Francisco Bonatti, coordinador del grupo de actividad empresarial y secretario de ASCOM, está atento a las últimas novedades del ‘compliance’ para poder ofrecérselas a los socios. Siempre busca nuevos enfoques y la forma de agregar valor añadido a las iniciativas de la asociación.
Esta búsqueda constante por formar e informar se cristalizó en el Congreso ‘Compliance’ en Actividad Empresarial, que este pasado 20 de marzo tuvo lugar su segunda edición celebrado en el Ilustre Colegio de la Abogacía de Madrid (ICAM).
Bonatti analiza en esta entrevista las conclusiones del Congreso de la asociación, que trató sobre la evolución de la eficacia en el Compliance, la certificación como ruta de supervisión y el impacto disruptivo de la Inteligencia Artificial, entre otros.
¿Cuál es la valoración de ASCOM del II Congreso ‘Compliance’ en Actividad Empresarial?
Estamos muy satisfechos. Es un congreso que se ha consolidado con elementos que considero de mucho valor. En primer lugar, el trabajo que ha hecho todo el grupo de actividad empresarial —el grupo de ASCOM que reúne a todos los profesionales que trabajan en grandes empresas y grupos multinacionales que han sido los que han propuesto el contenido—, han hecho el desarrollo estructural, los contenidos del Congreso, las mesas y las temáticas.
Y en segundo lugar, ese elemento catalizador que tienen estas congresos. Hemos tenido un público que eran responsables de cumplimiento de grandes empresas y grupos multinacionales.
Ha habido una asistencia de mucha calidad y además, en un momento que ese mismo día había varios eventos de ‘compliance’ en la ciudad y sin embargo tuvimos un lleno en la sala. La valoración es muy buena.
La eficacia fue el eje vertebrador del Congreso, se empezó hablando de ella y lo cerró también. ¿Cómo cree que se puede medir en una organización o demostrar que el modelo es realmente efectivo, siendo esto un intangible y que faltan indicadores de éxito?
La eficacia es un reto que es consustancial al mundo del ‘compliance’. Este campo ha vivido ha pasado por tres etapas.
En la primera etapa la preocupación era si teníamos un modelo o no teníamos un modelo. Desde que existe el ‘compliance’, la preocupación de las generaciones era ¿esto que hacemos tiene algún sentido? ¿Sirve? ¿Funciona? ¿Es útil para lo que hemos proyectado este modelo? La preocupación venía de si la eficacia de un modelo era adecuado a los estándares.
Tras esto, pasamos rápidamente a una segunda etapa, que es la etapa del aterrizaje de este modelo. Es decir, lo hemos implantado en el terreno de la realización y tenemos alguna forma de demostrar que se está aplicando. Y aquí es donde entramos un poco en el mundo de la primera visión de la certificación que tienen muchas empresas, de las auditorías, de las métricas, de los indicadores, de bajarlo al terreno.
Pero ahora, el mundo ha cambiado, sobre todo el COVID. Desde esa época hacia aquí el sector del ‘Compliance’ se ha complicado extraordinariamente: la función de ‘compliance’ ya no es penal y corrupción, sino que está implicada en infinidad de cosas dentro de la organización.
La preocupación se va trasladando cada vez más a que todos los personal de la organización apliquen esta forma de gestionar. Y ahí es donde entramos en esta tercera fase que estamos viviendo. la eficacia ya no son solo indicadores y métricas, sino que es ver cómo esos indicadores y métricas nos permiten tener la tranquilidad de que la organización ha entendido de qué estamos hablando y por lo tanto lo está aplicando en su día a día. Y esa es la transformación cultural.
Entonces, para nosotros en el Congreso es un indicador muy claro de la evolución del complejo y del contexto que vivimos. El hecho de combinar el concepto de eficacia con el de los tiempos cambiantes: hablamos de cómo ha cambiado la función de ‘compliance’ o de las diferentes cosas a través de las cuales podríamos haber enfocado esto. La que más nos gustó fue vamos a ver cómo afecta a la eficacia.
«Hacer el esfuerzo para que todo el mundo entienda que son unos aliados de negocio», esta es la clave de Bonatti para cambiar la percepción de ‘poli’ malo al resto de profesionales.
Comenzasteis el Congreso alertando de dos factores qué os afectan: los tiempos fluctuantes y la incertidumbre regulatoria, incluso se llegó a comentar de ‘arenas movedizas’. ¿Cómo se construye ese sistema fluido que sea capaz de pivotar rápidamente ante los cambios bruscos, la sanción internacional en la regulación y divergente sin perder la coherencia del modelo?
Esta es la gran pregunta. Intentamos como mínimo plantear y buscar algunas posibles soluciones. Aunque para mí la respuesta definitiva a esa pregunta no existe. Estaremos toda la vida buscando la la respuesta acertada, porque creo que hemos entrado en la etapa existencial del mundo del ‘compliance’.
En todas las jurisdicciones no se tiene la misma visión de la sostenibilidad, igualdad o de los derechos de las personas. Esto afecta a las empresas que trabajan en todas ellas.
La madurez del ‘Compliance’ va a hacer que también haya elementos comunes esenciales en todo el mundo, porque mientras exista una globalización de los mercados tiene que haber unas reglas comunes mínimas para que esos mercados funcionen.
Pero luego los matices en los que ha madurado la función, por ejemplo, en ámbitos como sostenibilidad, derechos humanos, pues la percepción será diferente y las empresas tendrán que reequilibrar.
Por lo tanto, vamos a movernos ya siempre en esas arenas movedizas. No creo que lleguemos a terreno sólido, sino que siempre vamos a estar con esta fluidez y por lo tanto la función de ‘compliance’. Tendremos que acostumbrarnos a movernos siempre en estos entornos movedizos.
¿Cómo conseguir que permee ese mensaje de que vosotros sois un aliado y no un poli malo?
Al final yo creo que una gran dosis de empatía y otra de asertividad. Y sobre todo hacer el esfuerzo para que todo el mundo entienda que son unos aliados de negocio. Somos unos aliados de todos los miembros de la organización, así podemos generar confiar en el ‘Compliance’.
Tenemos que conseguir que todos los profesionales de la organizanción entiendan que los ‘Compliance Officer’ somos el mejor medio para actuar conforme a los valores de la organización.
Somos un un elemento que está ahí para echarles una mano en todo momento y sobre todo cuando conciben una nueva línea de negocio o un nuevo proyecto… ese es el momento ideal para desde ahí irlos acompañando. Todo nuestro esfuerzo es muchísima paciencia.
Se ha alertado sobre el riesgo de las certificaciones «vacías» o el cumplimiento que se queda en un cajón. Ante un entorno de creciente investigación judicial a los «Compliance Officer», ¿cómo puede una organización demostrar que su sistema es una «evidencia real» de conducta ética y no solo una arquitectura documental guardada en el cajón?
Sobre la certificación hay dos visiones: la primera es la que señala la Fiscalía sobre la visión instrumental. Es decir, yo tengo una certificación, y si tengo algún problema presento la certificación máxima.
Eso es ridículo, porque la certificación lo único que hace es evaluar un periodo de tiempo cómo está funcionando tu modelo, pero no sabes lo que pasó respecto a un incidente concreto.
Pero hay una segunda vista: la que apuntaron Mayra y Marta en el Congreso: certificación es un punto de partida. Cuando tú decides certificar tu programa de ‘compliance’ decides casarte con una entidad de certificación y vas a estar conviviendo con esa entidad durante toda tu vida empresarial.
Si durante el año hay cambios importantes o hay una investigación penal, se lo tienes que reportar a la entidad de certificación porque si deciden hacer una auditoría y descubren lo que ha pasado te pueden retirar la certificación.
Su flujo continuo es el que te da la clave de por qué la certificación sirve para que no tengas un incidente, no porque lleves la certificación, sino porque habrás hecho un trabajo tal de recopilar evidencias cada año.
La certificación no es el papel que te exime de la responsabilidad. Es la ruta a través de la cual aseguras la eficacia de tu modelo, de tal forma que el día que alguien se salte las reglas y cometa un delito y se descubra, podrás llevar al juez todo el acervo de pruebas necesarias para demostrarle que en ese caso concreto tu modelo funcionaba. Esa es la diferencia.
Según Bonatti, la evolución del ‘Compliance’ ha pasado de una fase de diseño (tener el modelo) y otra de implementación (métricas y auditorías) a una tercera etapa centrada en la transformación cultural.
Otro de los temas tratados en el Congreso fue la Inteligencia Artificial (IA). ¿Choca la regulación de la IA con el sistema de ‘Compliance’?
Ese es uno de los ejemplos más claros de arenas movedizas. Esto para mí la sensación es que ya está impactando en todos los niveles de la organización. Yo creo que hay dos elementos que habrá que trabajar, uno cultural y otro más tecnológico.
El primero, establecer una política de un procedimiento de gestión de la IA,: unas reglas internas con mensajes en los que un modelo de gestión de compliance valga.
Esto fundamentalmente, tanto de estrategia de negocio y de estrategia de organización.
Para mí una cuestión es la IA, entendida como una herramienta que genera unos riesgos y que por tanto pase a un reglamento de IA que tenemos aprobado en Europa. Tenemos que aprobar una política unos procedimientos unas análisis de riesgos y que hacer una regulación del uso de la IA dentro de la organización y eso es un elemento clave. Esto es, por ejemplo lo que dijo Olga. Nosotros nos hemos limitado a hacer esto, pero esto lo hemos hecho nosotros.
El otro es el factor tecnológico. Eso depende de la estrategia de implementación de la IA, dentro las organizaciones que impactarán en muchos elementos que tienen que ver con la cultura de organización, arrastrar a ‘Compliance’ a tener su propia estrategia del uso de la IA como departamento, pero también a trabajar sin pactos que sobre los valores de la organización va a tener la implementación de la IA.
