Inicio > Podcast > Compliance
Estandarización en Compliance. Pasado, presente y futuro.
# Episodio 4
En este podcast contamos con la intervención de Jorge González, Product Manager de Certificación de Sistemas de Gestión Compliance en EQA.
Transcripción
Pregunta: Hoy vamos a charlar con Jorge González, Responsable del Área de Certificación de Sistemas de Gestión de Compliance en EQA desde el año 2016. También es Doctor en Derecho por la Universidad Complutense de Madrid y ha sido colaborador honorífico en esta Universidad, siendo actualmente profesor tutor en la UNED. Jorge también es colaborador habitual de otras instituciones de enseñanza y además de ejercer la abogacía, ha tenido la oportunidad de trabajar con organizaciones IBEX y otras grandes corporaciones. Entrando un poco en materia, Jorge y aprovechando tu trayectoria. ¿Qué opinas del camino recorrido en el ámbito de Compliance en España? Y a su vez. ¿Tú crees que el mercado o las empresas han alcanzado ya la madurez?
Respuesta: Bueno, yo creo que esa es una buena pregunta para la que todavía no tenemos respuestas o las respuestas son muy variadas. Desde luego, hemos avanzado mucho, hemos avanzado, yo diría que muchísimo, porque bueno, el mundo del Compliance, como seguramente muchos de los que nos escuchan sepan, en España aterriza de golpe y en el ámbito del conocimiento público en 2010, con una muy famosa reforma del Código Penal, debido a la cual, cuando se produjese un delito en una organización, cumpliendo una serie de características por la propia organización, podía ser responsable penal. Eso implicaba que puedes asumir cuantiosas multas y luego otras cuestiones que no son menos graves, como la prohibición de realizar determinadas actividades o incluso el cierre de la empresa en caso de que ese delito se hubiese producido, fuese muy grave y tuviese un impacto importante. Bueno, realmente viene de mucho más atrás y todo el mundo lo sabe. Sobre todo el sector financiero asegurador. Pero en España la realidad es que es que entró de golpe con esa reforma al Código Penal y entró de golpe lo que se llama el Compliance penal, es decir, establecer modelos organizativos para tratar de prevenir que se produzcan delitos en el día a día ordinario de una organización.
Estamos hablando del año 2010. Y es verdad que tardó en arrancar porque prácticamente hasta la reforma posterior al Código Penal de 2015. Pues no, no empezaron o no empezamos. Quizá por desconocimiento o por miedo a tomarnos en serio este este tema. Pero en 2015, con la reforma del Código Penal, que además establecía nuevos incentivos para las empresas a la hora de establecer estos planes de prevención de delitos, pues las cosas cambiaron y además coincidió en el tiempo hablando un poco ese recorrido histórico con la publicación justo en diciembre de 2014, un poco antes, un año antes del primer estándar internacional en materia de complejos como era la ISO diecinueve mil seiscientos, que prácticamente pues no necesita presentación, era un estándar que recogía las buenas prácticas internacionales dentro de la estructura a alto nivel ISO, que es muy conocida y que se llevaba ya usándose algunos años, pues para establecer un marco de cómo una metodología sobre cómo establecer estructuras de cumplimiento en las organizaciones, que podía ser perfectamente aplicable para establecer estructuras de cumplimiento penal o modelos financieros para prevenir delitos en las organizaciones. Y ahí yo creo que realmente cuando arrancó, cuando arrancó el mercado o arrancaron el grueso de las empresas, no sé si tanto a implementar estos modelos organizativos, estas sus estructuras de control, pero desde luego sí a conocer que es persistía conocer que no tener esta estos modelos era un riesgo y a empezar a acudir a foros.
P: Coincide más o menos también con la creación de las principales asociaciones y las primeras en materia de complejidad en España.
R: Bueno, digamos que en 2015 realmente es cuando se empieza a hablar de compañías en España y el recorrido ha sido, yo diría que muy satisfactorio. No sé si hasta alcanzar una madurez, una gran madurez o una madurez total en la actualidad, pero ha sido muy positivo desde distintos ámbitos. Por un lado, desde el conocimiento de la masa empresarial, de la necesidad de contar con estructuras de control, incluso aunque hablemos de pequeñas y medianas empresas. La necesidad de que, obviamente, una empresa tiene que tener ánimo de lucro, pero no puede ser a cualquier precio. Se puede ganar dinero haciendo las cosas bien, que es un poco lo que trasciende de estas estas normativas. Además, en el caso concreto, tanto internacional como el español, muy concretamente se ha seguido trabajando en el ámbito de la estandarización y de la reunión de buenas prácticas, porque el Código Penal en 2015 pasa a desarrollar de una forma elemental que requisitos tienen que tener estas estructuras organizativas para prevenir delitos.
Pero en el año 2016 a finales se publica la ISO 37001, que establece con esa sistemática de la ISO 19600, pues ya establecía un marco para prevenir las prácticas de soborno, muy vinculado a la corrupción, que ya arriesgaba un poquito más esas estructuras determinadas en la 9600 a finales de 2014. Y en España digo siempre que somos unos alumnos avanzados en el marco de la estandarización y de la normalización, porque prácticamente de forma sucesiva se publica el estándar UNE 19601, que a pesar del número no está vinculado formalmente a la ISO 19600. Es un estándar independiente autónomo que hicimos en España, se hizo en los comités de normalización en España y que lo que pretende es adaptar, eso sí, la sistemática de los estándares internacionales de Compliance a la realidad del Código Penal Español, donde el Código Penal en apenas cinco párrafos te dice como tiene que ser ese modelo organizativo para prevenir delitos.
El estándar UNE lo dice en 40 páginas 45 páginas, con lo cual te detalla de mucho mejor manera cómo hacer las cosas y a través de una herramienta de autorregulación empresarial. Es decir, no es obligatorio hacer las cosas como te dice la UNE. Pero claro, entre hacer las cosas como tú creas que están bien hechas y hacerlas cosas como el consenso general dicen que se hacen, pues siempre parece más recomendable hacer las cosas conforme a lo que dictan los estándares, porque los estándares no son más que un montón de personas de partes interesadas, gobiernos incluidos que deciden dotarse de mecanismos de autorregulación para hacer determinadas cosas.
Es algo que lleva funcionando en el mundo de la calidad, la gestión ambiental décadas desde los años 80 y recientemente en otros ámbitos como la seguridad de la información o la protección de datos, la ciberseguridad, que no es algo que llega con el Compliance, que es algo que lleva funcionando mucho tiempo en el mundo. El objetivo aquí es evitar o tratar de tener sistemas para evitar en la medida de lo posible, las infracciones tributarias que como todos sabemos, pues uno puede cometer un delito fiscal, pero sin necesidad de cometer un delito fiscal, puede cometer una infinidad de infracciones tributarias por las que también puede ser sancionada una organización.
También quiero evitar cualquier tipo de infracción, aunque no sea un delito. De hecho, en la actualidad, pues está ya hablando de crear un estándar sobre Compliance en el ámbito de la competencia, también español. Lo que quiero decir. Yo creo que luego lo comentaremos un poquito más de detalle, que hacia dónde vamos es apasionante, pero no es menos apasionante de dónde venimos y cómo.
Yo creo que en esto uno nunca alcanza la madurez, pero desde luego se han dado pasos muy, muy importantes en España, en el ámbito internacional, se han dado, se ha puesto, digamos, la semilla. Pero desde luego España ha cogido un protagonismo importante en la estandarización y el establecimiento de marcos organizativos basados en buenas prácticas y en permitir además a las empresas que al final de lo que se trata de dotarse de sistemas que además puedan ser sometidos a auditorías, a ser sometidos a certificación, que es relevante en cuanto que la certificación no es más que la comprobación por un tercero de que realmente has implantado ese sistema organizativo. Y eso sin duda, pues al final genera confianza a tus partes interesadas, genera confianza a las administraciones e incluso y esto es verdad, que desde el mundo judicial se mira con cierto recelo. Es un apoyo importante también para FIP, para jueces y fiscales, porque es un argumento más, una prueba más. Un indicio, pues, de que una organización realmente ha querido hacer las cosas bien y lo que haya podido pasar, pues ha sido un accidente.
Yo creo que estamos en un nivel de madurez razonablemente bueno, con mucho por delante también es verdad.
Novedades para 2021 y 2022 y los próximos años. La verdad es que hay muchísimo. Aprovecho también, ya que estamos hablando de esto, de que realmente, este mundo de la mejora continua, que es eso que se suele decir de las estructuras de alto nivel ISO en casi cualquier estándar no acaba nunca, incluso los de calidad. Obviamente el estándar de calidad actual no es el mismo que el de hace 30 años.
Todo evoluciona y el Compliance no solamente evoluciona, sino que además se van generando nuevas metodologías. El punto más importante va a ser la ISO 37301 este año, que como seguramente muchas de las personas que nos escuchan ya saben, es la evolución de los trabajos de actualización de la ISO 19600, que como comentaba antes, se aprobó se publicó a finales de 2014. Es una actualización del estándar. Contiene algunas novedades, ciertamente en cuanto a su contenido, no es un no es un cambio radical, pero sí que tiene algunas novedades importantes y una de ellas seguramente sea la posibilidad de pasar de ser un estándar de guía, lo estándar de orientación a ser un estándar de requisitos.
Y no es menor ese cambio, en la medida que implica que precisamente las entidades de certificación como EQA o como cualquier otra. Vamos a pasar a jugar un papel relevante, porque el hecho de que el estándar cambie de orientación permite introducirlo en el ámbito de la en un ámbito parcialmente reglado como es el de la auditoría y la certificación. Es decir, las entidades como EQA. Podrán acudir a una empresa que ha establecido su sistema de cumplimiento estructural siguiendo el estándar ISO treinta y siete mil trescientos uno y someterlo a una auditoría por una tercera parte independiente.
Tratar de dar seguridad al mercado. Pero es verdad que estructuralmente. Pues el estándar sigue siendo o claramente de su lectura por su novedad por lo menos de las versiones que hemos podido ver en fase de elaboración. Está también en marcha los trabajos de elaboración de una ISO 37002, que va a tratar sobre canales de alerta, canales de relación más comúnmente conocidos como canales de denuncia. Pero yo creo que cada vez estamos más profesionales de acuerdo en que utilizar la palabra denuncia, quizá al menos en su traducción al castellano, no sea la palabra más indicada. Pero bueno, es una estándar en el que se va a asentar un poquito la estructura, la metodología para tener un canal de alerta, un canal de comunicación, un canal de acción, por decirlo así, dentro de las organizaciones, siguiendo toda la sistemática de buenas prácticas internacionales y la estructura de alto nivel ISO.
Y esto en realidad va a ser relevante porque se aprobó hace no mucho tiempo la directiva de protección de los denunciantes y de los denunciantes de infracciones de la Unión. Que es así, es una norma legal legislativa, de obligado cumplimiento, que está pendiente de transposición en España y que va a ir muy de la mano inevitablemente de este estándar y su 37002, porque estaremos un poco lo que ocurría con la prevención de delitos del Código Penal. Los estándares internacionales y nacionales te dicen cómo desarrollar eso. Pues en el mundo de la de los canales de alerta o de denuncias, pues quizá veamos una réplica. La directiva europea te sienta las bases y las obligaciones básicas. La transposición a la legislación española seguirá esa misma línea de mínimos, pero tendremos a su vez esa ISO 37002 que te dirá cómo hacer eso conforme a las mejores prácticas e internacionales.
Muy interesante, muy interesante también va a ser la publicación. Y hay más. También se va a publicar una ISO 37000 sin número al final, que a diferencia de todas las demás que estamos hablando, no va a ser un estándar de sistemas de gestión, no va a generar una metodología para para establecer un sistema de cumplimiento, por decirlo así, sino que se van a centrar en dar orientación y en dar en fijar propuestas de marcos para estructurar la gobernanza en las organizaciones.
Se va a salir, digamos, un poco de lo que llevamos trabajando en Compliance en los últimos siete, ocho años. E iba a ser, desde luego, yo creo, un soplo de aire fresco y hay mucho, mucho interés por ver realmente esta norma que propone, porque, como digo, no va a ser una estructura de sistema de gestión, no es una metodología para ayudar a las empresas a estructurar su sistema de gobernanza, sino que va a ir más por la vía, la propuesta, el ejemplo, creo que va a ser un un estándar interesantísimo y bueno, ya hay muchas más cosas, hay muchas más cosas, desde luego de estas contando.
Casi podríamos tirarnos hablando muchísimo tiempo. Pero, por ejemplo, no sé si al final de este año quizás que viene van a empezar los trabajos de actualización de la ISO 37001 Antisoborno, la que se aprobó en 2016. Pues le toca someterse también a un proceso de revisión. Dentro de tanto veremos los procesos de revisión de las normas españolas al menos de la norma UNE 19601. Y todo ello además aderezado con que la estructura de alto nivel ISO está también ahora mismo en un proceso de actualización, con lo cual, cuando esa estructura de alto nivel se actualice, cambie, no va a ser un cambio radical. No parece que vaya a ser, pero va a haber un cambio. Pues lógicamente, todos los estándares que se han publicado de manera previa actualización tendrán que ir pasando, pues al final por sus procesos de actualización, la 37001 empezará este año seguramente.
Al final es una recomendación, eh? Yo creo que la quizá lo que más curiosidad ha generado, especialmente en los departamentos de asesoría jurídica, las empresas. Y luego lo hablo en primera persona por mi experiencia y porque de formación, pues al final su jurista ha ejercido la abogacía muchos años, normalmente como abogados. Ahora no voy a hablar como responsable técnico ni como auditor. Como abogados estábamos acostumbrados a que en las empresas las cosas se hiciesen de tal manera, porque lo recogía una ley. Una ley te decía que tenías que hacer esto o que no podía pasar aquello. Y no, no estábamos tan acostumbrados como hablo, ya digo en primera persona, como abogado, como como jurista. No estamos acostumbrados a que realmente no viniese en la ley la forma de hacer las cosas. No estábamos acostumbrados al mundo de la autorregulación empresarial, al mundo de la estandarización, de la normalización. Es un mundo que, como juristas, como abogados, a muchos pues nos pilló un poco de sorpresa.
Es realmente un ámbito en el que no había, no estábamos acostumbrados a trabajar, pero parece, y ya estamos hablando de que son muchos años, porque a finales de 2014 parece que fue ayer, pero ya son unos cuantos años, más de un lustro, eh? Todas estas metodologías sistemáticas para cumplir obligaciones y parece que así va a seguir, que no van a estar en las leyes, no van a estar en las directivas europeas, sino que van a estar en estándares de autorregulación empresarial, porque obviamente si la ISO 19600 en 2014 hubiese sido un fracaso, no se hubiese publicado una ISO 37001 en 2016, ni las normas UNE en 2017 y en 2019.
No estaríamos ahora hablando de la nueva ISO 37301 y de la 37002 ni de la 37000. O sea, lo que parece claro es que en el ámbito concreto del Compliance, entendido en su más amplio sentido estructural, no sólo penal o no sólo tributario, parece que va a ser la vía de dotar de seguridad a esas, a esas empresas. Ya sabemos que hay un debate muy profundo sobre esa asesoría jurídica. Es un debate que nos daría casi para otros tres podcast, en el que no vamos entrar. Pero desde luego Asesoría jurídica sí que tiene un papel relevante en asegurar el cumplimiento de las obligaciones legales y tiene y tenemos que asumir que la vía de la autorregulación empresarial parece la más. Por un lado, la que ha venido a imponerse en el ámbito del Compliance y también la más flexible, porque permite al legislador dar una legislación de mínimos y que luego sea a través de la del acuerdo, del consenso entre gobiernos, instituciones, grandes empresas, donde se desarrolle la mejor forma de hacerlo a través de la estandarización.
Entonces, creo que la recomendación que yo daría si todavía hoy hay juristas u otros responsables financieros incluso, claro, por ejemplo, el ámbito financiero está todo regulado. Si no es en la legislación, es en las normas técnicas contables. Aquí no, no hay ese nivel de detalle en la regulación. Mi recomendación básica sería que hay que acercarse al mundo de la estandarización, incluso participar en él, yo a través de EQA, pues soy miembro del Comité de Normalización en España de los estándares de Compliance y es penalmente corrupción.
Como decía, se han publicado muchos estándares y más que se van a publicar, con lo cual es necesario conocerlo y es necesario que yo hablando de la madurez de la primera pregunta que me hacías es quizá el punto dónde estamos en esa transición a pasar a hacer las cosas.
Como dice las buenas prácticas internacionales a través de los estándares que están bien. Se publicó un artículo hace un par de años que creo que se titulaba de la improvisación a la estandarización y venía a decir algo. Resumiendo, muy mucho que hacer las cosas como tú crees que están bien, seguramente te lleve si eres un buen profesional, hacer cosas que están muy bien. El problema es que no solamente hace falta que las cosas estén bien, sino que sean reconocibles y reconocidas en el marco del tráfico mercantil y de la autorregulación, de tal manera que la única forma de poder hacer cosas que estén muy bien y que además sean reconocibles, pues es a través de la estandarización.
Mi recomendación sería claramente que se acerquen al mundo de la estandarización y de hecho, los que ya hayan implementado estructuras de cumplimiento de sus organizaciones empiecen a buscar o empiecen a planificar cómo ir transformando esas estructuras de cumplimiento hacia la metodología, hacia la estructura que te proponen los estándares en la materia. Esa sería mi recomendación.