El Corporate Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.

Dentro del marco normativo no han de considerarse únicamente las normas legales, como leyes y reglamentos, sino que también deberían incluirse en el mismo las políticas internas, los compromisos con clientes, proveedores o terceros y, especialmente, los códigos éticos que la empresa se haya comprometido a respetar, pues existen multitud de casos en los que una actuación puede ser legal pero no ética.

Es aquí cuando los empresarios y administradores deben tener muy claras sus responsabilidades en cuanto a la legislación que aplica a su organización, más aún tras la reforma del Código Penal (Ley 1/2015) que entró en vigor en 2015.

• Dos tipos de obligaciones:

En este sentido, las empresas tienen que atender a dos tipos de obligaciones:

- Por un lado, las de obligado cumplimiento. Que son la Ley y su regulación, los mandatos judiciales y, en definitiva, las erigidas por los poderes públicos.

- Por otro lado, las que cumplen voluntariamente (las que eligen cumplir). En esta categoría se encuentran los códigos sectoriales o de buenas prácticas a los que la asociación se haya adherido o, en su caso, a su propio Código Ético o de Conducta. También en esta categoría las políticas internas de la sociedad.

La función de Compliance moderna obliga a cumplir tanto unos como otros y, es tan grave el incumplimiento de una como otra, pues ambas atañen a la organización (no vale cumplir con la Ley pero incumplir con sus propios principios y valores con los que se identifica)

Es decir, una conducta legal no siempre es ética.

• Prevención, detección y gestión.

Hay que elaborar políticas de prevención, detección y gestión de los riesgos que se pueden derivar de incumpir los dos grupos de obligaciones que hemos visto.

No se queda en la defensa jurídica de la empresa, sino que va más allá.

Los cinco conjuntos de actuaciones, que han de coordinarse entre sí y planearse cuidadosamente, son:

1. Identificación: se han de identificar los riesgos a los que se enfrenta la empresa, teniendo en cuenta su severidad e impacto y la probabilidad de que se den.

2. Prevención: conociendo los riesgos, se debe diseñar e implementar procedimientos de control que protejan a la empresa.

3. Monitorización y detección: la efectividad de los controles implementados debe ser supervisada, informando a la dirección de la exposición de la empresa a los riesgos, y realizando las auditorías periódicas que sean precisas.

4. Resolución: cuando pese a todo surge algún problema de cumplimiento, debe trabajarse para su solución.

5. Asesoramiento: los directivos y trabajadores deben recibir toda la información necesaria para llevar a cabo su trabajo de acuerdo con la normativa vigente.

• Fuentes para inspirarse en el diseño de Compliance.

Hay muchas fuentes para inspirarse en el diseño de los modelos de Compliance.

Los estándares genéricos son para estructurar cualquier modelo de Compliance, también llamados super-estructuras de Compliance. Cabe destacar la Norma ISO 19600 sobre "Compliance Management System" del año 2015 (origen del estándar australiano AS 3806 del año 2006).

En España contamos con la Norma UNE 19601

Los estándares específicos se proyectan sobre bloques de experiencia concretos o se usan para actividades en particular. Cabe señalar la ISO 37001 sobre "Anti-Bribery Management Systems" del año 2016 (origen estándar británico BS 10500 del año 2011)

La Comunidad internacional también tiene diferentes estándares internacionales.

Más concretamente:

- Norma ISO 19600.

Incluso han aparecido normas ISO (siglas de la expresión inglesa International Organization for Standardization) que son un conjunto de normas orientadas a ordenar la gestión de una empresa en sus distintos ámbitos. Su valor no se encuentra en la obligatoriedad de su cumplimiento, sino en el prestigio de la citada organización, por lo que dichas normas, pese a su carácter voluntario, gozan de un gran reconocimiento y aceptación internacional.

Las normas ISO son establecidas por el Organismo Internacional de Estandarización (ISO) y se componen de estándares y guías relacionados con sistemas y herramientas específicas de gestión aplicables en cualquier tipo de organización. Las normas ISO se crearon con la finalidad de ofrecer orientación, coordinación, simplificación y unificación de criterios a las empresas y organizaciones con el objeto de reducir costes y aumentar la efectividad, así como estandarizar las normas de productos y servicios para las organizaciones internacionales.

La norma ISO que regula la materia del Compliance es la ISO 19600, que fue publicada el pasado 2015 titulada "Sistemas de Gestión de Compliance". Esta norma quiere reforzar la creciente preocupación y grado de importancia que tiene el Compliance dentro de las empresas.

- Norma UNE 19601.

La Norma UNE 19601 titulada "Sistemas de gestión de Compliance penal. Requisitos con orientación para su uso" es, como su título indica, los requisitos para implantar, en el ámbito español, un sistema de gestión Compliance elaborada con la participación y el consenso de destacados expertos representativos de la abogacía y de los diferentes grupos de interés del ámbito del Compliance penal. Esta norma es certificable por terceras sociedades.

Es el estándar nacional de mejores prácticas para prevenir delitos, reducir el riesgo, y fomentar una cultura empresarial ética y de cumplimiento con la Ley.

La UNE 19601 desarrolla requisitos que responden a lo indicado por el Código Penal para los modelos de gestión y prevención de delitos pero también va más allá, incorporando las buenas prácticas en materia de Compliance, mundialmente aceptadas.

Entre los requisitos, la Norma establece que las organizaciones deben:

- Identificar, analizar y evaluar los riesgos penales.

- Disponer de recursos financieros, adecuados y suficientes para conseguir los objetivos del modelo.

- Usar procedimientos para la puesta en conocimiento de las conductas potencialmente delictivas.

- Adoptar acciones disciplinarias si se producen incumplimientos de los elementos del sistema de gestión.

- Supervisar el sistema por parte del órgano de Compliance penal.

- Crear una cultura en la que se integren la política y el sistema de gestión de Compliance.