Imagina un barco de papel flotando en el mar. A simple vista, cumple su función, está en el agua, sigue una dirección y aparenta estar navegando. Pero basta una pequeña ola, un soplo de viento o una gota fuera de lugar para que se deshaga. Así es el paper compliance (también conocidos como make-up compliance, cosmetic compliance o fake compliance), un sistema de cumplimiento normativo que existe solo sobre el papel, frágil, decorativo, y peligrosamente ineficaz ante la más mínima turbulencia legal, reputacional o ética.

¿Qué es el paper compliance?

El paper compliance hace referencia a aquellos programas de cumplimiento que, si bien aparentan estar bien estructurados —con políticas, códigos y manuales— carecen de una implementación real y efectiva. Son sistemas que no calan en la cultura de la organización. Cumplen con la norma en apariencia, pero no están integrados en la cultura ni en la operativa diaria de la organización
Se trata de una práctica más común de lo que se cree, sobre todo en organizaciones que buscan satisfacer requisitos normativos de forma superficial, sin asumir el verdadero compromiso que implica una cultura ética corporativa.

Los riesgos de navegar con un barco de papel

En compliance aparentar es igual o más peligroso que no hacer nada. Y es que contar con un sistema de paper compliance puede crear una falsa sensación de seguridad en la organización. Disponer de documentos bien redactados o políticas aparentemente completas puede llevar a pensar que el riesgo está controlado, cuando en realidad lo dispuesto en estos procedimientos no se está llevado a la práctica.

Esta percepción errónea relaja los mecanismos de control y vigilancia y dificulta la identificación temprana de irregularidades o malas prácticas. En lugar de servir como herramienta preventiva, el sistema produce el efecto contrario, impidiendo ver con claridad los puntos débiles del modelo de gestión, y cuando finalmente ocurre un incidente, la organización descubre demasiado tarde que sus estructuras de cumplimiento no estaban preparadas para dar una respuesta eficaz.

En este sentido lo han ido interpretando los órganos jurisdiccionales de nuestro país, pues ya desde los primeros pasos de la implantación de los sistemas de gestión de compliance en España, la Circular 1/2016 de la Fiscalía General del Estado establecía que uno de los aspectos más importantes para poder valorar la idoneidad de estos programas es la “promoción de una verdadera cultura ética empresarial”.

Y es que esta cuestión no se ha establecido como una mera sugerencia o recomendación para las compañías, sino que esta premisa ha sido tenida en cuenta por los tribunales a la hora de analizar si los programas de compliance son o no efectivos.

De este modo, la Audiencia Nacional en su sentencia 1013/2024 ha sido tajante, estableciendo que el simple hecho de incorporar un código ético con principios generales no puede considerarse como un modelo eficaz para prevenir irregularidades. La implementación del programa de compliance debe ser real y efectiva, es decir, debe tener un impacto positivo en la organización que permita el desarrollo de una auténtica cultura ética de cumplimiento entre sus empleados.

Igualmente, en el auto del “Caso Tándem” se expone que la eficacia de un programa de compliance no puede entenderse como sinónimo de infalibilidad, exigiéndole una eficacia absoluta frente a la existencia de cualquier delito, sino que debe valorarse su capacidad de reacción ante el delito y la constatación de la existencia de una auténtica cultura de cumplimiento normativo dentro de la organización.

¿Cómo saber si tu programa es un barco de papel?

Dentro de los sistemas de paper compliance, pese a su apariencia de formalidad y de buenas prácticas, podemos señalar ciertos indicativos que resaltan o que podrían indicar que el programa sea un frágil barco de papel:

• El código ético y las políticas internas están desactualizadas o nadie las conoce.
• No hay un mapa de riesgos actualizado ni aprobado formalmente.
• La comunicación con la dirección es poco fluida o nula.
• Las formaciones son genéricas, esporádicas o inexistentes.
• No se realiza monitoreo ni testing de los controles establecidos.
• No hay indicadores clave (KPIs) ni se hace seguimiento del desempeño.
• El canal de denuncias está inactivo o es percibido como poco fiable.
• No hay revisiones periódicas ni seguimiento del programa.

¿Cómo podemos diseñar una embarcación sólida?

Para evitar que nuestro sistema caiga en la práctica del paper compliance, y hacer que este se convierta en un barco robusto con el poder navegar sin temor este mar revuelto del mundo profesional podemos seguir las siguientes indicaciones:

• Compromiso real de los órganos de gobierno y la alta dirección: asumiendo los mismos un rol activo en la implementación, control y desarrollo del sistema, dotándolo de los recursos necesarios.
• Implicación de los responsables del sistema de gestión de compliance: dedicación de los esfuerzos necesarios a la implementación de los procedimientos de compliance aprobados en la organización, y el conocimiento de los mismos por parte de todos los empleados.
• Indicadores de desempeño: establecimiento de métricas que puedan evaluar el desarrollo y la mejora continua del sistema.
• Formación y sensibilización: realización de campañas periódicas que extiendan una verdadera cultura de compliance entre todos los miembros de la organización.
• Supervisión y actualización continua: revisión continua del sistema y adaptación a los posibles cambios que se produzcan, velando porque el mismo responda en todo momento a la realidad de la organización

En definitiva, en un entorno empresarial en constante cambio como el actual, donde la vigilancia y la transparencia son crecientes, improvisar o aparentar no es una opción. Contar con un modelo de paper compliance puede suponer un enorme riesgo para la compañía, produciendo una falsa sensación de seguridad y siendo totalmente ineficaz para el cumplimiento de los objetivos para los que fue diseñado.

Por tanto, a la hora de desarrollar e implementar nuestro sistema de compliance, establecer una base sólida, realizar un mantenimiento adecuado e involucrar a todos los miembros de la organización determinará si nuestro programa llegará a buen puerto o si acabará naufragando cuando menos lo esperemos.