compliance

PECADOS DE LOS MODELOS DE COMPLIANCE – 3: LA EVALUACIÓN DE RIESGOS

La evaluación de riesgos es sin duda la actividad más importante en un modelo de compliance.

Me estoy encontrando con bastantes modelos que, bajo mi punto de vista, no realizan correctamente la evaluación (la mayoría de las veces motivado por no disponer de los recursos (tiempo y dinero) necesarios para hacerlo correctamente) y me gustaría dar algunas premisas prácticas que creo deberían cumplirse, sobre todo si se desea certificar el modelo bajo la UNE 19601:

  1. Aunque se entreguen formalmente en un Word o pdf, deben de estar soportados en un Excel que permita recoger el detalle de todas las variables de la evaluación. Además, esto facilitará notablemente la futura revisión obligatoria.
  2. Deben de identificar y analizar todos los delitos penados y todos sus tipos de comisión para demostrar que se ha realizado un análisis exhaustivo, aunque luego, muchos de ellos se desestimen por carecer de una mínima probabilidad de ocurrencia.
  3. Conviene incluir, no solo los delitos en los que se pueda dar responsabilidad penal para la empresa (famoso artículo 31Bis), sino también, aquellos delitos en los que la empresa puede sufrir sanciones accesorias (artículo 129), por ejemplo delitos contra los derechos de los trabajadores.
  4. Para cada delito (cuando digo delito me refiero tipo de comisión), deben de figurar las personas, proyectos, negocios, procesos o áreas (internas) de la empresa responsables/involucrados así como los posibles socios de negocio (externos) si estos fueran los involucrados en el delito. Por ejemplo empresas en las que se deleguen funciones importantes: contabilidad, impuestos, nóminas, informática, etc…
  5. Conviene asimismo, concretar y explicar, la circunstancia concreta de la empresa en la que podría darse el delito. Esto además de facilitar su futuro control, es un claro exponente de que la evaluación se ha hecho muy a medida.
  6. En el análisis hay que detallar los controles, procedimientos y en general mecanismos de los que la empresa ya dispone para prevenir cada delito. Por ejemplo, protocolos de firma en los pagos, certificaciones de calidad y seguridad, cláusulas contractuales de diligencia debida, etc. Esto es esencial para valorar correctamente el riesgo neto o residual, que es el que debe dar lugar o no a nuevas acciones de mitigación.
  7. Para mi, aunque la valoración de impacto posible es necesaria, no debe de tener mucho peso en la valoración (no más del 20-15%), primero porque tratamos de hipótesis en los que no se puede valorar exactamente la dimensión del delito, y porque, siendo estrictos con el objetivo final del modelo, el fin es implantar una cultura de cumplimiento, no prepararnos para provisionar sanciones.
  8. La metodología de valoración deberá ser lo más objetiva posible, pero siempre hay que ajustarla lo que sea necesario para acoger especificidades que se salgan de la norma y que apliquen al caso concreto. En todo caso, las valoraciones deben de estar justificadas.
  9. Una vez valorados todos los riesgos analizados, se deberán de planificar nuevas medidas de prevención y control que mitiguen aquellos de nivel superior a bajo. Yo diría que además, incluso en los de nivel bajo, hay que marcar aquellos que su valoración final sea debida a la existencia de controles preventivos pero que la probabilidad de ocurrencia sea alta, porque esos controles hay que vigilarlos mucho más de cerca.
  10. Finalmente, recordar que una vez hecho esto y lanzado el plan de medidas de actuación, al menos una vez al año, conviene revisar la evolución del mapa de riesgos, a medida que vamos implantando los nuevos controles que harán bajar el riesgo neto. Esta revisión será realizada por el órgano de compliance e incluida en sus informes.

 

Anuncios

PECADOS DE LOS MODELOS DE COMPLIANCE 2: LA DILIGENCIA DEBIDA

Seguimos comentando algunos de los principales defectos de los modelos de compliance que han sido diseñados sin tener en cuenta la norma UNE19601.

La diligencia debida en el contexto del compliace penal empresarial, se refiere al adecuado cumplimiento de los requisitos y obligaciones de carácter penal por parte de los grupos de interés, especialmente de los propios miembros de la Organización (proyección interna) y de los socios de negocio (proyección externa), aunque puede extenderse a cualquier tercero con el que la Organización mantenga una relación de negocio (clientes, proveedores, usuarios,..).

La Organización no puede quedarse quieta, esperando pasivamente y cruzando los dedos, para que las personas que incorpora en plantilla o sus empresas proveedoras sean legales, honradas y éticas y no le metan en un lío…..

En el mundo empresarial, sorpresas, a poder ser, las mínimas, y los riesgos siempre lo más gestionados y mitigados que sea posible (la gestión de riesgos va cobrando cada vez más importancia en las ISO’s). Por ello, la adecuada gestión de la diligencia debida del personal propio y de terceros afectados por riesgos penales es un elemento sustancial de cualquier modelo de compliance penal.

Y esto ¿cómo se gestiona? Incorporando controles y medidas preventivas en el desarrollo de las las fases por las que pasa cualquier relación empresarial:

DILIGENCIA DEBIDA

FASE I: BUENAS PRÁCTICAS EN LA SELECCIÓN

Son las prácticas más habituales. Permiten establecer filtros previos, gracias a los cuales se evite que pasen elementos “no deseados” y/o se garantice un perfil teórico de cumplimiento determinado. Ejemplos

  • Procedimientos de selección de personal
  • Procedimientos de selección, evaluación y homologación de proveedores
  • Procedimientos de control financiero (prevención de blanqueo) respecto a clientes

Este tipo de prevenciones en la selección, no solo aplica a personas (físicas o jurídicas), también deben aplicarse a operaciones del negocio que puedan suponer un riesgo adicional, por el tipo de actividad, tipo de mercancía, país con el que se realiza, etc.

 

FASE II: BUENAS PRÁCTICAS EN LA FORMALIZACIÓN (ACUERDOS /CONTRATOS)

Dependiendo del equilibrio de fuerzas de la relación, la Organización podrá en algunos casos obligar, mediante cláusulas contractuales específicas, el cumplimiento de determinadas acciones o requisitos por parte del tercero con el que vaya a formalizar un acuerdo. Lógicamente el tipo de actuaciones de la Organización en esta fase es muy variada, y debe de ajustarse al equilibrio de fuerzas citado. Ejemplos:

  • En el caso de contratación de personal: clausulas que obliguen a adherirse y firmar la política de cumplimiento penal y código ético y de conducta de la Organización, incluso a someterse a evaluaciones periódicas en caso de personal especialmente expuesto a riesgo penal.
  • En el caso de contratación de proveedores: clausulas que obliguen a disponer de sistemas de compliance penal implantados (esta es la práctica que está siguiendo la Administración Pública)
  • En el caso de los acuerdos con clientes: Incorporar en la documentación contractual o en el proceso de formalización información expresa sobre la política de compliance de la Organización

FASE III: BUENAS PRÁCTICAS EN EL SEGUIMIENTO Y CONTROL DE LA RELACIÓN

Una vez formalizado el acuerdo, la Organización debe seguir ejerciendo su labor vigilante e impulsora de la adecuada diligencia debida.

Así por ejemplo se pueden realizar campañas informativas a modo de sensibilización general o acciones formativas a personas o colectivos concretos para mantener actualizada su capacitación en compliance (caso de miembros del órgano de compliance por ejemplo). Esto puede ser interesante realizarlo de manera periódica y/o siempre que se produzcan noticias o modificaciones normativas de interés.

Por supuesto, en aquellos casos en los que se han establecido por contrato, compromisos u obligaciones específicas, debe realizarse el seguimiento del cumplimiento de las mismas.

Por ejemplo, si se solicitó para la contratación disponer de certificación ISO14001, debe de requerirse expresamente la certificación de su vigencia durante todos los años de vigencia del contrato. O si se estableció en el contrato laboral de un miembro de la organización especialmente expuesto al riesgo penal, la obligatoriedad de firmar cada 6 meses su autoevaluación de cumplimiento conforme, debe de velarse porque así se haga.

Como se observa es muy importante en el diseño de un modelo de compliance, analizar en profundidad las características y circunstancias de la organización (el análisis de sus “partes interesadas” o “grupos de interés” es particularmente importante) y su funcionamiento, para ajustar así las medidas, a la realidad “factible” de la Organización, y garantizar de esta manera tanto su eficacia preventiva como su operatividad real.

En resumen, los procedimientos de diligencia debida son elementos muy importantes en los modelos de compliance penal, y son además requisitos (documentados) de norma en caso de pretender certificarse en la UNE 19601.

 

PECADOS DE LOS MODELOS DE COMPLIANCE 1: LOS CONTROLES PREVENTIVOS

En estos últimos tiempos han pasado por mis manos bastantes manuales-programas-protocolos de compliance penal de distintas empresas, realizados todos ellos, sin tener en cuenta los requisitos para la certificación UNE19601:2017.

En estos casos, cuando el cliente decide finalmente que, por si las moscas*, mejor certificarlo**, se encuentra con un nuevo proyecto de desarrollo de un sistema que va mucho más allá que una matriz de riesgos penales.

Voy a centrar mi atención en un punto que es muy importante en la valoración de los riesgos y que muchos modelos no lo analizan adecuadamente: La existencia y eficacia de controles preventivos (financieros o no financieros) previos (a la puesta en marcha del sistema específico de prevención penal) de los que la empresa ya dispone en sus sistemas de gestión.

Este análisis, en los casos en los que existen controles eficaces, debe significar en la fase de evaluación una necesaria mitigación del “riesgo bruto” (como le llama acertadamente el “superexperto” Alain Casanovas), para dar lugar al “riesgo neto” final que será el que deba de ser evaluado para decidir su asunción (si es bajo) o mitigación a través de nuevas medidas. Posteriormente el correcto funcionamiento de estos controles preventivos deberá ser objeto de comprobación imprescindible en los procesos de revisión (auditoría, etc.) del sistema.

Por ejemplo, la existencia de un procedimiento previo de pagos que establezca un circuito de aprobación y firma con una jerarquía de poderes según importe, es un control financiero previo (parte del sistema de prevención penal) que mitigará la valoración de los riesgos de comisión de delitos ecofin. Asimismo, al ser parte (documentada además) del sistema de prevención penal, el correcto funcionamiento de este procedimiento es una verificación necesaria en la auditoría anual del sistema.

Tengo en mente hablar de algunos temas que observo que son recurrentes y muy relevantes en el diseño correcto de un sistema y modelo de gestión de riesgos penales conforme UNE19601, pero si hay alguno que te interese especialmente, coméntalo ;).

*digo “por si las moscas” porque aunque en este tema de la UNE hay promotores y detractores, creo que es bastante obvia la gran dificultad que puede entrañar para jueces y fiscales el evaluar la eficacia e idoneidad de un modelo de compliance sin disponer de una referencia clara de qué estructura, componentes o funcionamiento estándar debería de cumplir un “buen modelo”, en el caso en que se quisiese utilizar como prueba para eximente de responsabilidad penal. Como condición necesaria pero no suficiente, claro!.

**A la fecha (1 julio 2018) ENAC todavía no había acreditado ninguna empresa para certificar UNE19601:2017