Regulaciones fiscales, laborales, medioambientales, de protección de datos, de protección del consumidor, de prevención del blanqueo de capitales, y un largo etcétera. Hay una inmensa cantidad de normas y reglamentaciones que las empresas deben cumplir para evitar sanciones. Por eso, hoy en día el cumplimiento normativo es uno de los aspectos claves de cualquier empresa, cualquiera sea su tamaño.
Pero, ¿qué es exactamente el cumplimiento normativo y cómo afecta a los negocios?
Si estas planteándote aplicar un programa cumplimiento normativo en tu empresa, a continuación encontrarás todas las respuestas a tus dudas.
01
of 07
¿Qué es el cumplimiento normativo?
Con cumplimiento normativo, o compliance (por su nombre en inglés), nos referimos a la práctica de las organizaciones de cumplir con todas las leyes, regulaciones y normas que le son aplicables, así como también respetar los compromisos y estándares a los que hayan adherido voluntariamente.
Hay un concepto muy difundido cuando hablamos de cumplimiento normativo: evitar riesgos. Tanto los legales como los reputacionales, que son aquellos relacionados con los efectos sobre la imagen de la organización.
A veces los riesgos reputacionales son aún peores que los legales; basta como ejemplo el caso de Arthur Andersen.
Prevenir, cumplir, corregir: las palabras claves del cumplimiento normativo
Pero también es verdad que todos (en mayor o menor medida) cumplimos con la ley diariamente, ¿entonces para qué tener un programa para algo que hacemos espontáneamente?. El cumplimiento normativo no se trata sólo de cumplir, sino que además se ocupa de prevenir los incumplimientos, mitigar sus efectos si llegasen a ocurrir, tomar las medidas para que no vuelvan a ocurrir e instaurar una cultura ética dentro de la organización.
En compliance no sólo es el «durante», sino también el antes y el después.
Por ejemplo, hace poco Microsoft fue multada por vender software a Irán y sujetos sancionados rusos, pero debido a que detectó los incumplimientos a través de una auditoría, hizo las modificaciones a sus controles para que no vuelvan a ocurrir y luego se autodenunció, la multa fue mucho menor a la que habría sido si no hubiese tomado esas acciones. Eso también es cumplimento normativo.
Por otro lado, la definición de cumplimiento normativo se refiere a respetar las obligaciones que surgen de dos tipos de normas distintas:
Cumplimiento de normas impuestas
Las empresas deben cumplir con todas las leyes y regulaciones que le sean aplicables y que son dictadas por los poderes o administraciones públicas. Por ejemplo, todas las empresas que procesen datos personales deben cumplir con la normativa en materia de protección de datos personales, como el Reglamento General de Protección de Datos de la Unión Europea. Si quieres saber más sobre el RGPD, puedes visitar nuestro posteo sobre la Guía de protección de datos personales para pequeñas empresas.
Cumplimiento de normas voluntarias o autoimpuestas
Además, las empresas también asumir otro tipo de obligaciones distintas de las que provienen de las leyes de los poderes públicos, y que normalmente se encontrarán alineados con sus valores. Estas obligaciones son asumidas voluntariamente por la organización, ya sea a través de su normativa interna (Código de Ética, políticas, reglamentos internos, etc.) o mediante la adhesión a documentos de terceras partes (por ej., a guías sobre buenas prácticas de un sector determinado).
Por ejemplo, una empresa puede establecer un cupo de género determinado dentro de su plantilla de empleados, aunque la ley no la obligue a hacerlo.
02
of 07
¿Qué normas debe cumplir mi empresa?
Conocer cuáles son las normas con que le aplican a tu empresa es el primer paso para mantenerla libre de riesgos legales y reputacionales.
En el caso de las normas autoimpuestas, no hay mayor complejidad, por que estas son asumidas voluntariamente.
Pero en el caso de las normas impuestas muchas veces resulta complicado entender cuáles aplican y cuáles no, y para esto normalmente es necesario contar con asesoramiento legal. De todos modos, hay regulaciones que (casi) siempre deberá cumplir una empresa, como, por ejemplo, las fiscales, laborales, de protección de datos, medioambientales.
Existen una serie de preguntas que debes hacer para conocer correctamente qué normas debe cumplir una organización:
¿A qué se dedica?
Puede parecer algo obvio, pero conocer el sector de negocios donde operas es sumamente importante para saber que normas aplican. Existen sectores menos regulados, en los cuales solo se debe cumplir con las regulaciones típicas (fiscales, laborales, medioambientales, de privacidad, etc.). Pero hay otros «hiperregulados», como el financiero, farmacéutico, de las aseguradoras, entre otros, que conllevan una mayor complejidad normativa y tienen legislación específica con la que cumplir para poder operar. Puedes pensar que esto solo es para los grandes bancos, aseguradoras o farmacéuticas, pero muchas veces los pequeños negocios también se ven alcanzados por la hiperregulación sin siquiera saberlo.
¿Que tamaño tiene?
No tienen las mismas exigencias normativas una empresa unipersonal o una PyME que una gran multinacional. Las normativas normalmente clasifican a las empresas por facturación anual, volumen de negocio o cantidad de empleados.
Por ej., en España la Ley 2/2023, que regula los canales de denuncias y la protección de los denunciantes, sólo establece la obligación de contar con un canal de denuncias para aquellas empresas con más de 50 empleados.
¿Dónde opera?
Si una compañía realiza negocios en distintos países es posible que se encuentre alcanzada por distintos tipos de legislaciones nacionales o internacionales, lo que añade complejidad a la cuestión del cumplimiento normativo. Inclusive, si tiene sede en los EEUU, o cotiza en la bolsa norteamericana, o realiza negocios con compañías que sí lo hacen, es probable que le toque cumplir con la Ley de Prácticas Corruptas en el Extranjero de los EEUU, o FCPA, por sus sigas en inglés. Aquí tienes una guía oficial en español sobre la FCPA.
¿Con quién se relaciona?
Más aún, si hace negocios con terceras partes, como por ejemplo, proveedores, es probable que también se encuentre obligado a controlar que esas terceras partes cumplan la normativa que les aplica, para lo cual el programa de cumplimiento normativo debe tener un apartado de “gestión de riesgos de terceras partes”.
Esto es muy común en casos de compliance medioambiental.
Un ejemplo práctico: si una empresa produce muebles de madera y para ello importa madera desde el Amazonas, entonces es posible que deba controlar que esa materia prima sea obtenida respetando las normas medioambientales del lugar de origen (lo que se llama “debida diligencia medioambiental”).
¿Cuál es su estructura?
Si la empresa tiene subsidiarias o distintas unidades de negocio, ya sea en otros países o no, estas también deben cumplir con las normas que les aplican, que pueden ser distintas de las de la matriz. Sus incumplimientos pueden afectar directamente a la matriz, que es responsable por lo que sucede en sus sociedades controladas.
03
of 07
¿Cómo cumplir con la normativa?
Aquí es donde entra en juego el cumplimiento normativo o compliance. Para poder cumplir con las regulaciones la organización debe contar con un programa de cumplimiento normativo, o sistema de gestión del cumplimiento.
A veces no es obligatorio para las pequeñas empresas contar con un programa de cumplimiento que comprenda todos los riesgos que pueda afrontar el negocio. Aunque normalmente siempre deben tener aunque sea algunos elementos de un programa de cumplimiento (por ej., una política de privacidad). Pero, además, contar con un programa de compliance mantendrá a la organización segura frente a riesgos legales y reputacionales.
¿Qué es un sistema de gestión del cumplimiento o programa de cumplimiento normativo?
Un sistema de gestión del cumplimiento o programa de cumplimiento normativo es el conjunto de recursos materiales y humanos que destina una organización de forma coordinada para cumplir con las regulaciones aplicables, ya sean impuestas o voluntarias, prevenir casos de incumplimiento, y si ocurren mitigar sus efectos, e instaurar una cultura ética.
04
of 07
¿Con qué debe contar un programa de cumplimiento normativo efectivo?
Los elementos que debe tener un sistema de gestión del cumplimiento varían según el tamaño de la organización, su industria, los lugares donde opera, las terceras partes con las que se relaciona, etc.. Pero podemos encontrar una serie de elementos que siempre se encontrarán presentes en un programa de compliance efectivo.
Apoyo de alto nivel (normalmente conocido como “tone from the top”):
Sin apoyo de alto nivel no existe posibilidad de que el compliance funcione adecuadamente. El titular del negocio es el primer encargado de asegurar que dentro de su empresa exista un cultura ética y de respeto de las normas.
Análisis de riesgos
Como vimos el riesgo es un concepto fundamental en compliance. Pero no puedes saber que riesgos evitar si no sabes a cuáles te encuentras expuesto. Además, resulta mucho más eficiente para una empresa dedicar mayores recursos a aquellos riesgos que ya sea por intensidad o frecuencia le afecten más fuertemente.
Políticas y procedimientos
Son las «leyes» internas de la organización y como tal la rigen en todo y cada uno de los ámbitos en los que se desempeña.
Normalmente, siempre se cuenta con un Código de Ética, o Código Ético, que es como la constitución de tu programa de cumplimiento normativo. Allí se plasma su misión y valores. y todas las normas inferiores nacen de un apartado del Código Ético. Por ej., si allí incluyes el principio de cumplimiento con las leyes, luego debes contar con una política transversal de compliance y de allí a ámbitos concretos (penal, ambiental, privacidad, etc.), de la cual a su vez surgirán políticas más concretas (antisoborno, antiblanqueo, etc.).
Claro que en las organizaciones más pequeñas puede condensarse todo en un puñado de políticas globales.
Figura encargada de la gestión del sistema de cumplimiento normativo
Es el famoso compliance officer u oficial de cumplimiento. Debe contar con un perfil profesional adecuado, recursos suficientes e independencia absoluta para cumplir con sus funciones. Además debe reportar de forma directa a los órganos ejecutivos de la empresa. Eso no significa que siempre tome la decisión final, pero sí que debe tener la capacidad suficiente de asesorar libremente a quienes lo hagan.
Según el tamaño de la organización podrá ser una persona, un equipo o varios equipos coordinados por un Chief Compliance Officer.
Establecimiento de controles
La función de prevención del cumplimiento normativo sería imposible de llevar a cabo sin controles.
Una política establece parámetros conductuales en determinados escenarios (por ej., no debes participar de procesos en los cuáles tengas o puedas tener un interés contrapuesto al de tu empresa). Pero desde las más generales a las más especificas, las políticas no son controles. Sólo establecen los parámetros de conducta que los legitiman (por ej., para evitar los conflictos de interés, existen las obligaciones de reportarlos).
Sin políticas no hay controles. Y sin controles las políticas son meramente programáticas.
Formación
¿Cómo evitar los incumplimientos si los miembros de la organización no saben qué hacer para cumplir?. Por eso la formación es esencial. Lo lógico es que la formación sea selectiva y especializada, en base a la evaluación de riesgos, determinando las personas especialmente expuestas.
Ejecución de acciones correctoras
Tener un incidente de compliance no significa que el sistema funcione mal, pero varios incidentes de la misma tipología puede poner en cuestionamiento su eficacia. Por eso las acciones correctoras son claves. A todo incumplimiento detectado debe seguirle un proceso de análisis y mitigación del daño y de estudio y aplicación de medidas correctivas.
05
of 07
¿Qué sucede si tengo un incidente de compliance?
En cumplimiento normativo se llama «incidente» a toda aquella concreción del riesgo que se pretende evitar mediante el desarrollo e implementación de un sistema de gestión del cumplimiento. Por ej., si el riesgo a evitar es una brecha de datos y esta de todos modos sucede porque los controles funcionaron mal o porque existió una elusión fraudulenta de los mismos, tenemos un incidente de compliance, más específicamente de protección de datos.
Podrás pensar que si el compliance falla ya no que nada que hacer, pero no es así, pues aquí aparece la fase de mitigación y corrección.
Como vimos anteriormente con el ejemplo de Microsoft, tener un programa de compliance eficiente puede proteger a tu negocio incluso si existe un incumplimiento. Un programa de cumplimiento normativo eficiente debe ser capaz de identificar el incumplimiento, realizar un análisis de sus efectos adversos, mitigarlos, y aplicar acciones correctoras.
Puede ser que todo ello no te libre de una sanción, pero será un factor atenuante para las autoridades encargadas de imponer una sanción.
Tan importante es la fase de reparación en compliance que muchos sistemas de responsabilidad penal de la persona jurídica tienen como requisito excluyente para eximir de sanción a una persona jurídica que la autodenuncia y la colaboración activa con la investigación.
06
of 07
¿Cuáles pueden ser las consecuencias derivadas de un incidente de compliance?
Todo incidente de cumplimiento normativo lleva aparejado dos tipos de consecuencias: legales y reputacionales.
Las primeras dependen exclusivamente de las consecuencias previstas por las normas obligatorias para los casos de su incumplimiento. Pero normalmente será una sanción administrativa, civil o penal.
¿Qué tipo de sanción? Multas, prohibición para realizar cierto tipo de actividades, retirada de licencias o autorizaciones, pérdida de ayudas públicas, obligación de indemnizar a los perjudicados, etc.. O la «pena de muerte» para las personas jurídicas: su disolución. Esta última, normalmente, se encuentra reservada únicamente para los casos graves de negocios montados únicamente con la finalidad de delinquir, como las sociedades pantalla.
Las reputacionales son difíciles de cuantificar y dependen tanto del tipo de incidente como del tipo de organización involucrada. Si una empresa hacer alarde de producir respetando el medio ambiente y la sostenibilidad es sancionada por un incidente de contaminación, los riesgos reputacionales serán considerables. En ese caso, el incidente afecta a un valor fundamental de la empresa.
07
of 07
Recursos para implementar un programa de cumplimiento normativo efectivo
Ya conoces en profundidad qué es el cumplimiento normativo. Además, sabes qué es un sistema de gestión del cumplimiento normativo y cuáles son sus elementos esenciales. También qué es un incidente de compliance y cuáles pueden ser sus consecuencias. Si es tiempo de implementar un programa de cumplimiento efectivo visita la sección de Recursos de Cumplir Blog. Allí encontrarás sitios web, herramientas y lecturas que se resultarán sumamente útiles para ello.