top of page

Hacia un Programa de Cumplimiento Integral (PCI)

Hacia un Programa de Cumplimiento Integral (PCI)

​I. EL COMPLIANCE COMO SISTEMA DE GESTIÓN DE RIESGOS EMPRESARIALES

​

“Compliance” se ha convertido en la palabra de moda entre los abogados corporativos de hoy en día, pero su sentido va mucho más allá de un eslogan técnico-jurídico. Se utiliza este término para referirse al establecimiento de un sistema ordenado de gestión de riesgos empresariales, orientado a prevenir las consecuencias derivadas del incumplimiento de normas de muy diversa naturaleza.

​

Ese sistema abarca tanto las normas sectoriales (prevención del lavado de activos para entidades financieras, normas medioambientales para quienes explotan recursos naturales, reglas de transparencia en la contratación pública, seguridad y salud en el trabajo, protección de la salud de las personas, regulación impositiva, etc.) como las normas transversales vinculadas a ética, integridad y cultura organizacional. La infracción de estas normas, o la concreción de los riesgos derivados de su inobservancia, no solo generan multas o sanciones administrativas, sino que pueden desencadenar consecuencias (administrativas, civiles e incluso penales) que impactan el ámbito corporativo, tanto para los ejecutivos como para la propia organización (multas, cierres, decomisos, intervenciones o disolución).

​

En este marco, el Compliance se configura como respuesta estructurada frente a los riesgos (legales, económicos, penales y reputacionales) que pesan sobre la empresa, y como herramienta para anticipar y contener sus efectos.

​

​

II. DE LAS RECOMENDACIONES INTERNACIONALES A LAS NORMAS ISO 

​

La evolución de los programas de cumplimiento ha estado marcada por una doble dinámica: por un lado, la incorporación en los ordenamientos nacionales de mecanismos preventivos inspirados en recomendaciones internacionales (como Basilea o GAFI); por otro, la adopción interna de normas internacionales de estandarización que dotan de estructura técnica a los sistemas de gestión. En este último grupo destacan, entre otras:

​

  • ISO 37000 (Gobernanza de las organizaciones).

  • ISO 37001 (Sistemas de gestión antisoborno).

  • ISO 31000 (Gestión del riesgo).

  • ISO 9001 (Gestión de la calidad).

  • ISO 37301 (Sistemas de gestión de Compliance).

  • ISO 37002 (Gestión de denuncias).

  • ISO 27701 (Privacidad y gestión de la información).

  • ISO 20400 (Compras sostenibles).

  • ISO 26000 (Ética, transparencia, derechos humanos y rendición de cuentas).

​

Este entramado de estándares es lo que ha facilitado que el cumplimiento deje de ser un conjunto disperso de obligaciones para convertirse en un sistema de gestión integrado, anclado en buenas prácticas reconocidas internacionalmente.

​

​

III. OCHO TIPOS DE PROGRAMAS DE CUMPLIMIENTO Y SU ALCANCE 

 

Sobre esta base se identifican al menos ocho grandes tipos de programas de cumplimiento (Compliance programs):

​

  1. Compliance Financiero y Tributario.

  2. Compliance Ético, Anticorrupción y de Gobernanza.

  3. Compliance de Datos, Tecnología y Ciberseguridad.

  4. Compliance Laboral y de Talento Humano.

  5. Compliance Regulatorio Sectorial (salud, farmacéutico, ambiental, energía, telecomunicaciones, seguros, logística y transporte, manufactura, inocuidad alimentaria).

  6. Compliance en Gobernanza Social, Sostenibilidad, Cambio Climático y Derechos Humanos.

  7. Compliance Comercial, Contractual y de Competencia.

  8. Compliance Legal y Corporativo.

 

Del examen de esta tipología se desprenden tres ideas clave:

​

  • No todos los programas aplican a todas las organizaciones: su pertinencia depende de la dimensión (local, nacional, internacional) y del ámbito de actividad.

  • Algunos programas son de aplicación vertical, ligados a sectores específicos (especialmente el regulatorio sectorial y el financiero, en banca, valores, seguros, fintech).

  • La mayoría son de aplicación horizontal, como los vinculados a ética, regulación general, gestión de riesgos, datos y tecnología, recursos humanos, sostenibilidad, etc.

​

Además, la elaboración y articulación de estos programas requiere la intervención de perfiles profesionales multidisciplinares, no solo del ámbito jurídico.

​

​

IV. LA NECESIDAD DE UN PROGRAMA DE CUMPLIMIENTO INTEGRAL (PCI)

 

La coexistencia simultánea de varios programas plantea un problema evidente: la complejidad de su manejo y la falta de sinergias entre ellos. Si los distintos esquemas de cumplimiento no dialogan ni se integran, su capacidad real para prevenir riesgos empresariales se reduce notablemente.

​

Frente a esta realidad, desde BMR | Legal se propone que cada organización, en función de su ámbito de actuación sectorial y de sus propias dimensiones, cuente con un único y unificado Programa de Cumplimiento Integral (PCI), estructurado vertical y horizontalmente a la medida de la entidad.

​

  • La dimensión vertical incorpora las exigencias propias del sector regulado en el que opera la organización.

  • La dimensión horizontal integra los componentes transversales: ética, antisoborno, datos, riesgos, recursos humanos, sostenibilidad, entre otros.

 

Importa subrayar que, conforme a las disposiciones legales vigentes, este enfoque no se limita al sector financiero. Abarca a todas las personas jurídicas, incluyendo sociedades mercantiles, asociaciones y fundaciones, sin distinción del tipo de actividad que realicen: comercio, construcción, minería, transporte, bienes raíces, producción de bienes o prestación de servicios en genral.

​

​

V. GOBIERNO DEL COMPLIANCE Y PASOS PARA EL DISEÑO DEL PCI

 

La implantación de un PCI exige comprender que el programa afecta a toda la organización: desde los órganos de gobierno y la alta dirección, hasta los trabajadores, e incluso, en determinados puntos, a proveedores y socios comerciales.

 

Los órganos de gobierno corporativo deben decidir quién asumirá la estructura y gobierno del Compliance (persona, departamento o gerencia), asegurando: a) Un nivel razonable de independencia en la toma de decisiones y b) Recursos personales y presupuestarios suficientes.

 

En cuanto a los pasos a seguir para el diseño del PCI, se deben asegurar varias etapas esenciales:

  1. Identificación de riesgos a los que la entidad podría verse expuesta.

  2. Determinación de mecanismos de detección temprana (señales de alerta).

  3. Definición de la forma de contener los efectos cuando el riesgo se concreta.

  4. Establecimiento de procedimientos para proteger a la entidad frente a las consecuencias del daño producido: a) Investigaciones internas, b) Canales de denuncia y Protocolos de actuación y respuesta.

  5. Validación y seguimiento continuo del sistema, incorporando ajustes derivados de la experiencia, cambios normativos o variaciones en el perfil de riesgo.

​

Se trata, en definitiva, de un sistema dinámico, que requiere evaluación constante y mejora continua.

​

​

VI. COMPLIANCE, RESPONSABILIDAD PENAL CORPORATIVA Y ACLARACIONES TERMINOLÓGICAS 

​

En el contexto regional se evidencia un transito de programas de cumplimiento sectoriales al establecimiento de programas integrales, lo último motivado, muy especialmente, por la aprobación de normas sobre responsabilidad penal directa de las personas jurídicas, en este terreno el Compliance se perfila como un mecanismo idóneo de gestión de riesgos, capaz de atenuar o incluso excluir la responsabilidad penal corporativa, siempre que el programa cumpla ciertos requisitos de idoneidad y eficacia.

 

En el entorno señalado, no obstante, persisten confusiones conceptuales que conviene despejar:

​

  1. Compliance vs. “cumplimiento normativo”

    • El llamado “cumplimiento normativo” remite a la verificación del resultado: comprobar si una entidad ha dado cumplimiento a la lista de obligaciones impuestas por la norma aplicable (ley, reglamento, disposiciones administrativas, normas prudenciales).

    • El Compliance, en cambio, se refiere al conjunto de medidas y procedimientos preventivos implementados en la empresa para gestionar adecuadamente los riesgos a los que se expone.

  2. Oficial de cumplimiento vs. Compliance Officer

    • El “Oficial de cumplimiento” suele ser la figura encargada de asegurar el cumplimiento de disposiciones regulatorias específicas (por ejemplo, en materia de prevención de lavado de activos).

    • El Compliance Officer, por su parte, es el ejecutivo responsable del diseño, articulación, ejecución, supervisión y monitoreo del sistema global de Compliance, con un alcance que va más allá del ámbito regulatorio sectorial.

​

Pese a ello, no resulta complicado avizorar que la expresión Compliance, acuñada internacionalmente, terminará imponiéndose porque abarca una realidad más amplia que el mero cumplimiento normativo sectorial. Y, paralelamente, el rol del Compliance Officer ganará contenido y relevancia institucional, superando la visión limitada del oficial de cumplimiento tradicional.

​

En suma, el Programa de Cumplimiento Integral aquí propuesto, no debe verse sólo como una exigencia jurídico-regulatoria, sino como un instrumento central del gobierno corporativo de cara a la gestión de riesgos empresariales. Su misión es anticiparse a los acontecimientos para proteger a la organización, a sus directivos y a su entorno, así como contribuir al fortalecimiento de  una cultura empresarial íntegra, transparente y responsable.

​​

Dr. Manuel Aráuz Ulloa

bottom of page