Ninguna persona honesta debería temer dedicarse al compliance, y procurar una cultura ética y el cumplimiento de las normas en su organización. Lamentablemente, existe miedo de asumir un nivel de responsabilidad personal que exceda la mejor de las intenciones. Hester M. Pierce, Comisionada del regulador norteamericado, contribuyó a clarificar ideas durante su discurso dirigido a los compliance officers del 19 de octubre de 2020. Es un contenido muy inspirador para esta comunidad.
En 2018 Pierce ya había denunciado que “el creciente espectro de la responsabilidad personal podría hacer que personas talentosas renuncien a una carrera en el cumplimiento, entre otras consecuencias negativas”. Es una preocupación que igualmente plasmó el Colegio de Abogados de Nueva York en un informe del 2020 sobre la responsabilidad personal del compliance officer en el sector financiero. Quiso Pierce profundizar en ello, basándose en los tres escenarios de responsabilidad que ya en 2015 esbozó el director de la división de cumplimiento del regulador norteamericano, Andrew Ceresney.
El primero de ellos se produce cuando el compliance officer participa en la comisión de la irregularidad, ya sea su autor, partícipe necesario, etc. Su responsabilidad personal es independiente a su cargo, y se produciría con cualquier persona que incumpla la Ley. El compliance officer no merece entonces ningún estatuto especial de protección, pues, como apunta Pierce, “servir en la función de compliance no constituye un pasaporte para evitar gratis la cárcel por una conducta claramente ilegal”.
El segundo supuesto implica que el compliance officer obstruye, dificulta o engaña a los poderes públicos, incluyendo la elaboración de documentos falsos para disimular las irregularidades cometidas o desorientar a los investigadores. No habiendo participado en dichas anomalías, se afana en dificultar su descubrimiento, desarrollando entonces una conducta penalizada en sí misma por muchos ordenamientos jurídicos, con independencia de los motivos en los que trae causa.
La tercera categoría de casos, entrañan una “falla total” (“wholesale failure”) del compliance officer. Son supuestos donde una deficiente operación del modelo termina induciendo un quebranto de las normas. En ellos “existía un peligro tan obvio, que el compliance officer debió haber sido consciente del mismo”. No conocer cuáles son los riesgos de compliance que amenazan a la organización o no impulsar políticas, procedimientos y controles relacionados con ellos, entrarían en esta categoría. Sin embargo, Pierce es consciente de que una interpretación muy agresiva de este principio disuadiría ocupar posiciones en compliance “y acabaría transfiriendo la responsabilidad del cumplimiento que tiene la empresa al Compliance Officer”. Para tranquilidad de este colectivo, añade que el regulador “se ha negado a imponer responsabilidad personal a los compliance officers que estaban mal equipados para sus trabajos, a los que negaron los recursos necesarios, o que estaban verdaderamente sobrecargados con otros deberes”. Sin embargo, es difícil concretar qué expectativas cabe depositar en un compliance officer cuando no es una profesión regulada legalmente sino una función o posición en el seno de las organizaciones.
Con gran probabilidad, la lógica subyacente en el discurso de Pierce es aplicable a muchos países y sectores. Sin embargo, no entra a desarrollar las casuísticas de una ‘falla total’ del Compliance Officer, pues tampoco era éste el propósito de su discurso.
Desde 2014, los estándares ISO especifican los roles y responsabilidades de la “función de compliance”, ayudando a interpretar sus parámetros de actuación diligente a nivel internacional. Todos ellos se han decantado al empleo de vocablos que limitan sus competencias a “operar” el modelo, evitando atribuirle responsabilidades legales que tampoco fijan los ordenamientos jurídicos, salvo para algunos mercados o actividades reguladas. El reciente estándar ISO 37301:2021 sobre sistemas de gestión de compliance, distingue entre actividades donde la función se involucra directamente, respecto de otras donde su intervención es indirecta.
Entre las actividades que debe impulsar directamente se cuentan, por ejemplo, disponer de una evaluación de riesgos de compliance o poner a disposición del personal las políticas y procedimientos que ayuden a su prevención, detección y gestión temprana. Ambas labores están en manos de la función de compliance, y no ejecutarlas o hacerlo con notable incorreción difícilmente podrá achacarse a otras funciones o cargos. Podría decirse que éstas y otras actividades citadas en el estándar ISO 37301:2021 se asemejan a obligaciones de resultado.
Sin embargo, existen otras que solo precisan su involucración indirecta: por ejemplo, el integrar los procesos de compliance dentro del conjunto de procesos ordinarios de negocio, objetivo muy difícil de lograr sin la participación de otras funciones. Su responsabilidad se limita entonces a impulsar el proceso y, por ello, son compromisos comparables a obligaciones de medios.
Así las cosas, la ‘falla total’ del compliance officer se produce por no desarrollar la primera categoría de actividades o cuando deja de impulsar o preocuparse por la segunda.
No cabe duda de que el estándar ISO 37301:2021 aclara las expectativas reales que cabe depositar en la función de compliance. También su cometido trascendente para mantener o mejorar la cultura organizativa, que no se consigue abusando de los mecanismos de supervisión y sanción. Es, precisamente, la materia que trato en el vídeo número 4 de la Serie “Reflexiones sobre compliance”, donde explico el rol de la función de compliance para transformar la conducta de las personas.
Deja un comentario