Cumplimiento normativo

Cumplimiento normativo, también conocido como compliance,^[1] es el conjunto de políticas, procedimientos y acciones que una organización lleva a cabo para asegurar que sus actividades se ajusten a las leyes, regulaciones, normas y estándares éticos aplicables en su ámbito de actuación.^[2] El objetivo principal del cumplimiento normativo es prevenir y minimizar los riesgos legales, financieros y reputacionales que pueden derivar de infracciones o incumplimientos normativos.

Importancia del cumplimiento normativo

El cumplimiento normativo es esencial para la sostenibilidad y éxito de cualquier organización, ya que fomenta una cultura de integridad y transparencia en la empresa, lo que mejora la imagen y la reputación corporativa ante clientes, proveedores, empleados y autoridades.^[3] Además, previene sanciones legales, multas y penas derivadas del incumplimiento de leyes y regulaciones, como la Ley de Prácticas Corruptas en el Extranjero (FCPA) en Estados Unidos^[4] o la Ley de Soborno en el Reino Unido (UK Bribery Act).^[5]

Estándares internacionales de cumplimiento

Existen estándares internacionales que proporcionan directrices para el diseño e implementación de sistemas de gestión de cumplimiento normativo, como la norma ISO 37001:2016^[6] (Sistema de Gestión Antisoborno), la norma ISO 37301:2021^[7] (Sistema de Gestión de Compliance) y la ISO 37002^[8] (Sistema de Gestión de Denuncias Internas).

ISO 37001:2016

La norma ISO 37001:2016 establece los requisitos y directrices para implementar un sistema de gestión antisoborno, con el objetivo de prevenir, detectar y abordar el soborno en la organización.^[9] Esta norma es aplicable a organizaciones de cualquier tamaño, sector o jurisdicción.

ISO 37301:2021

La norma ISO 37301:2021 reemplaza a la ISO 19600:2014 y establece los requisitos para implementar un sistema de gestión de compliance, abarcando aspectos como la identificación y evaluación de riesgos de incumplimiento, la implementación de políticas y procedimientos, y la formación y concienciación de los empleados^[3].

ISO 37002:2021

La norma ISO 37002, proporciona directrices para la implementación y gestión de sistemas de denuncias internas en las organizaciones.^[10] Esta norma aborda aspectos clave como la confidencialidad, el anonimato y la protección del denunciante, facilitando así la detección y resolución de incumplimientos normativos.

Ámbitos de aplicación del cumplimiento normativo

El cumplimiento normativo es aplicable a diversos ámbitos dentro de una organización, incluyendo, entre otros:

• Protección de datos y privacidad: Garantiza el cumplimiento de leyes y regulaciones relacionadas con la protección de datos personales y la privacidad, como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea o la Ley de Protección de Datos Personales (LPDP)^[11] en otros países.
• Antisoborno y anticorrupción: Implementa medidas para prevenir, detectar y sancionar prácticas de soborno y corrupción, en línea con leyes como la Ley de Prácticas Corruptas en el Extranjero (FCPA) en Estados Unidos o la Ley de Soborno en el Reino Unido.
• Derecho de la competencia y antimonopolio: Asegura que la empresa cumple con las leyes de competencia y no participa en prácticas anticompetitivas como cárteles, abuso de posición dominante o colusión.
• Comercio internacional y sanciones: Verifica que la empresa respeta las leyes y regulaciones en materia de comercio internacional, incluyendo sanciones económicas, embargos y restricciones a la exportación.

Rol del oficial de cumplimiento normativo

El oficial de cumplimiento normativo, también conocido como compliance officer, es el profesional encargado de diseñar, implementar y supervisar el programa de cumplimiento normativo en la organización. Entre sus responsabilidades se encuentran:

• Establecer y mantener el marco de cumplimiento normativo en la empresa.
• Coordinar y realizar evaluaciones de riesgos de incumplimiento.
• Desarrollar y actualizar políticas, procedimientos y controles internos.
• Implementar y gestionar canales de denuncia.
• Investigar y abordar casos de incumplimiento normativo.
• Capacitar y concienciar a los empleados y directivos en materia de cumplimiento y ética empresarial.
• Monitorear y reportar el desempeño y eficacia del programa de cumplimiento normativo.

Críticas y limitaciones

A pesar de su importancia, el cumplimiento normativo también enfrenta críticas y limitaciones. Algunos argumentan que el enfoque en cumplir con leyes y regulaciones específicas puede generar una actitud de "marcar casillas" en lugar de promover una verdadera cultura ética.^[12] Además, las normas internacionales de cumplimiento no siempre se adaptan a las particularidades de cada país o sector, lo que puede generar dificultades en su implementación.^[13] Por último, la efectividad del cumplimiento normativo puede verse limitada por la falta de recursos, capacitación y apoyo de la alta dirección.^[14]

A pesar de estas críticas y limitaciones, el cumplimiento normativo sigue siendo un componente clave en la gestión empresarial moderna. Las organizaciones deben abordar estos desafíos mediante la adaptación de los estándares y directrices a sus contextos específicos, la promoción de una cultura ética genuina y la asignación de recursos adecuados para garantizar la efectividad de sus programas de cumplimiento.

Requisitos normativos en los negocios

La conformidad con los requisitos normativos describe el objetivo al que aspiran las organizaciones, buscando asegurar el conocimiento y la adopción de medidas para cumplir con las leyes, políticas y normativas correspondientes. Debido al aumento en el número de regulaciones y la necesidad de transparencia en las actividades, las organizaciones recurren cada vez más al uso de conjuntos consolidados y coordinados de controles de cumplimiento.^[15][16][17] Este enfoque se utiliza para garantizar que se cumplan todos los requisitos necesarios de gestión sin duplicar esfuerzos y gastos innecesarios.

La regulación y acreditación de las organizaciones varían según el sector: por ejemplo, PCI-DSS y GLBA en el sector financiero, FISMA para agencias federales de EE. UU., HACCP para la industria alimentaria y de bebidas, así como la Comisión Unificada y HIPAA en el sector de la salud. En algunos casos, otros sistemas de cumplimiento (por ejemplo, COBIT) o incluso normas (NIST) guían cómo cumplir con los requisitos normativos.

El cumplimiento de los requisitos normativos empresariales implica que la empresa observe todas las leyes, regulaciones, normas y códigos éticos aplicables. Esto incluye obligaciones a nivel federal, regional y local.

El incumplimiento de los requisitos, incluso involuntario, puede ocasionar:

• Multas costosas o auditorías
• Demandas judiciales o cierre del negocio
• Pérdida de licencias o contratos
• Daño a la reputación de la marca^[18]

Algunas organizaciones almacenan datos sobre el cumplimiento (todos los datos pertenecientes o relacionados con la empresa, así como datos exigidos por la legislación que pueden usarse para implementar o verificar el cumplimiento) en un repositorio separado para cumplir los requisitos de reporte.^[19] Se implementa cada vez más software de cumplimiento para ayudar a las empresas a gestionar eficazmente sus datos de conformidad. Este repositorio puede incluir cálculos, transferencia de datos y registros de auditoría.

El almacenamiento de datos es parte del cumplimiento normativo, lo cual en muchos casos se vuelve un desafío.^[20][21] La seguridad proporcionada por el cumplimiento de normas sectoriales puede parecer contradictoria con la preservación de la privacidad de los usuarios.^[22] Las leyes y regulaciones sobre almacenamiento de datos exigen a los propietarios de datos y otros proveedores de servicios guardar registros extensos sobre las actividades de los usuarios más allá del período necesario para el funcionamiento normal del negocio. Los defensores de los derechos a la privacidad cuestionan estos requerimientos.