en Compliance

Compliance y calidad; la nutria del empresariado

Debo el título de este artículo a mi querido amigo y mejor abogado Francisco Bonatti quien suele referirse a compliance como un indicador medioambiental, que en breve servirá como frontera entre las empresas que hacen las cosas bien y las que no. Es conocido el hecho de que la nutria sea usada como indicador medioambiental de los ríos y torrentes de su localización geográfica cada vez más restringida, de modo que allí donde se encuentra, ello es reflejo de la calidad de las aguas del río y del ecosistema en general. Hay que decir, en orden a las felicitaciones por la comparación, que lo de la nutria es mío, a inspiración de Paco por el apunte del mediambiente. A cada uno lo suyo.

De un modo parecido  compliance está llamado a ser el indicador de la salubridad de las empresas, no ya españolas sino a nivel global. Será la nutria del empresariado, el sello de que se es un buen ciudadano corporativo, y por tanto su principal misión estriba en servir de catalizador de la calidad y competitividad bajo las reglas del fair play en las organizaciones, en el entorno global de una economía renaciente de una gran crisis sistémica.

Y de este modo se establece una relación indisociable entre calidad y compliance. El modelo de calidad total (TQMM en sus siglas en inglés) es el que rige como estándar internacional generalmente aceptado, proveniente de la gestión por procesos en el  ciclo de mejora continua PDCA ideado por primera vez por Edward Deming, el cual hoy en día se reconoce en la norma ISO 9001 de gestión de la calidad.

Lo que estoy diciendo no tiene un alcance meramente teórico, que también pues subyace al espíritu de la norma de compliance recientemente aprobada, en el entorno de normalización internacional ISO 19600. Tiene una aplicación práctica que se deduce de la necesidad de bajar a los procesos; bajarse al suelo (en palabras de la propia Guía de la UK Antibribery Act hay que hablar con los que se “queman la nariz con el carbón”) a la hora de diseñar e implementar un programa de compliance, imaginemos por ejemplo la ineficacia de un sistema de cumplimiento en una empresa que carece de flujograma de procesos, o con una deficiente distribución de responsabilidades a través de una correcta gestión por competencias y sus correspondientes descripciones de puestos de trabajo, a efectos de impedir solapamientos o duplicidades y evitar inconsistencias o contradicciones en el modelo. Y lo mismo ocurre si la empresa adolece de una política de contratación defectuosa sujeta a multitud de riesgos o si la calidad de sus productos es deficitaria.

De nada servirá en ninguno de estos casos un brillante programa de compliance si la realidad de la empresa es otra, y lo único que cumple los criterios de calidad exigibles es la implementación del modelo …

La comunión entre calidad y compliance, como vemos, no es una obligación legal explícita, viene dada por el hecho de que la propia norma de CMS es una norma de calidad, y está pensada para organizaciones con modelos modernos de gestión basados en la calidad total. Entiendo que no me tengo que esforzar mucho para explicar lo que digo; difícilmente se podrá instaurar la calidad en compliance (necesaria para que funcione como eximente en el hipotético caso de requerirlo) cuando el resto de la organización se rige por el criterio de la chapuza.

La función de compliance, por tanto, ha de ser contemplada desde una visión holística o integral, que englobe todos los aspectos de la organización y la impulse hacia criterios eficientes de toma de decisiones en los que prime la calidad, la excelencia, la meritocracia y la ética empresarial, fuera de los cuales la opción se reduce, en un medio plazo, a la marginalidad en los mercados de cada sector para las empresas que no hayan interiorizado el nuevo paradigma.

Vamos a poner un ejemplo de lo que se pretende explicar; todos conocemos la norma ISO 22300 BC (Business continuity) de continuidad de negocio, que podría definirse como el estándar que mide la resiliencia empresarial, cualidad vital en tiempos tan cambiantes como los actuales. Pues bien, el nivel de exquisitez en el desarrollo de Compliance se obtiene si se repara, por ejemplo, en las potenciales fortalezas de las relaciones entre ésta y Business continuity, no ya porque refuerza la propia cultura de riesgo de la empresa, complementando por idoneidad lo indicado en la norma de riesgo (ISO 31000), sino porque su incorporación al modelo de compliance puede hacerlo mucho más efectivo y eficiente. Bueno, y no digo más que luego me acusan de contar demasiado.

La otra cara de la moneda son los despachos. Hace unos días salió publicado en Cinco Días un artículo en el que un prestigioso bufete anglosajón afirmaba que los despachos que no presten el servicio de compliance quedarán atrás. Aparte del acierto y autenticidad de las predicciones, que está por verse, hay una lectura entre líneas que hay que dar al artículo, y es, en mi humilde opinión, la siguiente;

En un entorno digital de máxima vigilancia tecnológica de los ciudadanos, también corporativos, por parte del estado, compliance servirá de línea divisoria entre las dos divisiones en que se jugará la liga de las empresas en un futuro muy cercano; las que asumen el paradigma del buen gobierno y la sostenibilidad o las que continúan en el “antiguo régimen” de corrupción y fraude institucionalizados, propios de otra era.

En este sentido, no será muy difícil para la Administración discernir qué despachos están en cada lado de la línea. Y aunque es de sobra conocida la prohibición de investigaciones genéricas contra una persona (fishing expeditions), no nos debemos sorprender que, a modo de como funcionan los antecedentes penales en la persona física, se confeccionen listas de buenos ciudadanos corporativos; o incluso Planes de control de la Fiscalía en función de las estadísticas observadas, a modo de como ya lo hace la Administración Tributaria en los Planes Anuales de Control Tributario, en los que marca los objetivos fundamentales en que focalizar los esfuerzos de la inspección, determinados en orden a los puntos calientes en que se hayan observado mayor volumen de fraude. Todo ello además (aplicándose su propia receta), en cumplimiento del enfoque de riesgos (Risk management approach) implementado por la OCDE para las administraciones fiscales; centrar los esfuerzos en los mayores  riesgos detectados.

La condena por inexistencia o calificación defectuosa del modelo de compliance de una empresa puede ser el “Sambenito” (sayo que se obligaba a lucir a los reos de la Inquisición para escarnio público) a modo de condena extrajudicial, que tenga mucha más repercusión que la propia sanción impuesta por la condena.

No olvidemos que la confianza es muy frágil, y pende de un hilo tras multitud de escándalos que han puesto en entredicho el propio principio de seguridad pasiva del tráfico mercantil, indispensable en el entorno de la economía y finanzas globales, que lleva a pensar que todos los agentes son mínimamente solventes y honrados, y que el sistema, aun con fallos, funciona. Nada más lejos de la realidad.