¿Cómo implantar un programa de Compliance penal en tu PYME?

1.- CUESTIONES QUE DETERMINAN EL MODELO DE COMPLIANCE EN LAS PYME

Antes de decidirte a implantar un Sistema de Compliance en tu PYME debes tener en cuenta una serie de consideraciones que van a condicionar tu proyecto:

Como ya sabes, las PYME son organizaciones pequeñas y menos estructuradas, que generalmente nacen y crecen a partir de negocios familiares, escisiones de otras organizaciones (en muchas ocasiones fruto de despidos colectivos o cierres empresariales) o proyectos surgidos de la agrupación de trabajadores autónomos alrededor de un proyecto o una línea de negocio.

Este origen diverso y un poco caótico de casi todas las PYME incide a la hora de diseñar e implementar compliance en:

Que generalmente hay una gran confusión de funciones en todos los niveles, de modo que resulta difícil diferenciar órganos de gobierno, alta dirección e incluso mandos intermedios.
Que las mismas personas asumen roles en diversas áreas funcionales y operativas de la organización
Que los procesos de la organización son muy cortos, están poco definidos o son inexistentes porque nos encontramos básicamente con un responsable y unos empleados a quienes va dando instrucciones atendiendo a las necesidades.
Que no hay estructura suficiente para crear funciones de compliance internas e independientes

La debilidad financiera de la PYME y el incierto entorno de los mercados, todavía muy afectados por la crisis mundial de 2007 y las consecuencias que tuvo para nuestra economía, condiciona gravemente el margen de maniobra de las PYME para acometer procesos de transformación cultural tan importantes como la implantación de compliance, dado que sus esfuerzos se siguen centrando en consolidar o mantener su viabilidad empresarial, aún a costa de abandonar frentes como el de la exigencia legal de auto regulación.

También debemos considerar la endémica escasez de recursos de las PYME para afrontar este tipo de proyectos y la dificultad que supone tener que emplear expertos altamente cualificados cuando se dispone de pocos recursos económicos. Normalmente se acude a externalizaciones donde, además, se prima el coste económico sobre la idoneidad del experto contratado.

2.- EN LAS PYME, MAS QUE NUNCA, COMPLIANCE ES ACTUAR COMO TOCA

La autorregulación ha venido para quedarse y su impacto sobre empresas y organizaciones no distingue entre grandes, medianas o pequeñas como demuestran las recientes e importantes reformas en materia de privacidad (con la LOPDYGDD/RGPD) y blanqueo de capitales o el impacto que la responsabilidad penal de la persona jurídica está teniendo en los Juzgados donde ya como se procesa y se juzga a todo tipo de empresas sin atender a su tamaño o relevancia en el mercado.

Ya te hemos explicado que en las PYME la organización es mucho menor y en consecuencia los riesgos derivados de empleados y socios de negocio también se reducen notablemente. Sin embargo, la debilidad de su estructura de gobierno y la confusión de roles y responsabilidades en dicho nivel hacen que el compliance en las PYME tenga una muy intensa relación con la forma en que se gobiernan, y con su capacidad para mantener estándares de gestión basados en conductas éticas y sostenibles por encima de las presiones de mercado.

Dicho de modo más simple, para implantar compliance en PYME todo lo que nos ahorramos en procesos, procedimientos y controles deberemos invertirlo en gobernanza ética y en reforzar la resiliencia y asertividad de sus gestores.

3.- PEQUEÑAS EMPRESAS, GRANDES ASESORES

La conexión entre compliance¹, Buen Gobierno y responsabilidad corporativa es evidente: Las organizaciones concretan su responsabilidad corporativa mediante códigos éticos que imponen la necesidad de establecer reglas precisas de gobernanza y el compliance deviene una herramienta fundamental para que la alta dirección puede asegurar razonablemente que todos los miembros de la organización actúan conforme a dichas obligaciones.

Actualmente, además, los estándares internacionales publicados por ISO (ISO 19600 e ISO 37001) y UNE (UNE 19601 y UNE 19602), han sabido recoger las mejores prácticas internacionales en materia de compliance e integrarlas en la estructura de alto nivel ISO² que es, a su vez, el referente internacional en cuanto al diseño de sistemas de gestión en cualquier clase de organización con independencia de su origen, finalidad o tamaño.

La normalización de compliance³ se impone porque además permite someterse a procesos de evaluación de la conformidad realizados por entidades de certificación acreditadas. Este factor facilita que las organizaciones puedan demostrar frente a terceros (clientes, proveedores, administraciones, reguladores y socios de negocio) que disponen de un SGC⁴ eficaz y alineado con los más reconocidos estándares internacionales en la materia.

Las normas ISO/UNE están pensadas para ayudar a la implementación de compliance en las PYME y son una herramienta extraordinariamente práctica para escalar los sistemas de compliance al tamaño y recursos que efectivamente dispone cada organización, si se cuenta para ello con los consultores adecuados.

Erróneamente, y también inducidos por asesores externos mal preparados, muchas PYME encaminan sus pasos a hacia modelos de “copiar y pegar” que en muchas ocasiones se basan en sistemas de empresas de mayor tamaño que se pseudo copian o recortan de forma burda y equivocada, llevando a las empresas a una situación indeseable basada en los llamados “paper compliance”.

4.- CLAVES PRÁCTICAS PARA EL DISEÑO DE UN SISTEMA DE GESTIÓN DE COMPLIANCE

NOTA: Este apartado se complementa con nuestro articulo “¿qué necesitamos para definir un sistema de compliance eficaz?” que te recomendamos leer haciendo click ¿qué necesitamos para definir un sistema de compliance eficaz?

El diseño de tu sistema de compliance te va a requerir respetar unos procesos comunes a todas las organizaciones, que a su vez en tu PYME mostrarán unas características diferenciales sobre las que vale queremos ofrecerte una serie de claves prácticas

4.1.-Due Dilligence para seleccionar profesionales adecuados que te ayuden a implantar tu sistema

Las pequeñas empresas necesitáis grandes profesionales que os ayuden a implantar sistemas de compliance sencillos, pero a la vez eficaces, que se adapten perfectamente a tu organización.

El diseño e implantación de compliance en tu PYME exige el mismo nivel de conocimientos y experiencia que exige otra organización de mayor tamaño, ya que los retos técnicos son muy similares. Por ello te aconsejamos que en el proceso de selección de tu consultor de compliance:

Le pidas referencias sobre su formación en la materia, los años de experiencia efectiva que acumula y otros proyectos que haya desarrollado en organizaciones de características similares a la tuya. A partir de sus respuestas, valora su grado de dedicación real a este tipo de servicios y confía en aquellos que te demuestren mayor grado de especialización.
Monitoriza su web y RRSS. Hoy en día todos los profesionales de este sector mostramos en medios públicos nuestra actividad profesional y aunque no es un aspecto determinante para escoger a un consultor, si puede serlo para descartarlo. No confíes en expertos multiuso y todo terreno que se prediquen como especialistas en compliance a la vez que en otras muchas materias.
Preguntale por su equipo de colaboradores y recursos de trabajo: compliance es una actividad compleja y multidisciplinar poco adecuada para “lobos solitarios” y Mc Giver varios.
Evalúa su alcance territorial: las organizaciones se extienden por el territorio nacional y los servicios de compliance lo hacemos con ellas. Servicios muy locales pueden ser útiles para actividades muy locales, pero no necesariamente para proyectos más extensos.
Pídele una propuesta de proyecto, un presupuesto, Confía en firmas solventes y reconocidas en el sector que te demuestren desde el minuto uno que saben qué hacer con tu PYME.
Antes de cerrar el acuerdo, pídeles las garantías que te ofrece durante su ejecución (calidad, reclamaciones, etc), que te aseguren la solvencia económica y profesional de su firma y el aseguramiento de sus riesgo (pólizas de seguro).

4.2.- Comprender la organización y el entorno en que se desenvuelve

Los sistemas de compliance deben adaptarse a las características específicas de cada organización, nuestra primera labor es analizar tu PYME identificando aquellas cuestiones determinantes para un correcto diseño del SGC:

La misión, visión y valores son fundamentales porque llenan de contenido el SGC, pero se hace necesario conocer también los valores del sector en que se desenvuelve, así como los de proveedores y clientes principales que pueden condicionar el presente y futuro de la compañía. El tono ético de una PYME está gravemente influido por el tono ético del entorno en que se desenvuelve.
La estructura de una PYME tiene que ver con su organigrama, áreas en las que opera y complejidad de los procesos y actividades que desarrolla, así como las relaciones que mantiene con socios de negocio y entidades dependientes de la organización. Pero también tiene que ver con todos esos procesos y habito de la organización que no están escritos pero se aplican, para bien o para mal, porque “se ha hecho así desde siempre”. El papel lo sostiene todo, pero debemos identificar, atender y valorar esa cultura no escrita de la PYME si queremos que nuestro sistema sea eficaz
En las relaciones que mantenemos con otras partes interesadas⁵, pesa muy especialmente aquellos proveedores o clientes estratégicos de los que, en ocasiones, depende la pervivencia de la propia PYME, esta factor tan relevante merece un estudio diferenciado.

El resultado de los trabajos de contexto tienen especial incidencia en las PYME a la hora de:

Definir el alcance objetivo del SGC que, más allá de los riesgos estrictamente penales, puntualmente incorpora otras obligaciones de gran impacto, como por ejemplo, en los centros escolares el acoso escolar entre los alumnos, o en los centros sanitarios los riesgos de homicidio o lesiones imprudentes.
Evaluar el impacto real que suponen los riesgos de compliance para tu PYME, ya que en multitud de ocasiones este impacto se muestra letal en organizaciones pequeñas.
Comprender la cultura de la PYME y evaluar el grado de dificultad que va a entrañar la implantación de compliance entre los empleados.

En las PYME es importante dejar evidencias documentadas de estos trabajos para acreditar en qué nos hemos basado a la hora de diseñar el SGC y evaluar sus riesgos. Una de las grandes debilidades de las PYME es que no documentan, o documentan muy inadecuadamente sus proyectos y esta carencia -en compliance- puede ser catastrófica.

Recomendación: Este trabajo generalmente estará liderado por los consultores externos, pero si no se hace evidente la implicación de los administradores/directivos el proyecto se verá gravemente afectado en su credibilidad entre los empleados, y muy probablemente no dará el resultado deseado. Por ello, estar presente antes, durante y/o después de los trabajos de campo y los empleados deben verte implicado en el proyecto.

4.3- Identificar, evaluar y planificar el tratamiento de los riesgos de compliance

El reto que afrontamos en las PYME tiene que ver con el hecho que en muchas ocasiones no disponemos de un mapa de procesos que nos ayude a trabajar esta cuestión, y para eso tenemos a nuestra disposición herramientas tan útiles como la ISO 31000:2018 que nos ayuda a identificar y evaluar el riesgo incluso en pequeñas organizaciones.

Los errores más habituales se cometen al calcular el riesgo inherente⁶, porque en organizaciones pequeñas frecuentemente no se establecen ni se valoran dimensiones de cálculo para la probabilidad o el impacto, dejándolo a la mera arbitrariedad del supuesto especialista que analiza el riesgo. Este tipo de valoración, sin soporte alguno que permita defender esa evaluación del riesgo, puede comportar graves problemas en la validación del sistema de compliance ante un proceso penal.

4.4.- Definir políticas, procedimientos y controles adecuados

En cuanto a la política de compliance como documento estratégico, en las PYME debemos reforzar el esfuerzo de adaptación al lenguaje y cultura de la organización, ya que hablamos de estructuras mas pequeñas e influenciables por factores internos y externos y especialmente por esa cultura no escrita de cada PYME a la que hemos hecho mención antes que puede acabar condicionando el éxito de la implantación del sistema.

En las PYME los procesos, procedimientos y controles se simplifican en relación con las grandes organizaciones, pero en contrapartida la Alta Dirección recibe mucha mas presión en su toma de decisiones, de modo que una parte importante de los riesgos de compliance en las PYME se mitiga mediante procesos solidos de gobernanza.

Recomendación: la formación es un aspecto fundamental para la implantación del compliance en las PYME y una de las cuestiones donde la experiencia del consultor de compliance es clave. En las pequeñas organizaciones la formación debe impactar en los empleados, debe moverlos en el sentido pretendido mediante acciones creativas que dinamicen y capten la atención e interés de los miembros de la organización. Despreciar una buena formación en la PYME es desperdiciar la energía más trasformadora que el sistema pone inicialmente en nuestras manos.

4.5.- Crear una función de compliance adecuada al tamaño y estructura de la organización

En las PYME la Función de Compliance se ejecutará desde la Alta Dirección, con la ayuda de consultores externos y personal interno no dedicado exclusivamente a compliance.

Entre los cometidos esenciales de la función de compliance, las PYME muestran algunas peculiaridades:

El desarrollo técnico de los procesos habituales de la función corresponde a los asesores externos legales y a los consultores de compliance.
La formación y concienciación devienen procesos clave en el desempeño del SGC y exigen una visible implicación de la Alta Dirección, porque ésta es un referente esencial para los empleados de las PYME.
La alta dirección y, si existe, el órgano de gobierno, se implican mucho más intensamente en el día a día de la función de compliance.
la gestión de los canales de denuncia se externaliza de forma mayoritaria por carencia de recursos internos.
La gestión y mantenimiento de las evidencias documentales del sistema de compliance acostumbra a comportar mayores dificultades por la escasez de medios disponibles
evaluación del desempeño o monitoreo del sistema de compliance es mucho mas limitada y tiende a externalizarse.

Recomendación: En las PYME estos procesos se simplifican en la medida en que es mas simple la estructura de la organización, sin embargo, hay que ser mas cuidadoso en la integración y coordinación de todos los profesionales que intervienen, y muy especialmente en el papel que deben desempeñar los asesores externos jurídicos y económicos habituales de la PYME, que ven reforzado su protagonismo con la llegada del compliance a la organización y no deben ser, en modo alguno, desaprovechados para el compliance.

5.- EFICACIA DEL SISTEMA DE COMPLIANCE: LA TRANSFORMACIÓN CULTURAL

El objetivo último de cualquier sistema de compliance es pasar de un sistema de gestión basado en el control a un sistema de gestión basado en la integridad de las conductas y significa que debemos buscar una verdadera transformación cultural de la organización, concretada en que cada uno de sus integrantes acabe siendo consciente de los riesgos de compliance que gestiona personalmente en su día a día y asuma que el incumplimiento de sus obligaciones comporta una pérdida de valores para toda la organización y unas consecuencias que afectan a todos sus integrantes.

Conseguir que la organización integre como un valor propio el compliance es el objetivo final de todo SGC.

La importancia del órgano de gobierno en la PYME: Este cambio cultural es uno de los principales roles del órgano de compliance ahí donde la complejidad de la organización permite la creación de este tipo de estructura. Para las PYME -en las que el nivel último del órgano de compliance coincide con el órgano de gobierno- deberá ser éste quien, con su ejemplo e implicación, fomente el cambio cultural que toda organización necesita para alcanzar la eficacia en compliance.

¹ El Comité de Basilea define compliance como el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.
² High Level Structure (HLS) de ISO/IEC directives, part 1 http://www.iso.org/sites/directives/2016/consolidated/index.xhtml
³ Es decir los sistemas basados en normas ISO y/o UNE
⁴ SGC- Sistema de Gestión de Compliance
⁵ stakeholders. Las partes interesadas son cada vez más relevantes en un mundo global interconectado, en que el compromiso de las organizaciones con la ley y con los valores está constantemente sometido a la supervisión de los ciudadanos/consumidores
⁶ El riesgo propio de la actividad que afronta una organización por el mero hecho de realizar dicha actividad

Nombre de la cookie	Finalidad	Propia/ de terceros	Duración	¿Cuándo se instala?
cookielawinfo-checkbox-non-necessary	técnica y estrictamente necesaria que contiene el valor de si se ha aceptado la política de cookies	Propia	1 año	Cuando se aceptan las cookies
cookielawinfo-checkbox-necessary	técnica y estrictamente necesaria que contiene el valor de si se ha aceptado la política de cooikes	Propia	30 minutos	Cuando se aceptan las cookies
viewed_cookie_policy	técnica y estrictamente necesaria que contiene el valor de si se ha aceptado la política de cooikes y privacidad. Caduca en 1 año desde la última actualización.	Propia	1 año	Cuando se accede al sitio
CookieLawInfoConsent	Recuerda si se ha aceptado la política de cookies. Funciona sólo coordinada con otras cookies sobre política.	Propia	De sesión	Cuando se aceptan las cookies

Nombre de la cookie	Finalidad	Propia/ de terceros	Duración	¿Cuándo se instala?
_ga	Cookie analítica de GOOGLE Analytics que se usa para distinguir a los usuarios	Terceros	2 años	Cuando se aceptan las cookies
_gid	Cookie analítica de GOOGLE Analytics que se usa para distinguir a los usuarios	Terceros	24 horas	Cuando se aceptan las cookies

Consejos