Un sistema de gestión de compliance eficaz protege a las empresas frente a infracciones legales y daños reputacionales. Conozca cómo la mediana empresa construye un CMS según el IDW PS 980 y qué papel desempeñan el análisis de riesgos, la cultura de compliance y la protección de denunciantes.
Sistemas de gestión de compliance para la mediana empresa -- Diseño e implementación
El compliance dejó hace tiempo de ser un tema exclusivo de las grandes corporaciones. Las medianas empresas se enfrentan también cada vez más a exigencias regulatorias, riesgos de responsabilidad y amenazas reputacionales que requieren un enfoque estructurado. Un sistema de gestión de compliance (CMS) constituye la columna vertebral de una gobernanza corporativa responsable. Pero, ¿cómo construir un sistema así sin sobrecargar a una mediana empresa? Este artículo ofrece una guía orientada a la práctica.
¿Por qué necesita la mediana empresa un CMS?
Riesgos de responsabilidad de la dirección
La responsabilidad personal de los administradores se ha intensificado considerablemente en los últimos años. Conforme al § 43 GmbHG, el administrador debe aplicar la diligencia de un empresario prudente. Un incumplimiento de compliance en la empresa puede constituir una infracción de los deberes de organización y generar responsabilidad personal, incluso cuando el administrador no haya cometido personalmente la infracción.
La jurisprudencia ha establecido que quien no implementa un sistema de vigilancia adecuado actúa de forma contraria a sus obligaciones. El Tribunal Regional de Múnich I resolvió ya en 2013 que la implantación de un sistema de compliance forma parte de los deberes de organización de la dirección.
Desarrollos regulatorios
Las exigencias regulatorias aumentan continuamente:
- Ley de diligencia debida en la cadena de suministro (LkSG): desde 2023 para empresas con 1.000 o más empleados, indirectamente también para sus proveedores
- Ley de protección de denunciantes (HinSchG): desde julio de 2023, las empresas con 50 o más empleados deben establecer canales internos de denuncia
- Directiva europea sobre denunciantes: refuerza la protección de los denunciantes a nivel europeo
- Ley de sanciones a asociaciones (prevista): podría en el futuro sancionar directamente a las empresas en el ámbito penal
- Ley contra el blanqueo de capitales (GwG): requisitos reforzados de análisis de riesgos y medidas de seguridad internas
Ventajas competitivas
Un CMS profesional ofrece también ventajas económicas:
- Evitación de multas y reclamaciones de daños
- Mejores condiciones en la obtención de créditos y seguros
- Atractivo como socio comercial para corporaciones que auditan su cadena de suministro
- Fortalecimiento de la confianza de clientes, empleados y público
El IDW PS 980 como marco de referencia
Visión general
La norma de auditoría IDW PS 980 del Instituto de Auditores de Alemania define los elementos fundamentales reconocidos de un sistema de gestión de compliance. Aunque no es una ley, se ha consolidado como el estándar de facto para CMS en Alemania. Un CMS según el IDW PS 980 comprende siete elementos fundamentales:
1. Cultura de compliance
La cultura de compliance constituye la base de todo CMS. Abarca:
- Tone from the top: la dirección de la empresa debe ejemplificar el compliance y comunicarlo como parte integral de la gobernanza
- Valores y código de conducta: un código de conducta escrito define los valores fundamentales y las expectativas de comportamiento
- Aplicación consecuente: las infracciones deben ser sancionadas sin excepción, con independencia del nivel jerárquico del infractor
En la práctica, muchos CMS no fracasan por la falta de procesos, sino por una cultura de compliance deficiente. Cuando la dirección considera el compliance como una mera obligación fastidiosa, todo el sistema se convierte en una fachada.
2. Objetivos de compliance
Los objetivos de compliance definen el alcance del CMS:
- ¿Qué áreas jurídicas son especialmente relevantes para la empresa?
- ¿Qué riesgos deben abordarse de forma prioritaria?
- ¿Qué grado de madurez se pretende alcanzar?
3. Riesgos de compliance
El análisis de riesgos es la pieza central de todo CMS. Comprende:
- Identificación de riesgos: registro sistemático de todas las áreas de riesgo relevantes
- Evaluación de riesgos: probabilidad de ocurrencia y gravedad del impacto
- Priorización de riesgos: determinación de qué medidas se implementan en primer lugar
4. Programa de compliance
El programa de compliance define las medidas concretas de gestión de riesgos:
- Directrices y políticas: instrucciones escritas para los empleados
- Procedimientos de aprobación: procesos de validación definidos para operaciones con riesgo
- Formación: formaciones periódicas en materia de compliance para todos los empleados
- Procesos de due diligence: verificación de socios comerciales en cuanto a riesgos de compliance
5. Organización de compliance
El anclaje organizativo es determinante para la eficacia del CMS:
- Responsable de compliance: un empleado cualificado responsable de la implementación operativa
- Líneas de reporte: acceso directo a la dirección e informes periódicos
- Independencia: el responsable de compliance no debe estar sujeto a instrucciones en su función
- Recursos: dotación adecuada de personal y medios financieros
6. Comunicación de compliance
La comunicación abarca dos dimensiones: la comunicación interna (difusión del CMS, formaciones, sistema de denuncias) y la comunicación externa (requisitos para socios comerciales, transparencia ante las autoridades).
7. Vigilancia y mejora del compliance
El CMS debe ser continuamente vigilado y mejorado: auditorías periódicas, indicadores de rendimiento, lecciones aprendidas y actualización anual del análisis de riesgos.
La protección de denunciantes como pilar central
La Ley de protección de denunciantes (HinSchG)
Desde el 17 de diciembre de 2023, todas las empresas con 50 o más empleados deben disponer de una oficina interna de denuncias. Los requisitos esenciales son:
- Establecimiento de un canal interno de denuncias: las denuncias deben ser posibles de forma oral, escrita o presencial
- Confidencialidad: la identidad del denunciante debe ser protegida
- Respuesta: en un plazo de tres meses, el denunciante debe recibir información sobre las medidas adoptadas
- Protección contra represalias: los denunciantes no deben sufrir perjuicios
Implementación práctica
Para las medianas empresas se recomiendan los siguientes enfoques:
- Canales de denuncia digitales: las plataformas web permiten denuncias anónimas
- Defensor externo: un abogado externo como persona de confianza puede asumir la función de la oficina interna de denuncias
- Procesos claros: definición de responsabilidades de tratamiento y medidas a adoptar
Implementación en la práctica: un modelo por fases
- Fase 1 (2-3 meses): inventario y análisis de riesgos
- Fase 2 (3-6 meses): diseño y construcción del CMS
- Fase 3 (3-4 meses): despliegue y formación
- Fase 4 (continua): operación y mejora continua
Errores frecuentes en la implementación del CMS
- El CMS como tigre de papel: el sistema existe sobre el papel pero no se vive en el día a día
- Sobredimensionamiento: copiar el CMS de una gran corporación sobrecarga los recursos disponibles
- Falta de integración: el compliance no debe ser un cuerpo extraño en la empresa
- Descuido de la cultura: dictar directrices sin trabajar la dimensión cultural conduce al fracaso
Costes y rentabilidad
Costes típicos de un CMS para medianas empresas
- Implementación inicial: de 30.000 a 100.000 euros (asesoramiento externo, licencias de software, formación)
- Operación continua: de 15.000 a 50.000 euros anuales (responsable de compliance a tiempo parcial, formaciones, software, auditorías)
- Sistema de denuncias: de 3.000 a 10.000 euros anuales para soluciones web
Retorno de la inversión
Frente a ello están los costes potenciales de infracciones de compliance:
- Multas (por ejemplo, RGPD: hasta 20 millones de euros o el 4 por ciento de la facturación anual)
- Reclamaciones de daños y perjuicios
- Penalizaciones contractuales
- Daños reputacionales y pérdida de clientes
- Responsabilidad personal de la dirección
Una sola infracción grave de compliance puede superar con creces los costes de un CMS.
Conclusión
Un sistema de gestión de compliance no es una burocracia excesiva para las medianas empresas, sino una inversión necesaria en la viabilidad futura de la empresa. La clave del éxito reside en un enfoque pragmático, adaptado a los riesgos específicos de la empresa, respaldado por la dirección y vivido en el día a día.
Las exigencias regulatorias seguirán aumentando. Las empresas que inviertan ahora en un CMS eficaz no solo crean seguridad jurídica, sino que se posicionan también como socios de confianza en el tráfico mercantil.
En compleneo acompañamos a las medianas empresas en el diseño e implementación de sistemas de gestión de compliance a medida. Desde el análisis de riesgos, pasando por la elaboración del código de conducta, hasta la implantación del sistema de denuncias, le asesoramos de forma práctica y orientada a resultados. Consúltenos.
