El nuevo Código Penal permite la exención de la responsabilidad penal de las entidades tanto en los casos en que el delito se cometa por quienes tienen responsabilidades de organización y control o administradores, como si se lleva a cabo por empleados dependientes de aquellos, si por parte de la entidad, y antes de la comisión del delito se hubieran adoptado, modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos.

El modelo de organización y gestión al que la Ley se refiere, no es nada distinto de lo que entraña un Plan de Cumplimiento Normativo («Compliance Program») como el que recoge la norma ISO 19600:2015, pues los requisitos que el Código Penal considera esenciales para que pueda entenderse que dicho modelo existe, no son diferentes de los que la propia ISO19.600 contempla en sus » Sistemas de gestión de compliance. Directrices», que tal y como explica AENOR en su página son, contiene:

• Las directrices para implantar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genera respuesta por parte de la organización.
• Recomendaciones sobre los elementos con los que una organización debería contar para asegurar que cumple su política de compliance y que tiene capacidad para asumir sus obligaciones en este ámbito.
• Una explicación de la necesidad de actualizar la formación en materia de compliance, para aquellos profesionales involucrados en este campo cuando se produzcan cambios organizativos, legislativos o en los compromisos con los grupos de interés.
• Indicaciones sobre la integración del desempeño en compliance en la evaluación del desempeño de los empleados, o supervisión de los acuerdos de contratación externa para asegurarse de que recogen obligaciones en materia de compliance.

Con este último artículo cerramos la serie con la que hemos querido darte a conocer esta Norma, para que puedas empezar a promover su implantación en tu organización.

Os recordamos, con el esquema adjunto, cómo se desarrolla la norma, siguiendo la estructura de alto nivel (ANNEX SL):

El apartado 9 del “Sistemas de Gestión de Compliance” según la ISO 19600 es el dedicado a la “evaluación del desempeño”. Dentro del mismo encontramos a su vez tres elementos: seguimiento, medición, análisis y evaluación, auditoría interna y revisión por la dirección. Analicemos cada uno de ellos:

9.1  Seguimiento, medición, análisis y evaluación

Una prueba de la gran importancia que la norma otorga a este apartado es que dedica a explicar el mismo nada menos que 4 páginas de contenido.

Define seguimiento como el proceso de recoger información con el objetivo de evaluar la eficacia del sistema de gestión de compliance y el desempeño de compliance de la organización.

Dentro del seguimiento del desempeño típicamente se incluyen aspectos como:

• Incumplimientos y conatos
• seguimiento de objetivos
• Estado de la cultura de compliance
• Indicadores predictivos y reactivos tal como se definen en 9.1.6

Igualmente la norma detalla ejemplos de:

• Fuentes de opinión sobre el desempeño de compliance
• Métodos de recogida de información
• Análisis y clasificación de la información
• Desarrollo de indicadores

Este último aspecto de desarrollo de indicadores suele ser dificultoso de aplicar, por lo que la norma aporta ejemplos concretos tales como:

• Porcentaje de empleados a los que se ha impartido formación eficaz
• Utilización de mecanismos para obtener opiniones
• Tipos de acciones correctivas para los incumplimientos
• Incumplimiento identificados por tipo, área y frecuencia
• Consecuencias de los incumplimientos
• Tendencias de incumplimientos
• Etc.

Además, la norma otorga especial importancia a los informes de compliance, estableciendo que el órgano de gobierno, la Dirección y la función de compliance deberían asegurarse de estar correcta y puntualmente informados sobre el desempeño del sistema de gestión de compliance de la organización y de su adecuación continua. Detalla incluso que los contenidos de los informes de compliance pueden incluir:

• Cualquier materia sobre la que la organización deba notificar a la autoridad o regulador
• Cambios en las obligaciones de compliance
• Medidas de desempeño, incluyendo incumplimientos y mejora continua
• Acciones correctivas adoptadas
• Información sobre la eficacia del sistema de gestión de compliance
• Contactos con los reguladores
• Resultados de auditorías internas
• Etc.

9.2  Auditoría interna

Como en cualquier otro tipo de sistema de gestión, la organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca del funcionamiento real del sistema de gestión de compliance.

Lo que sí varía es la forma de llevar a cabo dichas auditorías ya que las metodologías de obtención de información están más relacionadas con las auditorías sociales que con las de calidad, medio ambiente o prevención.

9.3  Revisión por la dirección

De manera análoga a lo exigido en otros sistemas de gestión, la alta dirección debería revisar el sistema de gestión de compliance a intervalos planificados, para asegurarse de su idoneidad, adecuación y eficacia continuadas.

Las entradas y salidas de ese proceso de revisión se encuentran perfectamente definidas en la propia norma ISO 19600

Tal como se establece en la estructura de “alto nivel” de las normas de gestión ISO, el último apartado de las mismas es el de “mejora”. En el caso de la ISO 19600 dentro de este apartado encontramos a su vez dos subapartados: “no conformidades y acciones correctivas” y “mejora continua”.

Analicemos cada uno de ellos:

10.1  No conformidades y acciones correctivas

Lo primero que debe recordarse es que en la nueva estructura de “alto nivel” de las normas ISO de sistemas de gestión ya no existen como tales las denominadas “acciones preventivas”. O, mejor dicho, no es que no existan sino que al ser parte de todo el enfoque del sistema de gestión, están embebidas en  cada uno de los requisitos de la norma.

Por lo demás la norma simplemente establece que cuando ocurra una no conformidad, la organización debería:

• Tomar acciones para controlarla, corregirla y hacer frente a las consecuencias
• Evaluar la necesidad de acciones para eliminar las causas de la no conformidad
• Implementar cualquier acción necesaria
• Revisar la eficacia de las acciones correctivas tomadas
• Si es necesario, hacer cambios en el sistema de gestión de compliance

Además, como novedad dentro de este apartado, se establece que se debería adoptar y comunicar un proceso claro de información a niveles superiores, para asegurar que todos los incumplimientos se ponen de manifiesto, se reportan y eventualmente, se escalan a niveles relevantes de la dirección.

10.2  Mejora continua

Como en cualquier otro tipo de sistema de gestión, la organización debería mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de compliance.

Además, la información recogida, analizada y evaluada, e incluida en los informes de compliance, debería usarse como base para identificar las oportunidades de mejora del desempeño de compliance en la organización.

Como final de esta serie nos gustaría saber tu opinión sobre este sistema de gestión, así que no dudes en compartir con nosotros tus comentarios, y si quieres seguir estando al día sobre cómo los sistemas de gestión pueden ayudarte en la mejora de tu negocio en un entorno tan competitivo como en el que nos movemos hoy día, suscríbete a nuestro blog. ¡Nos vemos en la próxima entrada!