Más presión sobre el Compliance Officer

En un sentido parecido y desde el año 2002, la Sección 302 de la  Sarbanes Oxley Act (conocida por su acrónimo SOX) establece una dinámica similar, exigiendo que el CEO y también el Chief Financial Officer (CFO) certifiquen que la información financiera es correcta y que ellos son los responables de establecer y mantener los controles internos correspondientes. Las consecuencias de estas certificaciones se aprecian en casos como el de Marc Sherman, director financiero de una compañía cotizada en el NASDAQ, declarado personalmente responsable, sancionado e inhabilitado durante cinco años por haber faltado a la verdad en sus manifestaciones concernientes a SOX. ¿Se verán los Chief Compliance Officers envueltos en experiencias similares?, ¿será el patrón que seguirán las autoridades de otros países, como viene sucediendo con otras prácticas norteamericanas?

¿Inseguridad jurídica?

No produce consuelo el restringido ámbito de aplicación del Anexo H, que precisa que la organización haya sido investigada por el DoJ y reconozca su culpabilidad respecto de las malas praxis atribuidas. No genera efectos ex lege sobre una tipología general de organizaciones, como es el caso de SOX. Sin embargo, se han alzado voces críticas sobre la inseguridad jurídica que provoca la redacción del Anexo H.

Puesto que la certificación se refiere a fijar y mantener un modelo de compliance alineado con el Anexo C, no deberían existir dudas del significado del compromiso asumido por el CEO y el CCO, especialmente cuando el DoJ y el regulador norteamericano divulgaron en el año 2012 una Guía de aplicación de la FCPA, actualizada en el año 2020. Además, desde el año 2017, el DoJ viene publicando sus criterios para evaluar los programas de compliance FCPA, siendo su última revisión del año 2020. También el DoJ menciona los criterios publicados desde la década de los noventa por la US Sentencing Commission en el Capítulo octavo de su Guidelines Manual sobre los Compliance and Ethics Programs. A todo esto, cabe añadir que la entidad de normalización norteamericana ANSI participó en la elaboración del estándar internacional ISO 37001:2016 sobre sistemas de gestión anti-soborno. Por consiguiente, tanto en Estados Unidos como en el resto del mundo existen actualmente fuentes más que suficientes para conocer el estado del arte en materia de compliance anti-soborno.

Cuestión distinta es que el CCO se responsabilice por la bondad de todos los componentes de un modelo de compliance, especialmente cuando muchos de ellos no están en sus manos. Hacerle cargar con esto son ya palabras mayores: no olvidemos que Capítulo 5 del nuevo estándar ISO 37301:2021 sobre sistemas de gestión de compliance  distingue, por primera vez, entre cometidos que incumben directamente a la función de compliance y aquellos otros que se compromete a impulsar, pero de los que no se responsabiliza al depender de otras áreas o cargos en la organización.

Quienes aplican el entorno de control SOX conocen la mecánica de certificaciones en cascada que se termina produciendo, pues el CEO y el CFO solo emiten su certificado tras una serie de certificaciones previas suscritas por los responsables de controles. Tal vez en compliance termine sucediendo lo mismo, pudiendo así concretarse el eslabón de la cadena con una “missrepresentation” -certificación falsa o sin fundamento-, e individualizar entonces la responsabilidad personal, en lugar de atribuirla directamente al CCO.

Otra forma de ver las cosas: la SEC

Aunque no lo parezca, la intención del DoJ no es convertir al CCO en un “sacrificial lamb”, sino empoderarlo y hacer que su voz se escuche, pues debe confirmar los esfuerzos vertidos por la organización en el ámbito de sus competencias. En descargo del DoJ cabe además señalar que el Anexo H no exige una declaración de “efectividad”, lo que ampliaría la exposición personal del CCO notablemente. Pero, a pesar de ello, no cabe duda de que suscribir una certificación formal ante las autoridades no produce buenas vibraciones a nadie.

El regulador norteamericano, la Securities and Exchange Commission (SEC), no termina de ver clara la necesidad de intimidar o castigar al Chief Compliance Officer por cuestiones que realmente competen a su organización o que están en manos de otros cargos o funciones de la misma. El pasado 1 de julio, la comisionada Hester M. Peirce manifestó que “acusar a un oficial de cumplimiento tienen consecuencias no solo para el oficial de cumplimiento en particular, sino más en general para la profesión”. Ya en 2018 había denunciado que “el creciente espectro de la responsabilidad personal podría hacer que personas talentosas renuncien a una carrera en el cumplimiento, entre otras consecuencias negativas”. Ahora añade, “es importante atraer a personas bien calificadas a la profesión, y los temores de enfrentar la responsabilidad por los pasos en falso de otra persona pueden disuadir a candidatos excelentes de buscar trabajos de cumplimiento”.

Por eso, aunque la SEC no ha definido un marco de responsabilidad para el CCO, presta atención a las directrices del Comité de Cumplimiento del Colegio de Abogados de la Ciudad de Nueva York, orientadas a concretar la responsabilidad de dicha figura por su actuación directa ante casos concretos: “el sistema designa a los Chief Compliance Officers como personalmente responsables de algo (el cumplimiento de la ley de valores en sus empresas) que, en última instancia, está determinado por otros seres humanos a quienes el CCO no puede controlar”. Es una visión más realista y estimulante que la del DoJ.

A la difícil tarea de encajar las necesidades de la organización con las expectativas de terceras partes, incluidas las administraciones públicas, parece que al Chief Compliance Officer se le añade ahora el riesgo de hacerlo bajo su responsabilidad personal. Qué defiende compliance es, precisamente la cuestión que trato en el video número 9 de la Serie sobre Reflexiones de compliance, que desmitifica muchas ideas equivocadas.