La herramienta esencial de todo sistema de gestión de compliance es la matriz de riesgos penales, en la que se deben encontrar identificadas, analizadas y evaluadas todas las actividades y situaciones en las que se podría producir una conducta poco ética o delictiva, por la que la empresa pudiera ser acusada penalmente.
Así pues, tener claras las actividades de la empresa en las que se pueden producir las posibles conductas delictivas por las que podría ser acusada la empresa es imprescindible, pues es la base para prevenirlas o evitarlas. Si sabemos que en el ámbito de una actividad empresarial se podría cometer un determinado delito, entonces el siguiente paso es poner las medidas necesarias para evitar que suceda.
A este respecto, las normas de referencia en el ámbito del compliance (UNE 19601 para sistemas de gestión de compliance penal e ISO 37001 para sistemas de gestión antisoborno) establecen que la organización debe disponer de las medidas de vigilancia y control idóneas para prevenir delitos o para reducir de forma significativa el riesgo de su comisión.
Tipos de medidas de controlen el ámbito del compliance
En las normas indicadas anteriormente se establecen los siguientes tipos de medidas de control:
- Controles financieros
- Controles no financieros
- Medias de diligencia debida interna
- Medias de diligencia debida externa
- Canales para la comunicación de irregularidades
A continuación, se muestran algunos ejemplos de cada uno de los tipos de controles.
Controles financieros
Permiten controlar los procesos de gestión de los recursos financieros de la organización, con el fin de asegurar la correcta aplicación y contabilización de dichos recursos.
Ejemplos de controles financieros:
- Controles enfocados a la prevención de delitos como: corrupción en los negocios, cohecho, financiación ilegal de partidos políticos, blanqueo de capitales, financiación del terrorismo.
- Autorización y control de tarjetas de crédito corporativas
- Revisión y autorización de gastos de viaje
- Justificación y autorización de gastos de representación
- Revisión y aprobación de facturas
- Control de pagos
- Controles enfocados a la prevención del fraude a la hacienda pública
- Asesoramiento externo en materia fiscal
- Calendario de obligaciones tributarias
- Controles enfocados a prevenir el incumplimiento o la falsedad de obligaciones contables y de forma general, todos los delitos indicados anteriormente.
- Auditoría de cuentas anuales
Controles no financieros
Permiten controlar procesos operativos y de soporte de la organización como: gestión comercial, operaciones de negocio, compras, marketing, sistemas de información, contratación y gestión de personas, innovación, etc., con el fin de prevenir posibles delitos como los que se indican a continuación.
Ejemplos de controles no financieros:
- Controles enfocados a la prevención de delitos como corrupción en los negocios, cohecho, financiación ilegal de partidos políticos, estafa, blanqueo de capitales, financiación del terrorismo.
- Requisitos para la homologación y aprobación de proveedores
- Requisitos para la solicitud, comparación y adjudicación de ofertas de proveedores
- Requisitos para la revisión y aprobación de ofertas a clientes
- Revisión y aprobación de campañas publicitarias
- Selección de donatarios y aprobación y control de donaciones
- Cláusulas contractuales en contratos con agentes comerciales, proveedores, etc.
- Controles enfocados a la prevención de delitos como insolvencia punible, frustración de la ejecución, contra los derechos de los trabajadores, tráfico de influencias.
- Control de ejecución de embargos a facturas de proveedores y de salarios de empleados
- Aprobación de la selección, contratación y control de alta en la seguridad social
- Controles enfocados a prevenir delitos contra la propiedad industrial e intelectual, de daños informáticos.
- Monitorización de software instalado en los ordenadores de la empresa
- Políticas para la identificación y autentificación de usuarios, la asignación de contraseñas, el uso del correo electrónico, el uso de Internet, y las aplicaciones informáticas
Medidas de diligencia debida interna
Permiten crear y mantener una cultura de cumplimiento en el seno de la organización.
Ejemplos de medidas de diligencia debida externa:
- Plan de acogida para nuevos trabajadores y plan de formación para el resto de los empleados incluyendo acciones de formación en materia de cumplimiento y comportamiento ético.
- Firma de aceptación del código de conducta y las políticas en materia de compliance por parte de los empleados.
- Firma de cláusulas de conflicto de intereses.
- Régimen disciplinar.
- Medidas reforzadas para personas que ocupan posiciones especialmente expuestas a determinados riesgos penales.
Medidas de diligencia debida externa
Permiten reforzar los controles para prevenir el riesgo penal con determinados socios de negocio
Ejemplos de medidas de diligencia debida externa:
- Análisis de información pública disponible sobre la organización externa y sus administradores.
- Informes de crédito y caución.
- Riesgo país.
- Declaración responsable de cumplimiento penal y antisoborno.
Canales para la comunicación de irregularidades
La medida consiste en la implantación de canales de comunicación accesibles, tanto para las personas de la organización como para terceros, a través de los cuales se puedan realizar consultas o denunciar hechos contrarios al código de conducta o a las políticas de compliance penal.
Adicionalmente, también se pueden considerar como medidas de control que previenen riesgos penales, los documentos en los que se establecen normas de conducta a la que debe ajustarse el comportamiento de las personas como, por ejemplo:
- Código Ético o de Conducta
- Política de conflicto de intereses
- Política anticorrupción
- Política de prevención de riesgos penales
Conclusiones
En consecuencia, podemos decir que las medidas de control de compliance son herramientas para prevenir o reducir al mínimo el riesgo de comisión de delitos penales en el seno de una empresa.
Una buena parte de dichas medidas son procedimientos y controles que “siempre” han existido para:
- Tratar de garantizar que los procesos se lleven a cabo de una forma normalizada y para conseguir unos estándares de calidad aceptables.
- Asegurar el cumplimiento con la legislación en diferentes ámbitos (contable, fiscal, laboral, ambiental, seguridad y salud en el trabajo, etc.)
Sin embargo, otra parte de las medidas de control están, como hemos visto, enfocadas de forma específica a formar y concienciar a las personas para crear una cultura de cumplimiento y evitar comportamientos o conductas delictivas.
Una combinación adecuada de todas estas medidas y un eficiente control de su correcta aplicación, por medio de auditorías o de inspecciones, son una de las claves para mantener la imagen y la reputación de la empresa, reduciendo al mínimo el riesgo de que alguien pueda eludir las normas, en cuyo caso la organización podría ser acusada penalmente.
José Luis Villa Martínez
Gerente de Riesgos y Compliance