Nos llegan un montón de consultas sobre Compliance Penal, intentaremos aclarar algunas de ellas, sin usar tecnicismos.
-
¿Qué es Compliance Penal?
Compliance significa Cumplimiento, es decir, Compliance se encarga de la supervisión del cumplimiento normativo dentro de una empresa. Concretamente, se dedica a supervisar todas las normativas que afecte a la empresa por su actividad, así como, revisa los procedimientos internos, como los utilizados con clientes, proveedores, empleados, etc..
Compliance no solo se fija en el cumplimiento de normativas, sino que va más allá, revisa el cumplimiento ético de la empresa, convirtiéndose en una de las partes fundamentales de defensa de la empresa.
Con un buen programa de Compliance, la empresa consigue prevenir multitud de conflictos, como pueden ser los delitos financieros, malas praxis o conducta, negligencia en leyes. Por ejemplo, en relación con la ley de protección de datos (RGPD y LOPDGDD)
Para que podamos tener un buen plan de Compliance debemos de ser capaces de coordinar los siguientes pasos.
- Identificación de riesgos, debemos reconocer a qué riesgos se puede enfrentar nuestra empresa.
- Prevención, considero que es el paso más importante, después de conocer los riesgos y establecer procedimientos para prevenir los riesgos detectados.
- Monitorización y detención, debemos estar constantemente monitorizando para poder detectar una vulnerabilidad que pueda producir un riesgo. De esta forma se puede quedar en una amenaza y no llegar a producirse el daño.
- Resolución, debemos tener previsión ante cualquier imprevisto que pueda suponer una amenaza o riesgo.
-
¿Por qué debo tener un modelo de Compliance Penal en mi empresa?
La Ley Orgánica 1/2015 por la que se modifica el Código Penal, incorpora, en su artículo 31 bis, un procedimiento de prevención de delitos, donde ahora la persona jurídica tiene responsabilidad penal, lo que antes de la reforma no ocurría.
Esto quiere decir, que la persona jurídica responderá por los delitos que se cometan en la organización, por los administradores, representantes legales, subordinados que actúen en beneficio de la empresa.
La ley permite exonerar de responsabilidad a las empresas que tengan un plan de Compliance, es decir, un plan que prevenga y detecte los posibles delitos.
Pero para que exista dicha exoneración se tiene que demostrar que tenemos un plan de Compliance real y no un Fake Compliance o un plan de prevención aparente e ineficaz. Por lo que, además de tener un programa de compliance, la empresa debe de cumplir los siguientes puntos:
- Ante la comisión de un posible delito ejecutar el programa de compliance eficientemente siguiendo unas medidas de vigilancia y monitorización pertinentes.
- Demostrar también que no hemos omitido o realizado un protocolo insuficiente de las medidas de prevención.
El cumplimiento de las obligaciones legales, morales, financieras, etc., tienen un valor incalculable dentro de las organizaciones, ya que evita riesgos y potencia la cultura empresarial. De esta forma se construyen procesos legítimos que harán de su empresa, una organización diferenciadora, aumentando la lealtad de sus empleados y la confianza de sus clientes. Del mismo modo, tener un modelo de Compliance en la empresa favorece la reputación de la entidad, ofreciendo así una imagen de transparencia, que a su vez se convierte en confianza para clientes, proveedores, empleados.
Por todo esto entendemos como obligación tener la máxima protección de nuestra empresa, evitando por todos los medios posibles la comisión de delitos. Por ende, es imprescindible que su empresa redacte e implante un buen plan de prevención, lo que es conocido como Compliance Penal.
-
¿Qué ocurre sino tengo un buen programa de Compliance en mi empresa?
Como explicaba en el punto anterior, el tener un buen plan de prevención de riesgos, puede exonerarle de responsabilidad penal si se comete un delito en su empresa, siempre que se haya adoptado un modelo de compliance y ejecutado antes de la comisión del delito.
Supongamos que se comete un delito, por parte de algunas personas físicas de su empresa, la responsabilidad no solo afectaría a las personas que supuestamente han cometido el delito, sino se extenderá a la propia empresa, ya que se entiende que la empresa es responsable por no haber prevenido esos actos.
El Código Penal tipifica como delito el incumplimiento de supervisión, vigilancia y control de la actividad por parte de una persona jurídica. Las condenas suelen ser económicas, si bien puede existir otras como incluso provocar la disolución de la misma dependiendo de la gravedad del delito cometido.
Lo que ocurre al no tener un plan de compliance penal, es que en el supuesto de que la persona jurídica sea condenada, los daños colaterales son enormes, desde la reputación hasta los económicos, podría perder la posibilidad de obtener financiación externa, perder la confianza de clientes y proveedores y el daño reputacional a su marca etc.
-
¿Qué es un Compliance Officer?
El uso de los anglicismos es muy frecuente, pero Compliance Officer quiere decir Oficial de Cumplimiento o Director de Cumplimiento normativo. El Compliance officer es, por tanto, la persona encargada de garantizar el cumplimiento normativo en la empresa.
La figura del Compliance Officer, está considerada como parte vital en la dirección de la empresa, por ser el garante del cumplimiento normativo, siendo parte en la toma de decisiones de la entidad para la que ejerce.
En nuestro país esta figura la importamos de países de habla inglesa, como un rol dentro de las empresas internacionales que estaban sujetas a cumplir con regulaciones extranjeras o en las políticas internas donde existía esta figura del Compliance Officer.
En la ley no se hace referencia al Compliance Officer, pero sí que establece la obligación de cumplir con el deber de supervisión y vigilancia, funciones propias de esta figura, siendo así una condición sine qua non para tener la exención de la responsabilidad penal en el caso de producirse un delito.
Algunas funciones del Compliance Officer son:
- Supervisión del correcto funcionamiento del protocolo de Compliance Penal.
- El plan de Compliance Penal debe ser conocido por los empleados/as, siendo el Compliance Officer el responsable de formar e informar a la plantilla de la empresa.
- La vigilancia y control de los posibles riesgos detectados en el mapa de riesgos.
- Revisión del modelo de Compliance Penal y su modificación.
- Será la persona encargada de gestionar el canal de denuncias o comunicaciones, así como llevar a cabo las investigaciones internas.
-
¿A quién puedo nombrar como Compliance Officer en mi empresa?
En este punto decir que esta función en grandes compañías se debe designar a un órgano con poderes autónomos, es decir, independiente de la empresa.
Cuando hablamos de las pequeñas empresas, que son las que presentan cuentas de pérdidas y ganancias, podrá designar que el administrador de la empresa sea el Compliance Officer.
Es muy importante tener en cuenta que la persona que ejerza esta función no puede hallarse en conflicto de intereses con la empresa.
-
¿Qué es un canal de denuncias/comunicación?
Es un canal, herramienta o protocolo que permite al personal de la empresa, como a clientes u otras personas, denunciar o alertar de una mala conducta por parte de la entidad.
Con esta herramienta se pretende detectar una mala conducta por parte de la empresa en la fase inicial de la misma, asimismo, reduce riesgos y crea confianza tanto entre la plantilla como con clientes y proveedores.
En cuanto a la reducción de riesgos hablamos de que consigue prevenir, que las personas cometan actos ilícitos o de fraude, corrupción, acoso, etc.
Se puede tener un canal de comunicación de muchas formas, pero personalmente opto por la digital, es decir, con un software de gestión. El motivo, es porque en primer lugar cumple con las denuncias anónimas, por ende, por un lado, cumplimos con la normativa vigente en protección de datos, en segundo lugar, el denunciante se encuentra más cómodo y por último la información es dotada de la máxima seguridad al estar informatizada, evitando el acceso no autorizados, por ejemplo.
Una vez que recibimos una queja, el usuario que la ha realizado tiene un seguimiento de su denuncia.
También es importante que toda la entidad sea informada de las medidas sancionadoras que tendrán las malas conductas, esto es importante como cultura de buenas prácticas de la empresa, evitando así el famoso ejemplo de la teoría de las ventanas rotas, que en resumen viene a decir, que si hay una mala acción y no hay consecuencias, se seguirán produciendo.
El denunciante siempre estará protegido ante represalias por parte de la empresa por denunciar una mala conducta de la organización.
-
¿Qué es un mapa de riesgos?
Un mapa de riesgos no es más que una forma de llamar a los riesgos detectados en un análisis de riegos que afectan a la actividad de la empresa.
Lo llamamos mapa porque en él se pueden ver de un solo vistazo, cuáles son los riesgos de la empresa y donde se puede medir la probabilidad de que se materialice el riesgo, así que cuanto mayor es la probabilidad mayor énfasis en prevenirlo.
En estadística utilizamos Riesgo=Probabilidad x Impacto.
El mapa de riesgos es la consecución de varios puntos, el inventario de los riesgos que afectan a la empresa, el responsable asignado para cada riesgo detectado, la probabilidad de que ocurra el incumplimiento o riesgo, el impacto que tendría el riesgo en caso de materializarse y el grado de tolerancia del riesgo.