La importancia de que los sistemas compliance sean eficaces (II)

Francisco Bonatti Bonet. Socio y director de Bonatti Penal & Compliance. Miembro de la junta directiva de ASCOM. Abogado penalista desde hace más de veinticinco años. Especializado en Prevención del Blanqueo de Capitales y la Financiación del Terrorismo.

 

Francisco Bonatti en la sede de ASCOM

 

No hace demasiado en Lefevre se presentaba la publicación de uno de sus mementos. ¿Que aporta Memento Experto / Sistemas de Gestión Compliance al panorama del Cumplimiento Normativo?

Una de las cuestiones que hemos detectado a lo largo de los años en BONATTI COMPLIANCE es que los profesionales jurídicos que se introducen en esta disciplina acostumbran a tener dificultades para comprender cómo se deben “bajar al terreno” los sistemas de compliance.

Este fenómeno se agudiza cuando hablamos de sistemas de compliance normalizados. Como por ejemplo la norma UNE 19601. Les cuesta incluso adecuar su lenguaje a la terminología propia de ISO. Caen habitualmente en la interpretación jurídica de las Normas de Gestión de Sistemas. Cuando son normas de gestión de organizaciones.

A la inversa, (consultores, auditores y entidades de certificación de sistemas de gestión) no estaban acostumbradas a la complejidad e impacto de las obligaciones y riesgos que entraña integrar en un sistema de gestión el compliance penal. Que además puede acabar siendo sometido a la evaluación judicial en un proceso penal. No es que otras normas de gestión (como ISO 14001 o ISO 27001) no tengan cuestiones de cumplimiento normativo. Es que en el caso de UNE 19601 el alcance es, principal y exclusivamente, el cumplimento normativo penal.

En BONATTI COMPLIANCE creemos que es importante generar herramientas. Que éstas sirvan para facilitar el encuentro de ambos grupos de profesionales en una comprensión común del compliance normalizado. Lefebvre El Derecho, y muy especialmente su Consejero Delegado, D. Juan Pujol, nos dieron la oportunidad de redactar este Memento. Tiene como intención crear una herramienta de trabajo. Que les resulte eficaz a los abogados y expertos legales que se quieran introducir en el mundo de la normalización. Y que sea útil también para auditores y consultores de sistemas de gestión que quieran integrar en sus conocimientos los aspectos normativos y regulatorios del compliance.

CAPÍTULOS INICIALES.

Los capítulos iniciales del Memento van preparando al lector para alcanzar una comprensión sistematizada de la norma UNE 19601 . Norma sobre sistemas de gestión de compliance penal en España. En la obra tratamos con detalle la labor de ISO y UNE en la normalización de sistemas de gestión. Explicamos los procesos de normalización y su terminología. Introducimos al lector en las Normas de Certificación acreditada. También en el papel y relevancia que desempeña ENAC en ese proceso. También tratamos los aspectos prácticos de la responsabilidad penal de la persona jurídica en España y los principales marcos de referencia en compliance internacional. Y con todo ese bagaje previo, dedicamos los últimos capítulos a analizar las tres principales normas de compliance: ISO 19600, ISO 37001 y la norma UNE 19601. El libro termina con un capítulo que ofrece orientaciones sobre cómo diseñar e implementar un SGCP en las organizaciones.

 

Eficacia e integración

 

En Canal Compliance siempre nos hemos referido a sistemas compliance “Eficaces”. Por que,precisamente desde la judicatura se han pronunciado en esa eficacia como garante de seguridad y efectividad. En este sentido ¿Una implementación práctica de la UNE, redunda en este mismo concepto, no?

Las normas ISO y UNE tienen como única finalidad implantar en las organizaciones sistema de gestión de compliance eficaces. Porque no consideran en su alcance otra cosa que no sea alcanzar los objetivos del sistema. Este es uno de los aspectos que a los juristas les cuesta de comprender inicialmente: la UNE 19601 no define organización como persona jurídica ni tiene como finalidad la exención penal. Para UNE 19601 un Sistema es eficaz si fomenta en la organización una cultura de compliance penal. Concepto éste al que dedica un detallado capítulo (7.1) Está  alineado con los postulados de la circular de la FGE y de la Jurisprudencia del TS. Ofrece ejemplos muy tangibles y detallados sobre cómo se concreta esa cultura de compliance en las organizaciones, convirtiéndose en una guía muy eficaz para alcanzar el compliance penal.

¿Fijar la metodología de implementación de la UNE ayuda a crear Cultura de Cumplimiento u obliga a cumplir de forma efectiva?

La UNE 19601, así como las normas ISO 19600 y 37001 mantienen como idea común que los sistemas de compliance parten del establecimiento de procesos de control. Pro culminan en un verdadero proceso de transformación cultural de la organización. Entonces  buscan como objetivo que todos los miembros de la organización sean plenamente conscientes de los riesgos de compliance que gestionan en su día a día. Y que sus incumplimientos afectan a toda la organización. No hay mejor defensa en compliance que la que se ejerce desde una primera línea consciente y motivada. La Cultura de Compliance es -en los sistemas ISO/UNE- la única forma efectiva de cumplimiento.

¿Dónde radica la importancia de certificar la norma, cuales deben ser las características de la certificadora?

Como comentábamos más arriba, las normas ISO/UNE no se basan en el concepto de entidad legal o persona jurídica. Se basan en un concepto de organización más operativo. Una organización puede integrarse por diversas personas físicas y jurídicas -o incluso por una parte inferior de una persona jurídica- siempre que existan unos objetivos comunes y un reparto de roles, funciones y responsabilidades. Los Sistemas Normalizados de Gestión tienen como finalidad que la organización consiga alcanzar efectivamente los objetivos del Sistema. Sea éste de calidad, seguridad de la información, continuidad de negocio o compliance.

 

MSS-A.

Los sistemas de tipo MSS-A establecen, además, requisitos, cuyo cumplimiento por la organización le permite obtener evaluaciones de su conformidad. Son certificaciones emitidas por terceros independientes. Acostumbran a denominarse Entidades de certificación. En compliance nos referimos, por ahora, a las normas UNE 19601 e ISO 37001. La finalidad que tienen estas certificaciones es dar confianza a otras organizaciones sobre el sistema que hemos implementado. Pero no tiene como finalidad eximir de responsabilidad penal. La principal utilidad de la certificación es asegurar a terceros que nuestra organización cumple con los requisitos de una norma de gestión. También ofrecerle la confianza necesaria a la hora de establecer relaciones con nosotros. En este sentido, la norma UNE 19601 ha disparado la implantación de sistemas de gestión en la medida en que su futura certificación permitirá a las empresas certificadas generar confianza en el mercado.

ENAC.

Tan solo tiene sentido recomendar que la Entidad de Certificación esté acreditada por ENAC. La Entidad Nacional de Acreditación es una asociación sin ánimo de lucro. Mantiene en exclusiva las funciones públicas de acreditación en España. Ello significa que su finalidad -entre otras- es ofrecer confianza a los consumidores y a los mercados respecto a la independencia y solvencia técnica de las Entidades de Certificación.

ENAC es, probablemente la entidad de acreditación mas prestigiosa de la Unión Europea y me consta que está haciendo grandes esfuerzos para asegurar que la certificación de compliance penal se realice con un alto nivel de calidad técnica. De modo que ha impulsado la nueva norma UNE 165019 que regula los requisitos que deberán reunir las entidades de certificación que se quieran acreditar ante ENAC.

Ha tenido la oportunidad de trabajar en la elaboración de esta norma y estoy convencido que impulsará el valor en el mercado de la certificación acreditada.
Obviamente, en el mercado se ofertarán también certificaciones emitidas por asociaciones y otras entidades que no quieran o no puedan acreditarse ante ENAC, pero yo recomendaría que se descartaran, porque no darán nunca frente a terceros la confianza que ofrece la certificación acreditada.

En este sentido, ya comienzan a aparecer magistrados que opinan que la certificación acreditada debería tener en el marco del proceso penal la presunción de eficacia del Sistema certificado, si bien admitiendo prueba en contrario a presentar por la parte procesal que discrepe de dicha eficacia.

Francisco Bonatti

Francisco Bonatti


Leave a Reply

Your email address will not be published. Required fields are marked *


Acerca de

Canal Compliance, surge con el afán de convertirse en canal de comunicación  e información Compliance. Estamos seguros de los beneficios sociales y empresariales del cumplimiento normativo. Somos conscientes que la eficacia de la norma se debe sustentar en la creación de una verdadera cultura Compliance y que ésta no es posible sin un verdadero canal de comunicación, una herramienta que permita que la información fluya con libertad e independencia y que ésta alcance a todos los actores del sector del Cumplimiento normativo.


CONTÁCTENOS

POR TELÉFONO