La Real Academia Española define un ecosistema como una “comunidad de los seres vivos cuyos procesos vitales se relacionan entre sí y se desarrollan en función de los factores físicos de un mismo ambiente”. Y cuando pensamos en Compliance, no hay mejor manera de visualizar los distintos elementos y su interacción que bajo esa misma premisa.

Cada ecosistema de Compliance debe tener unas características en cuanto a su dinámica y funcionamiento, que van más allá de la existencia de los elementos previstos en el artículo 31 bis del Código Penal o incluso en la Norma UNE 19601 sobre Sistemas de Gestión de Compliance Penal. También existen ciertos elementos de riesgo que nos permiten detectar cuándo la eficacia del ecosistema de Compliance está en peligro.

Y entender tanto las características, como los elementos que ponen en peligro al ecosistema, es esencial para poder trabajar en su eficacia.

1. Características de un ecosistema de Compliance eficaz

Cada ecosistema tiene su dinámica particular.

El Compliance es un bosque, y como tal se conforma de distintos componentes según la realidad en que sea implementado. De la misma manera que en algunos bosques se dan pinos y en otros robles, cada sistema de Compliance puede requerir enfoques distintos, y lo que funciona en uno no necesariamente se da en el otro.

Por eso hay que tener en cuenta el ambiente en el que se desarrolla el sistema, identificar claramente a las partes interesadas, cómo se relacionan con la organización y cómo pueden afectarle.

En ese sentido, nunca será igual la política de prevención de blanqueo de capitales de una entidad bancaria, que la de una joyería, aunque ambos sean sujetos obligados a implementar medidas de control.

Esto es lo que la Norma UNE 19601 define como el contexto de la organización, y es esencial comprenderlo antes de implementar un sistema de Compliance.

Los elementos del ecosistema de Compliance interactúan entre sí.

Las multinacionales y grandes empresas suelen publicar algunos de los documentos de su sistema de Compliance, y muchos de ellos difieren en estructura y contenidos. Mientras en algunos el Código de Conducta es extenso y contiene parámetros de conducta, otros optan por un documento más sencillo a manera de decálogo y detallan otros aspectos en sus políticas sustantivas.

Ambas vías pueden ser válidas cuando el contexto es el adecuado y se adapta a la dinámica de la organización, y eso no lo sabremos si no evaluamos todos los elementos del sistema en su conjunto y cómo es la interacción entre ellos.

Por lo tanto, es difícil determinar cuál documento es más eficaz que el otro, porque, aunque tengan estructuras y contenidos distintos, pueden estar obteniendo resultados similares. Usualmente cuando hay una falla dentro del sistema de Compliance, no será por la manera en que esté redactado un documento o el contenido específico de una formación, sino porque todos los elementos que se conjugaron no interactuaron adecuadamente para prevenir la conducta indebida.

Cada elemento cumple una función específica.

En un ecosistema marítimo interactúan entre otros el plancton, las algas, erizos, peces, cangrejos, tiburones y ballenas. Cada uno cumple una función y prescindir de sólo uno de esos elementos puede alterar totalmente el ecosistema, haciendo que los demás perezcan.

Lo mismo ocurre con el Compliance.

• El Código Ético plasma los valores y preceptos que reflejan la ética de la organización, y suele ser el canal por excelencia para comunicar lo que se espera, a grandes rasgos, de los trabajadores en las distintas áreas de interés y bloques normativos.
• Pero ello puede ser insuficiente cuando no se desarrollan los principios y se transforman en conductas concretas, o bien en el mismo documento o mediante políticas de primer nivel.
• Esas políticas a su vez dependen de la existencia de unos controles específicos para poder materializarse y no convertirse en letra muerta o en textos abstractos de poca aplicabilidad en la práctica.
• Toda esta dinámica debe responder a una realidad concreta, reflejada en un análisis de riesgo y a su vez ser comunicada y reforzada por distintos medios a los trabajadores.
• Alguien debe ser responsable de coordinar todos los esfuerzos, de manera de capturar toda la información necesaria para que el sistema funcione y hacer llegar los inputs a los distintos jugadores que forman parte de este.

Se trata de un verdadero sistema en forma de ciclo, que se alimenta de la propia información que genera y en donde cada elemento debe cumplir un propósito. Cuando falta alguno de los elementos, el sistema pierde eficacia.

Los elementos del ecosistema de Compliance interactúan con el resto de la organización.

Los elementos del ecosistema de Compliance deben interactuar con los procesos operativos y estratégicos de la organización. Si no hay una integración adecuada, el ecosistema no será eficaz y no recibirá la información que requiere para subsistir, ni tampoco podrá gestionar adecuadamente los riesgos que debe atender.

El ecosistema de Compliance debe romper con los silos aislados, y establecer un entorno de colaboración con áreas afines como Auditoría Interna, Legal, Prevención de Riesgos Laborales o Protección de Datos, así como con los responsables de las áreas de negocio. La información es el oxígeno del ecosistema de Compliance.

Es en este punto donde suele haber más dificultades prácticas, ya que hay sistemas cuyos elementos pueden estar teóricamente bien diseñados, pero es en la integración con el resto de la organización donde se generan los problemas o pueden generarse lagunas y brechas que son aprovechadas por algunos miembros para cometer conductas ilícitas.

2. ¿Cuándo estamos ante un ecosistema de Compliance en peligro de extinción?

La presencia del factor humano es el elemento que más afecta a un ecosistema natural, y desafortunadamente ocurre lo mismo en los ecosistemas de Compliance. El mejor Código de Conducta, la mejor política, el mejor control y la mejor formación, pueden no ser suficientes para evitar que se cometa una conducta contraria a la legalidad o las políticas de la organización.

Pero en algunos casos, puede haber señales o red flags que nos indiquen que estamos en presencia de un ecosistema de Compliance en peligro, y en esos casos es necesario intervenir para preservar su eficacia.

Algunas señales de que el ecosistema de Compliance está en peligro pueden ser:

• El ecosistema de Compliance no está fundamentado en un análisis de riesgos previo.
• El Código de Conducta o las Políticas son robustas y técnicamente correctas, pero no hay evidencia de seguimiento o control.
• El Código de Conducta o las Políticas hacen referencia a documentos inexistentes en la organización (esto puede ser señal de que se ha copiado el documento de otra organización y no hay correspondencia).
• Quien responde por la supervisión del sistema de Compliance no tiene acceso a la alta dirección, está sujeto a la supervisión de una función operativa y/o no cuenta con potestades de independencia y autonomía.
• No se realizan formaciones adecuadas al personal, con un contenido y tono adecuado para cada quien.

Estos son sólo algunos indicadores, pero no son los únicos. En este enlace podréis descargar un checklist con 20 indicadores a valorar, y que pueden servir para detectar fallas en el ecosistema de Compliance.

3. La preservación adecuada del ecosistema de Compliance

Como hemos visto en los párrafos anteriores, estamos hablando de una serie de elementos que interactúan entre sí y que a su vez están interconectados con el resto de la organización. Esto nos lleva a destacar la importancia del balance dentro de los sistemas de gestión de Compliance Penal.

Por ejemplo, un ecosistema de Compliance en el cual se dote a la organización de decenas de políticas escritas, puede sufrir de problemas en su implementación, por las dificultades que puede haber en el seguimiento. Este escenario quizás funcione en empresas grandes o multinacionales, pero en organizaciones más pequeñas es algo totalmente contraproducente.

Por otra parte, en otro ecosistema de Compliance pueden haber riesgos altos de una conducta y bajos de otra, en donde los esfuerzos de prevención deberán ser distintos según cada caso y proporcionales, y habrá que definir los controles específicos aplicables en cada caso.

Recordemos que el Compliance debe contribuir al logro de los objetivos de negocio; por tanto, es clave que el sistema funcione en equilibrio y con la debida proporcionalidad. Es en esta área donde está el reto más difícil de los profesionales de Compliance: Diseñar, implementar y mantener el  ecosistema, encontrando el punto de balance de los distintos elementos y velar por su adecuada integración en la organización.