por HAZA CT | 15/01/16 | Sistemas de Gestión
Siguiendo con la serie de entradas relacionadas con la Norma ISO 19600, esta semana queremos hablarte de los Riesgos en procesos externalizados en Sistema de Gestión de Compliance.
Dentro de los sistemas de gestión de cumplimiento (o “compliance”), cuando una organización está identificando sus riesgos de cumplimiento debe valorar todas sus actividades, productos y servicios. Ello implica considerar procesos externalizados entre los que se encuentran típicamente algunos como:
- Transporte / distribución
- Suministro de materias primas
- Gestión comercial
- Gestión de RRHH
- Asesoría jurídica / administrativa
- Gestión informática
- Auditorías financieras
- Etc.
El análisis y control de los riesgos penales de estas actividades puede suponerte una de las mayores pesadillas en la implantación de los sistemas de gestión de Cumplimiento. En la norma ISO 19600, que algunos utilizan como referencia estos aspectos se incluyen en el apartado 8.3. (Conoce a fondo la Norma ISO 19600 y evita los delitos derivados de la RSC (4ª parte). Sistemas de gestión de compliance)
En relación con los subcontratistas y proveedores… ¿Hasta dónde alcanza nuestra responsabilidad legal? ¿Hasta dónde los riesgos empresariales?. No es sencillo de valorar.
Además, el nivel de autoridad y control que podemos tener sobre otras organizaciones suele ser limitado y las cadenas de proveedores / subcontratistas son a veces tan largas que suponen una caja de sorpresas cuando nos ponemos a indagar a fondo (sorpresas en ocasiones “desagradables”).
Suponte, por ejemplo, que has identificado como significativos riesgos de “compliance” en la red de representantes comerciales de tu empresa, y que dicha red la tenéis subcontratada (externalizados), ¿Cómo los controlas?
Tienes muchas alternativas:
- Introducir las obligaciones de compliance en las cláusulas contractuales.
- Establecer un código concreto de comportamiento para proveedores o más específicamente para representantes comerciales.
- Formar a los representantes comerciales en aspectos de compliance.
- Establecer canales de denuncia confidenciales.
- Implantar procesos de auditoría, aunque tiene unos costes que no todas las organizaciones están dispuestas a asumir.
- Adaptar técnicas de “mystery shopping” a nuestras necesidades.
- Etc.
No se trata de establecer a priori una determinada metodología sino de entender que no es necesario matar moscas a cañonazos, y que en función del nivel de riesgo puedes combinar varias de estas técnicas para alcanzar una confianza “razonable” en el cumplimiento de las medidas establecidas dentro de tu sistema de gestión de cumplimiento.
Dinos si te resulta útil esta información, y cuéntanos tus experiencias en la implantación de un Sistema de Gestión de Cumplimiento (Compliance).
Si te ha gustado, no seas egoísta, compártelo!
por HAZA CT | 07/01/16 | Sistemas de Gestión
La Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, introduce la responsabilidad penal de las personas jurídicas de manera que estas podrán ser “penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”.
Son estos controles los que han generado la necesidad de implantar sistemas que verifiquen el cumplimiento normativo en las entidades. La verdad, es que se detecta en el ambiente bastante confusión en cuanto a las posibles metodologías a utilizar para definir e implantar un Sistema de Gestión de Cumplimiento (Compliance). No nos engañemos. Independientemente de que se use o no un referencial como marco del mismo (ISO 19600 sería el más habitual) y de las discusiones jurídicas sobre el nivel de aceptación por parte de los jueces en relación con el nuevo código penal, al final, la base del sistema será siempre, en nuestra opinión, algo similar a esto:

Parece sencillo pero en cada una de estas etapas pueden surgir dificultades prácticas que debemos abordar, vamos a verlo un poco más despacio:
1. Determinación del alcance
Es crítico definir claramente las actividades a incluir, así como el alcance geográfico del sistema.
En la determinación del alcance, dos errores típicos son los de excluir actividades subcontratadas o, por el contrario, incluir aspectos sobre los que no se tiene ningún control real.
2. Identificación y evaluación de riesgos
La evaluación de riesgos es un proceso laborioso, pero es la base del resto del sistema. Han de considerarse las opiniones de las partes interesadas, los incidentes previos, los datos sectoriales, el tipo de actividad, el entorno y los riesgos indirectos. La evaluación debe revisarse a intervalos determinados.
Aplica el sentido común. ¿Qué puede ocurrir? ¿En relación con qué delitos? ¿Qué consecuencias tendría? ¿Qué ha ocurrido ya en mi entorno?. No olvides los riesgos indirectos ni tampoco que el proceso debe actualizarse en función de las circunstancias.
3. Control de riesgos
Para cada uno de los riesgos identificados y evaluados como significativos, deben establecerse medidas concretas de control (de diferente nivel de exigencia en función de la evaluación realizada). Ello implica establecer, a veces, procedimientos escritos (dependiendo mucho del tamaño y estructura de la organización)
4. Difusión
Las medidas establecidas deben difundirse, y explicarse, y deben establecerse canales de comunicación adecuados de denuncia.
De nada sirve establecer medidas de control si no se explican a todos los afectados. Dedica tiempo y recursos suficientes para ello. Muestra además un compromiso gerencial “contundente”. En caso contrario…resultará difícil su aplicación real.
5. Control y seguimiento
El control no puede ser sólo reactivo, por lo que se requieren inspecciones o auditorías internas periódicas. Además debe formalizarse cómo actuar en caso de incidencia
El “control y seguimiento” es punto débil de la mayoría de los sistemas. ¿De qué sirven los procesos de control establecidos si no se hace seguimiento serio de su funcionamiento?. Controles, inspecciones, canales de denuncia, indicadores, auditorías internas o externas. Todo es necesario si se quiere evitar que el sistema sea puramente “virtual”.
6. Revisión del sistema y mejora continua
La Gerencia debe revisar periódicamente de manera formal el funcionamiento del sistema y proponer mejoras.
Un buen sistema puede quedar anticuado en poco tiempo en función de muchos parámetros tales como: cambios legales, cambios de actividad o entorno geográfico, cambios tecnológicos, incidentes reales ocurridos en el sector, etc. Actualiza y mejora tu sistema de modo continuo o puede pasar a ser “papel mojado” en no mucho tiempo.
Una última sugerencia, empieza por algo sencillo, práctico y manejable. Y enfócate a lo realmente importante para tu empresa desde el punto de vista de los riesgos penales y el “cumplimiento”. No dilapides recursos en aspectos que no lo merecen.
Dinos si te resulta útil esta información, y cuéntanos tus experiencias en la implantación de un Sistema de Gestión de Cumplimiento (Compliance).
Si te ha gustado, no seas egoísta, compártelo!
por HAZA CT | 14/08/15 | Responsabilidad social y gobierno corporativo, Sistemas de Gestión
El nuevo Código Penal permite la exención de la responsabilidad penal de las entidades tanto en los casos en que el delito se cometa por quienes tienen responsabilidades de organización y control o administradores, como si se lleva a cabo por empleados dependientes de aquellos, si por parte de la entidad, y antes de la comisión del delito se hubieran adoptado, modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos.
(más…)
por HAZA CT | 07/08/15 | Responsabilidad social y gobierno corporativo, Sistemas de Gestión
El Cumplimiento Normativo o Compliance es la capacidad que tiene una organización, para mostrar su capacidad de identificar, prevenir y gestionar sus riesgos legales.
La Organización Internacional de Normalización (ISO) ha publicado la Norma ISO 19600 ‘Sistemas de gestión de compliance. Directrices’, que recoge recomendaciones y buenas prácticas para ayudar a las organizaciones a desarrollar un sistema de gestión que les permita identificar, controlar y cumplir con los requisitos legales que le aplican y con otros voluntarios, como códigos de gobierno corporativo. Este es el cuarto post, de una serie de 5 , en los que desgranamos la norma ISO 19600, para que te sea más fácil comprenderla e implantarla en tu organización.
Una vez establecido el “Liderazgo” dentro de la ISO 19600 de “Sistemas de Gestión de Compliance” debemos abordar los apartados de Planificación y Apoyo; así como el de Operación.

Analicemos cada uno de ellos:
6 Planificación
La verdad es que dentro de este apartado no hay nada especialmente difícil de entender aunque su aplicación práctica sí pueda ser comprometida en función del tamaño y características de la Organización.
En primer lugar se especifica que se deben planificar acciones para tratar todos los riesgos y oportunidades que se identificaron y valoraron siguiendo los requisitos del apartado 4. Proceso muy similar al que aplicaríamos desde el punto de vista ambiental siguiendo la ISO 14001 o desde el punto de vista de Seguridad e Higiene siguiendo la OHSAS 18001.
Igualmente se dice que se deben establecer objetivos de compliance en las funciones y niveles pertinentes. Con pura lógica la norma establece que debe determinarse:
- Qué se va a hacer
- Qué recursos se requerirán
- Quién será responsable
- Cuándo se finalizará
- Cómo se evaluarán los resultados
7 Apoyo
Dentro de este apartado tenemos a su vez: recursos, competencia y formación, toma de conciencia, comunicación e información documentada.
7.1 Recursos
Simplemente menciona básicamente que la organización debe determinar y proporcionar los recursos necesarios para el establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora continua del sistema de gestión de compliance, de acuerdo con su tamaño, complejidad, estructura y operaciones.
7.2 Competencia y formación
No hay nada en este apartado que sea diferente conceptualmente a lo exigido por otras normas. Simplemente deben determinarse los niveles de competencia y formación necesarios para cada empleado y establecer la sistemática para llevarla a cabo y evaluarla.
7.3 Toma de conciencia
Es un apartado especialmente importante para el correcto funcionamiento del sistema y prueba de ello es que la norma le dedica a ello casi 2 páginas.
Viene a decir que si las personas que trabajan en la organización no son conscientes de la política de compliance, de su importancia en el sistema de gestión de compliance y de las implicaciones de no cumplir los requisitos, el sistema jamás podrá funcionar correctamente.
Además especifica que la alta dirección tiene una responsabilidad crucial a la hora de que todos tomen conciencia de la importancia de la cultura de compliance dentro de la organización. Se detallan numerosas acciones específicas que deben ser llevadas a cabo por la alta dirección
Si la dirección no está comprometida a fondo, el sistema de gestión de compliance… ¡jamás funcionará correctamente!
7.4 Comunicación
Como en otros sistemas de gestión, se menciona la necesidad de tener establecidos canales de comunicación internos y externos con diversas partes interesadas como: organismos reguladores, clientes, contratistas, proveedores, inversores, servicios de emergencia, ONGs, vecinos, etc.
Una de las principales dificultades en la aplicación práctica de este requisito es que muchas de las comunicaciones pueden resultar confidenciales o delicadas y el manejo de las mismas tiene consideraciones especiales.
7.5 Información documentada
A lo largo de la norma se van especificando multitud de elementos que deben quedar reflejados como información documentada. Por ejemplo:
- Política de compliance
- Objetivos
- Roles y responsabilidades
- Riesgos
- Registros de formación
- Etc.
Verás que esta norma ya sigue la estructura de alto nivel (ANNEX SL) y ya no se hace mención a Manual, Procemientos, Registros, etc.
Los sistemas de control y actualización de toda esta información deben establecerse, como en cualquier otro sistema de gestión.
Lógicamente, la extensión de la información documentada podrá variar en función del tamaño de la organización, su actividad o procesos, la competencia de las personas o la madurez del sistema de compliance
El apartado 8 del “Sistemas de Gestión de Compliance” según la ISO 19600 es el dedicado a la “operación”. Dentro del mismo se habla de: planificación y control operacional, establecimiento de controles y procedimientos y procesos externalizados. Analicemos cada uno de ellos:
8.1 Planificación y control operacional
Todas las acciones que fueron planificadas según el apartado 6.1 de la norma deben ahora ser ejecutadas mediante procesos concretos. Dicho procesos deben tener definidos:
- Sus objetivos
- Sus criterios
- Su control en función de los criterios
- La información documentada correspondiente
8.2 Establecimiento de controles y procedimientos
Se necesitan controles eficaces para asegurar que se cumplen las obligaciones de compliance y que se previenen, o se detectan y corrigen los incumplimientos. Cuando sea posible los controles deben estar embebidos en los procesos organizativos normales.
Algunos ejemplos de estos controles podrían ser:
- Políticas operativas, procedimientos, procesos o instrucciones de trabajo, claros, prácticos y fáciles de seguir
- Sistemas e informes de excepciones
- Autorizaciones
- Planes de desempeño de empleados
- Evaluaciones de compliance y auditorías
- Etc.
8.3 Procesos externalizados
La norma establece que se debe asegurar que los procesos externalizados son controlados y que se realiza seguimiento de los mismos. En concreto menciona que se deben considerar los riesgos de compliance relacionados con terceras partes tales como el suministro de bienes y servicios o la distribución de productos y se deben establecer controles para ellos.
Este punto es especialmente difícil de cumplir ya que el nivel de autoridad y control que podemos tener sobre otras organizaciones suele ser limitado. La práctica de introducir las obligaciones de compliance en las cláusulas contractuales es conveniente pero en muchas ocasiones no resulta suficiente. Ir más allá mediante códigos de conducta para proveedores e incluso procesos de auditoría a los mismos puede ser efectivo, pero tiene unos costes que no todas las organizaciones están dispuestas a asumir.
La semana próxima terminaremos esta serie, con la que queremos que conozcas más a fondo los Sistemas de Gestión de Compliance, de todas formas, cualquier duda que te surja o cualquier comentario que tengas estaremos encantados de que lo compartas con nosotros.
por HAZA CT | 31/07/15 | Responsabilidad social y gobierno corporativo, Sistemas de Gestión
Como hemos venido hablando en los post publicados las semanas anteriores, con relación a la detección y gestión de riesgos penales, la última reforma del Código Penal, en vigor desde el 1 de julio de 2015, establece en su art 31bis, la obligación del órgano de administración de adoptar un Sistema de Gestión de Riesgos para la Prevención de Delitos, como requisito previo, eficaz e idóneo para poder alegar exoneración o atenuación de su responsabilidad penal.
Acabábamos el post anterior mencionando que el sistema de gestión de compliance no llegará a buen término si no hay un liderazgo claro por parte de la Gerencia de la organización con respecto al tema.

La ausencia de liderazgo, como bien sabes trae consecuencias negativas en las organizaciones:
- Los mandos medios no asumen su responsabilidad como líderes y se ponen del lado de sus subordinados, oponiéndose a la empresa.
- Los mandos superiores no saben conducir personas (no son líderes).
- La gente está desmotivada y no se sabe qué hacer, a pesar de pagarles en tiempo y forma.
- El personal no valora la relación con el cliente.
- Las personas se quejan constantemente.
- Las personas no sienten reconocidos sus esfuerzos.
En particular, la ausencia de liderazgo en el caso de los sistemas de gestión de compliance es especialmente crítico, como vas a poder ver a continuación.
El apartado de liderazgo dentro de la ISO 19600:2015 de Sistemas de Gestión de Compliance contiene a su vez 3 sub-apartados, que siguen la línea de la estructura de alto nivel (ANNEX SL) definida por ISO.
Vamos a ir viendo más a fondo cada uno de ellos:
5.1 Liderazgo y compromiso
Lamentablemente, tenemos muchos casos recientes en nuestro entorno que demuestran que una organización sin un liderazgo claro y decidido en temas de compliance acaba por presentar problemas (en muchos casos legales) que afectarán de manera importante a toda la organización.
El liderazgo y compromiso deben demostrarse en la práctica, ¿cómo?:
- Estableciendo y defendiendo los valores fundamentales.
- Estableciendo políticas y objetivos de compliance, y siendo estas formalmente aprobadas por el órgano de gobierno. Además las pol´ticas y procesos de la organización no cumplirán simplemente lo estrictamente legal, deberán ir más allá y definir códigos voluntarios y valores fundamentales de la organización.
- Asegurando recursos.
- Asegurando la integración de la compliance en el resto del negocio.
- Comunicando la importancia de una gestión de compliance eficaz, con comunicados, sensibilización, etc. Pero también dando ejemplo, ya lo decía mi madre, obras son amores y no buenas razones. Traído a este nivel, significa que para demostrar y ejercer un liderazgo claro, hará falta algo más que un comunicado.
- La función de compliance debe tener un nivel de autoridad que le permita demostrar su importancia en la organización, y por supuesto, con un acceso directo al órgano de gobierno.
Escribirlo es fácil, ponerlo en práctica, no tanto.
5.2 Política de compliance
El órgano de gobierno y la alta dirección, preferiblemente tras consultar con los empleados, debe establecer una política (documentada) de compliance que defina:
- El alcance del sistema
- La medida en la que la compliance va a estar integrada con otras funciones
- La medida en la que la compliance va a estar embebida en las políticas, los procedimientos y los procesos operacionales
- El grado de independencia y autonomía de la función de compliance
- Los principios bajo los cuales se van a gestionar las relaciones con las partes interesadas
- Las consecuencias de los incumplimientos de compliance
- Etc.
Además, la política de compliance no debería ser un documento único sino que debería estar apoyado por otros documentos, incluyendo políticas, procedimientos y procesos operacionales; y que tiene que establecerse en línea con los valores, objetivos y estrategia de la organización, ya que establece los principios generales para lograr el compliance
5.3 Roles, responsabilidades y autoridades en la organización
Una muestra de la importancia que se otorga a este apartado es que la norma emplea más de 3 páginas en detallar los aspectos que deben cumplirse.
Detalla requisitos concretos para los órganos de gobierno y la Dirección, para la función de compliance y para todos los empleados.
En concreto, la función de compliance, trabajando conjuntamente con la Dirección debería ser responsable de:
- Identificar las obligaciones de compliance y traducirlas en políticas, procedimientos y procesos viables
- Promover la inclusión de las responsabilidades de compliance en los procesos de gestión de desempeño de los empleados
- Establecer indicadores de desempeño de compliance
- Poner en marcha un sistema de documentación e información de compliance
- Proporcionar apoyo formativo continuo a la plantilla
- Etc.
La norma no obliga a la definición de una función de compliance, deja la puerta abierta a que se pueda asignar esta función a una posición existente. Pero sí que asigna responsabilidades concretas que debe desarrollar trabajando conjuntamente con la dirección:
- Identificar e integrar las obligaciones de compliance.
- Asegurar formación continua para la plantilla.
- Promover la inclusión de las responsabilidades de compliance en las descripciones de los puestos de trabajo.
- Establecer indicadores de desempeño de compliance y analizar dicho desempeño.
- Identificar los riesgos de compliance y gestionarlos,
- Etc.
Estas algunas de las destacables en una larga lista.
Nada fácil ¿verdad? A nadie se le escapa que en organizaciones grandes se producirán choques con otras Áreas o Departamentos de la empresa y por ello el compromiso, liderazgo y apoyo de la Alta Dirección mencionado en el anterior post es tan crítico para un funcionamiento eficaz del sistema.
En cuanto a los empleados en general, entre otras cosas, la norma establece que deberían informar sobre preocupaciones o fallos de compliance. Cómo establecer un sistema que sea operativo y confidencial dependerá en gran medida de la cultura y tamaño de la organización.
Estate atento a las próximas publicaciones en este post que traerán más información sobre esta norma y su aplicación práctica.