Las normas UNE-ISO recogen las directrices para un sistema de gestión de compliance en el ámbito corporativo y penal
Las normas UNE-ISO que recogen las directrices para un sistema de gestión de compliance son:
Norma UNE-ISO 37301: 2021
Denominada «Sistemas de gestión de Compliance», recoge directrices para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance en el ámbito corporativo.
De acuerdo con los estándares de referencia ISO, en relación con los sistemas de gestión, el sistema de compliance tiene que garantizar que la empresa cumpla con:
– la normativa;
– los códigos de la industria;
– los estándares de la organización;
– los estándares de buen gobierno corporativo;
– las mejores prácticas;
– la ética; y
– las expectativas de la comunidad en general.
Como primer paso para la adopción del sistema de cumplimiento, la norma ISO establece la necesidad de efectuar un análisis del contexto de la empresa u organización en el que se identifiquen los siguientes aspectos:
- los riesgos, en función de la actividad a la que se dedica la empresa u organización;
- la identificación de las obligaciones a cargo de la empresa, tanto las legales como las asumidas de forma voluntaria (códigos de buenas prácticas, procedimientos internos de control, etc), así como su actualización;
- las partes interesadas, esto es, a quiénes pueden afectar esos riesgos, como pueden ser los clientes, proveedores, empleados y colaboradores, organismos reguladores, etc.;
- las concretas medidas o mecanismos de control que se deben adoptar en función de los riesgos normativos y compromisos detectados y las personas afectadas por los mismos;
- el alcance territorial del sistema de compliance (a nivel nacional, europeo o en otros países).
El sistema de cumplimiento debe estar recogido en un instrumento que la norma ISO denomina «política de compliance», la cual debe estar basada en el principio de adaptación y mejora continua.
Esta política, que puede recogerse en un instrumento autónomo o ser parte integrante de un sistema más amplio de calidad de la empresa, ha de ser promovida por la alta dirección (administradores, altos directivos) y debe darse a conocer a todos los empleados y a quien pueda serle de aplicación (p.e., proveedores, clientes, etc). Es importante definir correctamente los roles y responsabilidades dentro del sistema, de forma que todos los sujetos pasivos identifiquen claramente sus deberes y obligaciones.
Norma UNE 19601: 2017
El desarrollo de esta norma, enfocada a los sistemas de gestión de compliance penal, incluye los estándares internacionales en materia de compliance y, concretamente, aquéllos reflejados en la norma ISO 19600:2014 de Sistemas de Gestión de Compliance.
La norma UNE determina, como núcleo de un sistema de prevención de riesgos penales, los siguientes elementos inexcusables:
– política de prevención y detección de riesgos penales;
– objetivos del sistema;
– procesos;
– procedimientos; y
– verificación de los anteriores.
Como primer paso, tanto la ISO como la UNE, para la adopción del sistema de cumplimiento, establecen la necesidad de efectuar un análisis del contexto de la empresa u organización en el que se identifiquen los siguientes aspectos:
a) tamaño, estructura y naturaleza de la organización, incluyendo sus compromisos legales;
b) partes interesadas, esto es, a quiénes pueden afectar esos riesgos, como pueden ser los clientes, proveedors, empleados y colaboradores, organismos reguladores, etc.;
c) evaluación de los riesgos, en función de la actividad a la que se dedica la empresa u organización;
d) medidas diseñadas para el control operacional que se deben adoptar en función de los riesgos detectados y las personas afectadas por los mismos.
Elementos comunes de los modelos de organización y gestión de riesgos penales
Son elementos comunes en de los modelos de organización y gestión de riesgos penales:
a) Política de Compliance Penal
Debe ser aprobada por el órgano de gobierno de la organización y reflejar la voluntad de la persona jurídica respecto de los objetivos en materia de cumplimiento penal, esto es, la prevención y detección de las conductas constitutivas de ilícitos penales.
b) Evaluación de riesgos penales
Deben detectarse los riesgos propios de la actividad de la empresa y efectuar análisis periódicamente con el fin determinar si se debe eliminar o añadir algún riesgo nuevo. Con carácter previo a la evaluación de los riesgos penales, debe realizarse un análisis de la naturaleza y el contexto en el que la persona jurídica desarrolla su actividad.
c) Compliance officer y Comité de Cumplimiento
Su cometido es el establecimiento de sistemas de verificación, control y auditoría del sistema. Sobre la independencia, señalar que no debe estar sometido a presiones por parte de la dirección de la empresa, se debe establecer una duración mínima razonable del cargo; star sometido a evaluación del desempeño: a cargo de órganos o personas neutrales; disponer de recursos suficientes para el ejercicio de sus funciones; y detallar en la relación contractual con el órgano de cumplimiento todos los aspectos identificados previamente.
El oficial de cumplimiento normativo puede con su actuación delictiva transferir la responsabilidad penal a la persona jurídica puesto que está incluido entre las personas que ostentan facultades de organización y control dentro de la misma.
d) Canal de denuncias
El art.31 bis.5.4º del Código Penal establece como requisito de eficacia de los Modelos de organización y gestión para la prevención de delitos, la imposición de «la obligación de informar de posibles riesgos e incumplimientos al órgano de cumplimiento».
Este requisito en la práctica se habilita a través de la disposición de un canal o sistema de denuncias corporativo.
e) Sensibilización y formación
Se trata de acciones formativas y de difusión que prevean:
- una explicación detallada de la configuración del modelo de gestión de riesgos penales y la obligación de cumplir con lo previsto en el mismo;
- la posible materialización de los riesgos penales identificados;
- la obligación de participar activamente en el modelo de gestión de riesgos penales y contribuir con el mismo;
- obligación de comunicar los incumplimientos de los que se tenga conocimiento e indicaciones sobre a quién comunicar y a través de qué herramientas.
f) Diligencia debida sobre los socios de negocio
Deben aplicarse medidas de diligencia debida sobre los diferentes socios de negocio, debiendo graduar las mismas según el perfil de los anteriores y la naturaleza de la relación que con aquellos se mantenga.
g) Verificación periódica
Se trata también de una exigencia del propio Código Penal.
