certificación

PECADOS DE LOS MODELOS DE COMPLIANCE 1: LOS CONTROLES PREVENTIVOS

En estos últimos tiempos han pasado por mis manos bastantes manuales-programas-protocolos de compliance penal de distintas empresas, realizados todos ellos, sin tener en cuenta los requisitos para la certificación UNE19601:2017.

En estos casos, cuando el cliente decide finalmente que, por si las moscas*, mejor certificarlo**, se encuentra con un nuevo proyecto de desarrollo de un sistema que va mucho más allá que una matriz de riesgos penales.

Voy a centrar mi atención en un punto que es muy importante en la valoración de los riesgos y que muchos modelos no lo analizan adecuadamente: La existencia y eficacia de controles preventivos (financieros o no financieros) previos (a la puesta en marcha del sistema específico de prevención penal) de los que la empresa ya dispone en sus sistemas de gestión.

Este análisis, en los casos en los que existen controles eficaces, debe significar en la fase de evaluación una necesaria mitigación del “riesgo bruto” (como le llama acertadamente el “superexperto” Alain Casanovas), para dar lugar al “riesgo neto” final que será el que deba de ser evaluado para decidir su asunción (si es bajo) o mitigación a través de nuevas medidas. Posteriormente el correcto funcionamiento de estos controles preventivos deberá ser objeto de comprobación imprescindible en los procesos de revisión (auditoría, etc.) del sistema.

Por ejemplo, la existencia de un procedimiento previo de pagos que establezca un circuito de aprobación y firma con una jerarquía de poderes según importe, es un control financiero previo (parte del sistema de prevención penal) que mitigará la valoración de los riesgos de comisión de delitos ecofin. Asimismo, al ser parte (documentada además) del sistema de prevención penal, el correcto funcionamiento de este procedimiento es una verificación necesaria en la auditoría anual del sistema.

Tengo en mente hablar de algunos temas que observo que son recurrentes y muy relevantes en el diseño correcto de un sistema y modelo de gestión de riesgos penales conforme UNE19601, pero si hay alguno que te interese especialmente, coméntalo ;).

*digo “por si las moscas” porque aunque en este tema de la UNE hay promotores y detractores, creo que es bastante obvia la gran dificultad que puede entrañar para jueces y fiscales el evaluar la eficacia e idoneidad de un modelo de compliance sin disponer de una referencia clara de qué estructura, componentes o funcionamiento estándar debería de cumplir un “buen modelo”, en el caso en que se quisiese utilizar como prueba para eximente de responsabilidad penal. Como condición necesaria pero no suficiente, claro!.

**A la fecha (1 julio 2018) ENAC todavía no había acreditado ninguna empresa para certificar UNE19601:2017

Anuncios