6 pasos para implantar un Sistema de Gestión de Cumplimiento (Compliance)
La Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, introduce la responsabilidad penal de las personas jurídicas de manera que estas podrán ser “penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”.
Son estos controles los que han generado la necesidad de implantar sistemas que verifiquen el cumplimiento normativo en las entidades. La verdad, es que se detecta en el ambiente bastante confusión en cuanto a las posibles metodologías a utilizar para definir e implantar un Sistema de Gestión de Cumplimiento (Compliance). No nos engañemos. Independientemente de que se use o no un referencial como marco del mismo (ISO 19600 sería el más habitual) y de las discusiones jurídicas sobre el nivel de aceptación por parte de los jueces en relación con el nuevo código penal, al final, la base del sistema será siempre, en nuestra opinión, algo similar a esto:
Parece sencillo pero en cada una de estas etapas pueden surgir dificultades prácticas que debemos abordar, vamos a verlo un poco más despacio:
1. Determinación del alcance
Es crítico definir claramente las actividades a incluir, así como el alcance geográfico del sistema.
En la determinación del alcance, dos errores típicos son los de excluir actividades subcontratadas o, por el contrario, incluir aspectos sobre los que no se tiene ningún control real.
2. Identificación y evaluación de riesgos
La evaluación de riesgos es un proceso laborioso, pero es la base del resto del sistema. Han de considerarse las opiniones de las partes interesadas, los incidentes previos, los datos sectoriales, el tipo de actividad, el entorno y los riesgos indirectos. La evaluación debe revisarse a intervalos determinados.
Aplica el sentido común. ¿Qué puede ocurrir? ¿En relación con qué delitos? ¿Qué consecuencias tendría? ¿Qué ha ocurrido ya en mi entorno?. No olvides los riesgos indirectos ni tampoco que el proceso debe actualizarse en función de las circunstancias.
3. Control de riesgos
Para cada uno de los riesgos identificados y evaluados como significativos, deben establecerse medidas concretas de control (de diferente nivel de exigencia en función de la evaluación realizada). Ello implica establecer, a veces, procedimientos escritos (dependiendo mucho del tamaño y estructura de la organización)
4. Difusión
Las medidas establecidas deben difundirse, y explicarse, y deben establecerse canales de comunicación adecuados de denuncia.
De nada sirve establecer medidas de control si no se explican a todos los afectados. Dedica tiempo y recursos suficientes para ello. Muestra además un compromiso gerencial “contundente”. En caso contrario…resultará difícil su aplicación real.
5. Control y seguimiento
El control no puede ser sólo reactivo, por lo que se requieren inspecciones o auditorías internas periódicas. Además debe formalizarse cómo actuar en caso de incidencia
El “control y seguimiento” es punto débil de la mayoría de los sistemas. ¿De qué sirven los procesos de control establecidos si no se hace seguimiento serio de su funcionamiento?. Controles, inspecciones, canales de denuncia, indicadores, auditorías internas o externas. Todo es necesario si se quiere evitar que el sistema sea puramente “virtual”.
6. Revisión del sistema y mejora continua
La Gerencia debe revisar periódicamente de manera formal el funcionamiento del sistema y proponer mejoras.
Un buen sistema puede quedar anticuado en poco tiempo en función de muchos parámetros tales como: cambios legales, cambios de actividad o entorno geográfico, cambios tecnológicos, incidentes reales ocurridos en el sector, etc. Actualiza y mejora tu sistema de modo continuo o puede pasar a ser “papel mojado” en no mucho tiempo.
Una última sugerencia, empieza por algo sencillo, práctico y manejable. Y enfócate a lo realmente importante para tu empresa desde el punto de vista de los riesgos penales y el “cumplimiento”. No dilapides recursos en aspectos que no lo merecen.
Dinos si te resulta útil esta información, y cuéntanos tus experiencias en la implantación de un Sistema de Gestión de Cumplimiento (Compliance).
Si te ha gustado, no seas egoísta, compártelo!