PECADOS DE LOS MODELOS DE COMPLIANCE 2: LA DILIGENCIA DEBIDA

Seguimos comentando algunos de los principales defectos de los modelos de compliance que han sido diseñados sin tener en cuenta la norma UNE19601.

La diligencia debida en el contexto del compliace penal empresarial, se refiere al adecuado cumplimiento de los requisitos y obligaciones de carácter penal por parte de los grupos de interés, especialmente de los propios miembros de la Organización (proyección interna) y de los socios de negocio (proyección externa), aunque puede extenderse a cualquier tercero con el que la Organización mantenga una relación de negocio (clientes, proveedores, usuarios,..).

La Organización no puede quedarse quieta, esperando pasivamente y cruzando los dedos, para que las personas que incorpora en plantilla o sus empresas proveedoras sean legales, honradas y éticas y no le metan en un lío…..

En el mundo empresarial, sorpresas, a poder ser, las mínimas, y los riesgos siempre lo más gestionados y mitigados que sea posible (la gestión de riesgos va cobrando cada vez más importancia en las ISO’s). Por ello, la adecuada gestión de la diligencia debida del personal propio y de terceros afectados por riesgos penales es un elemento sustancial de cualquier modelo de compliance penal.

Y esto ¿cómo se gestiona? Incorporando controles y medidas preventivas en el desarrollo de las las fases por las que pasa cualquier relación empresarial:

DILIGENCIA DEBIDA

FASE I: BUENAS PRÁCTICAS EN LA SELECCIÓN

Son las prácticas más habituales. Permiten establecer filtros previos, gracias a los cuales se evite que pasen elementos “no deseados” y/o se garantice un perfil teórico de cumplimiento determinado. Ejemplos

  • Procedimientos de selección de personal
  • Procedimientos de selección, evaluación y homologación de proveedores
  • Procedimientos de control financiero (prevención de blanqueo) respecto a clientes

Este tipo de prevenciones en la selección, no solo aplica a personas (físicas o jurídicas), también deben aplicarse a operaciones del negocio que puedan suponer un riesgo adicional, por el tipo de actividad, tipo de mercancía, país con el que se realiza, etc.

 

FASE II: BUENAS PRÁCTICAS EN LA FORMALIZACIÓN (ACUERDOS /CONTRATOS)

Dependiendo del equilibrio de fuerzas de la relación, la Organización podrá en algunos casos obligar, mediante cláusulas contractuales específicas, el cumplimiento de determinadas acciones o requisitos por parte del tercero con el que vaya a formalizar un acuerdo. Lógicamente el tipo de actuaciones de la Organización en esta fase es muy variada, y debe de ajustarse al equilibrio de fuerzas citado. Ejemplos:

  • En el caso de contratación de personal: clausulas que obliguen a adherirse y firmar la política de cumplimiento penal y código ético y de conducta de la Organización, incluso a someterse a evaluaciones periódicas en caso de personal especialmente expuesto a riesgo penal.
  • En el caso de contratación de proveedores: clausulas que obliguen a disponer de sistemas de compliance penal implantados (esta es la práctica que está siguiendo la Administración Pública)
  • En el caso de los acuerdos con clientes: Incorporar en la documentación contractual o en el proceso de formalización información expresa sobre la política de compliance de la Organización

FASE III: BUENAS PRÁCTICAS EN EL SEGUIMIENTO Y CONTROL DE LA RELACIÓN

Una vez formalizado el acuerdo, la Organización debe seguir ejerciendo su labor vigilante e impulsora de la adecuada diligencia debida.

Así por ejemplo se pueden realizar campañas informativas a modo de sensibilización general o acciones formativas a personas o colectivos concretos para mantener actualizada su capacitación en compliance (caso de miembros del órgano de compliance por ejemplo). Esto puede ser interesante realizarlo de manera periódica y/o siempre que se produzcan noticias o modificaciones normativas de interés.

Por supuesto, en aquellos casos en los que se han establecido por contrato, compromisos u obligaciones específicas, debe realizarse el seguimiento del cumplimiento de las mismas.

Por ejemplo, si se solicitó para la contratación disponer de certificación ISO14001, debe de requerirse expresamente la certificación de su vigencia durante todos los años de vigencia del contrato. O si se estableció en el contrato laboral de un miembro de la organización especialmente expuesto al riesgo penal, la obligatoriedad de firmar cada 6 meses su autoevaluación de cumplimiento conforme, debe de velarse porque así se haga.

Como se observa es muy importante en el diseño de un modelo de compliance, analizar en profundidad las características y circunstancias de la organización (el análisis de sus “partes interesadas” o “grupos de interés” es particularmente importante) y su funcionamiento, para ajustar así las medidas, a la realidad “factible” de la Organización, y garantizar de esta manera tanto su eficacia preventiva como su operatividad real.

En resumen, los procedimientos de diligencia debida son elementos muy importantes en los modelos de compliance penal, y son además requisitos (documentados) de norma en caso de pretender certificarse en la UNE 19601.

 

Anuncios

PECADOS DE LOS MODELOS DE COMPLIANCE 1: LOS CONTROLES PREVENTIVOS

En estos últimos tiempos han pasado por mis manos bastantes manuales-programas-protocolos de compliance penal de distintas empresas, realizados todos ellos, sin tener en cuenta los requisitos para la certificación UNE19601:2017.

En estos casos, cuando el cliente decide finalmente que, por si las moscas*, mejor certificarlo**, se encuentra con un nuevo proyecto de desarrollo de un sistema que va mucho más allá que una matriz de riesgos penales.

Voy a centrar mi atención en un punto que es muy importante en la valoración de los riesgos y que muchos modelos no lo analizan adecuadamente: La existencia y eficacia de controles preventivos (financieros o no financieros) previos (a la puesta en marcha del sistema específico de prevención penal) de los que la empresa ya dispone en sus sistemas de gestión.

Este análisis, en los casos en los que existen controles eficaces, debe significar en la fase de evaluación una necesaria mitigación del “riesgo bruto” (como le llama acertadamente el “superexperto” Alain Casanovas), para dar lugar al “riesgo neto” final que será el que deba de ser evaluado para decidir su asunción (si es bajo) o mitigación a través de nuevas medidas. Posteriormente el correcto funcionamiento de estos controles preventivos deberá ser objeto de comprobación imprescindible en los procesos de revisión (auditoría, etc.) del sistema.

Por ejemplo, la existencia de un procedimiento previo de pagos que establezca un circuito de aprobación y firma con una jerarquía de poderes según importe, es un control financiero previo (parte del sistema de prevención penal) que mitigará la valoración de los riesgos de comisión de delitos ecofin. Asimismo, al ser parte (documentada además) del sistema de prevención penal, el correcto funcionamiento de este procedimiento es una verificación necesaria en la auditoría anual del sistema.

Tengo en mente hablar de algunos temas que observo que son recurrentes y muy relevantes en el diseño correcto de un sistema y modelo de gestión de riesgos penales conforme UNE19601, pero si hay alguno que te interese especialmente, coméntalo ;).

*digo “por si las moscas” porque aunque en este tema de la UNE hay promotores y detractores, creo que es bastante obvia la gran dificultad que puede entrañar para jueces y fiscales el evaluar la eficacia e idoneidad de un modelo de compliance sin disponer de una referencia clara de qué estructura, componentes o funcionamiento estándar debería de cumplir un “buen modelo”, en el caso en que se quisiese utilizar como prueba para eximente de responsabilidad penal. Como condición necesaria pero no suficiente, claro!.

**A la fecha (1 julio 2018) ENAC todavía no había acreditado ninguna empresa para certificar UNE19601:2017

LENGUAJE R: HERRAMIENTA POTENTE Y GRATUITA PARA LA INTELIGENCIA DE NEGOCIO-ejemplo de análisis de textos

Después de un año de duro trabajo, termino el Programa de Big Data y Business Intelligence impartido por la facultad de ingeniería de la Universidad de Deusto. A lo largo de este tiempo, hemos aprendido muchísimo de las múltiples facetas de este concepto tan amplio que es el “Big Data”, pero, sin duda, uno de los mejores y más prácticos decubrimientos ha sido el entorno-lenguaje “R”.

R es un lenguaje superversátil, gratuito y con un soporte “open” impresionante en internet (por supuesto en inglés), que te permite encontrar siempre solución, un paquete desarrollado,consultas resueltas y scripts ejemplo, para cualquier necesidad que te encuentres en un proyecto. Yo, en este tiempo en el que me he podido empezar a asomar a este universo de posibilidades, lo he utilizado en prácticas de casos reales para distintos usos:

  • Hacer limpieza y manipulación de datos, eliminando las limitaciones de volumen que tenemos con herramientas habituales como Excel, y utilizando funciones que, en un solo paso, realizan operaciones que de otra manera supondrían numerosas pasos y tablas intermedias.
  • Aplicar modelos de predicción (regresión, clasificación) y descripción (clustering, asociación, correlación,..) a importantes volúmenes de datos para extraer conclusiones relevantes y no inmediatas.
  • Pasar información de un soporte-formato a otro de manera sencilla para poder importar o exportar desde o hacia distintas fuentes.
  • Hacer tratamientos de texto: palabras key, nubes de palabras o análisis de sentimiento de cualquier texto, incluso de páginas web o RRSS (facebook, twitter,..)

Esta última aplicación de ANÁLISIS DE TEXTO,  ha sido el objeto de mi último proyecto de trabajo en el máster, cuyo objetivo era practicar con algunas de las herramientas que R tiene para estos cometidos.

Decidí analizar los textos de los discursos de navidad del Lehendakari y del Rey de España en diciembre 2007 y en diciembre 2017. Quería observar qué diferencias y evolución ha habido entre los dos perfiles en estos 10 años. Tras la correspondiente limpieza y adecuación de los textos, por ejemplo sustituyendo ñ por gn, eliminando tildes, poniendo en minúsculas todo, igualando conceptos similares como democracia – democrático/a para poder observar mejor su peso, etc. muestro un ejemplo de algunos de los resultados obtenidos:

Las PALABRAS QUE NO FALTAN EN NINGUNO DE LOS DISCURSOS, estando presentes en todos, más de 2 veces, son las siguientes:

todosmas2

 LAS 20 PALABRAS MÁS REPETIDAS EN CADA DISCURSO, Y SU FRECUENCIA DE APARICIÓN A LO LARGO DEL MISMO, SON LAS SIGUIENTES:

2007

2017

Sin ánimo de ser exhaustiva ni realizar valoraciones, destaco algunas observaciones sencillas que se pueden extraer como ejemplo:

  • El lehendakari Ibarretxe en 2007 ha sido sin duda el más reiterativo en los conceptos clave de su discurso ya que presenta claramente una frecuencia más alta en mayor número de palabras que los demás.
  • En 2007 el lehendakari repetía la palabra “ETA” mientras que el Rey usaba “terrorismo” y la temática “terrorismo” ha perdido peso en 2017
  • En 2017 ambos dirigentes presentan en sus primeros puestos de reiteración, sus ámbitos territoriales (Euskadi, España) y aspectos ligados a la convivencia, sociedad o personas.
  • En 2017 “Cataluña” no es mencionada de manera relevante por el Lehendakari y sí por el Rey que destaca también otras palabras ligadas a este asunto.
  • La palabra “constitución”, principal argumento del discurso del Rey en 2007, desaparece de los discursos en 2017, siendo sustituida por conceptos más “soft”como democracia, derecho, principios,…
  • La “política” es claramente una preocupación de los 2 Lehendakaris, mientras que no es destacada por los Reyes de España.
  • La palabra “paz” la repiten ambos lehendakaris y no los reyes, y la palabra “vida” a la inversa, está muy presente en los discursos de los reyes pero nó de los lehendakaris.

Esté hincapié en determinados conceptos se muestra más graficamente si elaboramos las NUBES DE PALABRAS, resultantes de seleccionar los términos que cada gobernante ha utilizado en más de 6 ocasiones a lo largo de sus discursos. Los tamaños y colores de letra representan pesos de frecuencias relativas dentro de cada discurso:

nubes

Se observa un distinto estilo de comunicación entre los dirigentes españoles y vascos. Los lehendakaris presentan un estilo en el que abundan los términos muy reiterados, mientras que en el caso de los reyes, éstos concentran la insistencia en menos términos.

Por último, he querido hacer una pequeña prueba del funcionamiento de las herramientas de  ANÁLISIS DE SENTIMIENTO. R dispone de diversos paquetes para ello, yo he usado Tidyverse y Tidytext, que presentan 3 lexicons que realizan una valoración “emocional” de los sentimientos que teóricamente generan las palabras utilizadas. Los lexicones son en inglés, por lo que he traducido directamente con google (R dispone también de paquetes específicos de traducción que utilizar APIs por ejemplo de microsoft, pero no he tenido tiempo de probarlos)  los discursos del 2017 y, sin realizar ninguna revisión de la calidad de la traducción (seguramente habría que refinar muchas expresiones y términos), le he pasado los diccionarios lexicon de BING y NRC a cada discurso, para observar qué tipo de emociones provoca cada uno.

He aquí el resultado resumido del peso de cada sentimiento en los discursos de 2017:

sentimiento

Por último, utilizando el lexicon de AFINN que valora numéricamente las palabras entre -5 y +5 según la negatividad o positividad de los sentimientos generados, el resultado final es el siguiente, expresado en los correspondientes histogramas de frecuencia de presencia de cada tipo de valor emocional:

histogr

Nota: el número de palabras totales/únicas que se ha podido valorar (que después de ser traducido el discurso, estaban presentes en el lexicon) en cada caso ha sido de 85/53 para el Lehendakari y de 106/87.

Se observa que el discurso del lehendakari se encuentra sesgado hacia la positividad mientras que el del Rey de España presenta más valores extremos, lo que resulta en un valor “emocional” medio de +1,06 sobre 5 en el caso del lehendakari y de un 0,49 sobre 5 en el caso de el Rey, resultados que corroboran el mostrado en la clasificación de términos anterior.

En resumen,  el lenguaje R es una herramienta que, una vez realizado el esfuerzo inicial imprescindible para adquirir la competencia mínima, presenta un enorme potencial de aplicación a cualquier necesidad o problema de análisis de datos que a una empresa se le pueda presentar, siendo un aliado muy interesante y recomendable para el desarrollo del business intelligence en cualquier empresa.

LINKS OPEN DATA

He creído interesante recopilar los accesos a los principales catálogos de datos abiertos que pueden ser de interés en el entorno vasco. Si conoces alguno más, relevante, házmelo saber y completaremos la página.

PASOS PARA IMPLANTAR UN SISTEMA DE COMPLIANCE PENAL

He publicado una descripción sencilla de los pasos de desarrollo de un proyecto de implantación de un sistema de compliance penal, basado en experiencia práctica, que espero sea de interés. Cualquier comentario o aportación es bienvenido porque enriquecerá la escasa experiencia práctica que hay en este tema.

Pasos para implantar eficazmente un sistema de cumplimiento penal