Facebook SF Abogados Twitter SF Abogados Google + SF Abogados Linkedin SF Abogados
Facebook SF Abogados Twitter SF Abogados Google + SF Abogados Linkedin SF Abogados

  

  

Buscador

El certificado de 'compliance penal' obliga a las empresas a auditar su sistema anualmente, a partir del tercer año de implantación

Lejos de ser una foto fija o un examen puntual, el Código Penal exige que los programas de  compliance  -o planes de cumplimiento normativo y prevención de delitos- sean sistemas  vivos. Es decir, para garantizar su efectividad, éstos deben ser revisados periódicamente y adaptados tanto a las modificaciones normativas o como los cambios que pueda experimentar la empresa en su estructura, organización o actividad.

Compliance Penal

Para ello, el proyecto de la norma UNE 19601  Sistema de gestión de compliance penal, que contiene los criterios para certificar estos programas, impone la necesidad de realizar una auditoría anual para verificar su adecuación a los requisitos normativos y la eficacia de su implementación y cumplimiento.

Así, a pesar de que el certificado concedido por la Asociación Española de Normalización (UNE) tiene una validez de tres años, para mantenerlo, las organizaciones tendrán que examinar cada doce meses su sistema de  compliance.

El texto de la UNE 19601, adelantado ayer por  elEconomista, será publicado a finales de abril o principios de mayo. Tras superar su fase de consulta pública, no se prevé que la redacción final sufra cambios relevantes. La declaración de conformidad con la UNE 19601 no será posible si no se cumplen todos los elementos contenidos en ella.

Empresas, despachos y consultoras aguardan con expectación la publicación de los criterios contenidos en la UNE 19601.  La introducción en el Código Penal -artículo 31 bis- de la responsabilidad penal de las personas jurídicas por los delitos cometidos por sus empleados o directivos ha creado gran nerviosismo. Este documento debe aportar certidumbre y una guía para la exoneración o, al menos, la atenuación de la responsabilidad de las compañías.

Sistema y órgano autónomo

La norma impone a las organizaciones el deber de implementar, mantener y mejorar de forma continua un sistema de gestión (SG) de  compliance  y  la creación de un órgano de  compliance  con "poderes autónomos" para supervisar su funcionamiento y ejecución.

Tanto el SG como el órgano de  compliance  deben estar dotados de los recursos necesarios. De acuerdo con el texto, el concepto de recursos debe entenderse en sentido amplio: abarca, como mínimo, los financieros, los tecnológicos, los humanos y, si fuera necesario, el acceso a asesoramiento externo.

El sistema de gestión incluye cuatro áreas de actuación. En primer lugar, la identificación de los riesgos y la fijación de objetivos. En segundo término, determinará los procedimientos y controles para prevenir la comisión de delitos. En tercer lugar, el sistema se someterá a procesos de verificación sobre su eficacia -como la auditoría y el informe anual-. Finalmente, deberá prever mecanismos de reacción ante la detección de incumplimientos -sanciones- o de la falta de conformidad del SG con la normativa.

La auditoría interna busca comprobar la adecuación del sistema de gestión a la normativa y de la efectividad de aplicación.

Para garantizar la objetividad y la imparcialidad de las auditorías, la UNE dictamina que deben ser realizadas por un tercero independiente o por alguien de la propia organización -un empleado específicamente designado para ello o el órgano de  compliance-, siempre que no audite su propio trabajo.

Deberes de información

Además de la auditoría, la USO impone a las empresas el establecimiento de una serie de canales de información a través de los cuales el órgano de gobierno, la dirección y el órgano de  compliance  estén "correcta y puntualmente" informados sobre el funcionamiento del sistema, las mejoras implementadas o los posibles incumplimientos.

Dentro de este capítulo se incluye la elaboración de informes periódicos que deberán ser, como mínimo, de carácter anual. Estos documentos deberán contener, entre otros aspectos, cualquier materia relacionada con riesgos penales que haya sido requerida por un regulador o una autoridad -incluso judicial-; los cambios en las obligaciones de  compliance; número y detalle de las no conformidades con el programa; acciones correctivas; o los resultados de las auditorías y las actividades de seguimiento.

No obstante, las cuestiones "materialmente significativas" en relación con la materia que "surjan fuera de los periodos previstos para el informe periódico" deberán ser informadas de forma inmediata.

El resultado de todas las actividades de supervisión -tanto los informes como la auditoría- debe ser evaluado por el órgano de  compliance. Éste, a su vez, deberá informar a alta dirección, que deberá realizar una revisión periódica del sistema de gestión. Finalmente, el órgano de gobierno de la compañía también debe ser informado de los exámenes realizados por el órgano de  compliance  y la alta dirección.

La UNE 19601 requiere que cada una de las fases descritas sea documentada y que dicha información se conserve a efectos de poder demostrar el seguimiento de los procedimientos.

En el caso de que el órgano de gobierno, la alta dirección o el órgano de  compliance  deleguen su responsabilidad o su toma de decisiones en el ámbito del  compliance, deberán fijarse procedimientos y controles que garanticen que el proceso de decisión y el nivel de autoridad de los decisores "sean adecuados y estén libres de conflictos de interés reales o potenciales".

Filiales y socios

Las obligaciones de la organización en relación con la prevención de delitos van más allá de sus propias estructuras y personal, extendiéndose a las filiales y a los socios de negocio.

Así, en relación con las filiales, la empresa debe implantar procedimientos que garanticen que éstas adopten el sistema de gestión de  compliance  de la matriz o que adopten sus propios programas, adaptados a su actividad y entorno.

La organización, asimismo, debe vigilar a aquellas entidades con las que contrate a través de la evaluación de los sistemas de control que tengan desarrollados. En caso de que no los tuviera, la organización deberá requerirle su implementación. Si esto no fuera posible, este hecho deberá ser tenido en cuento en la evaluación del riesgo que conlleva desarrollar operaciones con ellas, "analizando las distintas opciones para evitarlo o gestionarlo".

Los controles que la organización requerirá a sus contrapartes, según el texto, deberán ser "razonables y proporcionales al riesgo". Por ejemplo, en el caso de un socio de negocio con una valoración de riesgo alta, puede exigirse la implantación de controles equivalentes a los contemplados en esta norma UNE. En caso de socios menos relevantes o con un riesgo menor, podrán reclamarse la implantación de unos controles mínimos como tener una política de prevención de delitos o un órgano de  compliance.

La UNE recomienda que los requerimientos se incluyan en la redacción del propio contrato.

La empresa no está obligada a verificar de forma absoluta el cumplimiento por parte de su socio de negocio de todos los requisitos expuestos, pero sí se le exige que se cerciore se cumplen "razonablemente".

Compatible con la norma antisoborno

La redacción de la UNE 19601 no se limita a establecer las exigencias contenidas en el Código Penal, sino va más allá e incorpora otras buenas prácticas mundialmente aceptadas e implantadas en el comercio internacional. Asimismo, resulta compatible con otros sistemas de gestión de cumplimiento normativo y prevención de delitos como son la UNE-ISO 19600  Sistemas de compliance  y la UNE-ISO 37001  Sistemas de gestión antisoborno.

La primera, que no es certificable al no contener requisitos, establece una guía de recomendaciones para los sistemas de  compliance. La segunda, publicada a finales de 2016 en inglés y cuya traducción al español -consensuada con todos los países hispanohablantes- estará disponible en los próximos meses, está diseñada para ayudar a las organizaciones a establecer procesos que ayuden a evitar el soborno. La UNE-ISO 37001 si será certificable y, aunque su carácter será voluntario, lo cierto es que es la previsión es que muchas empresas o Administraciones la exijan como garantía a la hora de llevar a cabo cualquier negocio o firma de contrato.

Periódico Digital El Economista