Francisco BonattiFrancisco Bonatti29 octubre, 2018
normalizacion-1280x853.jpg

12min1170
Francisco Bonatti Bonet. Socio y director de Bonatti Penal & Compliance. Miembro de la junta directiva de ASCOM. Abogado penalista desde hace más de veinticinco años. Especializado en Prevención del Blanqueo de Capitales y la Financiación del Terrorismo.

 

Francisco Bonatti en la sede de ASCOM

 

No hace demasiado en Lefevre se presentaba la publicación de uno de sus mementos. ¿Que aporta Memento Experto / Sistemas de Gestión Compliance al panorama del Cumplimiento Normativo?

Una de las cuestiones que hemos detectado a lo largo de los años en BONATTI COMPLIANCE es que los profesionales jurídicos que se introducen en esta disciplina acostumbran a tener dificultades para comprender cómo se deben “bajar al terreno” los sistemas de compliance.

Este fenómeno se agudiza cuando hablamos de sistemas de compliance normalizados. Como por ejemplo la norma UNE 19601. Les cuesta incluso adecuar su lenguaje a la terminología propia de ISO. Caen habitualmente en la interpretación jurídica de las Normas de Gestión de Sistemas. Cuando son normas de gestión de organizaciones.

A la inversa, (consultores, auditores y entidades de certificación de sistemas de gestión) no estaban acostumbradas a la complejidad e impacto de las obligaciones y riesgos que entraña integrar en un sistema de gestión el compliance penal. Que además puede acabar siendo sometido a la evaluación judicial en un proceso penal. No es que otras normas de gestión (como ISO 14001 o ISO 27001) no tengan cuestiones de cumplimiento normativo. Es que en el caso de UNE 19601 el alcance es, principal y exclusivamente, el cumplimento normativo penal.

En BONATTI COMPLIANCE creemos que es importante generar herramientas. Que éstas sirvan para facilitar el encuentro de ambos grupos de profesionales en una comprensión común del compliance normalizado. Lefebvre El Derecho, y muy especialmente su Consejero Delegado, D. Juan Pujol, nos dieron la oportunidad de redactar este Memento. Tiene como intención crear una herramienta de trabajo. Que les resulte eficaz a los abogados y expertos legales que se quieran introducir en el mundo de la normalización. Y que sea útil también para auditores y consultores de sistemas de gestión que quieran integrar en sus conocimientos los aspectos normativos y regulatorios del compliance.

CAPÍTULOS INICIALES.

Los capítulos iniciales del Memento van preparando al lector para alcanzar una comprensión sistematizada de la norma UNE 19601 . Norma sobre sistemas de gestión de compliance penal en España. En la obra tratamos con detalle la labor de ISO y UNE en la normalización de sistemas de gestión. Explicamos los procesos de normalización y su terminología. Introducimos al lector en las Normas de Certificación acreditada. También en el papel y relevancia que desempeña ENAC en ese proceso. También tratamos los aspectos prácticos de la responsabilidad penal de la persona jurídica en España y los principales marcos de referencia en compliance internacional. Y con todo ese bagaje previo, dedicamos los últimos capítulos a analizar las tres principales normas de compliance: ISO 19600, ISO 37001 y la norma UNE 19601. El libro termina con un capítulo que ofrece orientaciones sobre cómo diseñar e implementar un SGCP en las organizaciones.

 

Eficacia e integración

 

En Canal Compliance siempre nos hemos referido a sistemas compliance “Eficaces”. Por que,precisamente desde la judicatura se han pronunciado en esa eficacia como garante de seguridad y efectividad. En este sentido ¿Una implementación práctica de la UNE, redunda en este mismo concepto, no?

Las normas ISO y UNE tienen como única finalidad implantar en las organizaciones sistema de gestión de compliance eficaces. Porque no consideran en su alcance otra cosa que no sea alcanzar los objetivos del sistema. Este es uno de los aspectos que a los juristas les cuesta de comprender inicialmente: la UNE 19601 no define organización como persona jurídica ni tiene como finalidad la exención penal. Para UNE 19601 un Sistema es eficaz si fomenta en la organización una cultura de compliance penal. Concepto éste al que dedica un detallado capítulo (7.1) Está  alineado con los postulados de la circular de la FGE y de la Jurisprudencia del TS. Ofrece ejemplos muy tangibles y detallados sobre cómo se concreta esa cultura de compliance en las organizaciones, convirtiéndose en una guía muy eficaz para alcanzar el compliance penal.

¿Fijar la metodología de implementación de la UNE ayuda a crear Cultura de Cumplimiento u obliga a cumplir de forma efectiva?

La UNE 19601, así como las normas ISO 19600 y 37001 mantienen como idea común que los sistemas de compliance parten del establecimiento de procesos de control. Pro culminan en un verdadero proceso de transformación cultural de la organización. Entonces  buscan como objetivo que todos los miembros de la organización sean plenamente conscientes de los riesgos de compliance que gestionan en su día a día. Y que sus incumplimientos afectan a toda la organización. No hay mejor defensa en compliance que la que se ejerce desde una primera línea consciente y motivada. La Cultura de Compliance es -en los sistemas ISO/UNE- la única forma efectiva de cumplimiento.

¿Dónde radica la importancia de certificar la norma, cuales deben ser las características de la certificadora?

Como comentábamos más arriba, las normas ISO/UNE no se basan en el concepto de entidad legal o persona jurídica. Se basan en un concepto de organización más operativo. Una organización puede integrarse por diversas personas físicas y jurídicas -o incluso por una parte inferior de una persona jurídica- siempre que existan unos objetivos comunes y un reparto de roles, funciones y responsabilidades. Los Sistemas Normalizados de Gestión tienen como finalidad que la organización consiga alcanzar efectivamente los objetivos del Sistema. Sea éste de calidad, seguridad de la información, continuidad de negocio o compliance.

 

MSS-A.

Los sistemas de tipo MSS-A establecen, además, requisitos, cuyo cumplimiento por la organización le permite obtener evaluaciones de su conformidad. Son certificaciones emitidas por terceros independientes. Acostumbran a denominarse Entidades de certificación. En compliance nos referimos, por ahora, a las normas UNE 19601 e ISO 37001. La finalidad que tienen estas certificaciones es dar confianza a otras organizaciones sobre el sistema que hemos implementado. Pero no tiene como finalidad eximir de responsabilidad penal. La principal utilidad de la certificación es asegurar a terceros que nuestra organización cumple con los requisitos de una norma de gestión. También ofrecerle la confianza necesaria a la hora de establecer relaciones con nosotros. En este sentido, la norma UNE 19601 ha disparado la implantación de sistemas de gestión en la medida en que su futura certificación permitirá a las empresas certificadas generar confianza en el mercado.

ENAC.

Tan solo tiene sentido recomendar que la Entidad de Certificación esté acreditada por ENAC. La Entidad Nacional de Acreditación es una asociación sin ánimo de lucro. Mantiene en exclusiva las funciones públicas de acreditación en España. Ello significa que su finalidad -entre otras- es ofrecer confianza a los consumidores y a los mercados respecto a la independencia y solvencia técnica de las Entidades de Certificación.

ENAC es, probablemente la entidad de acreditación mas prestigiosa de la Unión Europea y me consta que está haciendo grandes esfuerzos para asegurar que la certificación de compliance penal se realice con un alto nivel de calidad técnica. De modo que ha impulsado la nueva norma UNE 165019 que regula los requisitos que deberán reunir las entidades de certificación que se quieran acreditar ante ENAC.

Ha tenido la oportunidad de trabajar en la elaboración de esta norma y estoy convencido que impulsará el valor en el mercado de la certificación acreditada.
Obviamente, en el mercado se ofertarán también certificaciones emitidas por asociaciones y otras entidades que no quieran o no puedan acreditarse ante ENAC, pero yo recomendaría que se descartaran, porque no darán nunca frente a terceros la confianza que ofrece la certificación acreditada.

En este sentido, ya comienzan a aparecer magistrados que opinan que la certificación acreditada debería tener en el marco del proceso penal la presunción de eficacia del Sistema certificado, si bien admitiendo prueba en contrario a presentar por la parte procesal que discrepe de dicha eficacia.


Canal Compliance17 mayo, 2018
cartificar-compliance-1280x729.jpg

9min1369

Desde la última reforma de nuestro Código Penal son bastantes las organizaciones que han empezado a implantar en su seno modelos de Cumplimiento.

 

Vista parcial Globo terraqueo

Almudena Bouza/TÜV Rheinland Group in Spain. Cierto es que, en general, son las grandes empresas las que más han avanzado con este tema hasta el momento. Son las que más sufren el riesgo reputacional y las que, sin duda, disponen de más recursos para reducirlo.

¿Cabe esperar un efecto en cadena? Es probable que sí, dado que la Circular 1/2016 de la Fiscalia General del Estado establece que la organización principal es responsable de aquellos que trabajan dentro de su “dominio social”. Esto es, se le supone una posición preponderante y por lo tanto responsable de lo que hacen aquellos que trabajan para ella o en su nombre. *

Resulta evidente, por lo tanto, que las grandes empresas empezarán a exigir en la documentación de oferta o en la contractual que sus proveedores de servicios cumplan los requisitos establecidos en el artículo 31 bis del Código Penal. Que requieran documentación relativa a dicho cumplimiento a sus contratas principales o que, incluso, dependiendo del nivel de riesgo que observen en dicha contrata y en el trabajo a desarrollar, decidan someterla a auditoría.

Hace años fueron otras áreas como la de calidad, medio ambiente, prevención de riesgos laborales o seguridad alimentaria donde el mercado se comportó de manera similar y se acabó requiriendo la obtención y presentación de las certificaciones como garantía suficiente. ¿Cómo es posible que acabe pasando en el ámbito del Compliance?.

Además, si volvemos a la Circular 1/2016 nos encontramos con que específicamente reconoce que “Las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán apreciarse como un elemento adicional más de su observancia” aunque obviamente el texto sigue con un “pero en modo alguno acreditan la eficacia del programa, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial”. Cómo no podía ser de otra manera. Es decir, es una garantía ante la Fiscalía y el Juez, lo suficientemente importante como para merecer un comentario específico en la Circular. Pero obviamente una garantía más y no suficiente ante la comisión de un delito.

 

Grupo TÜV Rheinland

LA TRANQUILIDAD DE LA CERTIFCACIÓN.

La certificación proporciona tranquilidad no sólo a los clientes sino también a los propietarios de una empresa dirigida por un gerente profesional que tiene más opiniones externas e independientes que le garantizan que en su empresa existe un modelo de cumplimiento funcionando.

Aporta valor y confianza en cualquier proceso de compra-venta de empresas. Esto es por que, dado que la responsabilidad penal por las operaciones pasadas de la empresa que se adquiere, se traspasa al comprador, no desaparece con la venta o el cambio de nombre de la razón social.

A nivel interno aporta seguridad a todos los interesados en que el Compliance funcione. Que uno o varios expertos nos digan periódicamente que nuestro enfoque es correcto y está bien desarrollado, mantenido y controlado es una forma de saber que estamos haciendo las cosas bien.

 

La certificación aporta valor y confianza en cualquier proceso de compra-venta de empresas

 

POSICIONAMIENTO ANTE LA CONTRATACIÓN PÚBLICA

¿Habría más razones para certificarse? Sí, sin duda. Por ejemplo un mejor posicionamiento para la contratación pública y para la contratación internacional en determinados mercados.
Las Directivas 2014/23/UE, relativa a la adjudicación de contratos de concesión, y 2014/24/UE, sobre contratación pública, ya contemplan que aquellas organizaciones que se hallen incursas en alguna prohibición para licitar o contratar con la Administración sean exonerados de dicha prohibición si demuestran haber implantado “medidas técnicas, organizativas y de personal concretas, apropiadas para evitar nuevas infracciones penales o faltas” en su organización empresarial. La certificación puede ser sin duda una demostración fehaciente de ello. Y no son pocas las voces que ya dan por seguro que será un requisito para contratar con la Administración Pública en el corto plazo el demostrar que se ha implementado un sistema de Cumplimiento en el seno de la organización.

 

¿Habría más razones para certificarse? Sí, sin duda

Tampoco conviene olvidar que hay determinados mercados, fundamentalmente anglosajones, donde las empresas no pueden operar si no demuestran sus compromisos de cumplimiento por lo que aquellas empresas españolas interesadas en trabajar en el mercado norteamericano, británico o el brasileño por poner otro ejemplo, estarán mejor posicionadas que su competencia si presentan credenciales de cumplimiento de Compliance bajo una certificación internacional de reconocido prestigio.

El mercado alemán (tras el australiano) ha sido uno de los pioneros en este ámbito con normas como la ASss980 (PS980) que han servido de apoyo -junto con la ISO 19600, no certificable- para conseguir un modelo de evaluación que tenga el suficiente grado de flexibilidad como para adaptarse a la idiosincrasia de cualquier compañía. Así mismo la norma UNE 19601:2017 que, si bien contempla solo el Compliance desde el punto de vista penal y orientado al mercado nacional (puesto que no es norma ISO) sí que se convierte en una norma de requisitos y por lo tanto certificable.

Desde nuestra experiencia de años evaluando o certificando el Compliance-y donde clientes como Hays AG o Schufa Holding confían en nosotros-creemos que el desarrollo del modelo de Cumplimiento y su posterior certificación son la nueva oportunidad de posicionarse en el mercado, diferenciarse de la competencia, fortalecer las organizaciones y con ello garantizar la viabilidad futura.

* En cuanto a los delitos que provocan la responsabilidad de la persona jurídica, deben haber sido cometidos por los sujetos sometidos a la autoridad de las personas físicas mencionadas en la letra a) del apartado 1, siendo suficiente que operen en el ámbito de dirección, supervisión, vigilancia o control de estas. No es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil, quedando incluidos autónomos o trabajadores subcontratados, siempre que se hallen integrados en el perímetro de su dominio social (Circular 1/2016)

Almudena Bouza Responsable Esquema Compliance TÜV Rheinland Group in Spain



Acerca de

Canal Compliance, surge con el afán de convertirse en canal de comunicación  e información Compliance. Estamos seguros de los beneficios sociales y empresariales del cumplimiento normativo. Somos conscientes que la eficacia de la norma se debe sustentar en la creación de una verdadera cultura Compliance y que ésta no es posible sin un verdadero canal de comunicación, una herramienta que permita que la información fluya con libertad e independencia y que ésta alcance a todos los actores del sector del Cumplimiento normativo.


CONTÁCTENOS

POR TELÉFONO