Decálogo para el éxito de la implementación de los programas de compliance

¿Qué son los programas de Compliance? ¿Afecta a mi organización?

Hace poco escuchaba a un pequeño empresario dueño de una Pyme comentar atemorizado “El Compliance está de moda y dicen que puedo tener muchos problemas”, a lo que le contesté: “Bueno, tampoco es cuestión de alarmarse, mientras hagas lo que tienes que hacer no hay de qué preocuparse…”

Es aquí cuando los empresarios y administradores deben tener muy claras sus responsabilidades en cuanto a la legislación que aplica a su organización, más aún tras la reforma del Código Penal (Ley 1/2015) que entró en vigor en 2015, en la que se establece la responsabilidad penal de los empresarios en base al criterio del debido control:  

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso. (Art 31 bis))

A este respecto, cabe destacar que el propio Código Penal indica que la persona jurídica quedará exenta de responsabilidad si se cumple:

"el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión" (Fragmento Art 31 bis))

En base a estos principios surgen los programas de “Compliance”, basados en la Norma UNE/ISO 19600 “Sistema de Gestión del Compliance” que ponen de manifiesto la importancia del cumplimiento normativo y su adecuada gestión en la organización, tanto por beneficio en la gestión como en el control y prevención de responsabilidades de los administradores y propietarios.

¿Qué significa todo esto? Muy sencillo. La conclusión fundamental es que las organizaciones bien gestionadas tienen una mayor facilidad a la hora de cumplir con sus obligaciones que las que no lo están, y si esa es su situación actual, la implantación de los sistemas de compliance podrá permitir a su organización el disponer de estos aspectos controlados, además de que en caso de “despiste”, puedan eximirle a usted como empresario de responsabilidad penal.

Es relativamente comprensible que las organizaciones puedan tener algún “talón de Aquiles” en su administración y/o gestión, fundamentalmente por el desconocimiento del amplio espectro de legislación aplicable, que es lo que básicamente los programas de compliance se encargan de prevenir, pero también hacen hincapié en el caso de que determinadas personas quieran delinquir lo tengan más difícil debido a las actuaciones de control y supervisión, manteniendo al margen a los administradores en el caso de aplicar estos programas.

·         Acciones de los programas de compliance

¨       Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos

¨       Establecerán los protocolos o procedimientos (Manual de Compliance) que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas.

¨       Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos.

¨       Impondrán la obligación de informar de posibles riesgos e incumplimientos al Compliance Officer

¨       Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

¨       Realizarán una verificación periódica del modelo.

Estas actuaciones están orientadas a reducir y minimizar las probabilidades de que la organización no haya identificado correctamente dentro de sus procesos alguno que pudiera implicar el cumplimiento de normativa no controlada a priori.

Los programas de Compliance intentan prevenir alguna de las siguientes situaciones:

¨       Realice operaciones de venta a pérdidas o prestaciones de servicio por precio inferior a su coste de adquisición o producción

¨       Lleve doble contabilidad o incumpla en deber legal de llevar la contabilidad

¨       Participe en negocios especulativos contrario al deber de diligencia en la gestión de asuntos económicos

¨       Formule las cuentas anuales o los libros contables de un modo contrario a la normativa reguladora de la contabilidad mercantil

Este cumplimiento, pese a estar orientado a faltas o delitos administrativos, también puede ser extendido a otro tipo de líneas o procesos de la organización, como son los siguientes (aunque se extienden en muchas otras áreas):

¨       Daños Informáticos

¨       Contra la propiedad industrial o intelecual

¨       Blanqueo de capitales

¨       Contra la Hacienda Pública y SS

¨       Delitos medioambientales

·         ¿Cómo se previenen estas circunstancias?

Gracias a la estructura común con el resto de normativas, la UNE ISO 19600:2015 es fácilmente integrable con el resto de normas de sistemas de gestión, como 9001, 14001, etc.

Como decálogo para el éxito en la implementación de los programas de compliance se ofrecen las siguientes pautas:

1.  La identificación de procesos de la organización y los requisitos legales y normativos asociados a las mismas.
2. Identificación de riesgos y oportunidades de dichos procesos, mediante un estudio pormenorizado, efectuando evaluaciones de impacto en caso de ser necesario y proponiendo medidas que puedan gestionar dichos riesgos hasta niveles aceptables en la organización.
3. Estableciendo una cultura de compliance, a nivel de alta dirección y difundiendo y estableciendo las medidas pertinentes para implicar a todos los niveles de la organización.
4. Definiendo una estructura clara de roles y responsabilidades respecto al compliance.
5. Estableciendo unos objetivos realistas y medibles respecto de la Prevención de Delitos.
6. Concienciando y formando al personal, sobre todo al implicado o que pueda ser de relevancia para dichos procesos o con riesgo elevado de poder efectuar acciones no autorizadas (Responsables de Área, Financieros, Sistemas informáticos, etc.).
7. Desarrollando políticas de seguimiento, medición y control de los procesos respecto al Compliance, incluyendo garantías para procesos no controlados in-situ como pueden ser outsourcings, y extender las evaluaciones de riesgos a estos procesos externalizados.
8. Efectuando una correcta clasificación de la información y dotando de un eficaz sistema de autorizaciones y accesos a la información.
9. Revisando periódicamente la eficacia y eficiencia de dichos sistemas, incluyendo las actuaciones de administradores y consejo directivo.
10. Y este pese a no ser específico, sí que facilita la puesta en práctica de los programas de Compliance, el disponer de una herramienta que centralice la información, los mapas de procesos, la información relevante y permita tomar decisiones estratégicas de forma rápida y sencilla basadas en los objetivos e indicadores previamente definidos para conocer en todo momento cuál es el “verdadero” estado del cumplimiento de nuestro sistema de gestión del Compliance.