Libro- Sistema de gestión de compliance penal
29 Pages • 5,735 Words • PDF • 1 MB
Uploaded at 2021-09-24 10:20
This document was submitted by our user and they confirm that they have the consent to share it. Assuming that you are writer or own the copyright of this document, report to us by using this DMCA report button.
SISTEMA DE GESTIÓN DE COMPLIANCE PENAL AUTOR: JIMENA ALGUACIL
TABLA DE CONTENIDO 1. INTRODUCCIÓN................................................................................................................... 3 2. ANTECEDENTES.................................................................................................................... 4 3. SITUACIÓN ACTUAL EN LOS PRINCIPALES ORDENAMIENTOS...........................5 4. ELEMENTOS......................................................................................................................... 11 4.1. Liderazgo y cultura de compliance.................................................................. 12 4.2. Función de compliance....................................................................................... 14 4.3. Evaluación de riesgos.......................................................................................... 18 4.4. Políticas y controles............................................................................................. 19 4.5. Comunicación, formación y sensibilización.................................................. 21 4.6. Supervisión y verificación................................................................................... 23 4.7. Sistema disciplinario............................................................................................ 26 5. CONCLUSIÓN...................................................................................................................... 26
BIBLIOGRAFÍA......................................................................................................................... 29
2
1. INTRODUCCIÓN
La base sobre la que se asienta un sistema de gestión de compliance penal o programa de compliance de una organización se debe indicar en su política de compliance. Esta política debe ser aprobada por la dirección, declarando y anunciando, tanto interna como externamente, cuáles son los compromisos y los principios generales en materia de compliance de la organización, en línea con sus valores y estrategia. Como se observará, la UNE 19600, Sistema de Gestión de Compliance en su apartado 5.2.1, establece los contenidos que debe tener una política de compliance en una organización. Recuerda La política de compliance no es una política única, sino que debe ser apoyada por otras políticas, procedimientos y protocolos. Un programa de compliance es un documento detallado en el que se explica cómo se llevarán a cabo en la organización los compromisos y obligaciones que se han establecido en la política de compliance. El programa de compliance debe incluir un conjunto de elementos sin los cuales no sería posible desarrollar con eficacia los compromisos adquiridos.
OBJETICOS DE LA POLÍTICA DE CUMPLIMIENTO Identificar las principales áreas de cumplimiento. Identificar los mecanismos y procedimientos establecidos para prevenir, detectar y resolver las situaciones en que tengan lugar prácticas no éticas, antijurídicas o incumplimientos normativos en el desarrollo de la actividad.
3
PROCEDIMIENTOS DE LA FUNCIÓN DE CUMPLIMIENTO Ejemplo de competencias de la función de cumplimiento: Actualización del mapa de riesgos de cumplimiento. Asesoramiento a las distintas unidades de negocio y soporte. Gestión del proceso de autoevaluación periódica de cumplimiento. Gestión de aspectos relacionados con el código ético. Gestión de canales de comunicación de irregularidades. Promover planes de formación en materia de cumplimiento.
2. ANTECEDENTES Existen distintas guías publicadas por organismos nacionales e internacionales en las que se definen cuáles son los elementos esenciales que debe contener un Programa de Compliance.
Sentencing of organizations, federal sentencing guidelines (2012). Fue publicado por la United States Sentencing Commission y establece los ocho elementos esenciales que debe contener un Programa de Compliance para ser efectivo. A resource guide to the FCPA US foreign corrupt practices act (2012), publicado por la Criminal Division of the US Departament of Justice and the Enforcement Division of the US Securities and Exchange Commission, indica un total de diez marcas distintas para determinar si un programa de compliance es eficaz. Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing (section 9 of the bribery act 2010), publicado por el UK Ministery of Justice, desarrolla seis principios necesarios en los que se debe basar un programa de compliance eficaz. Good practice guidance on internal controls, ethics and compliance (2010), publicado por la OCDE Council, indica un total de doce buenas prácticas para asegurar un programa de compliance eficaz.
4
3. SITUACIÓN ACTUAL EN LOS PRINCIPALES ORDENAMIENTOS Se añade la normativa de cada uno de los países que contemplan la responsabilidad penal de la persona jurídica, se establecen los requisitos mínimos que deben contemplar los programas de compliance. A continuación, se mencionarán algunos ejemplos:
FRANCIA: Loi Sapin II
A. B.
C. D.
Tener un código de conducta integrado en el resto de las políticas internas de la compañía. El mismo no solo debe incluir normas éticas y de anticorrupción, sino ser el libro de cabecera de los empleados. Un canal de denuncias o Whistleblower Channel. Se introducen uno de los marcos de protección más fuertes. La ley expresamente exige que los denunciantes sean “personas desinteresadas y de buena fe” y que tengan conocimiento de primera mano de los hechos. Se garantiza su anonimato castigando con penas de multa y prisión a los divulgadores. A diferencia de lo que ocurre en Estados Unidos y España, la Ley Sapin II apoya financieramente, pero sin incentivo, a los denunciantes en una cantidad determinada por la autoridad independiente. Sin embargo, se exige que el denunciante agote la vía interna, comunicando los hechos a la empresa, permitiendo que esta reaccione rápidamente ante las acusaciones. Una vez agotada esta instancia, tendrá abierta la posibilidad de comunicarlo a la Agencia. Evaluaciones de riesgo de corrupción.
Diligencia en la selección de terceras partes tales como clientes, proveedores e intermediarios.
5
E. F. G. H.
Controles contables adecuados tanto interna como externamente.
Formación y capacitación a trabajadores en posición de riesgo alto.
Lista de sanciones disciplinarias.
Auditorías internas del programa.
ESPAÑA: Código Penal artículo 31 Bis El apartado quinto del artículo 31 bis enumera los requisitos que deben cumplir estos modelos de organización y gestión para operar como eximentes de la responsabilidad penal de la persona jurídica:
1. 2. 3. 4. 5. 6.
Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Impondrán la obligación de informar sobre posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones o cuando se produzcan cambios en la organización, 6
en la estructura de control o en la actividad desarrollada que los hagan necesarios. MÉXICO:
1.
Un diagnóstico de administración o prevención de riesgos penales actualizable periódicamente, según la naturaleza de las actividades organizacionales.
2.
Descripción y perfil del órgano permanente de control encargado expresamente del seguimiento, verificación y supervisión del cumplimiento normativo.
3.
Redactado con un lenguaje ordinario y común para todo el personal de la empresa, incluidos clientes y proveedores, comprensible para todos los niveles de puesto.
4. 5. 6. 7.
Un canal de denuncias internas y un debido sistema disciplinario (whistleblower), ya sea insourcing u outsourcing. Un programa para la debida selección y contratación de personal, acorde con la naturaleza y perfiles laborales, así como un plan de formación y capacitación constante y verificable. Palancas de control, supervisión y vigilancia a nivel de personas, data o información, procesos, subprocesos y del sistema organizacional u operacional en su conjunto. Un sistema de gestión de recursos financieros y materiales, es decir, un control de costos de cumplimiento regulatorio, reflejado, registrado o asentado en los estados financieros. Esto es fundamental, pues si no cuesta el compliance penal, se presume que es cosmético.
7
PERÚ: Artículo 17 de la ley N.° 30424
1. 2. 3. 4. 5.
Un encargado de prevención (oficial de cumplimiento) designado por el máximo órgano de administración de la persona jurídica y que ejerza sus funciones con autonomía. Identificación, evaluación y mitigación de riesgos para prevenir la comisión de delitos a través de la persona jurídica. Implementación de procedimientos de denuncia.
Difusión y capacitación periódica del modelo de prevención.
Evaluación y monitoreo continuo del modelo de prevención.
ARGENTINA: Artículo 23 de la ley N.° 27401 El Programa de Integridad deberá contener, conforme a las pautas establecidas en el segundo párrafo del artículo precedente, al menos los siguientes elementos:
A. B. C.
Un código de ética o de conducta o la existencia de políticas y procedimientos de integridad aplicables a todos los directores, administradores y empleados, independientemente del cargo o función ejercidos, que guíen la planificación y ejecución de sus tareas o labores de forma tal de prevenir la comisión de los delitos contemplados en esta ley. Reglas y procedimientos específicos para prevenir ilícitos en el ámbito de concursos y procesos licitatorios, en la ejecución de contratos administrativos o en cualquier otra interacción con el sector público. La realización de capacitaciones periódicas sobre el Programa de Integridad a directores, administradores y empleados.
8
Asimismo, también podrá contener los siguientes elementos: El análisis periódico de riesgos y la consecuente adaptación del programa de integridad; El apoyo visible e inequívoco al programa de integridad por parte de la alta dirección y gerencia; Los canales internos de denuncia de irregularidades, abiertos a terceros y adecuadamente difundidos; Una política de protección de denunciantes contra represalias; Un sistema de investigación interno que respete los derechos de los investigados e imponga sanciones efectivas a las violaciones del código de ética o conducta; Procedimientos que comprueben la integridad y trayectoria de terceros o socios de negocios, incluyendo proveedores, distribuidores, prestadores de servicios, agentes e intermediarios, al momento de contratar sus servicios durante la relación comercial; La debida diligencia durante los procesos de transformación societaria y adquisiciones, para la verificación de irregularidades, de hechos ilícitos o de la existencia de vulnerabilidades en las personas jurídicas involucradas; El monitoreo y evaluación continua de la efectividad del programa de integridad; Un responsable interno a cargo del desarrollo, coordinación y supervisión del Programa de Integridad; El cumplimiento de las exigencias reglamentarias que sobre estos programas dicten las respectivas autoridades del poder de policía nacional, provincial, municipal o comunal que rija la actividad de la persona jurídica.
CHILE: La ley N.° 20393 se encargó de contemplar determinados requisitos copulativos para entender que se está en presencia de un modelo de organización adecuado y que se han cumplido los deberes de organización y supervisión.
1. 2.
Designación del encargado de prevención;
Medios y facultades del encargado de prevención;
9
3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.
Reporte a la administración de la empresa;
Establecimiento de un sistema de prevención de delitos;
Protocolos, reglas y procedimientos específicos;
Procedimientos de administración de los recursos financieros;
Procedimientos de auditoría de los recursos financieros;
Obligaciones, prohibiciones y sanciones;
Código de ética;
Reglamento Interno de Orden, Higiene y Seguridad;
Inclusión de normativa en los contratos de trabajo;
Inclusión de normativa en los contratos con proveedores;
Sistema de denuncias;
10
14. 15.
Comunicación de normativa a todos los trabajadores;
Supervisión del modelo.
4. ELEMENTOS Los elementos esenciales que se considera que debe contener un programa de compliance son los que se observan en la siguiente figura.
Órganos de cumplimiento: Persona / personas responsables de coordinar y monitorizar las actividades de Compliance y reportar resultados a Dirección.
Procedimientos de gestión de cumplimiento: Conjunto de procesos y actividades a llevar a cabo por el órgano / órganos de cumplimiento en el desarrollo de sus responsabilidades.
Código ético:
Directrices y mecanismos de control:
Valores y principios de ética, integridad, legalidad y transparencia que deben guiar la conducta de todos los empleados y directivos.
Medidas implantadas para prevenir y detectar incidencias relacionadas con el cumplimiento de la regulación / normativa de aplicación.
Canal de denuncias y proceso de investigación:
Sistema disciplinario:
Mecanismos para detectar posibles conductas contrarias a la legislación / normativa interna aplicable, conocer sus causas y poder gestionarlas.
Medio a través del cual se sancionará la violación de los procedimientos y normativas internas implantadas en la Organización en caso de incumplimiento normativo.
Figura N.° 1: Elementos
11
1. Alcance función de cumplimiento
2. Diseño De la estructura organizativa de cumplimiento, modelo de funcionamiento, reporting y supervisión
3. Implantación Del modelo, comunicación, formación y utilización de herramientas
NUESTRA EXPERIENCIA NOS DICE QUE...
de cumplimiento es clave pare diseñar un modelo orientado a cumplir objetivos planteados. ....La coordinación entre las áreas permite aprovechar sinergias en materia de cumplimiento normativo.
....Una adecuada comunicación, formación y la utilización de herramientas es clave para asegurar el éxito del sistema de cumplimiento y de su posterior funcionamiento.
....EL SEGUIMIENTO CONTINUO Y BUEN
4. Supervisión
SISTEMA DE REPORTING A LA ALTA DIRECCIÓN y a las áreas responsables
es clave para evitar incumplimientos.
Vigilancia y seguimiento continuo
Figura N.° 2: Pasos
4.1. Liderazgo y cultura de Compliance El primer elemento indispensable para que cualquier Programa de Compliance sea eficaz, cualquiera sea el tamaño o las características de la organización, es que exista un compromiso y un apoyo firme explícito y visible de la alta dirección hacia Compliance, lo que en inglés se conoce como “tone from the top”. La alta dirección debe promover una cultura en la compañía en la que los incumplimientos no sean aceptables bajo ningún concepto. La cultura de Compliance es un concepto desarrollado, por ejemplo, en la mencionada norma UNE-ISO 19600 Sistemas de Gestión de Compliance en cuyo apartado 7.3.2.3 se indican los parámetros por los que se puede medir el grado de cultura de Compliance de una organización. El compromiso de la alta dirección debería manifestarse, por ejemplo, en la declaración formal, documentada y formulada por los administradores, en la que se manifieste su firme 12
compromiso en favor de los objetivos de compliance. Esta declaración debería hacerse pública, tanto dentro como fuera de la empresa, por ejemplo, en el código de conducta. Un código de conducta es tan solo el vehículo para facilitar la comunicación y la comprensión de políticas, normativas, valores de la organización a todos los niveles de la misma. La cuestión es que si no existe nada que comunicar o lo que se comunica no está fundamentado en un programa sólido de acciones y medidas, se vuelve un papel vacío y sin contenido.
1RA. LÍNEA DE DEFENSA
2DA. LÍNEA DE DEFENSA
3RA. LÍNEA DE DEFENSA
Funciones Operacionales
Otras funciones de aseguramiento
Función de supervisión
Negocio IT RRHH Financiera Comercial Contabilidad
Inversiones ALM ....
Función de Gestión de Riesgos
Auditoría Interna
Función de Cumplimiento
Figura N.° 3: Consejo de administración Figura N.° 4: Líneas de defensas
La dirección de cada función o departamento es responsable de instrumentar y poner en práctica la gestión de riesgos y los controles internos que garanticen el cumplimiento.
Asesorar a la organización para minimizar los riesgos legales, ofreciendo asesoramiento a otros departamentos y a los órganos de Gobierno sobre los requerimientos legales.
La función de cumplimiento es responsable de asegurar el cumplimiento normativo, de políticas y estándares.
a la organización sobre las políticas y procedimientos corporativos y riesgos de cumplimiento internos y externos. Supervisar el grado de cumplimiento y los gaps existentes en la organización. Realizar investigaciones sobre infracciones y todo aquello que viole los requisitos normativos / legales
Auditoría Interna es responsable de aportar un nivel de supervisión y aseguramiento objetivo y de asesoramiento en materia de buen gobierno, gestión de riesgos y cumplimiento.
Evaluación periódica sobre la independencia de los sistemas de gestión y control interno para asegurar el cumplimiento.
13
1ra. Línea de Defensa
2da. Línea de Defensa
3ra. Línea de Defensa
Consejo de administración
Consejo de administración
Consejo de administración Investigación de las denuncias recibidas a través del canal de denunicas y toma de decisiones de medidas disciplinarias
CEO Comité ejecutivo directivos operativos
Comité operativo de Compliance
- Gestión de riesgos de la empresa
- Presidido por el Chief
- Ejecución de las actividades de control
- Reporta al CEO
CEO Comité ejecutivo directivos operativos
- Implantación del sistema de control interno
CEO Comité ejecutivo directivos operativos
Depende de Reporta a
Figura N.° 5: Líneas de defensas
4.2. Función de Compliance Si bien Compliance afecta a todos los miembros de la organización y debe ser vista como una parte integral de sus actividades de negocio, la gestión del riesgo de Compliance siempre será más efectiva si cuenta con una función específica, con empleados especializados. En compañías con un determinado tamaño, sobre todo, es necesario que existan profesionales de alto nivel que tengan específicamente asignadas las responsabilidades relacionadas con el Programa de Compliance. Las prácticas internacionales recomiendan que se designe a un individuo como Compliance Officer, para que sea el punto de contacto para todas las actividades de Compliance de la organización. Para llevar a cabo correctamente las tareas asignadas, el Compliance Officer debe cumplir con los requisitos definidos en el apartado 3.1 del capítulo 3. Alternativamente, las empresas pueden tener un comité de Compliance multifuncional que coordine las funciones de Compliance de toda la organización. 14
Con carácter general, y sin entrar en particularidades, existen algunas preguntas básicas y comunes que se deben plantear: ¿Cómo se ha nombrado o designado? ¿Existe un acta de Junta de Socios o de la alta dirección que aprueba la posición de responsable sobre el cumplimiento, defina sus funciones y responsabilidades? ¿Cómo se protege la posición? ¿Cuál es la retribución en comparación con otros puestos directivos en la compañía? ¿Qué lugar ocupa en los organigramas habituales de la organización? ¿Cómo se garantiza libertad e independencia? ¿Se participa con regularidad en las reuniones de la alta dirección? ¿Se han asignado funciones que impliquen toma de decisiones? ¿Cómo se gestionan los posibles conflictos de intereses? En cuanto a los responsables, su clasificación varía en los siguientes términos:
co: cco: ceco:
Compliance Officer. Chief Compliance Officer. Chief Ethics and Compliance Officer.
15
En relación a los niveles de compliance, el nivel más complejo se encontraría en las superestructuras de compliance, entendidas estas como aquellas estructuras que, sobre una base piramidal, aglutinan diversas áreas de Compliance individual que son finalmente coordinadas y aglutinadas en un área de gestión centralizada.
Determinación de roles, funciones, comisiones, comités Políticas y normas Código de ética Antibribery & anticorrupción Políticas de cumplimiento Antitrust & competition
Enfoque basado en riesgos
Corporate Defense Políticas corporativas
Radar normativo
Gestión de riesgos
Regulación sectorial
Modelo de control
Control interno
Canal de denuncias
Modelo de transparencia
Régimen sancionador
Asesoría jurídica
Actividades de control
Supervisado por Auditoría Interna
Auditoría interna
Figura N.° 6: Chief Compliance Officer
Para el adecuado desempeño de su labor, el Compliance Officer necesita de los recursos que habrán de ser de índole: PERSONAL La labor de Compliance deberá contar con personal suficiente para su desempeño. Si bien la situación óptima es que exista un Compliance Officer dedicado en exclusiva a esta labor, ello no obsta a que, según el tipo de organización, pueda contar con colaboradores directos en el área o bien con otros colaboradores que compaginen la labor de Compliance con aquella otra propia que desempeñen en otras áreas de la compañía. 16
ECONÓMICA La labor de Compliance requiere contar con recursos económicos suficientes para realizar su labor. Así, será conveniente que cuente con un presupuesto independiente que deberá abarcar aquellos costes asociados con la función (por ejemplo: formación -tanto interna como externa-, contratación de bases de datos especializadas para la función, modificación de sistemas para implantar el componente de Compliance, asesoría externa, etc.). El presupuesto conviene que se gestione independientemente por el Director de Compliance, verificándose al final del ejercicio su empleo adecuado. Esta dotación de medios suficientes es una cuestión fundamental, pues es uno de los aspectos que eventualmente enjuiciará un Tribunal a la hora de valorar si la persona jurídica cuenta con un adecuado sistema de protección. En lo referente a la retribución del Compliance Officer, esta debe ser acorde con su responsabilidad (alta) y dar de esa manera señal de la valoración (alta) de la función dentro de la organización.
Asesoramiento de los procesos de comunicación y cumplimiento de Políticas corporativas. Seguimiento activo de la adaptación a los cambios en la Normativa y regulación externa.
riesgos para la implementación de acciones. Integración de todos los ámbitos del Compliance: fraude, blanqueo capitales, medioambiente, PRI. Interacción por parte de toda la organización.
Repositorio del sistema de gestión y seguimiento de los riesgos de cumplimiento Gestión y monitorización de actividades de control asociadas al sistema de cumplimiento normativo.
por parte de la organización. Seguimiento continuando del nivel de efectividad del sistema de Compliance. Automatización del reporting a los órganos de Gobierno.
Figura N.° 7: Herramientas de Compliance Management
17
4.3. Evaluación de riesgos Realizar una evaluación de riesgos correcta y adaptada a la organización es un elemento esencial para desarrollar un programa de compliance efectivo. Las empresas deben, necesariamente, analizar los riesgos específicos a los que se enfrentan, que varían en función de su tamaño, estructura, actividad, áreas geográficas, con objeto de asignar los recursos prioritariamente a las áreas que, en su caso concreto, conllevan un mayor riesgo. Las compañías solo tratan de identificar los riesgos de dentro hacia afuera, es decir, conductas que se podrían dar en el personal de la organización y podrían afectar o incidir a terceros, pero no se deben olvidar los riesgos de fuera hacia adentro, es decir, aquellas conductas promovidas por personal ajeno a la empresa, pero que podrían invocar conductas irregulares, cuestiones como la obtención de información protegida. Cabe tener en cuenta también la importancia del análisis del contexto, identificar las operaciones que realiza la organización y los riesgos, clientes y transacciones, alianzas, consorcios empresariales, compra de empresas, etc. En el análisis del riesgo, es necesario documentar toda una serie de aspectos referidos al por qué y al cómo de su elaboración. Es conveniente dejar constancia de cómo se llegó a las conclusiones finales puesto que, en caso contrario, puede darse el supuesto de que resulte necesario justificar el por qué se incluyeron unos riesgos y otros no y no poder argumentarlo puesto que quien en su día lo elaboró ya no está en la empresa o no recuerda el motivo dicha decisión. Se debería incorporar: Conclusión alcanzada respecto a cada riesgo (analizada desde la perspectiva de la probabilidad y del impacto). Determinación del autor de dicha conclusión (proveniente del análisis interno de un individuo o grupo de la organización o, por el contrario, obra de un asesor externo). El proceso seguido para alcanzar dicha conclusión. La determinación de los sujetos afectados por el riesgo.
18
MAPA DE RIESGOS DE CUMPLIMIENTO
Objetivos: - Conocer el universo que es de aplicación 5
a los principales riesgos estratégicos y de negocio - Coordinar las áreas para que la evaluación de los riesgos sea consistente y no haya solpamientos
2
8 1 4
3
7 6
DIMENSIONES Y PARÁMETROS DEL MAPA DE RIESGOS DE CUMPLIMIENTO
Ámbitos
Parámetros
Leve
Bajo / MedioA
lto
Grave
Impacto
1.
Falta de una constante revisión de las leyes y reglamentos aplicables.
2.
Contratos de riesgo y riesgo de incumplimiento de los términos y condiciones, y leyes y reglamentos.
Responsabilidad
País CAPTURA DATOS
Universo normativo
Periodicidad
Procesos de cambios normativos
Ejecución
Requerimientos
Corporativo / local
3.
Ámbitos U.N. / Área REPORTING INTERNO Comportamiento / Riesgo legal y/o cumplimiento
Seguimiento de actividades
Control interno HQ
Consolidación de información
Filial Negocio HQ
Reporting al consejo
Filial Automatizado
Ámbitos Materialidad / Impacto
reglamentos y políticas.
Indicadores de control
REPORTING EXTERNO
Parámetros
Administración pública Asesores externos Accionistas Otros
Interno / Externo
Responsabilidad Periodicidad Ejecución
4.
problemas de cumplimiento de leyes y cumplimientos.
5.
Contratos inapropiados con terceros.
6.
Falta de anticipación en procesos para la gestión de riesgos laborales.
7.
Aprobación no autorizada de los contratos.
8.
Etc.
Figura N.° 8: Mapa de riesgos de cumplimiento
4.4. Políticas y controles Políticas, procedimientos y controles internos bien documentados constituyen el cuarto elemento esencial que debe contener un programa de compliance. Una vez identificados y evaluados los riesgos, es necesario implementar controles para gestionarlos. Las políticas y los procedimientos internos, los procesos operativos, las circulares e instrucciones de trabajo y otros controles que se puedan implantar constituyen formas de gestionar los riesgos. 19
Todas las políticas y los procedimientos internos deben estar escritos en el idioma de trabajo de los empleados, deben estar redactados en un lenguaje claro y práctico y deben ser accesibles a todos. Los códigos de conducta de las empresas generalmente son los cimientos en los que se fundamenta un programa de compliance y contienen un compendio de las principales políticas y procedimientos internos que existen en la organización. Por su parte, el plan de controles implicará el establecimiento de acciones de control o controles con los objetivos de eliminar, mitigar, trasladar, vigilar y prevenir el riesgo. Este plan de control debe contemplar los controles mínimos que debería tener un programa de compliance, tales como el control contable y financiero, diligencia debida, relación con los socios de negocio, compromisos en materia de cumplimiento, establecimiento de canales de denuncia e investigación. La organización debería definir quién tiene la responsabilidad y la autoridad para aprobar la aplicación de los controles o su modificación. Los controles diseñados deben tener los criterios definidos y deben tener documentados una serie de indicadores: Cómo se espera que operen; Quién, cuándo y dónde se van a aplicar; Métrica de funcionamiento, aplicación y eficacia de cada control.
20
SISTEMA DE CONTROL INTERNO Y MODELO DE GOBIERNO Se deberá comprobar que se da cobertura a todos los delitos
Infraestructura de Control: para los aspectos desarrollados, se debe comprobar si dan respuesta a los uspuestos delicitivos contemplados en las leyes.
Mapa de riesgos de prevención de delitos Código de conducta Comisión de ética u órgano independiente Función compliance Canal de denuncias Régimen disciplinario Modelo de delegación de autoridad Políticas de prevención del fraude / anticorrupción Clausulas de contratos Planes de formación y comunicación
Defense File Controles para los aspectos desarrollados, se debe comprobar si dan respuesta a los supuestos delictivos contemplados en la reforma.
Proceso deOrden to Pay (incluye métodos de pago) Gestión de promociones y acuerdos comerciales Gestión de seguros Gestión de caja Gestión de poderes Gestión de marcas Seguridad IT Proceso de contratación personal Gestión de subvenciones y donaciones Gestión de PRI Gestión medioambiental Seguridad alimentaria
MODELO DE SUPERVISIÓN Y REPORTING DEL FUNCIONAMIENTO Actividades de supervisión y alertas de reporting
Figura N.° 9: Sistema de control interno y modelo de gobierno
4.5. Comunicación, formación y sensibilización Para garantizar que las políticas y procedimientos están realmente imbuidos en la empresa, es necesario que exista suficiente comunicación y formación sobre los preceptos que contienen, de forma que todas las personas afectada sepan en todo momento qué deben hacer y cómo lo tienen que hacer. Recuerda Las acciones de comunicación, formación y sensibilización son, por tanto, otro de los elementos esenciales de un programa de compliance. Los programas de formación y la forma en la que se difunden y se comunican las políticas y los procedimientos deben estar diseñados conforme a las características de las personas a las que se dirigen y los roles que se desempeñan. 21
La formación y sensibilización a los recursos humanos es básica y esencial, y requiere de un trabajo directo y estrecho con los departamentos de Recursos Humanos. Una de las grandes carencias es el tipo de formación que se imparte. Esto es porque es demasiado genérica y no ha sido diseñada a medida de la organización.
1.
Plan de formación
2.
Plan de comunicación
orientado a los responsables de cumplimiento y al personal clave.
los objetivos, actividades e implicaciones del modelo de cumplimiento.
¿Qué colectivos son clave para el sistema de cumplimientos? ¿Qué información deben recibir y con qué periocidad?
¿Quién deberá ser informado y cuándo sobre el avance de la implantanción del modelo de cumplimiento?
3.
Herramientas
Implantar herramientas para asegurar el conocimiento de la normativa aplicable y el seguimiento de las actividades de control.
¿Cómo aseguro el conocimiento de la normativa aplicable y su evaluación de impactos? ¿Cómo realizo la vigilancia continua de las actividades de control?
Figura N.° 10: Formación, comunicación y herramientas
22
Formar a los responsables de cumplimiento y aquellas personas clave para el funcionamiento del mismo, sobre el sistema, sus objetivos y modus operandi. Revisar y actualizar los planes de formación para asegurar que aquellos colectivos involucrados en el desarrollo de los controles preventivos y detectivos de cumplimiento cuentan con la información relevante para llevarlos a cabo correctamente.
Responsables cumplimiento
Unidades de negocio Unidades soporte
Control interno Gestión de riesgos
Auditoría interna
Componentes del modelo Actividades periódicas Monitorización del sistema Responsabilidades asociadas
Actividad de implantación Según necesidad (nuevas incoporaciones)
Requerimientos de las políticas y procedimientos relevantes Monitorización de procedimientos y controles Reporting hacia el responsable de cumplimiento
Actividad de implantación Formación continuada Según necesidad (nuevas incorporaciones)
Coordinación de actividades de gestión y control Reporting de los resultados de la evaluación de riesgos y funcionamiento de los controles Seguimiento coordinado de planes de acción
Actividad de implantación Según necesidad (nuevas incorporaciones)
Actividades de supervisión del modelo de cumplimiento Coordinación de actividades con el órgano de cumplimiento
Actividad de implantación Según necesidad (nuevas incorporaciones)
Figura N.° 11: Acciones de formación
4.6. Supervisión y verificación Revisar el programa de compliance ya que este debe ser monitorizado, evaluando la aplicación de los controles y periódicamente su efectividad, habilitando un canal ético de denuncias internas o externas mediante el cual se puedan comunicar prácticas o comportamientos irregulares en el seno de la empresa e investigar adecuadamente los hechos denunciados, corrigiendo y adaptando los controles cuando sea necesario. 23
Adicionalmente, es necesario realizar verificaciones periódicas del programa de compliance, y en todo caso, siempre que se vayan a producir cambios sustanciales en la organización con objeto de verificar si se han puesto de manifiesto infracciones relevantes de sus disposiciones, si se han producido novedades legislativas, pero, fundamentalmente, cambios en la compañía, estructura de control o actividad como expansión geográfica, apertura de una nueva línea de negocio, etc. El programa de compliance planteará una necesidad continua de revisión y mejora continua. Medir y evaluar un plan puede ser muy complicado si no se aborda de manera adecuada. Es necesario plantearse ciertos interrogantes: ¿Está funcionando el programa de compliance de acuerdo a lo esperado? ¿Se están aplicando las medidas de control con la intensidad esperada? ¿Están alcanzándose los objetivos establecidos para el período de supervisión? ¿Se está monitorizando el programa de compliance? En muchísimos casos, la organización no es capaz de aportar ninguna evidencia de revisión, supervisión o similar del programa de compliance en los últimos años ya que no se han realizado modificaciones, mejoras o cambios desde que se diseñó. Muchas veces la única evidencia formal es la formación periódica al personal. Es importante que el Compliance Officer informe periódicamente a la alta dirección y se actualicen los controles implementados.
24
1.1 Unidad de Negocio Unidad de negocio 1 Unidad de negocio 2 Unidad de negocio 3 1.2 Top riesgos Legal y reputación Privacidad y protección de información Seguridad y medioambiente
Cuadro de mando por actividad
Resumen global de unidades de negocio Legislación y regulación
Riesgo neto
Riesgo neto
Tendencia
Respuestas
Tendencia
Recibir reporte de KRI`s y tendencias de cumplimiento + planes de acción detallados
Políticas y procedimientos Comunicación Formación Reporte
100%
9
12
9
8
6
4
2
Unidad negocio 2
Unidad negocio 3
80%
Áreas de mejora potenciales versus el estándar Cumple con el estándar
6
60% 40%
12
20% 0%
Unidad negocio 1
Número de issues de revisiones de regulación Número de issues de auditoría interna Número de issues de autoevaluación
Figura N.° 12: Cuadro de mando de riesgos de cumplimiento
Mejora continua: Algunas herramientas permiten implantar KPI relacionados con las actividades de cumplimiento. Monitorización a distancia: Algunas herramientas permiten realizar una monitorización de los riesgos a distancia, así como comprobaciones de controles sin necesidad de realizar desplazamientos. Reporting: Los reportes deberán ser customizados de acuerdo con los requerimientos, y utilizados para monitorizar el programa de cumplimiento.
Mejora continua
Monitorización a distancia
Documentación
FUNCIONALIDADES CLAVE
Reporting de cumplimiento
Documentación: Es fundamental que las políticas y procedimientos estén disponibles para las unidades de negocio y funciones soporte.
Evaluación de riesgos
Evaluación de controles
Evaluación del riesgo: La evaluación de riesgos se iniciará desde la función de Cumplimiento (periódicamente) o desde el negocio (ad hoc). Las herramientas proporcionan información histórica. Evaluación de controles: La efectividad de los controles debe ser evaluada y monitorizada. Las documentaciones relevantes (evidencias) deberán ser guradas para poder ser revisadas con posterioridad.
Figura N.° 13: Funcionalidades clave 25
4.7. Sistema disciplinario Para que un programa de compliance sea aplicado de manera efectiva, es necesario que existan consecuencias para los incumplidores, y en su caso, que haya incentivos que favorezcan su cumplimiento. Por tanto, deberían existir medidas disciplinarias que castiguen a las personas que incumplan las políticas y procedimientos de la organización, de forma proporcionada a la infracción cometida, y que dichas medidas disciplinarias se apliquen adecuadamente en tiempo y forma. Paralelamente, sería oportuno que existan medidas de incentivo que fomenten y promuevan la observancia del programa de compliance por parte de las personas que están bajo su ámbito de aplicación, como contemplar los cumplimientos como medida positiva en las evaluaciones del rendimiento de los empleados y en el cómputo del bonus anual.
5. CONCLUSIÓN
¿Cuál es la estructura ideal de la función de cumpliento?
¿Nos tenemos que plantear un modelo centralizado o descentralizado por país o localización?
¿Cómo debe interactuar la función de cumplimiento con otras áreas?
¿Se están teniendo en cuenta posibles sinergias con otras áreas como legal y auditoría interna?
¿Se deben crear de cumplimiento dentro de la organización?
¿Existen duplicidades de funciones entre cumplimiento y otros departamentos?
¿Cómo puedo medir el valor que aporta la función de cumplimiento?
¿Qué reportes y comunicaciones necesito recibir de los distintos negocios y países?
Figura N.° 14: Cuestiones a las que debe responder un sistema integral de cumplimiento
26
FASES
Figura N.° 15: Fases
FUNCIONES Las funciones del compliance son las siguientes: La función de compliance debe cuidarse de que se incorporen en las políticas de la organización los aspectos de cumplimiento, en las descripciones de los puestos de trabajo, de organizar formación, mecanismos de reporte de compliance, etc. Identificar las obligaciones de compliance y trasladarlas en políticas, procedimientos y procesos. Integrar las obligaciones de compliance en las políticas, procedimientos y procesos existentes. Impartir u organizar formación recurrente de forma que los empleados relevantes dispongan de formación regular. Promover la inclusión de las responsabilidades de compliance en las descripciones de los puestos de trabajo y procesos de medición del rendimiento respecto del equipo directivo. Establecer un sistema de reporte de compliance y de mantenimiento de la documentación del mismo. 27
Desarrollar procesos para gestionar información como quejas o retroalimentación a través de canales de denuncia y otros mecanismos. Establecer indicadores de rendimiento para medir y seguir las conductas de compliance. Analizar las conductas de compliance para valorar la necesidad de acciones correctivas. Identificar los riesgos de compliance y gestionar aquellos riesgos que correspondan a terceras partes como agentes, distribuidores, consultores y contratistas.
28
BIBLIOGRAFÍA Código Penal. España, artículo 31 Bis. Ley N.° 20393. Chile. Ley N.° 27401. Argentina, artículo 23. Ley N.° 30424. Perú, artículo 17. UNE-ISO 19600. (2015). Sistemas de Gestión de Compliance.
29
TABLA DE CONTENIDO 1. INTRODUCCIÓN................................................................................................................... 3 2. ANTECEDENTES.................................................................................................................... 4 3. SITUACIÓN ACTUAL EN LOS PRINCIPALES ORDENAMIENTOS...........................5 4. ELEMENTOS......................................................................................................................... 11 4.1. Liderazgo y cultura de compliance.................................................................. 12 4.2. Función de compliance....................................................................................... 14 4.3. Evaluación de riesgos.......................................................................................... 18 4.4. Políticas y controles............................................................................................. 19 4.5. Comunicación, formación y sensibilización.................................................. 21 4.6. Supervisión y verificación................................................................................... 23 4.7. Sistema disciplinario............................................................................................ 26 5. CONCLUSIÓN...................................................................................................................... 26
BIBLIOGRAFÍA......................................................................................................................... 29
2
1. INTRODUCCIÓN
La base sobre la que se asienta un sistema de gestión de compliance penal o programa de compliance de una organización se debe indicar en su política de compliance. Esta política debe ser aprobada por la dirección, declarando y anunciando, tanto interna como externamente, cuáles son los compromisos y los principios generales en materia de compliance de la organización, en línea con sus valores y estrategia. Como se observará, la UNE 19600, Sistema de Gestión de Compliance en su apartado 5.2.1, establece los contenidos que debe tener una política de compliance en una organización. Recuerda La política de compliance no es una política única, sino que debe ser apoyada por otras políticas, procedimientos y protocolos. Un programa de compliance es un documento detallado en el que se explica cómo se llevarán a cabo en la organización los compromisos y obligaciones que se han establecido en la política de compliance. El programa de compliance debe incluir un conjunto de elementos sin los cuales no sería posible desarrollar con eficacia los compromisos adquiridos.
OBJETICOS DE LA POLÍTICA DE CUMPLIMIENTO Identificar las principales áreas de cumplimiento. Identificar los mecanismos y procedimientos establecidos para prevenir, detectar y resolver las situaciones en que tengan lugar prácticas no éticas, antijurídicas o incumplimientos normativos en el desarrollo de la actividad.
3
PROCEDIMIENTOS DE LA FUNCIÓN DE CUMPLIMIENTO Ejemplo de competencias de la función de cumplimiento: Actualización del mapa de riesgos de cumplimiento. Asesoramiento a las distintas unidades de negocio y soporte. Gestión del proceso de autoevaluación periódica de cumplimiento. Gestión de aspectos relacionados con el código ético. Gestión de canales de comunicación de irregularidades. Promover planes de formación en materia de cumplimiento.
2. ANTECEDENTES Existen distintas guías publicadas por organismos nacionales e internacionales en las que se definen cuáles son los elementos esenciales que debe contener un Programa de Compliance.
Sentencing of organizations, federal sentencing guidelines (2012). Fue publicado por la United States Sentencing Commission y establece los ocho elementos esenciales que debe contener un Programa de Compliance para ser efectivo. A resource guide to the FCPA US foreign corrupt practices act (2012), publicado por la Criminal Division of the US Departament of Justice and the Enforcement Division of the US Securities and Exchange Commission, indica un total de diez marcas distintas para determinar si un programa de compliance es eficaz. Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing (section 9 of the bribery act 2010), publicado por el UK Ministery of Justice, desarrolla seis principios necesarios en los que se debe basar un programa de compliance eficaz. Good practice guidance on internal controls, ethics and compliance (2010), publicado por la OCDE Council, indica un total de doce buenas prácticas para asegurar un programa de compliance eficaz.
4
3. SITUACIÓN ACTUAL EN LOS PRINCIPALES ORDENAMIENTOS Se añade la normativa de cada uno de los países que contemplan la responsabilidad penal de la persona jurídica, se establecen los requisitos mínimos que deben contemplar los programas de compliance. A continuación, se mencionarán algunos ejemplos:
FRANCIA: Loi Sapin II
A. B.
C. D.
Tener un código de conducta integrado en el resto de las políticas internas de la compañía. El mismo no solo debe incluir normas éticas y de anticorrupción, sino ser el libro de cabecera de los empleados. Un canal de denuncias o Whistleblower Channel. Se introducen uno de los marcos de protección más fuertes. La ley expresamente exige que los denunciantes sean “personas desinteresadas y de buena fe” y que tengan conocimiento de primera mano de los hechos. Se garantiza su anonimato castigando con penas de multa y prisión a los divulgadores. A diferencia de lo que ocurre en Estados Unidos y España, la Ley Sapin II apoya financieramente, pero sin incentivo, a los denunciantes en una cantidad determinada por la autoridad independiente. Sin embargo, se exige que el denunciante agote la vía interna, comunicando los hechos a la empresa, permitiendo que esta reaccione rápidamente ante las acusaciones. Una vez agotada esta instancia, tendrá abierta la posibilidad de comunicarlo a la Agencia. Evaluaciones de riesgo de corrupción.
Diligencia en la selección de terceras partes tales como clientes, proveedores e intermediarios.
5
E. F. G. H.
Controles contables adecuados tanto interna como externamente.
Formación y capacitación a trabajadores en posición de riesgo alto.
Lista de sanciones disciplinarias.
Auditorías internas del programa.
ESPAÑA: Código Penal artículo 31 Bis El apartado quinto del artículo 31 bis enumera los requisitos que deben cumplir estos modelos de organización y gestión para operar como eximentes de la responsabilidad penal de la persona jurídica:
1. 2. 3. 4. 5. 6.
Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Impondrán la obligación de informar sobre posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones o cuando se produzcan cambios en la organización, 6
en la estructura de control o en la actividad desarrollada que los hagan necesarios. MÉXICO:
1.
Un diagnóstico de administración o prevención de riesgos penales actualizable periódicamente, según la naturaleza de las actividades organizacionales.
2.
Descripción y perfil del órgano permanente de control encargado expresamente del seguimiento, verificación y supervisión del cumplimiento normativo.
3.
Redactado con un lenguaje ordinario y común para todo el personal de la empresa, incluidos clientes y proveedores, comprensible para todos los niveles de puesto.
4. 5. 6. 7.
Un canal de denuncias internas y un debido sistema disciplinario (whistleblower), ya sea insourcing u outsourcing. Un programa para la debida selección y contratación de personal, acorde con la naturaleza y perfiles laborales, así como un plan de formación y capacitación constante y verificable. Palancas de control, supervisión y vigilancia a nivel de personas, data o información, procesos, subprocesos y del sistema organizacional u operacional en su conjunto. Un sistema de gestión de recursos financieros y materiales, es decir, un control de costos de cumplimiento regulatorio, reflejado, registrado o asentado en los estados financieros. Esto es fundamental, pues si no cuesta el compliance penal, se presume que es cosmético.
7
PERÚ: Artículo 17 de la ley N.° 30424
1. 2. 3. 4. 5.
Un encargado de prevención (oficial de cumplimiento) designado por el máximo órgano de administración de la persona jurídica y que ejerza sus funciones con autonomía. Identificación, evaluación y mitigación de riesgos para prevenir la comisión de delitos a través de la persona jurídica. Implementación de procedimientos de denuncia.
Difusión y capacitación periódica del modelo de prevención.
Evaluación y monitoreo continuo del modelo de prevención.
ARGENTINA: Artículo 23 de la ley N.° 27401 El Programa de Integridad deberá contener, conforme a las pautas establecidas en el segundo párrafo del artículo precedente, al menos los siguientes elementos:
A. B. C.
Un código de ética o de conducta o la existencia de políticas y procedimientos de integridad aplicables a todos los directores, administradores y empleados, independientemente del cargo o función ejercidos, que guíen la planificación y ejecución de sus tareas o labores de forma tal de prevenir la comisión de los delitos contemplados en esta ley. Reglas y procedimientos específicos para prevenir ilícitos en el ámbito de concursos y procesos licitatorios, en la ejecución de contratos administrativos o en cualquier otra interacción con el sector público. La realización de capacitaciones periódicas sobre el Programa de Integridad a directores, administradores y empleados.
8
Asimismo, también podrá contener los siguientes elementos: El análisis periódico de riesgos y la consecuente adaptación del programa de integridad; El apoyo visible e inequívoco al programa de integridad por parte de la alta dirección y gerencia; Los canales internos de denuncia de irregularidades, abiertos a terceros y adecuadamente difundidos; Una política de protección de denunciantes contra represalias; Un sistema de investigación interno que respete los derechos de los investigados e imponga sanciones efectivas a las violaciones del código de ética o conducta; Procedimientos que comprueben la integridad y trayectoria de terceros o socios de negocios, incluyendo proveedores, distribuidores, prestadores de servicios, agentes e intermediarios, al momento de contratar sus servicios durante la relación comercial; La debida diligencia durante los procesos de transformación societaria y adquisiciones, para la verificación de irregularidades, de hechos ilícitos o de la existencia de vulnerabilidades en las personas jurídicas involucradas; El monitoreo y evaluación continua de la efectividad del programa de integridad; Un responsable interno a cargo del desarrollo, coordinación y supervisión del Programa de Integridad; El cumplimiento de las exigencias reglamentarias que sobre estos programas dicten las respectivas autoridades del poder de policía nacional, provincial, municipal o comunal que rija la actividad de la persona jurídica.
CHILE: La ley N.° 20393 se encargó de contemplar determinados requisitos copulativos para entender que se está en presencia de un modelo de organización adecuado y que se han cumplido los deberes de organización y supervisión.
1. 2.
Designación del encargado de prevención;
Medios y facultades del encargado de prevención;
9
3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.
Reporte a la administración de la empresa;
Establecimiento de un sistema de prevención de delitos;
Protocolos, reglas y procedimientos específicos;
Procedimientos de administración de los recursos financieros;
Procedimientos de auditoría de los recursos financieros;
Obligaciones, prohibiciones y sanciones;
Código de ética;
Reglamento Interno de Orden, Higiene y Seguridad;
Inclusión de normativa en los contratos de trabajo;
Inclusión de normativa en los contratos con proveedores;
Sistema de denuncias;
10
14. 15.
Comunicación de normativa a todos los trabajadores;
Supervisión del modelo.
4. ELEMENTOS Los elementos esenciales que se considera que debe contener un programa de compliance son los que se observan en la siguiente figura.
Órganos de cumplimiento: Persona / personas responsables de coordinar y monitorizar las actividades de Compliance y reportar resultados a Dirección.
Procedimientos de gestión de cumplimiento: Conjunto de procesos y actividades a llevar a cabo por el órgano / órganos de cumplimiento en el desarrollo de sus responsabilidades.
Código ético:
Directrices y mecanismos de control:
Valores y principios de ética, integridad, legalidad y transparencia que deben guiar la conducta de todos los empleados y directivos.
Medidas implantadas para prevenir y detectar incidencias relacionadas con el cumplimiento de la regulación / normativa de aplicación.
Canal de denuncias y proceso de investigación:
Sistema disciplinario:
Mecanismos para detectar posibles conductas contrarias a la legislación / normativa interna aplicable, conocer sus causas y poder gestionarlas.
Medio a través del cual se sancionará la violación de los procedimientos y normativas internas implantadas en la Organización en caso de incumplimiento normativo.
Figura N.° 1: Elementos
11
1. Alcance función de cumplimiento
2. Diseño De la estructura organizativa de cumplimiento, modelo de funcionamiento, reporting y supervisión
3. Implantación Del modelo, comunicación, formación y utilización de herramientas
NUESTRA EXPERIENCIA NOS DICE QUE...
de cumplimiento es clave pare diseñar un modelo orientado a cumplir objetivos planteados. ....La coordinación entre las áreas permite aprovechar sinergias en materia de cumplimiento normativo.
....Una adecuada comunicación, formación y la utilización de herramientas es clave para asegurar el éxito del sistema de cumplimiento y de su posterior funcionamiento.
....EL SEGUIMIENTO CONTINUO Y BUEN
4. Supervisión
SISTEMA DE REPORTING A LA ALTA DIRECCIÓN y a las áreas responsables
es clave para evitar incumplimientos.
Vigilancia y seguimiento continuo
Figura N.° 2: Pasos
4.1. Liderazgo y cultura de Compliance El primer elemento indispensable para que cualquier Programa de Compliance sea eficaz, cualquiera sea el tamaño o las características de la organización, es que exista un compromiso y un apoyo firme explícito y visible de la alta dirección hacia Compliance, lo que en inglés se conoce como “tone from the top”. La alta dirección debe promover una cultura en la compañía en la que los incumplimientos no sean aceptables bajo ningún concepto. La cultura de Compliance es un concepto desarrollado, por ejemplo, en la mencionada norma UNE-ISO 19600 Sistemas de Gestión de Compliance en cuyo apartado 7.3.2.3 se indican los parámetros por los que se puede medir el grado de cultura de Compliance de una organización. El compromiso de la alta dirección debería manifestarse, por ejemplo, en la declaración formal, documentada y formulada por los administradores, en la que se manifieste su firme 12
compromiso en favor de los objetivos de compliance. Esta declaración debería hacerse pública, tanto dentro como fuera de la empresa, por ejemplo, en el código de conducta. Un código de conducta es tan solo el vehículo para facilitar la comunicación y la comprensión de políticas, normativas, valores de la organización a todos los niveles de la misma. La cuestión es que si no existe nada que comunicar o lo que se comunica no está fundamentado en un programa sólido de acciones y medidas, se vuelve un papel vacío y sin contenido.
1RA. LÍNEA DE DEFENSA
2DA. LÍNEA DE DEFENSA
3RA. LÍNEA DE DEFENSA
Funciones Operacionales
Otras funciones de aseguramiento
Función de supervisión
Negocio IT RRHH Financiera Comercial Contabilidad
Inversiones ALM ....
Función de Gestión de Riesgos
Auditoría Interna
Función de Cumplimiento
Figura N.° 3: Consejo de administración Figura N.° 4: Líneas de defensas
La dirección de cada función o departamento es responsable de instrumentar y poner en práctica la gestión de riesgos y los controles internos que garanticen el cumplimiento.
Asesorar a la organización para minimizar los riesgos legales, ofreciendo asesoramiento a otros departamentos y a los órganos de Gobierno sobre los requerimientos legales.
La función de cumplimiento es responsable de asegurar el cumplimiento normativo, de políticas y estándares.
a la organización sobre las políticas y procedimientos corporativos y riesgos de cumplimiento internos y externos. Supervisar el grado de cumplimiento y los gaps existentes en la organización. Realizar investigaciones sobre infracciones y todo aquello que viole los requisitos normativos / legales
Auditoría Interna es responsable de aportar un nivel de supervisión y aseguramiento objetivo y de asesoramiento en materia de buen gobierno, gestión de riesgos y cumplimiento.
Evaluación periódica sobre la independencia de los sistemas de gestión y control interno para asegurar el cumplimiento.
13
1ra. Línea de Defensa
2da. Línea de Defensa
3ra. Línea de Defensa
Consejo de administración
Consejo de administración
Consejo de administración Investigación de las denuncias recibidas a través del canal de denunicas y toma de decisiones de medidas disciplinarias
CEO Comité ejecutivo directivos operativos
Comité operativo de Compliance
- Gestión de riesgos de la empresa
- Presidido por el Chief
- Ejecución de las actividades de control
- Reporta al CEO
CEO Comité ejecutivo directivos operativos
- Implantación del sistema de control interno
CEO Comité ejecutivo directivos operativos
Depende de Reporta a
Figura N.° 5: Líneas de defensas
4.2. Función de Compliance Si bien Compliance afecta a todos los miembros de la organización y debe ser vista como una parte integral de sus actividades de negocio, la gestión del riesgo de Compliance siempre será más efectiva si cuenta con una función específica, con empleados especializados. En compañías con un determinado tamaño, sobre todo, es necesario que existan profesionales de alto nivel que tengan específicamente asignadas las responsabilidades relacionadas con el Programa de Compliance. Las prácticas internacionales recomiendan que se designe a un individuo como Compliance Officer, para que sea el punto de contacto para todas las actividades de Compliance de la organización. Para llevar a cabo correctamente las tareas asignadas, el Compliance Officer debe cumplir con los requisitos definidos en el apartado 3.1 del capítulo 3. Alternativamente, las empresas pueden tener un comité de Compliance multifuncional que coordine las funciones de Compliance de toda la organización. 14
Con carácter general, y sin entrar en particularidades, existen algunas preguntas básicas y comunes que se deben plantear: ¿Cómo se ha nombrado o designado? ¿Existe un acta de Junta de Socios o de la alta dirección que aprueba la posición de responsable sobre el cumplimiento, defina sus funciones y responsabilidades? ¿Cómo se protege la posición? ¿Cuál es la retribución en comparación con otros puestos directivos en la compañía? ¿Qué lugar ocupa en los organigramas habituales de la organización? ¿Cómo se garantiza libertad e independencia? ¿Se participa con regularidad en las reuniones de la alta dirección? ¿Se han asignado funciones que impliquen toma de decisiones? ¿Cómo se gestionan los posibles conflictos de intereses? En cuanto a los responsables, su clasificación varía en los siguientes términos:
co: cco: ceco:
Compliance Officer. Chief Compliance Officer. Chief Ethics and Compliance Officer.
15
En relación a los niveles de compliance, el nivel más complejo se encontraría en las superestructuras de compliance, entendidas estas como aquellas estructuras que, sobre una base piramidal, aglutinan diversas áreas de Compliance individual que son finalmente coordinadas y aglutinadas en un área de gestión centralizada.
Determinación de roles, funciones, comisiones, comités Políticas y normas Código de ética Antibribery & anticorrupción Políticas de cumplimiento Antitrust & competition
Enfoque basado en riesgos
Corporate Defense Políticas corporativas
Radar normativo
Gestión de riesgos
Regulación sectorial
Modelo de control
Control interno
Canal de denuncias
Modelo de transparencia
Régimen sancionador
Asesoría jurídica
Actividades de control
Supervisado por Auditoría Interna
Auditoría interna
Figura N.° 6: Chief Compliance Officer
Para el adecuado desempeño de su labor, el Compliance Officer necesita de los recursos que habrán de ser de índole: PERSONAL La labor de Compliance deberá contar con personal suficiente para su desempeño. Si bien la situación óptima es que exista un Compliance Officer dedicado en exclusiva a esta labor, ello no obsta a que, según el tipo de organización, pueda contar con colaboradores directos en el área o bien con otros colaboradores que compaginen la labor de Compliance con aquella otra propia que desempeñen en otras áreas de la compañía. 16
ECONÓMICA La labor de Compliance requiere contar con recursos económicos suficientes para realizar su labor. Así, será conveniente que cuente con un presupuesto independiente que deberá abarcar aquellos costes asociados con la función (por ejemplo: formación -tanto interna como externa-, contratación de bases de datos especializadas para la función, modificación de sistemas para implantar el componente de Compliance, asesoría externa, etc.). El presupuesto conviene que se gestione independientemente por el Director de Compliance, verificándose al final del ejercicio su empleo adecuado. Esta dotación de medios suficientes es una cuestión fundamental, pues es uno de los aspectos que eventualmente enjuiciará un Tribunal a la hora de valorar si la persona jurídica cuenta con un adecuado sistema de protección. En lo referente a la retribución del Compliance Officer, esta debe ser acorde con su responsabilidad (alta) y dar de esa manera señal de la valoración (alta) de la función dentro de la organización.
Asesoramiento de los procesos de comunicación y cumplimiento de Políticas corporativas. Seguimiento activo de la adaptación a los cambios en la Normativa y regulación externa.
riesgos para la implementación de acciones. Integración de todos los ámbitos del Compliance: fraude, blanqueo capitales, medioambiente, PRI. Interacción por parte de toda la organización.
Repositorio del sistema de gestión y seguimiento de los riesgos de cumplimiento Gestión y monitorización de actividades de control asociadas al sistema de cumplimiento normativo.
por parte de la organización. Seguimiento continuando del nivel de efectividad del sistema de Compliance. Automatización del reporting a los órganos de Gobierno.
Figura N.° 7: Herramientas de Compliance Management
17
4.3. Evaluación de riesgos Realizar una evaluación de riesgos correcta y adaptada a la organización es un elemento esencial para desarrollar un programa de compliance efectivo. Las empresas deben, necesariamente, analizar los riesgos específicos a los que se enfrentan, que varían en función de su tamaño, estructura, actividad, áreas geográficas, con objeto de asignar los recursos prioritariamente a las áreas que, en su caso concreto, conllevan un mayor riesgo. Las compañías solo tratan de identificar los riesgos de dentro hacia afuera, es decir, conductas que se podrían dar en el personal de la organización y podrían afectar o incidir a terceros, pero no se deben olvidar los riesgos de fuera hacia adentro, es decir, aquellas conductas promovidas por personal ajeno a la empresa, pero que podrían invocar conductas irregulares, cuestiones como la obtención de información protegida. Cabe tener en cuenta también la importancia del análisis del contexto, identificar las operaciones que realiza la organización y los riesgos, clientes y transacciones, alianzas, consorcios empresariales, compra de empresas, etc. En el análisis del riesgo, es necesario documentar toda una serie de aspectos referidos al por qué y al cómo de su elaboración. Es conveniente dejar constancia de cómo se llegó a las conclusiones finales puesto que, en caso contrario, puede darse el supuesto de que resulte necesario justificar el por qué se incluyeron unos riesgos y otros no y no poder argumentarlo puesto que quien en su día lo elaboró ya no está en la empresa o no recuerda el motivo dicha decisión. Se debería incorporar: Conclusión alcanzada respecto a cada riesgo (analizada desde la perspectiva de la probabilidad y del impacto). Determinación del autor de dicha conclusión (proveniente del análisis interno de un individuo o grupo de la organización o, por el contrario, obra de un asesor externo). El proceso seguido para alcanzar dicha conclusión. La determinación de los sujetos afectados por el riesgo.
18
MAPA DE RIESGOS DE CUMPLIMIENTO
Objetivos: - Conocer el universo que es de aplicación 5
a los principales riesgos estratégicos y de negocio - Coordinar las áreas para que la evaluación de los riesgos sea consistente y no haya solpamientos
2
8 1 4
3
7 6
DIMENSIONES Y PARÁMETROS DEL MAPA DE RIESGOS DE CUMPLIMIENTO
Ámbitos
Parámetros
Leve
Bajo / MedioA
lto
Grave
Impacto
1.
Falta de una constante revisión de las leyes y reglamentos aplicables.
2.
Contratos de riesgo y riesgo de incumplimiento de los términos y condiciones, y leyes y reglamentos.
Responsabilidad
País CAPTURA DATOS
Universo normativo
Periodicidad
Procesos de cambios normativos
Ejecución
Requerimientos
Corporativo / local
3.
Ámbitos U.N. / Área REPORTING INTERNO Comportamiento / Riesgo legal y/o cumplimiento
Seguimiento de actividades
Control interno HQ
Consolidación de información
Filial Negocio HQ
Reporting al consejo
Filial Automatizado
Ámbitos Materialidad / Impacto
reglamentos y políticas.
Indicadores de control
REPORTING EXTERNO
Parámetros
Administración pública Asesores externos Accionistas Otros
Interno / Externo
Responsabilidad Periodicidad Ejecución
4.
problemas de cumplimiento de leyes y cumplimientos.
5.
Contratos inapropiados con terceros.
6.
Falta de anticipación en procesos para la gestión de riesgos laborales.
7.
Aprobación no autorizada de los contratos.
8.
Etc.
Figura N.° 8: Mapa de riesgos de cumplimiento
4.4. Políticas y controles Políticas, procedimientos y controles internos bien documentados constituyen el cuarto elemento esencial que debe contener un programa de compliance. Una vez identificados y evaluados los riesgos, es necesario implementar controles para gestionarlos. Las políticas y los procedimientos internos, los procesos operativos, las circulares e instrucciones de trabajo y otros controles que se puedan implantar constituyen formas de gestionar los riesgos. 19
Todas las políticas y los procedimientos internos deben estar escritos en el idioma de trabajo de los empleados, deben estar redactados en un lenguaje claro y práctico y deben ser accesibles a todos. Los códigos de conducta de las empresas generalmente son los cimientos en los que se fundamenta un programa de compliance y contienen un compendio de las principales políticas y procedimientos internos que existen en la organización. Por su parte, el plan de controles implicará el establecimiento de acciones de control o controles con los objetivos de eliminar, mitigar, trasladar, vigilar y prevenir el riesgo. Este plan de control debe contemplar los controles mínimos que debería tener un programa de compliance, tales como el control contable y financiero, diligencia debida, relación con los socios de negocio, compromisos en materia de cumplimiento, establecimiento de canales de denuncia e investigación. La organización debería definir quién tiene la responsabilidad y la autoridad para aprobar la aplicación de los controles o su modificación. Los controles diseñados deben tener los criterios definidos y deben tener documentados una serie de indicadores: Cómo se espera que operen; Quién, cuándo y dónde se van a aplicar; Métrica de funcionamiento, aplicación y eficacia de cada control.
20
SISTEMA DE CONTROL INTERNO Y MODELO DE GOBIERNO Se deberá comprobar que se da cobertura a todos los delitos
Infraestructura de Control: para los aspectos desarrollados, se debe comprobar si dan respuesta a los uspuestos delicitivos contemplados en las leyes.
Mapa de riesgos de prevención de delitos Código de conducta Comisión de ética u órgano independiente Función compliance Canal de denuncias Régimen disciplinario Modelo de delegación de autoridad Políticas de prevención del fraude / anticorrupción Clausulas de contratos Planes de formación y comunicación
Defense File Controles para los aspectos desarrollados, se debe comprobar si dan respuesta a los supuestos delictivos contemplados en la reforma.
Proceso deOrden to Pay (incluye métodos de pago) Gestión de promociones y acuerdos comerciales Gestión de seguros Gestión de caja Gestión de poderes Gestión de marcas Seguridad IT Proceso de contratación personal Gestión de subvenciones y donaciones Gestión de PRI Gestión medioambiental Seguridad alimentaria
MODELO DE SUPERVISIÓN Y REPORTING DEL FUNCIONAMIENTO Actividades de supervisión y alertas de reporting
Figura N.° 9: Sistema de control interno y modelo de gobierno
4.5. Comunicación, formación y sensibilización Para garantizar que las políticas y procedimientos están realmente imbuidos en la empresa, es necesario que exista suficiente comunicación y formación sobre los preceptos que contienen, de forma que todas las personas afectada sepan en todo momento qué deben hacer y cómo lo tienen que hacer. Recuerda Las acciones de comunicación, formación y sensibilización son, por tanto, otro de los elementos esenciales de un programa de compliance. Los programas de formación y la forma en la que se difunden y se comunican las políticas y los procedimientos deben estar diseñados conforme a las características de las personas a las que se dirigen y los roles que se desempeñan. 21
La formación y sensibilización a los recursos humanos es básica y esencial, y requiere de un trabajo directo y estrecho con los departamentos de Recursos Humanos. Una de las grandes carencias es el tipo de formación que se imparte. Esto es porque es demasiado genérica y no ha sido diseñada a medida de la organización.
1.
Plan de formación
2.
Plan de comunicación
orientado a los responsables de cumplimiento y al personal clave.
los objetivos, actividades e implicaciones del modelo de cumplimiento.
¿Qué colectivos son clave para el sistema de cumplimientos? ¿Qué información deben recibir y con qué periocidad?
¿Quién deberá ser informado y cuándo sobre el avance de la implantanción del modelo de cumplimiento?
3.
Herramientas
Implantar herramientas para asegurar el conocimiento de la normativa aplicable y el seguimiento de las actividades de control.
¿Cómo aseguro el conocimiento de la normativa aplicable y su evaluación de impactos? ¿Cómo realizo la vigilancia continua de las actividades de control?
Figura N.° 10: Formación, comunicación y herramientas
22
Formar a los responsables de cumplimiento y aquellas personas clave para el funcionamiento del mismo, sobre el sistema, sus objetivos y modus operandi. Revisar y actualizar los planes de formación para asegurar que aquellos colectivos involucrados en el desarrollo de los controles preventivos y detectivos de cumplimiento cuentan con la información relevante para llevarlos a cabo correctamente.
Responsables cumplimiento
Unidades de negocio Unidades soporte
Control interno Gestión de riesgos
Auditoría interna
Componentes del modelo Actividades periódicas Monitorización del sistema Responsabilidades asociadas
Actividad de implantación Según necesidad (nuevas incoporaciones)
Requerimientos de las políticas y procedimientos relevantes Monitorización de procedimientos y controles Reporting hacia el responsable de cumplimiento
Actividad de implantación Formación continuada Según necesidad (nuevas incorporaciones)
Coordinación de actividades de gestión y control Reporting de los resultados de la evaluación de riesgos y funcionamiento de los controles Seguimiento coordinado de planes de acción
Actividad de implantación Según necesidad (nuevas incorporaciones)
Actividades de supervisión del modelo de cumplimiento Coordinación de actividades con el órgano de cumplimiento
Actividad de implantación Según necesidad (nuevas incorporaciones)
Figura N.° 11: Acciones de formación
4.6. Supervisión y verificación Revisar el programa de compliance ya que este debe ser monitorizado, evaluando la aplicación de los controles y periódicamente su efectividad, habilitando un canal ético de denuncias internas o externas mediante el cual se puedan comunicar prácticas o comportamientos irregulares en el seno de la empresa e investigar adecuadamente los hechos denunciados, corrigiendo y adaptando los controles cuando sea necesario. 23
Adicionalmente, es necesario realizar verificaciones periódicas del programa de compliance, y en todo caso, siempre que se vayan a producir cambios sustanciales en la organización con objeto de verificar si se han puesto de manifiesto infracciones relevantes de sus disposiciones, si se han producido novedades legislativas, pero, fundamentalmente, cambios en la compañía, estructura de control o actividad como expansión geográfica, apertura de una nueva línea de negocio, etc. El programa de compliance planteará una necesidad continua de revisión y mejora continua. Medir y evaluar un plan puede ser muy complicado si no se aborda de manera adecuada. Es necesario plantearse ciertos interrogantes: ¿Está funcionando el programa de compliance de acuerdo a lo esperado? ¿Se están aplicando las medidas de control con la intensidad esperada? ¿Están alcanzándose los objetivos establecidos para el período de supervisión? ¿Se está monitorizando el programa de compliance? En muchísimos casos, la organización no es capaz de aportar ninguna evidencia de revisión, supervisión o similar del programa de compliance en los últimos años ya que no se han realizado modificaciones, mejoras o cambios desde que se diseñó. Muchas veces la única evidencia formal es la formación periódica al personal. Es importante que el Compliance Officer informe periódicamente a la alta dirección y se actualicen los controles implementados.
24
1.1 Unidad de Negocio Unidad de negocio 1 Unidad de negocio 2 Unidad de negocio 3 1.2 Top riesgos Legal y reputación Privacidad y protección de información Seguridad y medioambiente
Cuadro de mando por actividad
Resumen global de unidades de negocio Legislación y regulación
Riesgo neto
Riesgo neto
Tendencia
Respuestas
Tendencia
Recibir reporte de KRI`s y tendencias de cumplimiento + planes de acción detallados
Políticas y procedimientos Comunicación Formación Reporte
100%
9
12
9
8
6
4
2
Unidad negocio 2
Unidad negocio 3
80%
Áreas de mejora potenciales versus el estándar Cumple con el estándar
6
60% 40%
12
20% 0%
Unidad negocio 1
Número de issues de revisiones de regulación Número de issues de auditoría interna Número de issues de autoevaluación
Figura N.° 12: Cuadro de mando de riesgos de cumplimiento
Mejora continua: Algunas herramientas permiten implantar KPI relacionados con las actividades de cumplimiento. Monitorización a distancia: Algunas herramientas permiten realizar una monitorización de los riesgos a distancia, así como comprobaciones de controles sin necesidad de realizar desplazamientos. Reporting: Los reportes deberán ser customizados de acuerdo con los requerimientos, y utilizados para monitorizar el programa de cumplimiento.
Mejora continua
Monitorización a distancia
Documentación
FUNCIONALIDADES CLAVE
Reporting de cumplimiento
Documentación: Es fundamental que las políticas y procedimientos estén disponibles para las unidades de negocio y funciones soporte.
Evaluación de riesgos
Evaluación de controles
Evaluación del riesgo: La evaluación de riesgos se iniciará desde la función de Cumplimiento (periódicamente) o desde el negocio (ad hoc). Las herramientas proporcionan información histórica. Evaluación de controles: La efectividad de los controles debe ser evaluada y monitorizada. Las documentaciones relevantes (evidencias) deberán ser guradas para poder ser revisadas con posterioridad.
Figura N.° 13: Funcionalidades clave 25
4.7. Sistema disciplinario Para que un programa de compliance sea aplicado de manera efectiva, es necesario que existan consecuencias para los incumplidores, y en su caso, que haya incentivos que favorezcan su cumplimiento. Por tanto, deberían existir medidas disciplinarias que castiguen a las personas que incumplan las políticas y procedimientos de la organización, de forma proporcionada a la infracción cometida, y que dichas medidas disciplinarias se apliquen adecuadamente en tiempo y forma. Paralelamente, sería oportuno que existan medidas de incentivo que fomenten y promuevan la observancia del programa de compliance por parte de las personas que están bajo su ámbito de aplicación, como contemplar los cumplimientos como medida positiva en las evaluaciones del rendimiento de los empleados y en el cómputo del bonus anual.
5. CONCLUSIÓN
¿Cuál es la estructura ideal de la función de cumpliento?
¿Nos tenemos que plantear un modelo centralizado o descentralizado por país o localización?
¿Cómo debe interactuar la función de cumplimiento con otras áreas?
¿Se están teniendo en cuenta posibles sinergias con otras áreas como legal y auditoría interna?
¿Se deben crear de cumplimiento dentro de la organización?
¿Existen duplicidades de funciones entre cumplimiento y otros departamentos?
¿Cómo puedo medir el valor que aporta la función de cumplimiento?
¿Qué reportes y comunicaciones necesito recibir de los distintos negocios y países?
Figura N.° 14: Cuestiones a las que debe responder un sistema integral de cumplimiento
26
FASES
Figura N.° 15: Fases
FUNCIONES Las funciones del compliance son las siguientes: La función de compliance debe cuidarse de que se incorporen en las políticas de la organización los aspectos de cumplimiento, en las descripciones de los puestos de trabajo, de organizar formación, mecanismos de reporte de compliance, etc. Identificar las obligaciones de compliance y trasladarlas en políticas, procedimientos y procesos. Integrar las obligaciones de compliance en las políticas, procedimientos y procesos existentes. Impartir u organizar formación recurrente de forma que los empleados relevantes dispongan de formación regular. Promover la inclusión de las responsabilidades de compliance en las descripciones de los puestos de trabajo y procesos de medición del rendimiento respecto del equipo directivo. Establecer un sistema de reporte de compliance y de mantenimiento de la documentación del mismo. 27
Desarrollar procesos para gestionar información como quejas o retroalimentación a través de canales de denuncia y otros mecanismos. Establecer indicadores de rendimiento para medir y seguir las conductas de compliance. Analizar las conductas de compliance para valorar la necesidad de acciones correctivas. Identificar los riesgos de compliance y gestionar aquellos riesgos que correspondan a terceras partes como agentes, distribuidores, consultores y contratistas.
28
BIBLIOGRAFÍA Código Penal. España, artículo 31 Bis. Ley N.° 20393. Chile. Ley N.° 27401. Argentina, artículo 23. Ley N.° 30424. Perú, artículo 17. UNE-ISO 19600. (2015). Sistemas de Gestión de Compliance.
29
Related documents
Libro- Sistema de gestión de compliance penal
29 Pages • 5,735 Words • PDF • 1 MB
Sistema de numeración Maya.docx
4 Pages • 741 Words • PDF • 328.2 KB
sistema de aislamiento sísmico
5 Pages • 959 Words • PDF • 93.6 KB
Aula 27 - sistema de equacoes
6 Pages • 925 Words • PDF • 349.8 KB
1 Sistema de numeración 2020
3 Pages • 791 Words • PDF • 330.8 KB
Curso de Processo Penal - Renato Marcão - 2018
983 Pages • 535,278 Words • PDF • 6.3 MB
Processo Penal pdf
230 Pages • 149,242 Words • PDF • 23.8 MB
13.Sistema Decimal de Unidades
14 Pages • 359 Words • PDF • 216.6 KB
E-book 2 - Sistema Nacional de Transito
38 Pages • 7,846 Words • PDF • 1 MB
Explicación Plan de Compensación - Sistema Dorado
44 Pages • 1,429 Words • PDF • 1.9 MB
Ejercicios el sistema solar
18 Pages • 1,341 Words • PDF • 2.5 MB
Direito Processual Penal - Marcos Paulo- Aula 07- Ação Penal
7 Pages • 2,251 Words • PDF • 275.9 KB