¿PARA QUÉ NECESITAS COMPLIANCE?
Claramente en el mercado se han presentado dos fuerzas en cuanto a la oferta del compliance, al menos en la parte de prevención de delitos (compliance penal) que es la que, actualmente, parece concitar todas las miradas y atenciones.
La pregunta qué hay que discernir, en principio, es la que da título al presente artículo: ¿para qué necesita compliance tu empresa? O ¿qué tipo de compliance necesitas?
Desde mi experiencia, existen hasta dos formas de concebir el compliance penal. La primera, más ligada a un sistema de gestión de riesgos y, la segunda, aquella que aprecia al compliance más cercano al riesgo natural que, en este caso debería preocuparnos, el riesgo penal. Cada una de estas posiciones tiene, desde luego, sus propios matices.
En el compliance como sistema de gestión existe una marcada tendencia a la preocupación por el procedimiento (como ocurre con el ISO 37001 por ejemplo), de allí por ejemplo que deba de trabajarse con una marcada visión del impacto que generará el ingreso del sistema en la operatividad de la corporación; ¿quién es el dueño del proceso? ¿cuáles son las oportunidades de mejora? ¿qué hacemos con el riesgo residual? Son algunas de las incógnitas que habría que despejar en este contexto. No obstante, en este compliance parece, repito, parece dejarse de lado un hecho incontrovertible: que el riesgo es -en este caso- penal y que será, para bien o para mal, un Fiscal el que lo analizará (el sistema) en un caso real.
Hablando del “otro” compliance penal, es claro que este se preocupa más de cómo disuadir o detectar el delito (cualquiera que sea el ilícito porque, ojo, no solo se trata de corrupción). En este extremo, el interés crece por re construir qué sucede dentro de la corporación y de poner candados efectivos para evitar que eso suceda de nuevo y que, en todo caso, se pueda probar la tan ansiada debida diligencia. La debilidad de esta propuesta radica en la carencia del concepto sistemático (de aparente orden) que inspira a la otra variante.
En mi concepto, no hay compliance “bueno” o “malo”, “mejor” o “peor”, todo dependerá de lo que requiera de la empresa y, concretamente, de las experiencias que haya vivido (por ejemplo, no es lo mismo una empresa que haya afrontado una investigación a otra que nunca la ha padecido) e incluso también dependerá del “usuario” del modelo (si es el abogado o el auditor de la empresa).
Propongo por ello siempre una mezcla de ambas visiones, entendiendo que cada aproximación tiene sus virtudes. La parte de identificación y evaluación del riesgo, en este caso, debería ser de cargo del especialista penal, mientras que el diseño e implementación de la parte auditoría o con experiencia en procesos internos (sin dejar de lado, conceptos como el de calidad regulatoria o el componente psicológico indispensable). Eso, claro está, sin que una de las dos partes se desentienda de la otra.
Sea como fuere, en lo que no debemos de caer es en fabricar “medallitas” o modelos “de papel” que, a la hora del examen, nos pongan en más apuro del que, presuntamente, pretendemos escapar. El compliance es de todos y de ninguno.
Lima, 21 de agosto de 2018
Eduardo Herrera Velarde.