Celebramos el pasado 10 de octubre esta jornada para estudiar las sinergias entre la RSC y los sistemas de compliance.
Contamos con colaboradores de lujo como el Ministro de Justicia, D. Rafael Catalá, que realizó la inauguración de la jornada, D. Salvador Roman de AENOR, D. Pablo Jiménez de Parga del Despacho Jiménez de Parga, Dña. Esperanza Bernal compliance Officer de la Liga de Futbol Profesional y D. Enrique Hernandez, director de riesgos de Aqualia-FCC y dos expertos de Prysma (D. Jose L. Villa y D. Cesar Martin).
¿A qué nuevo reto se enfrentan las empresas?
Se puede decir que todas las empresas pretenden crecer y ser viables a largo plazo, pero para ello no basta asegurar la viabilidad económica, sino que es básico cumplir, al menos, otros dos requisitos: cumplir la legislación vigente y cumplir o satisfacer los requisitos de la sociedad.
Actualmente la persona jurídica puede ser acusada y condenada penalmente por más de 30 delitos diferentes (siempre que su comisión pueda generar un beneficio directo o indirecto para la organización). Evidentemente cumplir la ley y prevenir las posibles conductas delictivas es necesario para evitar el riesgo penal así como, desde luego, el riesgo reputacional.
Si suponemos que la empresa hace sus deberes en el ámbito legal, ¿podría sentirse seguro su Consejo de Administración? Imaginemos una empresa afincada en España que cumpliendo la legislación, nacional e internacional, fabrica parte de sus productos en países donde se tolera legalmente o técnicamente el trabajo infantil, ¿cómo reaccionaría la sociedad? Seguramente el impacto en la imagen de la empresa sería tremendo y sus efectos económicos podrían ser enormes. ¿Qué ha sucedido? Pues que la empresa ha incumplido los requisitos éticos de una sociedad avanzada. Nos sentíamos seguros porque cumplíamos con la ley y porque ante un juzgado tendríamos la razón, pero ya vemos que solo con eso no podemos estar tranquilos.
¿Qué hacer para superar el reto?
En consecuencia y para poder estar relativamente tranquilos, consideramos necesario:
- Evaluar no solo los riesgos penales, sino también aquellos que siendo solo éticos pueden tener consecuencias igualmente graves.
- Tratar los riesgos que están en la “zona de grises”, es decir, aquellos en los que el rango penal no es rotundo, pero que conllevarían, en su caso, un impacto reputacional grande.
- Crear una cultura del cumplimiento y ética empresarial que verdaderamente suponga un freno a los comportamientos de riesgo, con una dirección y unos accionistas que prediquen con el ejemplo
- Implantar un sistema de gestión de compliance que permita mantener los riesgos bajo control, a través de la sensibilización de las personas ante las conductas poco éticas y a través de la gestión de la prevención del riesgo..
¿Cómo hacerlo?
Desde el primer semestre de 2017 disponemos de las normas UNE 19601 y UNE-ISO 37001, que son una guía para la implantación de un sistema de gestión de compliance penal y anti soborno respectivamente, al tiempo que establecen los requisitos para que cualquiera de dichos sistemas pueda ser certificado por una entidad externa acreditada, como AENOR.
Lo más importante es conseguir que el sistema se mantenga “vivo” y sea útil para el fin que se persigue, para lo cual debe tener como base:
- Un diseño, unos contenidos y unas herramientas fáciles de mantener. (Recuerda que “lo óptimo es enemigo de lo bueno”).
- Un análisis de riesgos profundamente realista evitando la extensión ilimitada de posibilidades, es decir, centrado en lo que es razonable pensar que pueda suceder.
- Unas medidas de prevención y unos controles eficaces.
- Una definición de roles y responsabilidades que sea claro y realista, donde cada uno conoce sus responsabilidades, lo que tiene qué hacer y las decisiones que debe tomar.
- La sensibilización de todos los empleados, proveedores y socios negocio…., con la dirección dando ejemplo, hasta arraigar una cultura ética y de cumplimiento.
¿Cuáles son los fallos más frecuentes?
Los primeros pasos de estos sistemas han sido (más bien están siendo) tambaleantes, oscilantes podríamos decir, a causa de la falta de experiencia e incluso de cultura (el compliance penal se toma prestado del derecho anglosajón, culturalmente muy diferente al derecho romano). Lógicamente, se hace camino al andar y se van perfeccionando los sistemas, no obstante, algunos defectos parece que se repiten con mayor frecuencia; algunos de ellos:
- Se desarrollan sistemas que no modifican culturas en las que el cumplimiento y la ética empresarial han sido mejorables, unas veces por esa costumbre inveterada de la pillería y el fraude, y en otras porque las empresas compiten en mercados en donde la corrupción ha sido un factor común hasta hace poco.
- Se desarrollan sistemas muy complejos, sin nada que objetar a priori desde el punto de vista legal, que no solo no están implantados, sino que no son implantables. Un sistema que no está vivo es un sistema absolutamente inútil.
- Se exageran los posibles riesgos hasta límites cercanos al ridículo, viendo peligros en todas partes, lo que bloquea la acción.
- Se dejan a un lado los riesgos reputacionales.
- Los riesgos identificados no se priorizan y, cuando se hace, no se emplean criterios sistematizados fáciles de entender y de aplicar de forma homogénea.
- No se facilitan las consultas ni las denuncias (en una sociedad española muy poco dada a la denuncia).
- Se establecen responsabilidades difusas, que dificultan o no permiten “aterrizar” el sistema de gestión.
Cómo integrar la responsabilidad penal y la responsabilidad social
La gran parte de las principales organizaciones llevan ya trabajando (más o menos en serio) en Responsabilidad Social mucho tiempo, sin embargo, compliance es un término del que hemos empezado a oír hablar hace relativamente poco tiempo.
Lo lógico es asegurar lo obligatorio (compliance) primero, para luego mejorar en lo voluntario (RC), pero en muchas organizaciones se han hecho las cosas al revés.
Primero nos hemos preocupado de lo “bonito”, de vender lo bueno que somos con la sociedad, de vender lo mucho que nos preocupa el medio ambiente y lo que gastamos en acciones sociales, pero se nos olvidaba algo fundamental: asegurar el cumplimiento normativo y legal.
¿Por qué ha ocurrido esto?, muy fácil, porque nuestros grupos de interés han querido que sea así, ellos mandan. En época de bonanza la preocupación por el compliance podría no ser un elemento diferenciador para las empresas, sin embargo el buen hacer social o medioambiental sí podía serlo.
Las empresas en época pre-crisis se preocupaban también del cumplimiento legal y normativo, siempre lo han hecho, lo único es que no eran necesarios sistemas de gestión y controles extras, porque la sociedad y el resto de grupos de interés no lo demandaban, empezando porque la ley tampoco lo exigía (al menos con la rotundidad actual). Sin embargo, a raíz de las reformas del código penal (2010 y 2015) el legislador ofrece a las empresas (públicas y privadas) la posibilidad de eximirse de responsabilidad penal si disponen de un sistema de compliance, vivo, real, implantado y, además, pueden evidenciar una cultura de cumplimiento, de ética empresarial, y ahí es en donde engarza con la Responsabilidad Social.
Debe de considerarse, además, que entre lo claramente vinculante en materia de riesgos penales y lo claramente no vinculante, va a existir una lógica zona de grises, en la que nos preguntaremos ¿tenemos o no tenemos una posible responsabilidad penal corporativa en este tema? La solución va a estar, en muchas ocasiones, en esa Responsabilidad Social, que nos cambiará la pregunta por ¿podemos correr el riesgo de tener un incidente en este tema, sea o no sea una responsabilidad penal corporativa? Recuerden el valor de la reputación, por citar un solo elemento más.
En septiembre de 2017, el barómetro del CIS, sitúa “la corrupción y el fraude” como la segunda preocupación de la sociedad española con casi 40 puntos, sin embargo, en 2005 la puntuación apenas llegaba a 1 punto, estando muy lejos de ser unos de los temas materiales para las empresas.
Actualmente, ante los casos de corrupción que diariamente salen en los medios de comunicación, los ciudadanos, están mucho más sensibilizados y difícilmente perdonan a las empresas y organismos que estén involucrados por mucha acción social que desarrollen, es decir, si las empresas no aseguran un comportamiento que cumpla lo legal y también lo ético, difícilmente podrán dotar de credibilidad a sus Planes de Responsabilidad Social.
En definitiva, hay que trabajar en compliance, antes de trabajar la Responsabilidad Social, porque como falle el primero, fallarán los dos. Si asentamos bien las bases con un buen sistema de compliance la Responsabilidad Social será un elemento clave para conseguir una cultura de “cumplimiento” y ganar en reputación corporativa, elemento diferenciador que me asegura una ventaja competitiva en el mercado actual.
RESUMEN DE LAS PRINCIPALES CONCLUSIONES
De todas las participaciones de los expertos de la jornada, destacamos de forma resumida las siguientes:
- El respeto a las leyes, debe de incluir necesariamente la cultura del cumplimento: transparencia, ética, respeto y reputación, van unidas. La ética es el punto de encuentro de compliance y Responsabilidad Social. La Responsabilidad Social ayuda a crear una cultura de cumplimiento.
- La sociedad demanda una seguridad jurídica, desde luego en las AA.PP., pero también a empresas y profesionales. Los sistemas de compliance son necesarios porque esa sociedad los demanda y porque la legislación los avala.
- La práctica legislativa en compliance aun es corta, pero sin duda, es mejor prevenir que curar, la incertidumbre no nos puede parar. Deben por lo tanto desarrollarse sistemas de prevención de delitos.
- Para que un programa de Responsabilidad tenga éxito es imprescindible que no falle nuestro sistema de compliance: deben ir de la mano.
- Una de las debilidades (para la interpretación) del sistema es qué se considera “beneficio” para la empresa, de ahí la recomendación de prudencia y prevención.
- Al analizar los riesgos (de comisión de delitos por la persona jurídica) se debe de contemplar con cuidado la zona de grises en donde las dudas se acentúan, ese análisis cuidadoso se simplifica si se toma en consideración la RSC. El debate jurídico puede nublar la visión: usen el análisis de riesgos, penales y reputacionales. El empresario no quiere tener razón, quiere evitar tener problemas
- Un sistema de prevención de delitos debe de estar necesariamente vivo, para ello es imprescindible la recolección sistemática de evidencias (registros). Presentar un manual a un juzgado, sin registros ni evidencias, es inútil como supuesta forma de exención.
- Un sistema de prevención de delitos, como cualquier otro sistema, se aplicará solo cuando sea lo suficientemente sencillo (lo que no significa permisivo) como para que se aplique de forma diaria; la complejidad, la burocracia, los análisis innecesariamente extensos y profundos, son garantía de parálisis.
- Los sistemas de prevención de delitos deben convivir y coordinarse con los sistemas, procedimientos y políticas de RSC.
- La certificación de los sistemas por entidades solvente como AENOR, ayuda a que éstos estén vivos y a reforzar la valoración de los sistemas por terceros (en especial de los tribunales, pero no solo), la acreditación de las certificadoras con ENAC, aumentará esa valoración. Una certificación no es garantía de una exención penal, ayudará mucho pero ni es ni puede ser definitiva ni, mucho menos, una patente de corso.
- La cultura española dificulta la aplicación efectiva de estos sistemas (rechazo de la denuncia, tentación permanente a la trampa, etc.) Las organizaciones tienen que abordar un cambio de cultura frente al cumplimento, partiendo de la ética empresarial y la RSC.