Es ingeniera y preside la Asociación Española de Compliance (ASCOM), a la que pertenecen más de mil expertos; una asociación pionera, que celebra su quinto aniversario y a la que dedica buena parte de su tiempo. Fue diputada del PP en la Asamblea de Madrid durante varias legislaturas, en la etapa de Alberto Ruiz Gallardón, y ha tenido la gentileza de explicarnos con detalle las atribuciones y tareas del "compliance officer".
Antes de nada, felicidades por este quinto aniversario. ¿Cómo fueron los inicios de la asociación?
ASCOM se creó en mayo de 2014, cuando estaba tramitándose el proyecto de reforma del Código Penal que consolidó la responsabilidad penal subsidiaria de las personas jurídicas. Hasta el año 2010, en España las empresas no eran responsables penalmente, ni podían ser condenadas. Fue un punto de partida para la incorporación del "compliance officer" dentro de las grandes empresas.
¿Por qué se adoptó el término anglosajón "compliance", en lugar de ponerle un nombre castellano como "cumplimiento"?
Preferimos el término anglosajón porque el de "cumplimiento" confunde. Cuando hablas de "cumplimiento normativo" parece que te estás refiriendo solo a la leyes y esto es distinto. Aquí hay también un cumplimiento ético muy importante. No es tanto lo que yo pueda hacer con las normas, sino lo que debo hacer de acuerdo a las normas de conducta. Compliance es un nombre que define una función y que nació en Estados Unidos a principios del siglo pasado. Se blanqueaba mucho dinero negro a través del sistema financiero y las autoridades de EE.UU. se vieron desbordadas. Entonces, para controlar los riesgos, trasladaron la responsabilidad a las propias empresas, que dentro de sus estructuras establecían los mecanismos de control. La ley anticorrupción requiere que las empresas establezcan protocolos y programas de prevención de este tipo de riesgos internamente.
¿Cuándo se incorpora en España esta figura del "compliance"?
Fue en el año 2007, pero sólo era obligatorio tener una función de compliance en el sector financiero, para prevenir la venta de productos complejos. Se intentaba, de alguna forma, prevenir con una directiva europea que sucediera lo que había ocurrido en Estados Unidos con la caída de Lehman Brother. La verdad es que llegó un poco tarde.
"Un buen programa de compliance tiene que evitar las malas prácticas"
¿Podría explicar de una forma fácil y sencilla para qué sirve un "programa de compliance" dentro de una empresa?
Sirve para identificar los riesgos que tiene la empresa de cometer una serie de delitos. Pero la función del compliance va más allá del tema penal. Además de evitar delitos que se puedan cometer, también puede evitar malas prácticas con los clientes, por no informar sobre los productos o hacer ventas a quienes no están financieramente identificados. Un buen programa de compliance tiene que evitar las malas prácticas. Luego está la protección de datos, la corrupción, la prostitución, el tráfico de capitales, los delitos urbanísticos, el medio ambiente...
¿Por qué no existe una titulación o una formación específica del profesional que se dedica a esta tarea?
La formación académica de un compliance office es multidisciplinar. Su función es la de gestionar riesgos y para eso se precisa un componente variado de aprendizajes. Hay licenciados en Derecho, economistas o ingenieros. Yo, por ejemplo, estuve diez años de compliance office en un banco y me apoyaba en la asesoría jurídica cuando se trataba de un asunto legal. Y, si en lugar de ingeniera hubiera sido licenciada en Derecho, me habría tenido que apoyar en personas que conocieran los temas económicos.
Me imagino que no habrá sido fácil incorporar la figura del profesional del "cumplimiento" en la cultura empresarial española.
El ingrediente cultural es muy importante. Es una práctica importada del mundo anglosajón y esa forma de pensar no se ajusta a nuestra cultura. El canal de denuncias interno, que es un elemento esencial de un programa de compliance, está mal visto. En España se asocia a la figura del chivato. Cuando estudié en Inglaterra copiar era impensable, sin embargo en España estaba bien visto. Lo que estabamal visto aquí era que el compañero de al lado no te dejara copiarle. A quien denuncia algo malo en España se le ve como a un chivato.
"Cuando surgen los problemas es cuando te das cuenta de que EL daño lo podrías haber evitado"
¿Qué tal llevan las grandes empresas y grupos financieros estos programas de cumplimiento normativo?
Las hay mejores y peores, pero tienen asumido cuál es nuestra función. No quiero hablar de casos concretos (como el del BBVA), pero estas cosas son ejemplarizantes y apunta arriba del todo. Un buen programa de compliance tiene que venir de arriba a abajo porque, si no, no funciona. Las pequeñas empresas - las Pymes - no disponen de una amortización suficientemente alta para dedicar recursos a esto. Pero el cumplimiento es como una onda expansiva y tendran que adaptarse, ya que las grandes empresas se lo van a requerir a sus proveedores. Por otra parte, el compliance se está introduciendo como un elemento a valorar en las licitaciones y concursos de la Administración.
¿Por qué no existe una regulación más precisa sobre la profesión?
Sería interesante establecer algún tipo de normativa sobre esta materia, como existe con los delegados de protección de datos. Hay tres requisitos esenciales en el compliance officer: la independencia dentro de la empresa, autoridad para tener acceso directo a la información relevante, y suficientes recursos para realizar su tarea. Estas condiciones sería bueno que estuvieran reguladas. Por ejemplo, al delegado de protección de datos no se le puede despedir sin una justificación.
¿Tener programas de compliance es una inversión o un gasto?
Inicialmente, es un gasto, pero acaba siendo una "inversión", entre comillas, porque a largo plazo ganas valor de marca y credibilidad en tus clientes yen el mercado. Cuando surgen los problemas es cuando te das cuenta de que ese daño lo podrías haber evitado.
¿Cambian mucho los programas según el tipo de empresa?
No hay programas iguales de compliance. Tienen que hacerse a la medida de cada empresa. En una compañía que se dedique a la fabricación y venta de ropa los riesgos pueden ser la mano de obra infantil, la forma... Esos riesgos son muy diferentes, por ejemplo, a los de una compañía eléctrica, donde el problema puede radicar en la competencia o en la regulación de los precios. Cada empresa es distinta. Y no sólo por el tipo de actividad, sino también por la zona geográfica donde se ubica. Puede haber más riesgo de blanqueo de capitales o de corrupción en Rusia que en otros lugares. También una empresa familiar, dirigida por el dueño, puede tener riesgos que a lo mejor no tiene un gobierno corporativo distinto.
¿Podría contarme algún caso de corrupción que haya vivido de cerca?
Recuerdo una persona que se estaba beneficiando personalmente con la connivencia de otra que llevaba negocios inmobiliarios. No es un puesto cómodo el nuestro, porque tienes que decir y afrontar cosas desagradables. A nadie le gusta que le des malas noticias. De ahí que tengas que estar en un rango organizativo elevado. Hay que tener capacidad de interlocución y exigir que te hagan caso.