- Introducción
El 23 de diciembre de 2010 entró en vigor la reforma del Código Penal, por la Ley Orgánica 5/2010, de 22 de junio, a partir de entonces las personas jurídicas podrían ser declaradas responsables penales, bien por los delitos cometidos por sus representantes legales o administradores de hecho o de derecho, bien por los delitos cometidos por quienes, estando sometidos a la autoridad de los anteriores, hayan realizado esos mismos hechos por no haberse ejercido sobre ellos un control adecuado.
El riesgo de Compliance se puede definir, según estableció el Comité de Supervisión Bancaria de Basilea, como el riesgo de sanciones legales o regulatorias, pérdidas financieras o pérdida de la reputación que una organización puede sufrir como resultado del incumplimiento de las leyes, regulaciones, normas de autorregulación y códigos de conducta que se aplican a sus actividades. Por tanto, un sistema eficaz de Compliance debe dar cumplimiento a las obligaciones legales, principios, valores y normas de conducta que la propia sociedad ha establecido.
La función de Compliance es la encargada de que se fomente de forma eficaz el cumplimiento de las normas y la aplicación práctica de los principios y valores que la empresa haya adoptado y comunicado.
Que una organización cuente con un Sistema de Gestión de Compliance puede llegar a servir como eximente en caso de que se produzcan en la organización delitos en los que la persona jurídica pueda ser responsablemente penal.
Para crear un sistema completo de gestión de Compliance es importante tener un conocimiento profundo de la organización y su contexto, de tal forma que es necesario analizar los factores internos y externos que le afectan, siendo principalmente los que se detallan en el siguiente apartado.
- Ámbito personal de aplicación
Gobierno y estructura de la organización
Debemos conocer el proceso y las personas que toman las decisiones, analizando la estructura societaria y de propiedad (forma jurídica, órgano de administración, etc.), la estructura organizativa (nº empleados, organigrama, comités existentes, etc.)
Actividad de la organización
A este respecto, debemos entender bien la actividad de la organización; características de la actividad (actividades, productos, zonas de distribución, etc.), partes interesadas (accionistas, socios, proveedores, clientes, etc.), procesos operativos, actividades de riesgo y relaciones con la Administración Pública.
Normativa de aplicación
Se debe analizar el marco normativo, legislación vigente (leyes, guías y recomendaciones de supervisores, etc.), normas internas (códigos, políticas, manuales, etc.), y normas y estándares nacionales e internacionales.
3. Identificación de Riesgos
Una vez analizados los factores externos e internos de la organización debemos identificar, analizar y evaluar todos los riesgos que pueden afectar a la organización, siendo la base para la implantación de un correcto sistema de gestión de Compliance.
Existen dos tipos de riesgos; los inherentes (todos los riesgos que afectan una organización antes de que se establezca un control sobre ellos) y los residuales (aquellos riesgos que no son controlados eficazmente por las medidas existentes).
La organización periódicamente debe reevaluar los riesgos cuando existan circunstancias que lo justifiquen como pueden ser: nuevos productos o servicios, cambios normativos, cambios estructurales o de estrategia, incumplimientos de Compliance, etc.
4. Sistema de Gestión Compliance
Para que el sistema de gestión sea efectivo es necesario que la organización este concienciada con el logro de objetivos de Compliance; esto se consigue mediante:
a) Liderazgo y compromiso: Los órganos de gobierno y la alta dirección deben estar comprometidos con los objetivos de Compliance.
b) Política de Compliance: Debe establecer los principios generales en materia de Compliance teniendo en cuenta los factores externos e internos y los riesgos identificados en la organización.
c) Roles, responsabilidades y autoridades: Partiendo de la base de que cada organización es muy distinta de otra, son comunes las siguientes responsabilidades:
- Órgano de gobierno y alta dirección: deben verificar que se asignan y comunican a toda la organización las tareas y los responsables para llevar a cabo las principales funciones. El órgano de gobierno evaluará a la alta dirección si cumple los objetivos de Compliance y la alta dirección revisará el desempeño del Sistema de Gestión de Compliance.
- Función de compliance: es el encargado de implantar el Sistema de Gestión de Compliance supervisando su cumplimiento.
- La dirección: su objetivo fundamental es apoyar a la función de Compliance y fomentar que los empleados adopten una cultura de Compliance.
- Empleados: deben cumplir con las obligaciones, las políticas, los procesos y los procedimientos de compliance de la organización; informar cuando se tengan dudas o se produzcan fallos en cuestiones de Compliance y realizar la formación que la organización determine en esta materia.
d) Recursos: La organización debe contar con los recursos financieros, humanos y técnicos para el establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión del Compliance. Los recursos humanos que tengan asignadas funciones de Compliance deben contar con formación y experiencia contrastada en esta materia.
e) Formación: La organización debe proporcionar formación a sus empleados de forma regular desde su incorporación adecuándose a los roles del personal y a los riesgos que están expuestos; debiendo revisarse periódicamente cuando existan cambios sustanciales en la normativa interna o externa, estructura, procesos, etc.
f) Canal de denuncias: La organización debe implantar un Canal de denuncias que permita a empleados y terceros informar de infracciones potenciales, sospechosas o reales de la política o de las obligaciones de Compliance. El proceso debe ser confidencial, sin represalias, asesorar al denunciante en caso de necesitarlo y posibilitar las denuncias anónimas.
La eficacia de un Sistema de Gestión de Compliance se caracteriza por el hecho de tener la capacidad de mejorar y evolucionar continuamente pudiéndose adaptar a los cambios que se van produciendo en la organización.