Compliance y responsabilidad social corporativa

Publicado en e-Dictum 47, noviembre de 2015>>

1 . El término compliance –en castellano cumplimiento normativo– ha adquirido un particular desarrollo a raíz de la reforma de la legislación penal en el año 2010, que supuso la inclusión en la misma de la responsabilidad penal de las personas jurídicas. No obstante, el vocablo refiere a una realidad de cumplimiento legal y normativo mucho más amplia y, en consecuencia, difícil de delimitar. En efecto, el compliance alude, en puridad, a una diversidad de materias en las que se requiere de la empresa/empresario una determinada conducta o comportamiento preventivo y de control, derivado de una correcta identificación y evaluación de los riesgos legislativos y normativos a los que se encuentran sujetos, que incidirá en la determinación de su responsabilidad. Responsabilidad de la empresa y del empresario que, en todos los ámbitos, ha ido ampliándose progresivamente, hasta alcanzar un grado de complejidad relevante.

En particular, el Comité de Basilea define la función de compliance como una función independiente que identifica, asesora, alerta, monitorea y reporta los riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras, o pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las regulaciones, los códigos de conducta y los estándares de buenas prácticas (juntos “leyes, reglas y estándares”). Aclarando que la función de compliance se refiere a todas las personas que tienen alguna actividad o responsabilidad relacionada con compliance y no a un sector de la organización en particular.

De esta forma, existe un importante elenco de normas de derecho positivo que, con diferente ámbito y alcance, imponen conductas y comportamientos a las empresas. A ello se añaden, recomendaciones y directrices que, aunque sean de índole voluntario, pueden tener una importante repercusión en la consideración o reputación social de la empresa o del empresario. Con ello se produce una concurrencia entre normas de obligado cumplimiento –cuya inobservancia implicará responsabilidad para la empresa/empresario- y estándares de conducta, de desarrollo ético empresarial, más vinculados al seguimiento voluntario e incardinados de forma global en el concepto de responsabilidad social corporativa. La responsabilidad social corporativa, expresión asumida internacionalmente en el mundo empresarial, indica el compromiso voluntario de una organización, socie­dad o empresa con la sociedad, el medio ambiente y el desarrollo sostenible. Al referirse a la responsabilidad social se alude a la protección del medio ambiente y desarrollo sostenible, la conci­liación de la vida profesional y familiar, la prevención de riesgos laborales y salud laboral, la ética en los negocios, la transparen­cia, la reputación y el buen gobierno corporativo o la integración de discapacitados. El compliance puede considerarse una herramienta para el debido cumplimiento por parte de las empresas de algunos de los objetivos de responsabilidad social, ética, transparencia, anticorrupción…que, desde hace tiempo, se integran en la responsabilidad social corporativa. Así, en algunos de estos ámbitos, se pasa de un cumplimiento voluntario –característico de la responsabilidad social corporativa- a un obligado cumplimiento –propio del compliance-. Con ello no se agotan todos los objetivos de ética, responsabilidad social y transparencia que deben informar la actividad de las empresas, ya que muchos de ellos continúan en el ámbito de la voluntariedad en su desarrollo.

Pero, por el contrario, otros objetivos si han evolucionado en la línea de considerarse por la legislación de cumplimiento obligado, lo que implica que su desatención genere importantes consecuencias jurídicas y reputacionales para las empresas. En los últimos tiempos el desarrollo normativo ha ido en esta línea; las empresas asumen la responsabilidad en diferentes sectores respecto a los medios que adopten para lograr su correcto desarrollo y cumplimiento. La legislación ha ido imponiendo a las empresas determinadas pautas de actuación y conducta que, en caso de falta de cumplimiento, van a conllevar su responsabilidad, la de sus administradores o directivos o la imposición de sanciones. Algunas de ellas se establecen con carácter general, en cuanto se imponen a toda empresa, con independencia de la actividad que desarrolle, aunque, evidentemente, el desarrollo de la actividad si condicione que se encuentre expuesta a un mayor o menor riesgo de acaecimiento. Así sucede, entre otras, con la responsabilidad penal de las personas jurídicas, la responsabilidad civil de administradores de sociedades, la responsabilidad fiscal o el tratamiento de los datos personales y de la seguridad de la información. Otras, por el contrario, dependen directamente de la actividad concreta que desarrolle la empresa. En este sentido, la normativa sectorial implica pautas específicas –y, generalmente, reforzadas- de actuación a quienes asumen mayores riesgos, entre otros, en el plano medio ambiental, de tratamiento de sustancias peligrosas o de relación con seres vivos. E, igualmente, los requisitos de conducta se refuerzan cuando la actividad de la empresa se lleva a cabo en un sector especialmente tutelado. Así sucede con los mercados financieros (crédito, valores y seguro) y con sectores expuestos a riesgos agravados, como, por ejemplo, el sector sanitario.

2 . Pues bien, la empresa deberá ajustar su programa de compliance no sólo a los riesgos generales que soporta, sino también a aquellos que responden a su actividad concreta. Desde la perspectiva de que la legislación, sea general o sectorial, tiende a hacer más riguroso y complejo el elenco de obligaciones impuestas a las empresas. La exigencia legal y normativa impuesta a las empresas para el debido cumplimiento de los objetivos de responsabilidad social, ética, transparencia, anticorrupción…, requiere de éstas la implantación de medios efectivos que aseguren su correcta observancia. La empresa debe tener una política activa que incorpore los medios necesarios para detectar los riesgos normativos e implantar las medidas necesarias de prevención y, en su caso, actuación correctora.

La remisión a la implantación de programas de compliance (compliance programmes) debe ir referida a la incorporación por parte de las empresas de sistemas de evaluación de riesgos normativos, prevención y control de los mismos. Se trata, en definitiva, de que las empresas implanten los controles necesarios –acorde a los riesgos que soportan- para verificar que se produce el requerido cumplimiento normativo y la deseable actuación conforme a la ética empresarial. En esa medida, no sólo debe contemplarse la eventualidad de la responsabilidad de la persona jurídica que viene determinada por la legislación penal, sino también el sometimiento a otros riesgos normativos (p.ej. gobierno corporativo, protección de datos, blanqueo de capitales, etc) y reputacionales (p.ej. políticas de igualdad de género, políticas de publicidad y competencia, etc) y, de conformidad con su dimensión y exposición a cada uno de los riesgos detectados, la implantación de un programa de prevención y actuación.

La forma concreta de implantación de este programa en las empresas, y los recursos humanos y materiales para su desarrollo, dependerán de la dimensión y alcance de éstas y de los riesgos a los que se vean sujetas. Se trata de delimitar los riesgos, la probabilidad de su acaecimiento y las consecuencias que ello acarrearía. En la delimitación de los riesgos tienen influencia, entre otros factores, la actividad desarrollada por la empresa, la dimensión laboral, social y material, la situación económica y el histórico en materia de cumplimiento normativo. La valoración y gestión de estos riesgos determinará la probabilidad de su acaecimiento y las consecuencias jurídicas, económicas y reputacionales que ello implicaría.

A partir del análisis y evaluación de los riesgos, será posible determinar cómo actuar para prevenir, mejorar o, incluso, eliminar los riesgos, a través de un programa de cumplimiento normativo. Sin olvidar que dicho programa debe ser efectivo; es decir, debe tratarse de un programa de cumplimiento normativo adaptado a los riesgos de esa empresa concreta y dirigido a mejorar su gestión y a vigilar su cumplimiento. Ello redundará en una mayor cobertura jurídica de la empresa –la implantación de medios eficaces de detección, gestión y control de riesgos normativos puede derivar en la atenuación o, incluso, exención de la responsabilidad de la empresa si, a pesar de todo, el riesgo acaece- y en su manifestación interna y, sobre todo, externa, acorde a los estándares de ética, corrección y transparencia exigibles a las empresas.

Artículo en pdf >>

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *