En este 2024 hemos tenido unos últimos meses muy intensos desde un punto de vista de regulatorio. Podríamos incluir dentro del ámbito del compliance un buen número de normas que empezarán a ser exigibles en 2025 y que impactan a distintos sectores y tamaños de empresas. A modo de ejemplo, listaré una serie de siglas que identifican normas europeas y que los profesionales del cumplimiento normativo hemos integrado ya en nuestro vocabulario: MiCA, DORA, AML6, NIS2, CSRD, CS3D…
Siendo conscientes de la dificultad que supone para las empresas adaptarse a toda esta regulación, y la ingente cantidad de requerimientos que podrían caber dentro del paraguas de compliance, me detendré en resaltar aquellos aspectos que comparten muchas normas y que supondrán un impacto directo en la estructura y gobernanza de los sistemas de competencia.
La diligencia debida se torna en un pilar fundamental en los sistemas de cumplimiento normativo, que deben ser capaces de medir los riesgos de las empresas de una forma práctica para que los órganos de gobierno tomen decisiones siendo conocedores de sus posibles impactos negativos, no solo desde un punto de vista financiero, sino también incorporando criterios sociales, ambientales y de gobernanza.
En España, el principio del risk based approach se obvió cuando nos afanamos en hacer matrices de riesgos penales cada vez más complejas para tratar de explicar a los consejos de administración que su empresa tenía un riesgo alto en una actividad criminal o creamos supuestos de hecho de laboratorio para evaluar el riesgo de delitos como el tráfico de órganos bajo la premisa de que el riesgo cero no existe.
Normas como la directiva CSRD y sus ya públicos Estándares Europeos de Información sobre Sostenibilidad (ESRS) nos dan una idea de los indicadores que deben ser relevantes a la hora de identificar y evaluar riesgos. A este respecto, la Agencia Anticorrupción en Francia publicó, a mediados del pasado mes de octubre, una guía que establece la relación directa entre los indicadores que deberán formar parte del contenido de los informes de sostenibilidad y los elementos del sistema para la prevención de la corrupción que exige la ley sobre transparencia, anticorrupción y modernización económica (Sapin II).
Otro aspecto común a muchas de estas normas es que se amplía irremediablemente el perímetro del sistema de compliance más allá de las actividades de la empresa, incluyendo exigencias con respecto a toda la cadena de valor en la que participan.
La implicación real del órgano de gobierno en la estrategia de compliance es básica, pero ahora más que nunca se va a exigir a sus miembros que sean honorables y ejemplares en su desempeño, tal y como incluye, por ejemplo, el nuevo reglamento europeo en materia de prevención de blanqueo de capitales. Por último, teniendo en cuenta que hace menos de un mes vio la luz el Estatuto de la Autoridad Administrativa Independiente de Protección al Informante (también conocida como AAI), no puedo obviar que muchas de estas normas ponen en valor con mayor o menor intensidad la importancia de que las empresas cuenten con canales internos seguros en los que cualquier persona relacionada con la empresa pueda reportar una vulneración la normativa.
Más allá de la dificultad propia de cada norma, en mi opinión, el verdadero reto y lo que marcará la diferencia será la capacidad de integrar en un único sistema de compliance todos y cada uno de los riesgos y controles identificados, consiguiendo su interconexión y evitando así los que generan duplicidades, incoherencias e ineficiencias en los procesos de negocio. En caso contrario, correremos el riesgo de que el compliance sea visto por muchos como un mal necesario y no como una oportunidad para marcar la diferencia.
