Las funciones y responsabilidades del Compliance Officer
En el último #ComplianceKeys (ComplianceKeys17) se realizó una breve introducción a una de las características básicas de los órganos de Compliance: su posible configuración como órganos unipersonales (por ejemplo, mediante la figura del Compliance Officer) o como órganos colegiados (por ejemplo, como un Comité de Ética y Compliance).
Profundizando en las características de esta relevante figura para todo Sistema o Programa de Compliance, en el presente ComplianceKeys18 se ofrecerán unas breves pinceladas respecto las principales funciones y responsabilidades que este órgano debe asumir, teniendo en cuenta que posteriormente será cada organización la que acabe de definir sus concretas funciones.
Esta cuestión de carácter básico ofrece cierta complejidad en la puesta en práctica. Ello, en la medida que el marco regulatorio apenas se pronuncia al respecto. En este sentido, el artículo 31 bis .2 del Código Penal únicamente establece que: “la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica […]”.
Respecto a esta sucinta referencia cabe destacar un aspecto primordial: el órgano de Compliance es el encargado de la supervisión e impulso del funcionamiento y cumplimiento del Programa o Sistema de Compliance, pero no de la prevención de delitos o del propio Sistema de Compliance en sí mismo.
En este contexto, diferentes miembros de las organizaciones deberán participar en la función de Compliance, esto es, en el funcionamiento de los mecanismos de prevención y control que conforman los Programas o Sistemas de Compliance (por ejemplo, en los circuitos de compras o de pagos, mediante la realización de auditorías, entre otros).
Así pues, el órgano de Compliance no es el encargado del cumplimiento en la práctica del Programa o Sistema de Compliance, solo de su supervisión y del impulso para su buen funcionamiento. En este sentido, el cumplimiento recae sobre todos y cada uno de los miembros que conforman una organización (con independencia de su posición jerárquica o sus funciones en la entidad).
Como es usual en materia de Compliance, la autorregulación, normas técnicas y la práctica profesional han venido a cubrir el vacío regulatorio respecto a la cuestión de qué funciones y responsabilidades deben asumir los órganos de Compliance.
Sin ánimo exhaustivo, algunas de las principales funciones y responsabilidades que según los estándares y las best practices en la materia deben asumir los órganos de Compliance son las siguientes (y que en muchas ocasiones pueden externalizarse en su totalidad o en parte):
- Analizar los riesgos que, en abstracto, pueden afectar a una organización (a través de lo que se conoce generalmente como Informes de riesgos, ya sean estos penales –lo más frecuente- o que abarquen otras materias de Compliance como blanqueo de capitales, tax, etc.).
- Dirigir el desarrollo e implementación del Programa o Sistema de Compliance (liderando el desarrollo de normativa interna teniendo en consideración las características y riesgos de la organización).
- Gestionar el Canal Ético o de denuncias y, en su caso, dirigir las investigaciones internas que pudieran tener que llevarse a cabo (debe destacarse que esta cuestión es susceptible de variar en gran medida en cada diferente organización).
- Asegurar la adecuación a la organización del Programa o Sistema de Compliance (analizando cambios legislativos, respondiendo ante cambios de actividad de la propia organización, etc.).
- Actividades de formación, sensibilización y comunicación en materia de Compliance (con el fin de asegurar, crear o mantener la cultura ética empresarial y la eficacia de determinados controles de la organización).
- Entre otras funciones (como podrían ser la ejecución de determinados controles, la representación de la persona jurídica ante autoridades, la representación en el marco de procesos judiciales, etc.).
Por otro lado, con el fin de garantizar su imparcialidad, y en relación con las responsabilidades que pudieran derivar del desarrollo de sus actividades, no suele ser recomendable que el órgano de Compliance asuma funciones decisorias (por ejemplo, en materia de sanción de un determinado miembro del personal como resultado de una investigación interna).
Como conclusión y recapitulación de lo anterior, puede establecerse que el escaso marco normativo respecto las funciones del órgano de Compliance hace necesario acudir a los estándares de autorregulación (como podrían ser los estándares UNE 19601 o ISO 37301), así como las best practices en la materia. Además, debe tenerse en cuenta que no habrá dos órganos de Compliance que realicen exactamente las mismas funciones: estas deben adaptarse a la concreta realidad de las organizaciones de las que formen parte.