La ‘diligencia debida’ se convierte en uno de los pilares del ‘compliance’ actual, según un análisis de Ejaso

El área de compliance de Ejaso ha organizado en Casa Club una jornada de trabajo que ha contado con la asistencia de cerca de cincuenta profesionales provenientes de asesorías jurídicas internas y de departamentos de compliance de empresas, pertenecientes —en su mayoría— a sectores regulados.

Los ponentes fueron César Zárate, socio del área de compliance del despacho, y Marta Guzmán, asociada principal; ambos con una amplia experiencia en la implementación y gestión de sistemas de cumplimiento en empresas nacionales e internacionales.

Antes de la celebración del evento, el primero desde que Zárate se incorporó a Ejaso para dirigir esta área, el este despacho lanzó una encuesta entre los inscritos para saber cuál era el reto de los abordados en el evento que mayor interés suscitaba. El tema más votado fue “La diligencia debida como pilar fundamental en los sistemas de compliance”.

En este sentido, César Zárate manifestó su sorpresa con respecto al resultado, toda vez que la directiva sobre ‘diligencia debida’ establece una serie de obligaciones que no serán exigibles hasta dentro de varios años. Sin embargo, compartió con los asistentes que el concepto de ‘diligencia debida’ en el ámbito de compliance lleva ya varios años impregnando de forma integral todo el sistema de cumplimiento, y que estas normas nos confirman que el camino es precisamente ese.

Los ponentes compartieron, con respecto a cada reto, varios ejemplos de controles específicos, así como su régimen sancionador y próximos pasos. Después de la exposición llegó el turno de preguntas, que versaron en su mayoría sobre la Autoridad Independiente de Protección al Informe y las sanciones que podrían ser aplicables ante investigaciones internas poco profesionales o ante posibles represalias.

La exposición de estos juristas se prolongó durante algo más de una hora en la que —conocedores de que no podrían profundizar en el contenido de las regulaciones tratadas— abordaron aspectos que, de una manera o de otra, unían a todas ellas, como lo es el concepto de ‘diligencia debida’ o la implicación del consejo en los sistemas de cumplimiento.

Durante sus conferencias, ambos profesionales comentaron la importancia de que los sistemas de compliance amplíen su ámbito de aplicación subjetiva a toda o buena parte de la cadena de valor de las empresas. En el transcurso de esta exposición, también identificaron los retos claves para el próximo año en materia de cumplimiento. Retos que César Zárate explica a Economist & Jurist con más detalle.

Zárate anima a las empresas a que definan un plan de acción realista y flexible para acometer los retos que se avecinan. (Imagen: Ejaso)

La importancia de la Autoridad Independiente

Antes de ello, realiza un balance de este 2024 en materia de compliance, expresando que “ha sido un año muy marcado por el canal de denuncias y la normativa que lo regula. Al final, acabamos el año con la publicación del Estatuto de la Autoridad Independiente de Protección al Informante. Eso supone que tendremos una autoridad que controlará todo esto. Precisamente, este es uno de los cinco retos detectados por nuestro despacho de cara al próximo año”.

En este contexto, cree que “lo más importante es que se tramiten de forma correcta las denuncias que lleguen a ese canal, evitando cualquier infracción que se genere. Ahora estaremos controlados, no solo de la actividad que se haga, sino incluso de las investigaciones internas que se hagan. Si no se hace bien, tendremos problemas y podrán denunciarnos ante esta Autoridad Independiente por distintas circunstancias que surjan. Ahora habrá que ver cómo se constituye dicha Autoridad y quién asume esta responsabilidad”.

Otra cuestión que señala este experto es que “se ha notado una mayor implicación de los Consejos de Administración en las estrategias de compliance. Todo viene por las nuevas directivas que proceden de Europa; sobre ‘diligencia debida’, la directiva NIS o el Reglamento Dora vienen a exigir a estos Consejos que se involucren más en estos temas. Ahora parece que se percibe esa mayor participación en los sistemas de compliance, lo que hará que doten de más recursos y medios a sus compliance officers”.

Para este jurista, el compliance penal ha evolucionado al concepto de conducta empresarial responsable, «donde se habla de governance, anticorrupción y otros focos como son los derechos humanos, que se separan de otros elementos relacionados con lo digital y la ciberseguridad».

En cuanto a estos detectados, el primero tiene que ver con la ‘diligencia debida’, respaldado en la Directiva CS3D (corporate sustainability due dilligence). Se trata de un pilar clave de los sistemas de cumplimiento normativo, por lo que «es fundamental controlar la cadena de suministro y que tus proveedores y partners tengan similares sistemas de cumplimiento normativo».

Al mismo tiempo, en el entorno internacional hay una nueva directiva que estará traspuesta en mayo del 2025. Esta directiva “va a incorporar un nuevo delito autónomo relacionado con las medidas receptivas de la Unión Europea (UE). En este escenario, habrá que fijar controles para revisar a esos terceros, y quienes tengan más riegos establecerán más medidas, como puede ser la firma de cláusulas en los contratos, de compromisos o revisiones periódicas en los procesos de compra y ventas de las compañías”.

Desde su punto de vista, “estos cinco retos tienen muchas partes comunes y una precisamente es ésta, como ampliar el perímetro a toda la cadena de valor. Hay, por tanto, que definir muy bien la cadena de valor de todas las compañías y establecer esos controles. En blanqueo también se habla que no solo serán los clientes, sino que también el nuevo Reglamento que se aprobará también habla de proveedores en otros casos. Al final se trata de establecer estos criterios basados en riesgos”, comenta.

En cuanto al segundo elemento que preocupa al sector, como es la Autoridad Independiente de Protección al Informante, este experto que ya nos había adelantado algunos conceptos, añade que “habrá que ver si se centra más en el sector público o en el privado. Son incertidumbres que preocupan a los empresarios para saber si será un regulador más pendiente o no de la empresa privada. Tiene unas competencias muy amplias que veremos cómo las pone en marcha en el futuro”.

la otra ponente Marta Guzmán también ahondo en la necesidad de medir las actividades que se hagan para poder mejorar

Sobre el tercer reto basado en las medidas restrictivas de la UE y otras sanciones financieras de carácter internacional en al actual contexto geopolítico, Zárate comenta que “esto tiene que ver con los conflictos existentes entre Rusia y Ucrania y el papel de Estados Unidos (EE. UU.), que intenta hacer bloqueo a determinados países. Ellos lo argumentan para lograr la paz mundial y el respeto de los derechos humanos. De esa forma bloquean la entrada de fondos de Rusia a nuestro sistema financiero”.

En este contexto, este jurista recuerda que “obligan a las empresas a que pongan esos controles para evitar que este tipo de países como Rusia haga negocio fuera de sus fronteras. Esta cuestión estaba antes regulada por la Ley de Contrabando, y ahora está regulado con el comercio de bienes, a través de la fronteras, pero es que ahora se ha ampliado mucho este ámbito de aplicación. Son controles adiciones que hay que interponer”.

Los criterios ESG son claves

El cuarto reto para la comunidad de expertos en cumplimiento normativo —detectado por los profesionales del área de compliance de Ejaso— es el llamado reporting de indicadores ESG. El nuevo Proyecto de Ley que traspone la Directiva CSRD. “Estos principios han llegado para quedarse al entorno empresarial y supone que hagan un ejercicio de transparencia. Ahora no solo es la exigencia, sino también darle publicidad a cuestiones relacionadas con la igualdad, el medioambiente, el gobierno corporativo o la anticorrupción”.

Desde su punto de vista, “la parte reputacional de los indicadores ESG va a ser muy importante en la actualidad. Es una palanca importante del buen gobierno. Todo lo que se haga alrededor de estos indicadores se va a reflejar con posterioridad en tus estados financieros o en el propio informe de sostenibilidad, que ahora se llama de esta manera. Al mismo tiempo, habrá que publicar información sobre la cadena de suministro o saques un reporting completo. Ahora tenemos unos indicadores únicos para toda Europa”.

El quinto reto que explica César Zárate, socio responsable del área de compliance de Ejaso, tiene que ver con «las nuevas obligaciones y sujetos obligados en materia de Blanqueo de Capitales y Financiación del Terrorismo. La Autoridad Europea y su impacto en el mercado español. En este escenario los criptoactivos están en primer lugar como refugio de operaciones de blanqueo, aunque no hay que criminalizar a todo el sector. Ahora viene la regulación y los controles para mitigar estas malas prácticas».

En su opinión, “hay que darse cuenta de que muchos organismos internacionales son tenedores de criptoactivos. Una forma de pago que también ha venido para quedarse en los próximos años. Es el momento de poner los controles necesarios, pero lo primero es que habrá que entender bien lo que es este negocio digital emergente”.

Como colofón final, este experto es consciente de que la evolución del compliance officer lo hace hacia una estructura colegiada que suple en muchos casos al profesional que realiza el trabajo de forma individual: “Se buscan mecanismos para que toda la segunda línea de defensa de las empresas que se dedican a funciones de compliance sean capaces de entenderse y coordinar mejor su trabajo para evitar que se duplique el mismo”.

Sobre estos retos, nuestro interlocutor, abogado con notable experiencia en materia de cumplimiento normativo, ofrece algunas recomendaciones a los lectores, vinculados al compliance, que estén leyendo esta crónica donde hablamos de los desafíos para el próximo 2025. “Es fundamental establecer un plan de acción coherente con tus medios. Se trata de ir avanzando poco a poco con prioridades que se establezcan que se cumplan y se puedan medir. Debe ser un plan realista y flexible que se adapte a cada momento de la empresa”, concluye.