Extracto del artículo “La función de cumplimiento normativo en las entidades bancarias”, Estrategia Financiera, nº 343, noviembre de 2016, accesible por suscripción.
Una primera referencia, con el enfoque que nos es familiar, al cumplimiento y a la función de cumplimiento normativo se encuentra en el documento del Banco de Pagos Internacionales «Compliance and the compliance function in Banks» (2005).
De este documento, anterior al inicio de la crisis financiera, destaca que la responsabilidad del cumplimiento se atribuye al propio consejo de administración y a la dirección de cada banco, que deben actuar con integridad y honestidad y dar ejemplo al resto de la organización. No se pasa por alto que hay que respetar el espíritu más que la literalidad de la norma, y que las conductas irregulares pueden generar perjuicios para los accionistas, los clientes, los empleados y los mercados, causando un impacto reputacional para la entidad implicada, aun cuando ninguna norma haya sido formal o materialmente vulnerada.
El Banco de Pagos Internacionales definió ya entonces el «riesgo de cumplimiento» («compliance risk») como el riesgo de sanciones legales o regulatorias, de pérdida financiera material o de reputación que un banco puede sufrir como resultado del incumplimiento de leyes, regulaciones, reglas, normativa interna y códigos de conducta aplicables a las actividades bancarias. La definición no es del todo afortunada, pues se centra en el aspecto sancionatorio y en las pérdidas originadas para el propio banco antes que en el fomento de una más etérea, pero efectiva a la larga, cultura de cumplimiento en beneficio del interés de los accionistas o los clientes.
Este conjunto heterogéneo de leyes, reglas y estándares se identificó, inicialmente, con materias como la conducta de mercado, la gestión de los conflictos de interés, la protección de los clientes, la idoneidad del asesoramiento prestado a estos, la prevención del blanqueo de capitales y de la financiación del terrorismo e incluso con el régimen tributario de los productos financieros ofertados.
El cumplimiento ya se consideró en este momento como un elemento que debía formar parte de la cultura de cada organización, y qué mejor forma para incentivar y expandir esta cultura que con la existencia de una función específica de cumplimiento, es decir, un conjunto de directivos encargados de asumir las responsabilidades en materia de cumplimiento, sin que el Banco de Pagos Internacionales prescribiese una concreta estructura organizativa, quedando reservada esta decisión a cada una de las entidades bancarias implicadas.
Eso sí, en este momento inicial se mostró la preferencia por una aproximación entre la función de cumplimiento y la función de riesgo operacional, que podían quedar superpuestas o separadas pero coordinadas. Del mismo modo, la función de cumplimiento había de ser periódicamente supervisada por la función de auditoría interna. Es decir, ya en 2005 se percibía la estrecha relación entre las funciones de cumplimiento normativo, control del riesgo y auditoría, que habría de desembocar más adelante en el «modelo de las tres líneas de defensa».
Los principios de 2005 admitieron, con buen sentido, que no debían ser iguales las exigencias de cumplimiento en un gran banco, con presencia incluso en varios países, que las de una entidad pequeña. Asimismo, que no todo el cumplimiento se debía centrar en una sola unidad, sino que era admisible una descentralización por unidades especializadas (por ejemplo, para la prevención del blanqueo de capitales o para la protección de datos de carácter personal). En cuanto a la diversa intensidad de la función de cumplimiento según el tamaño de la entidad, esta cuestión todavía no ha sido adecuadamente resuelta en la práctica, lo que se podría acometer, en teoría, con la aplicación del principio de proporcionalidad.
Hasta ahora hemos considerado la función de cumplimiento normativo desde el punto de vista estrictamente bancario. Ahora bien, como es sabido, las entidades bancarias también pueden prestar servicios de inversión, y por esta vía llegó otro impulsó, indirectamente, al desarrollo de la función de cumplimiento normativo de los bancos, en tanto que prestadores de servicios de inversión.
Por otra parte, la función se ha consolidado, en la práctica, en el ámbito de la prevención del blanqueo de capitales y de la financiación del terrorismo, pues, en efecto, como adelantaron los principios del Banco de Pagos Internacionales de 2005, dicha función asume un papel relevante para la efectividad de las medidas de control interno de los sujetos obligados (art. 26 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo).
A propósito de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, y, entre otras novedades, se perfila el régimen de la responsabilidad penal de las personas jurídicas introducido en 2010, las funciones de control interno, y la de cumplimiento, en concreto, han ganado protagonismo, derivando en el llamado «compliance penal» o «cultura de cumplimiento» en el marco del «delito corporativo» que se comienza a perfilar por nuestra jurisprudencia y doctrina.
La completa modernización de la función de cumplimiento normativo ha llegado a través de los «Principios de gobierno corporativo para bancos» del Banco de Pagos Internacionales, de 2015, que le dedican su principio 9.