidencias y responsables. La evaluación de riesgos es un elemento de validez sine qua non de todo sistema de gestión de cumplimiento normativo.

Establecer Códigos de Conducta, Políticas, Modelos y/o Procedimientos que conformen un programa de cumplimiento:

Integral o segmentado por materias:

• Penal de prevención de delitos.
• Sistema de gestión antisoborno, ambiental.
• De protección de datos.
• Tecnologías de información.
• Prevención del lavado de dinero u operaciones con recursos de procedencia ilícita.

La autorregulación se inicia con el reconocimiento de los valores organizacionales con los cuales se identifica la empresa y su capital humano. Para luego fijar pautas de conducta -actuaciones y prohibiciones- de acuerdo con estos, que sean exigibles para toda la organización e incluso para sus terceras partes -proveedores, socios comerciales, socios de negocios y/o terceros que puedan actuar en su nombre-. Delimitando el ámbito de lo permitido y de aquello no aceptable para la organización.

Planificar toda actividad de acuerdo con el programa o modelo elegido:

Pobjetivos generales, objetivos específicos, indicadores clave de gestión, presupuesto, partícipes, capacitación, requisitos de contratación y formación.

Liderar el programa a través de la permanente demostración del compromiso de la Alta Dirección

Y asignarle responsabilidad al área de cumplimiento con competencias para su gestión, presupuesto e independencia funcional. El establecimiento de un órgano o sujeto encargado de cumplimiento es un requisito de importancia para el sistema de gestión que se defina.

Establecer y fomentar el uso de los canales de denuncia sin represalias o intimidaciones.

Investigar los presuntos actos contrarios al programa

Definiendo las sanciones ante su incumplimiento.

Evaluar y auditar el programa

Así como los procesos y controles para conocer su estado de salud.

Mejorar continuamente el modelo o programa

Como fin último que potencie su constante actualización y perfeccionamiento, adecuándolo a las necesidades de la organización.

La autorregulación y el cumplimiento normativo llegaron para quedarse, por eso es un buen ejercicio evaluar o certificar, de ser el caso, a las organizaciones conforme a estándares internacionales de cumplimiento normativo.

Tales normas ISO 37001:2016 del Sistema de Gestión Antisoborno; ISO 19600:2014, Sistemas de Gestión de Cumplimiento, ya muy cercana a ser sustituida por la nueva ISO 37301:2021; y/o UNE 19601 del Sistema de Gestión de Cumplimiento Penal y 19602 del Sistema de Gestión de Cumplimiento Tributario, por tan sólo mencionar unas pocas, sin dejar de lado las buenas prácticas derivadas de la experiencia en la aplicación de las Leyes de Prácticas Corruptas en el Extranjero (FCPA) de Estados Unidos; UKBA, del Reino Unido y Ley Sapin II, en Francia. 

Este ejercicio de comparación entre lo que exige la normativa local, el estándar internacional y lo que actualmente posee una organización en concreto generará un análisis de brecha que permitirá que la organización se enfoque en desarrollar, cubrir, alinear o completar los requisitos pendientes reforzando sus niveles de control.

Y generando mecanismos de gestión para transitar en las complejas aguas locales e internacionales del cumplimiento normativo en la búsqueda de asegurar, no sólo la calidad de los servicios y/o actividades de la empresa o evitar sanciones económicas, sino de proteger su principal activo intangible: la reputación.

No podemos dejar de recordar que las distintas legislaciones hispanas que han aceptado la responsabilidad penal de las personas jurídicas (Chile, España, Argentina, México, entre otras) han previsto sus modelos de imputación penal para aquellas conductas cometidas por personas físicas en nombre, en beneficio, por cuenta o por los medios que proporcionen las personas jurídicas. Siempre y cuando estas personas jurídicas no cuenten con un debido control organizacional; por ello, asegurar que la organización pueda gestionar, acreditar y generar evidencias de control organizacional debido, prevendrá la comisión de delitos y mejorará toda estrategia de defensa procesal en sede penal.

Contribución: 

Francisco Santana

Abogado, consultor internacional en Derecho Penal Económico, Compliance Corporativo y Criminal Compliance.

Experto certificado en la implementación de Sistemas de Gestión de Cumplimiento Normativo, Antisoborno y Modelos de Prevención de Delitos.

Socio de la Firma Consultora Internacional F&C Consulting Group, México.