“Es necesario regular la función del ‘compliance officer’ a nivel internacional”

La sede de la Asociación Española de Compliance (Ascom) está en pleno centro de Madrid, en la Calle Zorrilla, en un edificio señorial de amplio portalón que parece trasladar a un tiempo pasado. De hecho, esta calle se llamó antes Calle del Sordo porque hubo en estos descampados una venta cuyo propietario sordo daba cobijo a malhechores. Lo irónico es que se lucró con una práctica que hoy en día sería del todo censurable si se piensa en la función del compliance en las empresas.

Es aquí, probablemente cerca de donde estuvo esta venta, donde está la sede actual de Ascom, una asociación no lucrativa que nació en 2014 para crear un espacio común de profesionales de compliance y cuya principal misión es la profesionalización de la función en España.

Sylvia Enseñat, su presidenta, habla en esta entrevista sobre la función del compliance en las empresas españolas. No solo del penal que tanto preocupa actualmente a las empresas, “sino de la función del compliance de una forma mucho más amplia”, comenta la que fuera durante diez años directora de Compliance en Barclays Bank en España.

Tiene usted una trayectoria profesional muy amplia y variada. Ha trabajado en la empresa privada, el mundo docente y ocupado cargos públicos. ¿Cómo llega usted a interesarse por el compliance?

Soy ingeniero agrónomo y, como bien dices, he trabajado en temas muy variados cubriendo un espectro profesional muy amplio, pero fue en 2004, cuando trabajé para Barclays cuando empecé realmente a interesarme por el mundo del compliance. La matriz necesitaba implementar la función del compliance en todas sus filiales y en España me lo encargaron a mí. Yo no sabía nada del compliance, como el 99,9% de los profesionales de este país, pero teníamos todo el conocimiento de la matriz y fue fácil trasladar esas políticas a la filial española.

Cuando me fui de Barclays, a finales de 2013, tras diez años como directora de compliance, el departamento tenía treinta personas y la función estaba plenamente consolidada en la filial española. Además, en 2007, se adoptó en España la directiva MiFID que hacía obligatoria esta función en las entidades financieras y después, en 2015, se tramitó en las Cortes el proyecto de Ley de Reforma del Código Penal que consolidaba la responsabilidad penal de las personas jurídicas eximiendo a las empresas que tuvieran un programa de compliance.

A partir de ese momento, se generalizó en España la necesidad de tener esta función en todas las empresas y se empezó a hablar más de la función del compliance, aunque solo del penal, que no hay que olvidar que es solo una parte del compliance.

¿Qué pasó entonces?

Que en España no existía ninguna asociación y se hablaba del compliance desde el desconocimiento de la función. Al menos eso fue lo que yo percibí, porque en realidad no se sabía lo que era. En ese momento tuve la idea de hacer una asociación de profesionales del compliance y contacté con otros colegas que eran compliance officers en entidades financieras, que era donde más se conocía esta función, y constituimos juntos Ascom en mayo de 2014.

Lo hicimos con el objetivo de profesionalizar la función, no inventándonos nada, sino recogiendo lo que ya existía en otros países; porque todo lo hemos importando del mundo anglosajón.

El Consejo General de la Abogacía española ha publicado recientemente un informe en el que apuesta por que la figura del compliance officer siempre sea un abogado, pero externo, para evitar un posible conflicto de intereses. ¿Qué opina usted al respecto?

Discrepo de forma absoluta con que tenga que ser siempre un abogado. De hecho, yo soy ingeniero. Un compliance officer es una figura que gestiona riesgos. Un licenciado en Derecho no es un experto en el análisis y monitorización de riesgos y, aunque su conocimiento sobre leyes puede ser un complemento a su función como compliance officer, se tendrá que rodear de personas en su equipo que le aporten los conocimientos de los que carece.

No es un requisito ser licenciado en Derecho para ser compliance officer, pero sí que existe un conflicto de intereses si el abogado de la empresa ejerce como tal. Este debate no solo se da en España, sino en todos los países.

El abogado de la empresa tiene que ver los temas desde la perspectiva de la defensa legal de la compañía y el compliance officer desde otra perspectiva totalmente diferente, que muchas veces es la defensa de los intereses de terceros dentro de las actividades de la empresa. Me explico: una cosa puede ser legal, pero desde la perspectiva del compliance no se debe de hacer porque no es ético o no respeta las buenas prácticas empresariales.

Entonces, ¿el compliance officer vela más porque en la empresa no se comentan delitos o porque la empresa se conduzca de manera ética en sus actuaciones?

Vela más por lo segundo. Vuelvo a insistir en que el compliance penal es solo una parte y, muchas veces muy reducida, de la función de compliance.

Pero, la posible comisión de delitos es lo que parece preocupar más a las empresas españolas…

Sí, pero solo al principio, hasta que empiezan a conocer más la función del compliance. Normalmente la curva de aprendizaje empieza por el compliance penal, pero, a medida que una empresa es más madura en la implementación de su programa de cumplimiento, se va dando cuenta de que esta función va mucho más allá.

Hay una sentencia reciente del Tribunal Supremo que me parece muy interesante. Es sobre un caso en el que los delitos no son susceptibles de ser cometidos por la persona jurídica, en concreto son apropiación indebida y administración desleal. Quiero decir con esto que, si montas un programa de compliance penal en el que solo se tengan en cuenta los riesgos de comisión de delitos por parte de la persona jurídica, pero no tienes en cuenta otros aspectos, no es un buen programa de compliance.

Lo que dice la sentencia del Tribunal Supremo es que un buen programa de compliance hubiera ayudado a detectar a tiempo lo que estaba ocurriendo en esta empresa, pero no existía.

¿La necesidad de implementar esta función en las empresas puede deberse también a una mayor sensibilidad social y empresarial después de los casos de corrupción conocidos durante estos últimos años?

Sí, sin duda. En definitiva, se trata de prevenir el delito y las malas prácticas empresariales. La razón por la que se reforma el Código Penal tiene su origen en la convención anticorrupción de la OCDE en la que se requieren medidas concretas para prevenir la corrupción internacional. Es posible que la tolerancia de la sociedad hacia estos casos sea cada vez menor, lo cual está muy bien, y que, en parte por este motivo, la necesidad de implementar este tipo de programas y mecanismos de control sea cada vez es mayor en las empresas.

¿Qué valoración hace usted de los cuatro años de andadura de Ascom?

La verdad es que muy positiva. No solo porque la asociación ha tenido una acogida muy buena y hemos crecido de forma muy rápida, sino también porque hemos puesto en marcha iniciativas que están contribuyendo a la profesionalización de la función.

Por ejemplo, hemos publicado el Libro blanco de la función del compliance. Además, tenemos los congresos nacional e internacional que cada año tienen mejor acogida y repercusión.

Y, el día 21 de noviembre, celebramos el Día del Compliance Officer. Durante esta jornada entregamos los Premios Ascom con los que se reconoce a figuras del mundo empresarial, personas individuales o medios de comunicación que contribuyen a la difusión de esta función.

También hemos puesto en marcha los Certificados Cescom. En la quinta edición, celebrada este año, se inscribieron en el examen más de 300 personas y cada año suscita más interés. Y, más recientemente, hemos puesto en marcha el Instituto de Estudios de Compliance (Iecom) para dar formación continua, no solo a nuestros socios, sino también a otras personas que quieran formarse.

En general, en España, ¿queda mucho camino por recorrer en el tema del compliance? ¿Hay aún mucho desconocimiento por parte de los empresarios?

No hay un estudio riguroso, ni oficial, al respecto. Pero, lo que percibimos desde Ascom, es que las empresas grandes, como es el caso de Iberdrola, tienen todas planes de cumplimiento, y que son ellas las que están trasladando esta cultura del compliance a las Pymes. Las empresas grandes lo consideran imprescindible, sobre todo a la hora de hacer negocios fuera de España, porque el mercado así se lo exige. Ahora las grandes quieren que las pequeñas lo tengan porque les impacta en su cadena de suministro. El mercado lo exige, pero también es una cuestión reputacional.

Iberdrola ha puesto en marcha una iniciativa con Ascom en este sentido para hacer llegar la cultura del compliance a las Pymes…

Sí, ha sido algo muy bonito y generoso por su parte, porque las pequeñas y medianas empresas tienen menos recursos. Esto demuestra cómo va a funcionar el tema del compliance a partir de ahora. El objetivo es trasladar hacia abajo la cultura del compliance y hacerlo bien. Esta razón, más comercial que de tipo penal, va a hacer que esto vaya calando poco a poco en el tejido empresarial.

Para convencer a las Pymes, ¿cómo de importante es para una empresa controlar sus riesgos potenciales?

Al final, aunque en muchas ocasiones parezca una necesidad impuesta por una ley o por el propio Código Penal, las empresas que lo implementan se dan cuenta con el tiempo de las bondades que tiene el compliance. Evitar riesgos es cuidar la reputación de la empresa y evitar que ese daño en su reputación pueda afectar a la propia existencia de la empresa. Un compliance officer vela por los intereses de los clientes, de los proveedores, etc. y, aunque al principio pueda resultar, digamos, incómodo para el empresario el que alguien le indique por dónde puede o no ir, a la larga todo eso genera confianza en los clientes y aumenta el valor de la marca.

Así que se puede decir que, para una empresa que tiene vocación de futuro, que entiendo que son la mayoría sino todas, esta función tiene una ventaja clara: detectar y corregir prácticas indebidas de manera temprana para cuidar la reputación de la empresa y evitar futuras pérdidas económicas.

¿Cuáles son las principales responsabilidades penales, civiles o administrativas en las que puede incurrir el compliance officer en el desempeño de sus funciones?

Desde mi punto de vista, mientras haga bien su trabajo, no debería de tener ninguna responsabilidad. Se trata de un empleado más de la empresa con unas funciones concretas, como son identificar riesgos, establecer controles, monitorizar y supervisar deficiencias, informar a la dirección, etc. Si luego la empresa no toma medidas al respecto, él no es responsable de lo que pueda pasar. Eso sí, lo que no puede hacer es detectar una deficiencia y guardarla en un cajón por presiones.

Estas situaciones se dan cada día y el compliance officer debe de conocer las líneas rojas de su función. En este sentido, hemos abierto un debate con las autoridades sobre si el compliance officer no debería de estar de alguna manera protegido para evitar posibles presiones.

El delegado de Protección de Datos, por ejemplo, sí que tiene un reglamento que lo protege, y creemos que en caso del compliance officer debería de ser igual. El próximo 21 del noviembre, cuando celebremos el Día del Compliance Officer, vamos a hablar en una mesa redonda de la posible regulación de la función del compliance officer a nivel internacional. Creemos que es necesario definir la función, no tanto reglar la formación. La razón es clara: si no adoptas medidas para evitar coacciones o presiones al compliance officer, no podrá prevenir el riesgo de la comisión de delitos en la empresa, que es el fin último de su función.

¿Es importante que las empresas se certifiquen, por ejemplo, en la UNE 37.001 o en la UNE 19.601 o es algo innecesario por ser muy complejo y costoso?

Depende de la empresa. Puede ser bueno, porque un tercero acredita que lo que estás haciendo lo estás haciendo bien, pero no es imprescindible. Yo diría que una empresa con una altísima cultura de compliance no necesita para nada tener una certificación UNE porque sabe que lo está haciendo bien y tiene sus propios mecanismos de control; pero, cuando esto no sucede, que es en la mayoría de los casos, puede ser un valor añadido que alguien externo certifique que lo estás haciendo bien, aunque se traduzca en un coste inicial para la empresa.

En 2016 publicó usted un manual dirigido a los compliance officers, ¿por qué recomendaría su lectura?

Está pensado de una manera muy práctica para una persona que esté empezando a ejercer como compliance officer en una empresa y que no sepa por dónde empezar. Está basado en mi experiencia de diez años en Barclays y recoge lo que tiene que hacer el compliance officer y cómo lo tiene que hacer. Creo que puede resultarles de gran utilidad.

Desde el punto de vista del cumplimiento, ¿cuál es el mayor riesgo que tienen actualmente las empresas o los organismos públicos?

Depende. No hay una respuesta única porque no hay dos empresas iguales. Cada empresa es distinta y afronta riesgos distintos. Lo que tiene que hacer el compliance officer es analizar los riesgos concretos de esa empresa concreta.

Finalmente, ¿qué retos futuros vislumbra usted para Ascom?

Queremos seguir en nuestra línea. La razón de nuestro éxito es haber tenido desde el principio muy claro cuál era la misión de nuestra organización, que no es otra cosa que la profesionalización de la función y, desde luego, nuestras señas de independencia. No tenemos ningún interés particular con ninguna empresa más allá de la defensa y profesionalización de la función y nuestro principal objetivo sigue siendo que cada vez sea una profesión más consolidada en España.