Para prevenir la comisión de delitos dentro de la empresa o por parte de alguno de sus miembros, así como para detectar comportamientos ilícitos de estos, las empresas pueden recurrir al diseño e implantación de un programa de compliance. En este artículo explicaremos cómo hacer un programa de compliance e implementarlo en la empresa.

¿Qué es el programa de compliance?

El programa de compliance es el instrumento usado por las empresas para prevenir, detectar y reaccionar frente a las posibles conductas delictivas que sus miembros puedan llevar a cabo y de las que se pueda derivar la responsabilidad penal de la organización.

Se trata de un conjunto de medidas que, aplicadas en la organización, buscan garantizar el cumplimiento normativo (compliance) de la organización en su conjunto, es decir, el cumplimiento de todas las leyes que la afectan, así como del cumplimiento de las normas internas adoptadas y promovidas por la dirección y la aplicación de buenas prácticas en los procesos y procedimientos internos de la organización y en la relación con sus socios comerciales y proveedores.

¿Quién hace el programa de compliance de una empresa?

El diseño e implementación del programa de compliance es responsabilidad del órgano de administración de la empresa, quien, además, también deberá designar a un órgano de cumplimiento o compliance officer.

Cabe señalar que el compliance officer no es quien debe diseñar e implementar el programa, ya que su función es la de gestionarlo una vez implementado, pero sí que puede participar en su diseño, si ha sido designado con carácter previo a ello (que es lo que se recomienda hacer).

El compliance officer puede ser una sola persona o un órgano colegiado, tanto interno como externo o una combinación de ambos (más recomendada, ya que permite aportar en ciertas áreas y aspectos del programa mayor independencia y objetividad, además de incorporar especialistas de diferentes áreas).

En cualquier caso, el compliance officer, sea una persona individual o un equipo, debe contar con la formación y experiencia necesarias en compliance (como la que se puede adquirir, por ejemplo, en un programa de especialización en compliance y buenas prácticas corporativas), así como en las diferentes normativas que afecten a la empresa.

¿Cómo se hace un programa de compliance? Diseño e implementación paso a paso

Ahora que ya sabemos qué es un programa de compliance, veamos cómo diseñarlo e implementarlo en una empresa.

Cabe señalar que no existe una regulación sobre cómo hacer un programa de compliance, aunque sí podemos recurrir a diferentes normas y estándares internacionales que nos pueden ayudar en el proceso de diseño y puesta en marcha, como la norma ISO 37301 o la norma ISO 37001.

En cualquier caso, para que un programa de compliance se considere efectivo y pueda reducir o eximir la responsabilidad penal de una empresa, se debe demostrar su aplicación real en la misma, el compromiso de la dirección con el programa y el cumplimiento de las medidas y protocolos que contiene, tanto para la prevención y detección de los delitos como para su castigo, es decir, la reacción de la empresa ante las conductas delictivas detectadas u ocurridas.

Por ello, será necesario dotar al programa de compliance y al compliance officer de los recursos materiales y humanos necesarios para llevar a cabo las medidas del programa y su seguimiento, así como garantizar la independencia y autonomía del compliance officer.

tarifas compliance

Definición de objetivos y ámbito de aplicación

El primer paso es definir los objetivos del programa de compliance, que serán tanto cumplir con las normativas que afectan a la empresa y su sector de actividad, es decir, aquellas obligaciones legales de la empresa, como cumplir con las normas asumidas por la propia empresa, es decir, su normativa interna, como puede ser el código ético.

Así mismo, también se especificará el ámbito de aplicación del programa de compliance, en otras palabras, qué empresa o empresas (en el caso de grupos) están sujetas a él.

Diseño del plan de compliance

El siguiente paso es diseñar el plan de compliance en sí, un proceso que podemos dividir en tres fases diferentes:

  • Mapa de riesgos: Consiste en identificar los riesgos de incumplimiento a los que está expuesta la empresa en función de su actividad, así como aquellos comunes a todas las empresas. Es decir, determinar qué infracciones o delitos es posible que se cometan en el seno de la empresa, tanto si la benefician directa como indirectamente. El mapa de riesgos también debe graduar el nivel de riesgo, es decir, qué infracciones o delitos es más probable que se cometan y el impacto que su comisión tendría para la empresa.
  • Mapa de procesos: Aquí se identificarán los procesos de la empresa en los que se pueden cometer las infracciones y delitos que hemos detectado en el mapa de riesgos.
  • Plan de acción: Finalmente, se elaborará un plan de acción, en el que se incluirán las acciones o medidas, así como los controles y políticas a implementar para mitigar los riesgos de incumplimiento detectados, así como para mejorar o solucionar posibles problemas de incumplimiento o que puedan conducir a ello detectados en los procesos de la empresa. Se designará un responsable o departamento para la implementación de cada medida o acción y se definirá una fecha para ello, así como para su seguimiento y evaluación.

programa de compliance

Implementación del canal de denuncias

El programa de compliance debe incluir también la implementación de un canal de denuncias interno, a través del cual empleados y personas externas a la empresa que hayan podido ser testigos de una infracción o delito cometido por uno de sus miembros, puedan comunicarlo a la misma con todas las garantías de confidencialidad y protección de datos.

La gestión del canal de denuncias puede ser externa, es decir, contratar un servicio externo (habitualmente consultorías o despachos de abogados), que se ocupará de recepcionar las denuncias, evaluarlas y determinar si deben ser tramitadas por el órgano designado por la empresa para ello, que puede ser el compliance officer o un comité para la investigación de las denuncias internas.

Protocolo de respuesta

El protocolo de respuesta debe contener tanto el proceso a seguir para la investigación interna de las denuncias recibidas en el canal de denuncia, como el régimen disciplinario para castigar los delitos ocurridos dentro de la empresa. Este régimen disciplinario debe especificar infracciones y sanciones graduadas y hacerse teniendo en cuenta los límites que establece la ley para ello.

Comunicación del programa

El programa de compliance debe comunicarse a todos los miembros de la empresa, para lo que se debe definir una vía de difusión adecuada y que alcance a todos los directivos, empleados, proveedores, socios comerciales, accionistas o inversores. Uno de los canales más habituales es la página web corporativa de la empresa.

Así mismo, también se debe formar a los trabajadores sobre el cumplimiento normativo y la obligatoriedad de cumplir con las medidas y políticas del programa de compliance.

Evaluación y actualización

Una vez implementado y en marcha, se realizarán evaluaciones periódicas del programa de compliance, para determinar su efectividad y el grado de implementación del mismo en los procesos y procedimientos de la empresa.

Además, tanto si la empresa sufre cambios significativos en su organización o en su actividad, como si se producen cambios en las normativas que la afectan, será necesario actualizar el programa de compliance. Para ello, se definirá un órgano encargado de hacer y aprobar las actualizaciones que sea necesario incluir en el programa y se comunicarán a todo el personal de la empresa.

Finalmente, se debe documentar todo el proceso de diseño e implementación del programa de compliance, es decir, dejar por escrito y archivado los mapas de riesgos y procesos, las medidas, acciones y políticas adoptadas para minimizar los riesgos de incumplimiento en la empresa, así como normativa interna, reglamento del canal de denuncias y protocolos de respuesta.

Modelo de programa de compliance

Como decíamos más arriba, no existe una norma que regularice como deben ser los programas de compliance, por lo que si estamos buscando un modelo de programa de compliance, la mejor opción es recurrir a los estándares internacionales, como la ya citada norma ISO 37301 de Sistemas de Gestión de Compliance, que, además es una norma certificable.

La ISO 37301 establece los siguientes requisitos para un programa de compliance:

  • Identificación de obligaciones normativas que afectan a la empresa y realización de los correspondientes análisis de riesgos de cumplimiento de las mismas.
  • Fomento de la cultura de compliance, compromiso de la dirección y formación y sensibilización del personal.
  • Diseño e implementación de políticas y procedimientos de compliance y mecanismos de control adecuados.
  • Refuerzo de la función de cumplimiento, destinando los recursos necesarios para crear un órgano de cumplimiento independiente y autónomo.
  • Documentación de todo el proceso de elaboración, implementación, seguimiento y evaluación del programa de compliance, para que haya evidencia del compromiso con el cumplimiento normativo ante terceros.

Mientras que la estructura que propone la ISO 37301 para el programa de compliance sería la siguiente:

Modelo Programa de Compliance

Contexto de la organización
  • Comprensión de la organización y de su contexto
  • Comprensión de las necesidades y expectativas de las partes interesadas
  • Determinación del alcance del sistema de gestión del compliance
  • Sistema de gestión del compliance
  • Obligaciones de compliance
  • Evaluación de los riesgos de compliance
Liderazgo
  • Liderazgo y compromiso
    • Órgano de gobierno y alta dirección
    • Cultura de compliance
    • Gobernanza del compliance
  • Política de compliance
  • Roles, responsabilidades y autoridades
    • Órgano de gobierno y alta dirección
    • Función de compliance
    • Dirección
    • Personal
Planificación
  • Acciones para abordar los riesgos y oportunidades
  • Objetivos de compliance y planificación para lograrlos
  • Planificación de los cambios
Apoyo
  • Recursos
  • Competencia
    • Generalidades
    • Proceso de empleo
    • Formación
  • Toma de conciencia
  • Comunicación
  • Información documentada
    • Generalidades
    • Creación y actualización de la información documentada
    • Control de la información documentada
Operación
  • Planificación y control operacional
  • Establecimiento de controles y procedimientos
  • Planteamiento de inquietudes
  • Procesos de investigación
Evaluación de desempeño
  • Seguimiento, medición, análisis y evaluación
    • Generalidades
    • Fuentes de opinión sobre el desempeño del compliance
    • Desarrollo de indicadores
    • Informes de compliance
    • Mantenimiento de registros
  • Auditoría interna
    • Generalidades
    • Programa de auditoría interna
  • Revisión por la dirección
    • Generalidades
    • Entradas para la revisión del sistema
    • Resultados de la revisión por la dirección
Mejora

(Fuente iso.org)

  • Mejora continua
  • No conformidades y acciones correctivas

Ejemplos de programa de compliance

Como ejemplo de programa de compliance, al menos de la estructura y contenido que debe abarcar, lo encontramos en el plan de prevención de delitos penales, el único programa de compliance penal mínimamente regulado en el ordenamiento jurídico español, cuyos requisitos podemos encontrar en el artículo 31 bis del Código Penal y la Circular 1/2016 de la Fiscalía General del Estado.

La estructura y contenido del programa de compliance penal sería la siguiente:

Programa de prevención de delitos penales

Introducción Definición de objetivos del programa y la normativa aplicable para la definición del modelo.
Ámbito de aplicación Identificar las sociedades sujetas al programa.
Antecedentes Acciones que se han realizado con anterioridad a la aprobación y difusión del programa en materia de riesgos penales.
Plan de prevención de riesgos penales
  • Mapa de riesgos
  • Mapa de procesos
  • Plan de acción
Comunicación y difusión del programa Definir la vía de difusión y comunicación del programa entre todos los miembros de la empresa.
Canal de denuncias Establecer vías de comunicación para reportar los incumplimientos.
Modelo de respuesta Establecer los mecanismos para responder a los incumplimientos cometidos y un régimen sancionador.
Revisiones periódicas y actualización del programa El programa debe revisarse de manera periódica y actualizarse cuando se produzcan cambios en la sociedad o su actividad, así como cambios normativos que le afecten.

 

A continuación tenéis algunos ejemplos de programas de compliance penal de empresas:

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.