Una de las preguntas que más escucho desde que empecé a trabajar en consultoría, es “cuánto cuesta un (programa de) Compliance”. Tengo que confesar que es una pregunta incómoda por dos razones:

1. Un sistema de gestión de Compliance bien hecho le ahorrará a la organización una buena cantidad de dinero en multas evitadas, contingencias innecesarias, ineficiencias internas y le dará oportunidad de contratar con organizaciones más sólidas, por lo cual pagando lo que vale, siempre saldrá ganando.

2. Una pregunta así de abierta es como preguntarle a un médico “cuánto cuesta estar sano”. No hay forma de responder sin entrar en una larga explicación de todo lo que abarca el Compliance y de la información que sería necesaria conocer como consultor, cuando claramente quien pregunta lo que quiere saber es una cifra, mientras más precisa mejor.

Pero la realidad es que la pregunta de “cuánto cuesta un Compliance”, dentro de las organizaciones, sigue siendo necesarias para poder preparar una partida presupuestaria y saber cuánto les costará invertirán en acciones de cumplimiento normativo.

Por ello he preparados este artículo, pensando en las personas que sin ser Compliance Officers ni especialistas en cumplimiento normativo, tienen la dura tarea de pedir presupuestos de servicios de Compliance y se enfrentan ante una enorme incertidumbre, con gran cantidad de ofertentes y pocas referencias concretas de qué es lo que tienen que contratar.

Preámbulo: El Compliance -como el cariño verdadero- ni se compra ni se vende.

Un breve comentario antes de entrar en materia: El Compliance no es un bien tangible que la organización pueda comprar y guardar para exhibir al juez cuando lo pida (el Compliance no está una carpeta, ni un certificado ni una herramienta informática). Es una forma de gestionar la organización, y el rol de los consultores es facilitar herramientas y conocimientos que permitan a la empresa ubicarse en otro plano de cumplimiento. Por esta razón, sólo hay Compliance cuando hay compromiso de parte de la organización, y debe quedar claro que:

Esto no es Compliance:

Esto, en cambio, se parece un poco más:

Por supuesto que las políticas y la generación de evidencia son esenciales y el consultor os podrá facilitar esa parte del trabajo;

pero es sólo una fracción de lo que necesita la organización para llegar al ‘nirvana’ del Compliance.

1. “Pero a mi organización no le interesa ni quiere gastar para llegar al ‘nirvana’ del Compliance, lo necesita porque lo está pidiendo el Consejo / Administrador / Alta Dirección para…”

El argumento que complete la frase del encabezado debe ser el punto de partida de cualquier proyecto, por eso cada organización necesita un Compliance a medida y no una solución estandarizada.

Las motivaciones en cada organización son distintas y según sus propios objetivos y realidad. Se pueden plantear distintas soluciones, desde la redacción de un Código de Conducta hasta la implementación de un sistema de prevención de la corrupción auditable conforme a la ISO 37001, por exigencia de un proveedor. Las motivaciones del cliente se traducen posteriormente en el objeto del proyecto de Compliance.

Por otra parte, hay que tener claro que estamos hablando de una disciplina que abarca todo lo relacionado con cumplimiento normativo. Tan sólo en el ámbito del Compliance Penal, hay al menos 29 tipos de delito que generan responsabilidad penal a la persona jurídica, y no son las únicas conductas que una organización debe vigilar si quiere un sistema realmente efectivo.

Una organización puede comenzar su senda de gestión de cumplimiento normativo a través del Compliance Penal, por la transversalidad de las conductas que serán analizadas; pero también necesitará atender otras áreas específicas como lo pueden ser su adecuación al Reglamento General de Protección de Datos o su programa de prevención de riesgos laborales, por poner un ejemplo.

Además la implementación del sistema de Compliance puede requerir el apoyo de otras áreas de conocimientopara el desarrollo de una herramienta de gestión de la evidencia de cumplimiento, el plan de comunicación interna, formación y gestión del cambio, entre otros.

¿Tenemos las motivaciones del órgano de gobierno claras? ¿Sabemos para qué quiere la organización contratar los servicios de un proveedor de Compliance? Si no es así, hay que aclararlo antes de seguir avanzando en el proceso de contratación.

2. ¿Si no hay una solución estándar para todos, qué debo saber antes de pedir un presupuesto?

Esto puede ser un reto, sobretodo en el caso de organizaciones que no tienen una persona dedicada al cumplimiento normativo y delegan el tema de Compliance en una función gerencial, de Recursos Humanos, Financiera u otros mandos intermedios ajenos al área legal.

En Garberí Penal hemos tenido casos de organizaciones que iniciaron la implementación de un sistema de Compliance porque fue una exigencia de la organización que la absorbió durante un proceso de M&A.

Otras organizaciones que hemos asesorado tienen necesidades más puntuales, como puede ser el establecimiento de un mecanismo de prevención de blanqueo de capitales, cuestionarios de know your partner para potenciales inversores, o un Código de Conducta para los usuarios de una instalación privada con acceso público. Aunque siempre deben transitar el camino hacia el nirvana del Compliance, cada organización comienza su recorrido en función a su prioridad.

¿Cuáles son las causas más comunes para iniciar el proyecto?

• Un miembro del órgano de gobierno escuchó que es “obligatorio” tener implementado un sistema de Compliance y quiere cumplir con el requisito sin que le quite mucho tiempo (aunque no es terminológicamente preciso, es habitual escuchar este argumento).

• Un mando medio está preocupado por la falta de visibilidad en ciertos procesos y la responsabilidad que le puede acarrear un incumplimiento a él o a su equipo.

• Un cliente está exigiendo que todos sus proveedores cuenten con un sistema de Compliance en un período de 12 meses.

Cada escenario es un punto de partida distinto, y es necesario que la organización esté consciente de que el grado de implicación del personal y la intensidad con que se ejecute cualquier proyecto, depende en buena parte de las motivaciones, mucho más que del presupuesto disponible.

3. Tengo definidas las necesidades y el objetivo de Compliance; ¿qué más necesito para saber cuánto cuesta el proyecto?

La definición de necesidades y el objetivo de la organización permiten plantear el alcance del proyecto, pero tal como comentamos anteriormente, la participación del consultor puede estar limitada a una fracción de ese proyecto, en mayor o menor intensidad y en distintas etapas.

Para definir el costo del proyecto antes hay que determinar qué actividades se van a realizar. Si esto se deja en manos del consultor, lo primero que tendrá que hacer es conocer mejor a la organización, cómo se encuentra estructurada, qué controles existen actualmente y cómo se llevan sus procesos, como mínimo. Usualmente se recurre, entre otras, a las siguientes fuentes de información:

• Entrevistas con personal de la organización.
• Análisis de la estructura mercantil de la organización.
• Valoración de la información disponible en la web de la organización y en sus Redes Sociales.
• Valoración de la información sobre la organización proveniente de terceros (reputación de la organización).
• Antecedentes del sector y de la empresa.

A más información disponible, más precisa podrá ser la propuesta. El consultor determinará qué actividades deberá realizar, qué personal debe participar del proyecto y cuánto tiempo requerirá su ejecución. En la Firma utilizamos la metodología PDCA (Plan-Do-Check-Act), de manera que el proyecto siempre será un ciclo en donde nuestra participación como consultores puede limitarse a la planificación, la ejecución de ciertas actividades, la revisión de las mismas o el replanteamiento de estrategias.

Idealmente esta propuesta será presentada al cliente y se revisará entre ambos, definiendo qué actividades realizará el consultor y en qué momento. El coste de la consultoría será el resultado final de ese ejercicio y siempre estará relacionado a los recursos necesarios para acometerlo y al tiempo de dedicación que requiera.

4. Qué más necesito saber antes de contratar a un proveedor de servicios de Compliance?

Más allá del coste del Compliance, los otros elementos que debe considerar la organización pueden ser evidentes, pero vale la pena refrescarlos: el tiempo y la calidad. y para ello conviene recordar un principio básico que afecta a todas las profesiones:

 

En el caso del Compliance hay que añadir un elemento a la relación tiempo, calidad y coste, y es que un sistema de Compliance ineficaz no podrá ser utilizado como atenuante o eximente de responsabilidad penal de la persona jurídica, por lo cual lo rápido y barato o gratis puede terminar en multa o cierre de la empresa.

Es importante recordar que el balance ideal le permitirá a la organización invertir en una solución de Compliance a medida sin que se genere un coste inasumible para sus dimensiones ni una carga de trabajo que convierta la implementación en una utopía. Por eso lo mejor es siempre recurrir a proyectos a medida que a soluciones prefabricadas.

Por último, debe tenerse en cuenta que como toda inversión, debe tener un retorno, que en el caso del Compliance medible en base a KPIs (indicadores) tales como contingencias prevenidas, controles implementados, incidencias registradas, formaciones realizadas, fraudes internos detectados, y otras similares que, traducidas en dinero, deben reflejar lo que se ha ahorrado la organización gracias a la implementación del sistema.

5. Recursos externos:

• Tanto en este artículo publicado en LawyerPress en 2016, como en este otro publicado en Compliance Noticias por el letrado y vicepresidente de la World Compliance Association Juan Carlos Bajo, se plantean recomendaciones que conviene tener en cuenta antes de iniciar un proyecto de Compliance.

• La abogada Katharina Miller, que además de experta en Compliance promueve la excelente iniciativa de formación mediante juegos Integrity Now, también plantea acertadas reflexiones sobre el coste del Compliance.