Hubo un tiempo en que para contratar con la Administración bastaba con parecer solvente, tener papeles en regla y no incendiar el edificio antes de presentar la oferta. Ahora hemos entrado en una fase superior de la civilización burocrática: además de todo eso, conviene exhibir un bonito sistema de compliance penal, preferiblemente encuadernado, con aire técnico, vocabulario solemne y un organigrama que haga pensar que dentro de la empresa hay más control que en una central nuclear japonesa.
La idea, en principio, no es mala. De hecho, es perfectamente razonable. Si una empresa quiere contratar con el sector público, lo mínimo exigible es que no funcione como una verbena jurídica con departamento de sobornos, protocolo de irregularidades y canal ético desconectado por mantenimiento indefinido. El problema, como casi siempre, no está en el concepto, sino en la liturgia. En cuanto la Administración toca una idea sensata, corre el riesgo de convertirla en formulario.
Y ahí aparece el gran prodigio contemporáneo: el compliance ornamental. Esa especialidad ibérica consistente en simular que se controla algo mediante documentos que acreditan, básicamente, la existencia de otros documentos. No importa tanto que la empresa tenga un modelo eficaz para prevenir delitos como que pueda presentar un expediente con suficiente densidad visual para desanimar a cualquier interventor, técnico o funcionario que todavía conserve la costumbre de leer.
Porque conviene recordar una obviedad que, en este asunto, parece revolucionaria: el artículo 31 bis del Código Penal no pide una coreografía corporativa ni una colección de certificados con apariencia escandinava. Lo que exige es algo más incómodo: un sistema real de organización y gestión capaz de prevenir delitos. Es decir, no quiere teatro. Quiere funcionamiento. No pide un altar. Pide un mecanismo.
Pero claro, eso complica mucho las cosas. Pedir un modelo real significa preguntar por los riesgos penales concretos, por los protocolos de decisión, por el régimen disciplinario, por la autonomía del órgano de supervisión, por la formación interna, por la revisión periódica, por el uso efectivo del canal de información y, en definitiva, por ese detalle tan poco decorativo que es la vida real de una organización. Mucho más cómodo resulta conformarse con una declaración genérica, una certificación vagamente prestigiosa y la esperanza, tan administrativa, de que el problema le estalle al siguiente.
La diferencia entre tener compliance y aplicar compliance viene a ser la misma que hay entre tener extintores y que no estén caducados, entre colgar un desfibrilador en la pared y saber usarlo, o entre aprobar un plan de igualdad y no enterarse de nada hasta que el juzgado llama a la puerta. Una cosa es el atrezo. Otra, el sistema. Pero vivimos tiempos de veneración documental, y hay quien cree que un riesgo penal desaparece si se redacta con suficiente solemnidad en Arial 11.
Por eso tiene sentido insistir en algo que a ciertas empresas les resulta ofensivo: el compliance no admite maquillaje. No es una base de maquillaje corporativo para salir monísima a licitación. No es un complemento de temporada. No es un adorno reputacional que se compra, se imprime y se exhibe en la primera página del dossier junto a la misión, la visión y las fotos de gente estrechándose la mano. Es, o debería ser, una forma de organizarse para que la empresa no delinca o, al menos, para que no delinca con método, impunidad y fondos públicos.
Y aquí la Administración también tiene su parte de culpa. Porque le encanta proclamar la integridad institucional mientras acepta cláusulas mal diseñadas, controles de cartón y acreditaciones que no acreditan nada. A veces da la impresión de que no quiere comprobar si el modelo funciona, sino poder decir que lo pidió. La diferencia es importante. Una cosa es prevenir la corrupción. Otra, archivar la prevención en una carpeta con pestañas.
Si la cláusula de cumplimiento normativo penal va en serio, entonces debe ser una condición esencial del contrato. Es decir: no algo que se enseña al principio y se olvida después, como el manual de bienvenida o el protocolo de acoso que nadie ha visto desde la pandemia, sino una exigencia viva durante toda la ejecución contractual. Porque el compliance no es una foto fija. Es una práctica. Y si durante la vida del contrato el modelo se desinfla, se abandona o se demuestra ficticio, no estamos ante una incidencia menor, sino ante un síntoma directo de riesgo institucional.
Dicho de manera menos diplomática: la Administración no puede contratar integridad a plazos y desentenderse luego del mantenimiento. Si un contratista empieza a funcionar con estándares de corrupción, fraude o opacidad, el problema no es solo suyo. Pasa a ser también público. Y ahí es donde las cláusulas bien hechas dejan de ser decoración jurídica y empiezan a parecerse a lo que prometían ser: un mecanismo de autoprotección.
Especialmente revelador resulta el caso del Sistema Interno de Información, el famoso canal que muchas organizaciones anuncian como si fuera una mezcla de confesionario, buzón ético y tótem civilizatorio. Sobre el papel, todos tienen uno. En la práctica, algunos parecen diseñados para que no los use nadie, otros para que quien los use se arrepienta, y unos cuantos para cumplir estrictamente con la noble tradición nacional de poner una puerta donde debería haber una salida. Tener canal no basta. Debe ser accesible, confidencial, creíble y operativo. Lo demás es fontanería reputacional.
También convendría rebajar la fe casi mística en la certificación. Hay empresas que preguntan cómo deben certificar su sistema de compliance para poder licitar, como quien pregunta qué color de corbata conviene llevar a una reunión con la Administración. La respuesta, por desgracia, no es estética. Certificar un modelo no consiste en redactar un relato persuasivo sobre una estructura imaginaria. Consiste en afirmar, con responsabilidad, que ese sistema existe, funciona y puede sostenerse si alguien se toma la molestia de mirar debajo de la alfombra.
Y ahí surge la cuestión verdaderamente incómoda: ¿quién firma? Porque, llegado el momento, todo el mundo cree en el compliance hasta que aparece la palabra “responsabilidad”. Entonces sobreviene el fenómeno clásico del corporativismo defensivo: muchos asesoran, algunos validan, unos pocos supervisan y casi nadie quiere quedar retratado. Sin embargo, jurídicamente el asunto no ofrece tanta poesía: la responsabilidad última del modelo recae en el órgano de máxima responsabilidad de la sociedad. O sea, en el consejo de administración. No en un duende técnico, no en una consultora abstracta, no en un organigrama con flechas elegantes. En quien manda.
Por eso, si la cláusula de compliance se toma en serio, debe incluir algo que produce urticaria en no pocos despachos: facultades reales de auditoría durante la ejecución del contrato. Porque lo que transforma una cláusula en un instrumento de control no es su retórica, sino la posibilidad de verificarla. Sin esa comprobación posterior, todo queda en lo de siempre: un ejercicio de fe administrativa, que viene a ser la versión pública de creer que el coche funciona porque pasó la ITV hace tres años.
En el fondo, este debate es bastante sencillo. La cuestión no es si una empresa tiene documentos. La cuestión es si tiene un sistema. No se trata de comprobar si sabe hablar el dialecto del compliance, sino si ha incorporado de verdad una cultura mínima de prevención, control y responsabilidad. Lo demás es espuma técnica para consumo de mesas de contratación, órganos de control y gestores que prefieren una ficción ordenada a una realidad incómoda.
Así que sí: introducir cláusulas de cumplimiento penal en la contratación pública puede ser una buena noticia. Siempre que se hagan para controlar, y no para aparentar control. Siempre que se exija realidad, y no solo papelería. Siempre que alguien esté dispuesto a firmar, a responder y a dejarse auditar. Porque, a estas alturas, ya sabemos distinguir entre la integridad institucional y ese viejo vicio administrativo de ponerle un membrete a la nada.