Compliance y su integración en la estructura organizativa

Artículo escrito por Luis Ena Vinués. Abogado. Socio de Legance Abogados. Asesor legal externo del Grupo Ágora. Director del Programa en Corporate Compliance de Kühnel.

Antes de desarrollar un proyecto de Compliance en una organización, es importante reflexionar acerca de sus competencias y plantear, en consecuencia, su relación con otras funciones o áreas de la empresa. No es posible impulsar la función de Compliance sin recapacitar sobre sus atribuciones, lo contrario impediría establecer una estructura robusta y causaría ineficiencias. Puesto que la función de Compliance ha comenzado a generalizarse en los últimos años, es posible que quienes se propongan impulsarla no dispongan de los conocimientos o experiencia necesarios para desarrollar tal ejercicio de reflexión. Procede entonces captar la información que facilite esta tarea, y que constituye el primer objetivo a conseguir frente a un plan de despliegue del modelo de Compliance.

Hecho lo anterior, se llega a la conclusión de que rara vez la función de Compliance opera de forma aislada, precisando actuar coordinadamente con otras áreas de la empresa. Teniendo en cuenta este factor clave de eficacia, se deben articular mecanismos de coordinación con ellas, evitando tanto lagunas como fricciones en actuaciones vinculadas con el ámbito del Compliance. Se trata, entre otras cuestiones, de ubicar adecuadamente la función de Compliance en el contexto de las tres líneas de defensa de un esquema clásico de gestión de riesgos. Estos son también objetivos propios de los estadios iniciales de un plan de despliegue de Compliance, por cuanto el transcurso del tiempo empeora la posibilidad de corregir errores iniciales y consolida las malas praxis derivadas de un planteamiento deficiente.

El modelo de tres líneas de defensa permite una asignación racional de responsabilidades en materia de gestión de riesgos. Puesto que la función de Compliance guarda relación con una tipología de riesgos, los asociados con el cumplimiento de las obligaciones impuestas (“requirements”) y las asumidas voluntariamente (“committments”), es importante pues conocer su encaje dentro de un esquema clásico de tres líneas de defensa. Esto es imprescindible para integrar Compliance de manera sencilla y racional con otras áreas en el seno de la organización.

La primera línea de defensa es la que corresponde a la gerencia operativa: al negocio, coloquialmente hablando. Cuando una organización no concibe el desarrollo de sus actividades al margen de las normas, la gerencia operativa se ocupará de evaluar, controlar y mitigar los riesgos propios de sus quehaceres. Esto aplica igualmente a los riesgos de Compliance que, como el resto, están en manos de quienes los afrontan en el contexto de sus actividades cotidianas. La existencia de una función de Compliance no significa la traslación de esas responsabilidades de primera línea, cuya propiedad recaerá siempre en la gestión operativa.

Corresponde a la segunda línea de defensa ayudar a la gestión operativa en la gestión de sus riesgos, facilitándole información y soporte para hacerlo adecuadamente. Bajo este entendimiento, desarrolla políticas, procedimientos y controles que contribuyan a ese objetivo. Las políticas de Compliance (de prevención penal general, de prevención del soborno, sobre derecho de la competencia, privacidad, etc), así como los procedimientos y controles asociados con ellas forman parte de las labores típicas de Compliance como segunda línea de defensa.

La tercera línea de defensa se ocupa de asegurar la eficacia de los mecanismos de control de riesgos, incluyendo la adecuada aplicación de las políticas, procedimientos y controles que se hayan definido al efecto. Suele estar representada en la función de Auditoría interna.

¿En qué línea está Compliance? Compliance se emplaza en la segunda línea de defensa, disponiendo las medidas para que la primera línea pueda cumplir sus objetivos, y cuyo cumplimiento efectivo puede ser objeto de supervisión por la tercera línea de defensa. Asimilar esta ubicación es esencial de cara a integrar la función con otras áreas de la empresa y evitar equívocos frecuentes.

Si tenemos claro lo anterior, llegaremos a algunas conclusiones:

- La propiedad de los riesgos de Compliance corresponde a la gerencia operativa, que realmente tiene en sus manos manejarlos. Es falso que Compliance sea su propietario y que, por lo tanto, puedan descargarse en la función para desentenderse de ellos.

- Compliance no es la única función que se localiza en la segunda línea de defensa, existiendo otras que brindan igual soporte a la gestión operativa de otros riesgos, como el control financiero, el control fiscal, la seguridad física, etc.

- Auditoría interna asume los cometidos de tercera línea de defensa y conforma, como alguna vez se ha dicho, el control de controles. Es decir, supervisa que los diferentes mecanismos establecidos por las funciones de segunda línea de defensa operan de manera correcta y cubren los objetivos pretendidos. Es común el equívoco de que Auditoría interna supervisa únicamente la eficacia de los controles financieros, entendimiento que limita su actividad a una de las parcelas que conforman la segunda línea de defensa, y deja al resto huérfano de esa supervisión. Si bien es cierto que los escándalos financieros de inicio de siglo propiciaron que los cometidos de Auditoría interna se escorasen sobremanera hacia el campo financiero, con el tiempo asume el alcance general que nunca debió perder.

Para finalizar. Todavía es frecuente confundir los cometidos de Asesoría jurídica interna con los de Compliance. En ocasiones, el equívoco trae causa en que la función jurídica asume en la práctica cometidos de Compliance, especialmente cuando esta función no opera de manera segregada. De hecho, la generalización de la función de Compliance en el ámbito empresarial es un fenómeno relativamente nuevo y, por eso, es frecuente encontrar otras áreas maduras que han asumido previamente parte o todas sus competencias. Esto sucede con cierta repetición en los ámbitos de la función jurídica, la de control interno o, incluso, la de auditoría interna (aunque suponga una confusión de líneas de defensa). No pocos de los máximos responsables de Compliance en empresas actuales proceden de alguno de esos tres ámbitos. Lo ideal en todo caso, sería segregar la función de Compliance respecto de Asesoría Jurídica, lo que implicaría consecuencias positivas: i. Refuerzo de la independencia de la función; ii. Evitaría conflictos de intereses, por cuanto resulta difícil preservar el compromiso de cumplir con las normas y, al mismo tiempo, defenderse frente a terceros de incumplimientos.

Es simplista afirmar que Compliance protege el interés de los stakeholders (grupos de interés) mientras que Asesoría jurídica defiende el interés de la empresa. En verdad, Compliance defiende igualmente el interés de la organización, pero desde la perspectiva de su sostenibilidad, esto es, para garantizar el desarrollo de sus actividades cuanto más tiempo mejor. Y para ello hace valer los compromisos que aquella ha asumido frente a sus stakeholders. Pero tal circunstancia no le priva del legítimo derecho a la defensa que tiene toda persona jurídica y que disponga, para ello, de una función distinta con tales cometidos.