La ubicación de Compliance

La localización de la función de Compliance en el organigrama de la empresa suele preocupar a quienes promueven su desarrollo. Sin embargo, su desconcierto aumenta a medida que se emiten normas y recomendaciones sobre materias relacionadas, como está sucediendo últimamente.

El pasado mes de febrero, la Comisión Nacional del Mercado de Valores (CNMV) presentó el nuevo Código de buen gobierno de las sociedades cotizadas, que complementa la regulación positiva sobre ciertas cuestiones emparentadas con el Compliance. Es importante conjugar el régimen de la Ley de sociedades de capital con las recomendaciones de dicho texto para ubicar correctamente la función de Compliance en el seno de estructuras empresariales complejas, como puedan ser las de sociedades cotizadas.

Los estándares internacionales más modernos de Compliance coinciden en recomendar que tal función disfrute de un fácil acceso a los máximos órganos de gobierno social, circunstancia que se traduce en una posición jerárquica elevada, cercana a los mismos. Se trata de un requisito sustancial para dotar de eficacia a la función, en la medida que no sólo refuerza su independencia sino que facilita una comunicación fluida y la rápida adopción de decisiones de alto nivel, llegado el caso.

A causa de las limitaciones inherentes a su tamaño, las pequeñas empresas desarrollan esquemas de Compliance simplificados, donde es el propio órgano de administración el que asume los roles de dicha función, aplicando principios de cumplimiento generalmente aceptados de manera proporcional a sus circunstancias internas (tamaño, recursos, etc) y externas (sector de actividad, mercados en los que opera, etc). La modificación del Código penal que se encuentra en tramitación parlamentaria reconoce expresamente tal posibilidad en los modelos de prevención penal de las llamadas “personas jurídicas de pequeñas dimensiones” (las que presentan cuenta de pérdidas y ganancias abreviada).

En sociedades de mayores dimensiones, la función de Compliance suele encomendarse a un órgano con dependencia funcional del órgano de gobierno social, disposición que obviamente avala la proximidad a las máximas estructuras decisorias sugerida por los estándares de Compliance modernos.

No obstante, las organizaciones de un cierto tamaño –aun no siendo cotizadas- ya han venido dotándose de órganos y funciones relacionadas con la gestión de riesgos (control interno y auditoría interna) que no pueden obviarse a la hora de impulsar un modelo de Compliance. De hecho, en no pocas ocasiones la función de Compliance es el resultado de un spin-off de las mismas, nutriéndose de sus recursos y soportándose en ellas cuando resulta posible.

Quienes me conocen saben que suelo equiparar la función de Compliance con un órgano de cualquier ser vivo, donde lo importante radica no sólo en su estructura sino, sobre todo, en su adecuada integración con otros órganos necesarios para desarrollar su cometido. Los cirujanos dedican mucho tiempo a planificar los trasplantes, poniendo un cuidado exquisito en realizar las conexiones que garantizarán la funcionalidad del órgano implantado. Esta elemental cautela quirúrgica es más necesaria cuanto mayor es una organización, alcanzando gran dificultad en las sociedades cotizadas, habida cuenta su complejidad estructural.

Dice la Ley de sociedades de capital que constituyen facultades indelegables del consejo de administración la determinación de la política de control y gestión de riesgos, incluidos los fiscales, y la supervisión de los sistemas internos de información y control. Puesto que los riesgos de incumplimiento son tan sólo una porción de los que afectan a la organización en su conjunto –gestionados mediante sistemas específicos-, es patente la posición de garante de los administradores respecto del cumplimiento de las normas. Sin perjuicio de ello, pueden crearse comisiones especializadas que, en función del perfil de sus componentes (independencia, formación y experiencia) acometan dicha labor de forma profesional. Es más, dichas comisiones pueden auxiliarse, a su vez, de funciones o departamentos donde trasladen su cometido a la operativa diaria de la organización. Esta profesionalización alcanza su grado álgido en las sociedades cotizadas, obligadas a disponer, como mínimo, de una comisión de auditoría, y otra de nombramientos y retribuciones.

La Ley de sociedades de capital incluye dentro de las funciones mínimas de la Comisión de auditoría supervisar la eficacia del control interno de la sociedad y los sistemas de gestión de riesgos, incluidos los fiscales. Sobre la base de este entendimiento, ya generalizado antes de la reciente modificación legal que lo consolidó, no pocas entidades cotizadas crearon estructuras de Compliance bajo la supervisión directa de su Comisión de auditoría. Podríamos decir, por lo tanto, que este ha sido un esquema clásico de emplazamiento de dicha función.

Al amparo de la posibilidad de crear comisiones especializadas reconocida por la vigente Ley de sociedades de capital, el nuevo Código de buen gobierno de las sociedades cotizadas otorga un notable protagonismo a la Comisión de responsabilidad social corporativa (RSC), que puede asumir roles relevantes en materia de Compliance. Se reconoce la capacidad de esta comisión para supervisar el cumplimiento de los códigos internos de conducta, así como evaluar todo lo relativo a los riesgos no financieros de la empresa, que incluyen expresamente, entre otros, los legales y los reputacionales -aunque éstos últimos no son verdaderamente una categoría de riesgos sino la mera consecuencia de los que sí lo son-. En cualquier caso, riesgos legales y daños reputacionales son materias típicamente tratadas en los marcos de referencia sobre Compliance.

Sin embargo, el régimen que sugiere el Código de buen gobierno de las sociedades cotizadas se aparta de la ortodoxia propia de los modernos esquemas de gestión GRC (Governance, Risk management & Compliance), lo que desencadena una serie de consecuencias que dificultan sobremanera la rápida ubicación de una función tan crítica como la de Compliance.

Sugiriendo que la Comisión de RSC se ocupe de cuestiones estrechamente vinculadas con el buen gobierno, y que la Comisión de auditoría haga la propio respecto de la gestión del riesgo, es clara su correlación con los cometidos de Governance y de Risk management propios de un modelo GRC. Sin embargo, los cometidos de Compliance, cuya sustantividad brilla por su ausencia en el código, no quedan unívocamente asignados, sino que se distribuyen entre ambas comisiones según tengan naturaleza “no financiera” o “financiera”. Y esto conduce a las inconsistencias conceptuales y problemas prácticos que señalaré a continuación.

Es cuestionable que los riesgos relacionados con el cumplimiento de la legalidad se califiquen de “no financieros”, a juzgar por el impacto en los estados financieros que se deriva de su régimen sancionador, según comprobamos en la prensa económica diaria. También es cuestionable que los riesgos fiscales, inevitablemente anclados a la comisión de auditoría por exigencia de la Ley de sociedades de capital, no compartan la condición de riesgo legal, considerando que su régimen regulador y sancionador deriva de la Ley General Tributaria y demás normativa fiscal. Esta división artificial dificulta ubicar bajo una misma supervisión el conjunto de obligaciones de cumplimiento, que es precisamente el ánimo de las superestructuras de Compliance que pretenden las mejores prácticas. Por otra parte, tal división genera una gran vis atractiva hacia la Comisión de auditoría, que mantiene necesariamente cautivos aquellos riesgos que puedan entenderse “financieros” -como los fiscales- y que está habilitada para asumir también los que no lo son (pero que son igualmente riesgos a supervisar). Esto conlleva una notable concentración de responsabilidades en esta comisión y sus miembros.

En caso de que la Comisión de RSC u otra creada al efecto asuma los riesgos legales, tampoco podrá desvincularse completamente el sistema de gestión de cumplimiento (Compliance Management System, CMS) de la Comisión de auditoría, por cuanto no deja de ser interpretable en clave de sistema específico de gestión de riesgos, cuya supervisión constituye una de sus obligaciones ex lege. Por eso, la partición de las obligaciones de cumplimiento entre las dos comisiones (auditoría y RSC) precisará que la función de Compliance establezca vías de comunicación con ambas y añadirá complejidad al modelo.