La Fundación Wolters Kluwer, en colaboración con Cumplen, organizan el «Compliance Forum», con el objetivo de convertirse en un lugar de encuentro de los profesionales del Compliance, donde intercambiar dudas y conocimientos y reflexionar sobre el presente y el futuro del Compliance. El evento que tendrá lugar, los días 11, 17 y 25 de marzo de 2021 a partir de las 17:00 horas, constará de tres mesas redondas en las que destacados ponentes debatirán acerca de los nuevos retos de Compliance para la era post-Covid, la Protección de Datos dentro de los Sistemas de Compliance y de los desafíos actuales del Compliance Laboral. El «Compliance Forum» cuenta además con el patrocinio de Faura-Casas, firma líder en servicios de auditoría y consultoría con más de veinticinco años de experiencia; Audalia Nexia Tax & Legal, asesoramiento jurídico en todas las áreas del Derecho de la empresa y de los negocios con un marcado enfoque sectorial y Entelgy Innotec Security, especialista en proporcionar las soluciones y la inteligencia necesaria para prevenir y proteger los negocios de los ciberataques y brechas de seguridad. Así como con la colaboración de Ecix Group, expertos en gestión de riesgos jurídicos y empresariales.
Al evento están invitados todos los usuarios de las soluciones expertas de Wolters Kluwer, que recibirán el cupón para la inscripción gratuita proximamente en su correo electrónico.
Hablamos con Cristina Sancho, Presidenta de la Fundación Wolters Kluwer y Carlos Alberto Saiz, Presidente de la Asociación de Profesionales de Cumplimiento Normativo CUMPLEN, de algunos de los temas que se pondrán sobre la mesa durante el «Compliance Forum», como el impacto del COVID-19 en los mapas de riesgos de las organizaciones, la transformación digital de la propia función de Compliance, la conveniencia o no de que un mismo profesional asuma las funciones del delegado de protección de datos y del compliance officer, o los beneficios que supone para una organización la implantación de un sistema de Compliance Laboral.
Pregunta.- ¿Qué convierte al «Compliance Forum» en un evento de referencia para los profesionales?
Cristina Sancho.- Asistir al «Compliance Forum» va a permitir dormir un poco más tranquilos a los profesionales de esta especialidad jurídico-tecnológica y a los responsables de las compañías a las que prestan servicios. Estamos atravesando un momento de tanta complejidad y presión social, política y económica que estar al día de las mejores prácticas y las tecnologías de soporte más avanzadas en materia de Compliance debería constituir una prioridad estratégica para cualquier organización.
Conocer a fondo la normativa y ser rigurosos en su aplicación ya no es suficiente. Es imprescindible contar con el punto de vista de los reguladores y de los organismos de control además de conocer los retos a los que se enfrentan los profesionales del Compliance en la práctica diaria de su función. Por otra parte, la crisis constituye un momento idóneo para revisar la propia forma de operar y ser más autoexigentes con la forma en la que nos acercamos al mercado. Y no sólo porque haciendo las cosas bien en las organizaciones correremos menos riesgos y seremos más competitivos, sino porque como profesionales estaremos más seguros y también lo estarán nuestras empresas y sus responsables.
Para ponernos al día en esta materia contamos en el foro con los más sólidos ponentes de la abogacía, la judicatura, la administración pública y la academia. Una docena de profesionales que ocupan la primera línea de conocimiento de la problemática, la regulación y los recursos más eficientes en este ámbito.
El foro va a concentrar a lo largo de sus tres jornadas un repaso a los principales retos a los que se enfrentan los profesionales del Compliance en el actual escenario y va a profundizar en los dos grandes campos que ofrecen un especial riesgo para cualquier organización: el de la protección de datos, ámbito en el que las personas al cargo de las organizaciones están sufriendo un creciente nivel de exigencia y, por qué no decirlo, de crudeza en la imposición de sanciones por incumplimiento; y el laboral, una jurisdicción que ha visto incrementado exponencialmente el ritmo de litigación derivada de la actual coyuntura en el mercado de trabajo, en paralelo a una producción normativa sin precedentes.
P.- ¿De qué manera está involucrada la Fundación Wolters Kluwer en este campo?
Cristina Sancho.- El propósito de la Fundación Wolters Kluwer es contribuir a crear en España una sociedad cada día más justa, más segura y más transparente. Desde el año pasado, con la puesta en marcha de un nuevo plan estratégico en la Fundación, hemos alineado todos nuestros proyectos con los Objetivos de Desarrollo Sostenible de Naciones Unidas, entre los que se encuentra el Objetivo 16, que persigue la paz, la justicia y la solidez de las instituciones. La Fundación despliega desde hace casi catorce años una intensa actividad en el ámbito de la Justicia y el Derecho con la misión de contribuir, mediante la innovación tecnológica y metodológica y la transferencia de conocimientos, a acercarlos a la sociedad y reforzar así las instituciones en nuestro país.
Cuando definimos el plan de actuación para 2021 nos pareció muy relevante dedicar un espacio a la reflexión y la generación de ideas en torno a una cuestión de tanta trascendencia para la sociedad española como es la búsqueda de la excelencia en esta materia.
Cuando hablamos de Compliance, no sólo hacemos referencia al cumplimiento normativo. Hablamos de excelencia, de transparencia, de ética de los negocios y de juego limpio. Aunque el contenido de las sesiones será eminentemente práctico, todos esos valores estarán implícitos en las intervenciones de nuestros ponentes y perfectamente alineados con nuestro propósito.
«En este momento es crítico contar con un modelo de Compliance adecuado a cada tipología de organización»
P.- ¿Hasta qué punto es importante y aporta valor a las organizaciones contar con un modelo de compliance?
Cristina Sancho.- En este momento es crítico contar con un modelo de Compliance adecuado a cada tipología de organización. Las recomendaciones de buen gobierno más o menos difusas que en tiempos se proponía a las empresas y otras organizaciones a la hora de conducirse en el mercado, siempre con mayor rigor en el caso de las sociedades cotizadas en bolsa, se han convertido para toda clase de organizaciones en un extenso conjunto de normas de obligado cumplimiento cuya inobservancia puede llegar a tener un impacto muy negativo en las cuentas de las compañías y también en su reputación y en la confianza que generan. Visto en positivo, ser ordenados y rigurosos en este ámbito y contar con los profesionales, la metodología y la tecnología adecuados puede aportar un valor enorme en términos de transparencia y control que debe incorporarse como un pilar relevante de la estrategia corporativa.
Respecto a los modelos de Compliance se ha pasado de los programas de cumplimiento, meros check lists que ofrecen una visión unidimensional de la situación de la empresa, a verdaderos sistemas integrales de gestión del Compliance, que agrupan procedimientos interrelacionados y que, además de ser aplicables a organizaciones de cualquier tipo y ofrecer resultados homologables, constituyen un instrumento muy valioso para construir una cultura corporativa de respeto a la ley y de ética empresarial.
P.- ¿Cuáles serán las nuevas prioridades y riesgos que marcarán los grandes retos del compliance en la era post-Covid?
Carlos Saiz.- Bajo mi punto de vista, entre los grandes retos de la función de Compliance para esta era post-Covid se encuentran estos tres, entre otros:
1. Poder dimensionar correctamente los recursos y la escalabilidad de la función de Compliance en un contexto de restricciones presupuestarias y de novedades normativas que afectarán a nuestros sistemas de Compliance, tales como: normativa de trabajo a distancia, de medidas Covid, nuevas resoluciones en protección de datos, futura Ley sobre protección de denunciantes y mecanismos de funcionamiento de canales de denuncia, ley de «sandbox» financiera, futuro estándar ISO 37301 por la que se podrán certificar sistemas de compliance, novedades en prevención de blanqueo de capitales, promoción de planes y normas sobre inteligencia artificial, transformación digital, nuevos ciberriesgos, más obligaciones en ciberseguridad, etc.
2. Reforzar las competencias digitales del área, ya que será necesario tener más conocimientos y soltura en IT Compliance y en concreto, en elementos como la identidad digital, las investigaciones y análisis forenses digitales, intimidad en entornos informáticos, métodos para preservar evidencias electrónicas, algoritmia e inteligencia artificial para la toma de decisiones, la gestión de incidentes de seguridad, las obligaciones de protección de datos, la comunicación de brechas de seguridad a las Autoridades competentes, las garantías y la protección de los derechos digitales, los instrumentos de denuncia a Fiscalía y Fuerzas y Cuerpos de Seguridad del Estado especializados en cibercrimen, criptomonedas, fraudes electrónicos, pólizas de ciberseguros, etc.
3. Por último, trabajar en la Transformación Digital de la propia función de Compliance, automatizando tareas, construyendo mejores reports, operando los sistemas de control de manera más eficaz, definiendo mejores métricas e indicadores, etc.
P.- ¿Ha habido un incremento desde el inicio de la pandemia en las solicitudes de asesoramiento para implantar programas de cumplimiento en las empresas? ¿Cuál está siendo el impacto del COVID-19 en los mapas de riesgos de las organizaciones?
Carlos Saiz.- La crisis del Covid-19 ha producido una aceleración espectacular en los procesos de Transformación Digital de muchas de las compañías de nuestro país. Nos ha supuesto nuevas formas de trabajar, la promoción del teletrabajo, otra manera de atender a clientes y otra manera de relacionarse con proveedores.
Todo ello, por supuesto, ha tenido una incidencia directa en varias áreas de las compañías como Tecnología y Comunicaciones, Innovación, E-commerce, Calidad, Operaciones, etc. pero también en Ventas, Atención a clientes o Marketing. Y desde luego, las áreas de Compliance y Riesgos deben tener un papel activo en estos procesos de transformación de las compañías. Porque no se trata solo de digitalización, se trata de un cambio cultural y en los procesos que conlleva en muchos casos una profunda reevaluación de los riesgos de cumplimiento en las organizaciones.
Más que hablar un incremento de solicitudes de asesoramiento para implantar programas de Compliance, hemos podido comprobar cómo preocupaba más la forma de hacer eficiente la función de Cumplimiento considerando su dimensión, sus recursos, sus objetivos fijados por el órgano de gobierno de la compañía, sus capacidades tecnológicas para mejorar la operación del sistema, la supervisión, la definición de métricas, la elaboración de reports a la Dirección, etc.
Por otro lado, en mi opinión la crisis del Covid tiene dos grandes impactos en los mapas de riesgos de las empresas. El primero es la aparición de nuevos riesgos, tanto normativos como reputacionales, asociados a la propia crisis del Covid19, las medidas sanitarias, la supervisión de los controles, las garantías de continuidad, los controles en la cadena de suministro, etc. El segundo es la necesidad de hacer un recálculo de los riesgos utilizando la clásica fórmula de «probabilidad x impacto», ya que esta crisis nos ha enseñado mucho sobre cómo se puede cuantificar tales aspectos.
P.- En época de crisis como la actual ¿es más recomendable flexibilizar o reforzar los controles de compliance en las empresas para favorecer la continuidad del negocio?
Carlos Saiz.- Hemos de considerar que la crisis que supone el Covid19 conlleva algunos aspectos económicos y sociológicos que tienen un importante impacto en las funciones que las áreas de Compliance deben desarrollar en las organizaciones: restricciones presupuestarias, falta de presencialidad y controles que se venían haciendo, mayor digitalización, crisis sanitaria que afecta a trabajadores, mayor absentismo, normativas específicas sobre Covid19 en cuanto apertura o cierre de locales, medidas sanitarias, aspectos socio-psicológicos en los trabajadores, mayor incertidumbre, etc.
No creo que el debate se deba fijar en si prima la flexibilidad de los controles para ser «más permisivos» con el negocio o en si deben reforzar los controles por temor a que esta situación conlleve una sensación de menor control en la empresa. Considero que lo fundamental son los siguientes aspectos: 1) evaluar correctamente los riesgos para tener detectados de manera clara en qué procesos la compañía puede tener más problemas en la prevención o detección de actividades ilícitas y 2) tener indicadores de medición de la eficiencia de los controles propuestos, y tener la habilidad de proponer nuevos controles, controles alternativos, o nueva periodicidad, si creemos que así se puede mejorar el sistema de Compliance.
De hecho, la continuidad del negocio está ligada al cumplimiento de las normativas a largo plazo. Siempre comento en mis intervenciones en los Encuentros de Cumplen la necesidad de los profesionales de Compliance de trabajar nuestra creatividad, precisamente para tener la capacidad de definir mejores controles que ayuden a mitigar de forma proporcional los riesgos que tiene una compañía. Creo que nos enfrentamos a una época donde será necesario desarrollar mucho esa creatividad para poder hacer más con menos.
«Hace unos días, por ejemplo, Facebook anunció la contratación de un Chief Compliance Officer por primera vez en su historia para hacer frente a los riesgos reputacionales y financieros derivados de las investigaciones por incumplimiento iniciadas contra la compañía..»
P.- ¿Las empresas y organizaciones en España son conscientes de la relevancia y de los beneficios que aporta el compliance?
Cristina Sancho.- Creo que cada día lo son más, no sólo porque existe ya una alto nivel de especialización de los profesionales que asesoran a las empresas en este ámbito, sino también porque las informaciones que difunden los medios en relación con casos muy sonados de falta de vigilancia en materia de Compliance generan bastante inquietud. Hace unos días, por ejemplo, Facebook anunció la contratación de un Chief Compliance Officer por primera vez en su historia para hacer frente a los riesgos reputacionales y financieros derivados de las investigaciones por incumplimiento iniciadas contra la compañía. Incidentes que, además, están haciendo mella en la moral de sus empleados.
Contar con un buen sistema de Compliance es fundamental. Entre los beneficios más evidentes para las compañías podemos destacar el control de riesgos en materia de responsabilidad (especialmente los riesgos más graves, relacionados con la responsabilidad penal de las personas jurídicas), la mejora de la reputación y la confianza que proporciona a todos los públicos de interés la obtención de los correspondientes certificados de calidad, el conocimiento actualizado de toda la normativa aplicable a un determinado negocio, o la oportunidad de acceder a concursos y subvenciones públicas para las que la administración exige a las organizaciones la existencia de esos mecanismos internos de control. Además, un sistema de Compliance adecuado permite prevenir y detectar conductas internas arriesgadas y casos de mala praxis y, en algunos casos, la renegociación de las primas en los contratos de seguro suscritos por la compañía.
«El Compliance no solo deberá acompañar al negocio en su transformación digital, sino también trabajar en la suya propia»
P.- ¿Qué papel tienen o tendrán en un futuro inmediato las herramientas digitales como el big data, la inteligencia artificial (IA), el machine learning o el blockchain en la labor de compliance?
Carlos Saiz.- En estos años debe ocuparnos de manera importante la transformación digital de la propia función de Compliance. Yes que el Compliance no solo deberá acompañar al negocio en su transformación digital, sino también trabajar en su propia transformación digital, automatizando tareas, construyendo mejores reports, operando los sistemas de control de manera más eficaz, definiendo mejores métricas e indicadores, etc.
Todos observamos cómo la industria legaltech y regtech está evolucionando y creciendo de manera rápida y su objetivo es claro: ayudar a los profesionales jurídicos (en sentido amplio) a utilizar todas las capacidades tecnológicas posibles para mejorar su trabajo, su rendimiento y su visibilidad, aprovechando al máximo la automatización para que el profesional aporte el valor que la computación no puede.
Ya existen muchas herramientas, y otras muchas en pleno desarrollo, que aplican big data, inteligencia artificial, blockchain, machine learning y que, sin duda, son una ayuda muy importante para los Compliance Officers y los profesionales del Compliance en general.
Se puede hacer una clasificación sencilla de tales herramientas de mercado teniendo en cuenta la funcionalidad que tienen para el profesional de Compliance. Y es que existen herramientas para:
1. La parte de planning y estrategia: generación de un dashboard de estado de situación general, realización de análisis de riesgos, plan de proyectos, definición de métricas, indicadores de cultura compliance, etc.
2. La operación diaria: revisión documental automatizada en base a riesgos, ejecución de controles, monitorización, gestión de evidencias, obtención y gestión de consentimientos contractuales, TPC third party compliance y due diligences de terceros, certificaciones en estándares y su mantenimiento, canal de denuncias, planes de concienciación, formación, onboarding, acceso a listas negras e información, etc3. La capacidad reactiva y de revisión: gestión de auditorías y seguimiento de acciones, análisis forensic e investigación, gestión de crisis, gestión de expedientes, etc.
P.- Dado que existen materias en las que las funciones del delegado de protección de datos y del compliance officer se solapan ¿Es preferible que sea el mismo profesional quien asuma ambos cargos o depende del tipo de organización y de su tamaño?
Carlos Saiz.- Este es un debate que se ha suscitado donde la pregunta es doble: si es oportuno que sea el mismo profesional quien ocupe ambas posiciones, o si son incompatibles ambas figuras por problemas de conflictos de interés.
Hemos de recordar la base legal de ambas figuras. El Compliance Officer en sí mismo es una figura anglosajona que hemos importado, ya que realmente la regulación en nuestro Código Penal habla de un «órgano de supervisión» y apenas tiene más desarrollo normativo, salvo alguna mención en la conocida Circular de la Fiscalía y el esfuerzo que hemos hecho desde las Asociaciones profesionales para proponer un marco tipo «Estatuto profesional». Por otro lado, el Delegado de Protección de Datos está regulado en el RGPD, la LOPDGDD, es necesario notificarlo a la AEPD, y además la norma permite varias opciones en el nombramiento por lo que puede ser una persona, un órgano colegiado, internalizado en la compañía o externalizado en un tercero.
Por todo ello, bajo mi punto de vista, hay que considerar al menos 3 criterios muy importantes para evaluar la compatibilidad de ambos cargos y la oportunidad de que sea desempeñado por la misma persona/función: a) el sector de la compañía y sus características regulatorias, b) la estructura orgánica de cada compañía en el sentido de empresa matriz y filiales y la definición de los órganos internos en cuanto a responsabilidades y nivel de report, y c) la cultura previa en Compliance y Protección de datos, el nivel de conocimiento de ambas materias y los recursos con los que esté dotada dicha función.
Es decir, creo que hay compañías donde tiene mucho sentido porque se dan esas circunstancias y existen claras sinergias para que el programa de privacidad esté incardinado en un Sistema de Compliance más global que se encargue de más riesgos normativos, aparte del propio programa de prevención de delitos: metodologías comunes, procedimientos alineados, controles que sirven para mitigar riesgos de ambos cuerpos normativos, nivel de conocimiento similar, recursos compartidos, etc.
En cambio, en otras compañías lo veo más difícil por no tener bien desarrollados mecanismos para evitar conflictos de intereses, el nivel de report hacia Dirección en Compliance y Protección de datos es diferente por la sensibilidad de los órganos, las personas que se van a ocupar no saben tanto de una materia como de otra, las compañías parten de un nivel de madurez muy diferente en ambas cosas, las metodologías de riesgos que vienen aplicando son diferentes, el scope o alcance del sistema de compliance penal y el de protección de datos es diferente (matrices/filiales), y no tienen nombrados otros perfiles en la organización para la interlocución directa en estas materias con el negocio, etc
P.- El tema central de la tercera sesión del «Compliance Forum» son los retos actuales del Compliance Laboral ¿En qué consiste un sistema de Compliance Laboral? ¿Qué beneficios supone para una organización su implantación dada la coyuntura actual?
Cristina Sancho.- El Compliance Laboral es una función independiente dentro de la organización que comprende un conjunto de procedimientos y sistemas de gestión y control internos para la prevención, identificación y gestión de los riesgos por incumplimiento de la normativa socio-laboral por parte de empresas que gestionan recursos humanos. Nos referimos no sólo a la normativa dictada por el legislador o negociada en convenios colectivos, sino también a las normas o políticas internas de auto-cumplimiento.
Las principales aplicaciones prácticas derivadas de implementar sistemas de Compliance Laboral en las empresas son: lograr un mayor conocimiento de la propia organización, y sobre todo identificar con seguridad el grado de cumplimiento de las obligaciones laborales y de seguridad social, para asegurar que la actividad empresarial se realiza conforme a los principios de buena gestión corporativa, y así evitar o reducir el impacto negativo que pudieran conllevar la imposición de sanciones, y los posibles riesgos reputacionales por conflictos internos que pudieran tener repercusión externa, por ejemplo a través de los medios de comunicación o redes sociales.
Los beneficios de contar con sistemas de laboral son tanto internos: mejora de las condiciones laborales, mayor motivación, mejor percepción interna de la imagen de la empresa, etc., como externos: reducción de sanciones, bonificaciones económicas, mejora de la reputación en el mercado, mayor facilidad para la contratación pública…
COMPLIANCE FORUM: el presente y el futuro del Compliance a examen
- Gratuito para los clientes de las soluciones expertas de Wolters Kluwer.
- Descuentos especiales para miembros de Cumplen.
- La inscripción incluye el acceso a las tres sesiones y a un entregable con el vídeo completo de la grabación de cada una de las sesiones y la crónica con el resumen de los principales temas tratados en cada encuentro.
Programa completo e inscripciones en este enlace.
Para cualquier consulta contactar con: Tel. 91 602 01 82 | clienteslaley@wolterskluwer.es
