La historia del cumplimiento responde a los distintos esfuerzos de los reguladores por garantizar que las empresas se gestionan conforme a las leyes vigentes, y generalmente los saltos cualitativos de madurez en los modelos vienen precedidos de una crisis global; como comprobaremos a continuación.
Cumplimiento 1.0 – (1977 – 2000)
Todos los analistas coinciden en que el concepto de cumplimiento nace en EEUU a consecuencia de la investigación criminal del Watergate, y se cimenta cuando en 1977 el presidente Carter firma la Foreign Corrupt Practices Act (FCPA), donde ya se solicita que las empresas deben tener un “sistema interno de controles contables”.
Esto supone el nacimiento de sistemas de control interno, auditorías, y el primer ladrillo en el control regulatorio sobre las empresas. Es el conocido como el Cumplimiento 1.0.
Cumplimiento 2.0 – (2000 – 2010)
20 años más tarde, los escándalos del año 2000 (Enron, que se llevó por delante a Andersen, pero también en Europa Parmalat, entre otros), provocaron, además de una crisis mundial, una crisis de confianza en el sistema capitalista que tuvo como consecuencia la aprobación de la Sarbanes-Oxley Act (SOX), donde se obliga a demostrar el cumplimiento a las entidades que cotizan en bolsa americana. La SOX ha sido la gran referencia para el resto de los reguladores mundiales, que han ido progresivamente incorporando normas parecidas en sus ámbitos.
Es el denominado Cumplimiento 2.0, basado en checklist y donde el Cumplimiento se comienza a asociar a los procesos de negocio (no sólo contabilidad). En paralelo surgen otras normas, como la de privacidad (LOPD), basada en checklists también.
Las compañías empiezan a notar cada vez más normativa que les aplica, si bien no se suele tomar en serio salvo en empresas cotizadas o internacionales. Es la época del “cumplimiento low-cost”, donde los empresarios buscaban “cumplir el expediente” al mínimo coste posible.
Cumplimiento 3.0 – (2010 – 2020)
Nuevamente, será otra crisis, bancaria y de deuda soberana a raíz de prácticas poco éticas en el sector financiero y estallido de la burbuja inmobiliaria, la que provocará una nueva revolución. En esta ocasión, aparecen múltiples normas y regulaciones sobre el sector financiero (tests de estrés, solvencia, Basilea, etc.…), pero sobre todo la reforma del código penal del 2010, que por primera vez, puede llegar a responsabilizar penalmente a las empresas de las conductas ilícitas cometidas por sus empleados que las beneficien, y que obliga a demostrar la existencia de controles internos al respecto.
Es el denominado Cumplimiento 3.0, donde las empresas se encuentran obligadas a pasar de un sistema de “checklist”, a un sistema de cumplimiento, y se consolida la figura del “compliance officer” que demuestra que esta disciplina comienza a tomarse en serio. Es el momento del auge de herramientas GRC, de implantar “canales de denuncias”, “códigos éticos” y, en general, procedimientos internos de cumplimiento.
Sin embargo, la legislación ha continuado evolucionando, poniendo el último clavo en la tumba de los “checklists” con reformas orientadas a que el cumplimiento se base en la adecuada gestión de riesgos, integrada en los procesos de negocio.
Así ocurrió con la reforma del código penal de 2015 o la de privacidad en 2018 donde el RGPD, y se ha ido ampliando en los últimos años de forma exponencial, extendiendo el cumplimiento legal en las relaciones con proveedores (y a la inversa obligando a la empresa a demostrar su cumplimiento a sus clientes), información no financiera, el auge de la Responsabilidad Social Corporativa, gestión de impuestos, y un largo etcétera.
Cumplimiento 4.01 – (2020 – Actualidad)
La crisis de la Covid, pandemia de impacto mundial y de repercusiones sanitarias y económicas lamentablemente todavía por cuantificar completamente, es el principal motor de la última revolución, provocando:
- Recortes presupuestarios relevantes en todas las áreas de la organización, incluyendo también el cumplimiento, cuando el riesgo de incumplimiento se mantiene o incluso aumenta debido al entorno más hostil de la empresa.
- Nuevos riesgos a tener en cuenta; de ciberseguridad, contractuales, laborales, de privacidad y especialmente de continuidad de negocio.
- Se instala una incertidumbre sanitaria y económica, donde las áreas de negocio pueden tomar decisiones sin tener en cuenta el cumplimiento.
En consecuencia, las áreas de cumplimiento han constatado que sus mapas de riesgos anteriores y sus herramientas GRC no estaban preparados ni para la pandemia ni para la incertidumbre posterior, principalmente porque se basan en reportar el pasado pero no en adaptarse a los retos presentes y futuros.
El Cumplimiento 4.02 que viene se basa en automatizar la gestión del conocimiento, al igual que la Industria 4.0, cuya revolución consiste en la automatización de los procesos industriales.
¿El futuro?
El regulador, cada vez más, tenderá a monitorizar las empresas de forma continua, casi en tiempo real. En el sector privado ocurrirá otro tanto, especialmente en las exigencias de un clientes a sus proveedores en la cadena, y en la gestión de seguros.
El Cumplimiento 4.03 llegará a su madurez cuando una empresa tenga su sistema integrado de cumplimiento4 y lo comparta de forma segura, transparente y proactiva con el regulador, sus acreedores, sus aseguradores y sus clientes.