Ferrovial comenzó hace tres años a desarrollar su modelo de cumplimiento. Hoy cuenta con los certificados AENOR para su sistema de gestión de compliance penal y antisoborno. Andrés González, Gerente de Riesgos y Cumplimiento, explica cómo consiguieron el gran reto de definir un sistema homogéneo para las cuatro áreas de negocio, que cuenta con el respaldo e impulso de la dirección de la compañía.
Fotografías: José Antonio Rojo
Ferrovial acaba de recibir las certificaciones de compliance penal y antisoborno. ¿Qué motivó a la organización a implantar estos referenciales?
Después de más de dos años trabajando con nuestro modelo de cumplimiento, diseñado tomando como referencia la ISO 19600, entendíamos que estábamos preparados para que un experto independiente en la materia validara si el diseño del modelo y su funcionamiento hasta la fecha era el idóneo de acuerdo con los mejores estándares nacionales e internacionales o, por el contrario, debíamos hacer ajustes al mismo.
En 2015, cuando el consejo de administración de Ferrovial crea la Dirección de cumplimiento y le encarga desarrollar un modelo de cumplimiento y de prevención del delito, en España las empresas no teníamos muy claro cómo enfocarlo, había cierta confusión en el mercado al respecto, tanto en las empresas como en los consultores y despachos. Por ello queríamos tener la validación de un experto independiente de reconocido prestigio.
Una segunda motivación fue la demanda creciente de nuestros stakeholders, tanto nacionales como internacionales, y me refiero a clientes, socios de negocio, financiadores y otras partes interesadas, que nos demandan que de alguna manera demostremos o acreditemos que tenemos un modelo eficaz para prevenir el delito. Y consideramos que la mejor forma de demostrarlo era apostar por la certificación.
Dada la dimensión de su organización, ¿qué retos y fortalezas se han encontrado a la hora de implantar y certificar estos referenciales?
En una empresa multinacional y multiactividad como la nuestra, donde tenemos cuatro grandes áreas de actividad -servicios, autopistas, construcción y aeropuertos- y en cada una de ellas diferentes formas de proceder por la propia naturaleza de los negocios, el principal reto fue diseñar un modelo de cumplimiento común y homogéneo para toda la compañía.
El modelo tenía que ser válido para toda la organización, respetar las características y especificidades de cada área de negocio y aprovechar a su vez los sistemas de control ya existentes en la compañía. Porque cumplimiento, como tal, es nuevo como modelo o sistema, pero la empresa ya disponía de herramientas de control destinadas a que sus actividades de negocio se ejecutaran cumpliendo con la normativa que le era de aplicación, por lo tanto, ya existían sistemas de control destinados al cumplimiento. El reto fue aprovechar el trabajo existente, integrarlo en un sistema, ponerlo en marcha y que toda la organización entendiera que era necesario para la compañía.
Una vez conseguido el reto de tener un modelo de cumplimiento homogéneo para toda la compañía surge la principal fortaleza del mismo, alinear a toda la organización con los objetivos de cumplimiento definidos por la Dirección de la Compañía y que éstos sean considerados de forma natural en los procesos de negocio que, al fin y al cabo, es la mejor forma de conseguir un sistema eficaz.
"El sistema de gestión antisoborno está integrado en el sistema de compliance penal, porque entendíamos que no había otra forma de abordarlo si la empresa quería de verdad ser eficaz y eficiente en la prevención del delito"
¿Cómo conviven los sistemas de gestión de compliance penal y antisoborno, están integrados?
El sistema de gestión antisoborno está integrado en el sistema de compliance penal, porque entendíamos que no había otra forma de abordarlo si la empresa quería de verdad ser eficaz y eficiente en la prevención del delito.
Los componentes de ambos sistemas son comunes, desde la identificación de las actividades de la compañía en las que pueden darse el delito, la evaluación de los riesgos y controles asociados, los programas de formación, hasta los procesos de diligencia debida de terceras partes.
Cuando revisamos y actualizamos el modelo de prevención de delitos, y lo actualizamos anualmente, estamos también revisando y actualizando el modelo antisoborno. Puesto que tenemos que ser eficaces y eficientes apostamos por esta fórmula, que es la más adecuada desde nuestro punto de vista.
¿Cuáles son a su juicio las claves para una correcta implantación de un sistema de gestión?
La más importante, desde mi punto de vista, es adaptar el sistema de gestión a las peculiaridades y especificidades de la organización. No existen dos organizaciones iguales, cada organización dispone de procesos de decisión y de gestión específicos, incluso dentro de la misma organización pueden diferir los procesos dependiendo de la naturaleza de las actividades que se aborden. Por ello, la clave es adaptar el sistema a las necesidades y características de la compañía.
Los modelos de prevención son fáciles de entender desde un punto de vista teórico y fáciles de formalizar, lo difícil y laborioso es llevarlo a la práctica en las organizaciones empresariales, de forma que estos formen parte de los procesos de toma de decisiones.
El cumplimiento debe estar integrado en los procesos de negocio, si es un proceso paralelo ajeno a la realidad empresarial se convierte en lo que los estadounidenses denominan “paper program”, es decir, programas que solo existen en el papel.
No es necesario reinventar la rueda. Hay que identificar y aprovechar los sistemas de control que existen en la empresa, realizar los ajustes que sean necesarios estableciendo nuevos controles e integrarlos en un marco común. De esta forma los empleados lo hacen suyo, lo entienden y participan en él de forma natural. Y para todo ello es fundamental conocer bien la compañía, el negocio y a las personas.
¿Y para consolidar una cultura ética y de cumplimiento, cuáles cree que son las claves?
La más importante es el compromiso firme de la Dirección de la compañía con la ética y la integridad en la gestión empresarial. Que toda la organización entienda que el cumplimiento y la prevención del delito es un objetivo de negocio más que hay que conseguir, y que no es una moda del mercado o una demanda más de los stakeholders que hay que satisfacer.
También es importante que la Dirección trasmita a la organización, de forma clara e inequívoca, este compromiso a través de su actuación profesional. Nos corresponde posteriormente a la función de cumplimiento, junto con otras áreas de la organización, poner en marcha los procesos de evaluación, formación y concienciación necesarios para trasmitir a todos los directivos y empleados los valores de la ética y del cumplimiento normativo.
En nuestro caso, en los cursos de formación incluimos mensajes de la dirección en los que se destaca la importancia de un comportamiento ético, honesto, y el deber de cumplir con la legislación.
"No existen dos organizaciones iguales, por ello los sistemas de gestión deben adaptarse a las necesidades y especificidades de cada compañía. Para definir el modelo es fundamental conocer bien a la organización y su negocio"
"El responsable de cumplimiento debe tener una función multidisciplinar, que abarque capacidades técnicas, normativas y económicas"
La formación, por lo tanto, tiene un papel muy relevante
Es fundamental. En los últimos años hemos lanzado programas de formación en los valores de integridad, honestidad y trasparencia de la empresa, y cursos específicos de prevención del delito a colectivos con mayor exposición al riesgo. No se concibe un Modelo de Prevención sin programas de formación y concienciación periódicos.
¿Cómo está estructurada la función de cumplimiento?
La función de cumplimiento depende de la Comisión de Auditoría y Control, que es una Comisión asesora del Consejo de Administración. Nosotros reportamos a la Comisión de Auditoría y al Consejo, informando anualmente sobre la marcha del modelo, la actualización de los mapas de riesgo penal, el resultado de la evaluación de las actividades de control, si se han detectado ineficiencias y cuáles son los planes para remediarlas, así como las nuevas medidas de control incorporadas al modelo.
El Compliance Officer es una figura cada vez más presente en las organizaciones, ¿qué perfil debe tener?
El perfil del responsable de cumplimiento debe ser multidisciplinar. Puesto que el cumplimiento es un proceso más de negocio; como el resto de los procesos tiene tres componentes fundamentales: el técnico, el normativo y el económico, por lo que hay que disponer de competencias en cada uno de estos ámbitos.
El técnico, se asocia a competencias relacionadas con la evaluación de riesgos, el análisis de procesos y el diseño e implementación de actividades de control. En mi opinión un buen Modelo de Cumplimiento descansa sobre una correcta evaluación de los riesgos de cumplimiento asociados a los procesos de negocio de la compañía.
En cuanto al componente normativo, es necesario conocer la normativa vinculada a las actividades de la compañía y las consecuencias de su incumplimiento.
Y por último el económico; el modelo no puede quedarse en el papel hay que implementarlo e integrarlo en los procesos de negocio de la organización de la forma más eficaz y eficiente posible. Así, es necesario disponer de un adecuado sistema de control de los flujos financieros que permita disminuir el riesgo de comisión de actos ilícitos.
Estos tres ámbitos de competencia, junto con la capacidad de liderazgo y gestión necesaria para involucrar a la organización en la consecución de objetivos comunes, formarían, en mi opinión, el perfil idóneo de un responsable de cumplimiento.
"A pesar de que en España el cumplimiento es un recién llegado, en comparacióncon el mundo anglosajón, las principales empresas del país ya disponen de funciones de cumplimiento equiparables y las que no están en camino"
¿Qué evolución considera que tendrá este puesto en los próximos años?
El camino está ya marcado por las empresas anglosajonas que llevan décadas de adelanto respecto al resto y, en concreto, respecto a España. Así, la función avanzará hacia una función multidisciplinar, autónoma, con capacidad de decisión y autoridad suficiente, y con dependencia directa de los órganos de gobierno y de dirección de la compañía.
En España, a pesar de que el cumplimiento es un recién llegado en determinados sectores, se ha avanzado con celeridad en la definición y posicionamiento de la función. Las principales empresas del país ya disponen de funciones de cumplimiento con la mayoría de las características comentadas anteriormente y las que no, van camino de ello.
¿Cómo animaría a una pyme a implantar sistemas de gestión de Compliance?
Las pymes, como las grandes empresas, tienen como objetivo, además de ser eficaces y eficientes en sus procesos de negocio, cumplir con la regulación que les es de aplicación y dar satisfacción a los requerimientos de sus clientes y otras partes interesadas. Seguro que en la mayoría de ellas ya tienen implantados sistemas o actividades de control destinadas a conseguir estos objetivos con mayor o menor grado de desarrollo.
Tener un sistema de gestión lo que permite es ordenar y homogeneizar, permitiendo detectar debilidades de control, sinergias en los procesos de negocio que, al final, proporcionan a la organización una ventaja competitiva en el mercado.
¿Qué espera una organización como la suya de una entidad de certificación?
Esperamos una relación a largo plazo. En definitiva, para nosotros es un socio de negocio más. En el día a día es posible que perdamos la perspectiva y por eso agradecemos que un experto independiente, que nos conoce y entiende las peculiaridades de la empresa, nos diga si podemos hacer las cosas de alguna otra manera.
En definitiva, por un lado que revise nuestro sistema de gestión con independencia y rigor y, por otro, nos ayude a identificar las áreas de mejora que, en ocasiones, la dinámica del día a día del trabajo no nos permite identificar. Por ello, de AENOR esperamos no sólo un certificado, sino que nos ayude a mejorar. Recordemos que el cumplimiento es un proceso de mejora continua.
Bio
Andrés González se incorporó a Ferrovial en 1992, iniciando su carrera profesional en la empresa en la Dirección de Auditoría Interna del Grupo. En 2009 se incorporó a la nueva Dirección de Riesgos creada ese mismo año como Gerente de Riesgos y desde 2015 ha ampliado sus funciones al área de cumplimiento. En la actualidad es Gerente de Riesgos y de Cumplimiento de Ferrovial.
Andrés González es Licenciado en Ciencias Económicas y Empresariales, y Auditor Oficial de Cuentas. También es Máster en Auditoría y Análisis Financiero y ha cursado programa de desarrollo directivo en el IESE Business School.