Francisco BonattiFrancisco Bonatti5 noviembre, 2018
escepticos-compliance-1280x617.jpg

14min1382
Francisco Bonatti Bonet. Socio y director de Bonatti Penal & Compliance. Miembro de la junta directiva de ASCOM. Abogado penalista desde hace más de veinticinco años. Especializado en Prevención del Blanqueo de Capitales y la Financiación del Terrorismo.

 

Teclado de ordenador con tecla "whistleblower"

 

Escuché no hace mucho en un evento compliance que en este país “se habla mucho de Compliance y que ya va siendo hora de que se haga compliance”. Particularmente, en CC, estamos de acuerdo en que se hable mucho de compliance. ¿Cree usted que se actúa ya lo suficiente. La judicatura, el empresariado, las organizaciones…?

Imagino que quien ha hecho este comentario hacía referencia al sector PYME. Dado que es entre los profesionales que se dedican a este perfil de organizaciones donde escucho más frecuentemente afirmaciones de este tipo. Probablemente sería mejor reformular dicha frase tal y como os voy a proponer al final de mi respuesta.

Compliance es un término que hace referencia a la gestión de las organizaciones conforme a las obligaciones que le vienen impuestas (requisitos regulatorios) o que se ha autoimpuesto (éticas). Es obvio que, en general, las organizaciones (incluso las más pequeñas) tienden espontáneamente a establecer mecanismos para cumplir con sus compromisos y obligaciones. Así que podemos concluir que -de forma más o menos difusa- el compliance es común en todas ellas desde hace mucho tiempo.

Avanzando en el S XXI, y con la expansión internacional de fenómenos como la autorregulación regulada, las organizaciones se ven obligadas a afrontar sus deberes de cumplimiento de una manera diferente. Así ya no vale solo intentar cumplir. Deben asegurarse que se cumple y deben generar evidencias de sus esfuerzos por cumplir y hacer cumplir a sus miembros, bajo la amenaza de sanciones si no son capaces de ello. Esta exigencia de sistemas más eficaces impone la creación de funciones específicas y metodologías de compliance. En España esa necesidad eclosiona en el año 2010 con la reforma del Código Penal y la introducción de la Responsabilidad Penal de las Personas Jurídicas.

Debemos tener muy en cuenta que la reforma del Código Penal en España coincide en el tiempo con una importante crisis económica. Ésta no sólo impacta mayoritariamente en pequeñas y medianas empresas, sino también en el sector legal que les da asistencia jurídica y soporte. De modo que empezamos a vivir un fenómeno de efervescencia por el compliance entre abogados y consultores, que ven en los Modelos de Prevención de Delitos una nueva vía de ingresos profesionales que ayude a mitigar los efectos de la crisis en sus cuentas de resultados.

 

El entusiasmo con que el sector legal ha recibido el compliance penal no se ha visto correspondido por una gran mayoría de pequeñas y medianas empresas…

 

El entusiasmo con que el sector legal ha recibido el compliance penal no se ha visto correspondido por una gran mayoría de pequeñas y medianas empresas. Éstas se resisten a “comprar” remedios para una obligación legal que no perciben como tan necesaria, especialmente en momentos de recortes y ajustes. A este empresariado, un mensaje excesivamente agresivo y basado en el miedo a la sanción penal le produce rechazo. Es en esta franja de organizaciones donde observo desde hace unos años un dialogo disfuncional entre quienes insisten en la necesidad del compliance por imperativo legal y quienes resisten a implementarlo.

Esta disfunción se agrava cuando empiezan a aparecer en el mercado supuestos implementadores que no están dotados de los conocimientos y experiencia adecuados para la labor y que mayoritariamente recurren a modelos “copy and paste” que carecen de valor o eficacia.  Hablamos de “profesionales” que reproducen esquemas de venta que ya vivimos hace años con la ley de protección de datos o la prevención del blanqueo de capitales. Este tipo de profesionales han generado mucho ruido en el sector, en muchas ocasiones explotando la redes sociales para publicar fritos y refritos de contenidos con poco rigor y menor calidad, resultando muy nocivos para la percepción que están teniendo las organizaciones a quienes se dirigen.

 

Las pequeñas y medianas empresas, mayoritarias en nuestro tejido empresarial, necesitan mensajes claros y constructivos que les ayuden a comprender que el compliance no es tan solo una necesidad legal…

 

Las pequeñas y medianas empresas, mayoritarias en nuestro tejido empresarial, necesitan mensajes claros y constructivos que les ayuden a comprender que el compliance no es tan solo una necesidad legal, sino que -por encima de todo- es una apuesta estratégica para demostrar en los mercados que nuestra empresa es sostenible y merece confianza.

El pequeño empresario debe profundizar en el compliance por convencimiento propio, y necesita hacerlo de la mano de asesores especializados que verdaderamente sean capaces de adaptar las exigencias del compliance a las operaciones de estructuras empresariales muy pequeñas, lo que no deja de tener su dificultad y no se puede hacer a base de copiar plantillas o modelos de una organización a otra.

 

El compliance en la PYME es un cambio cultural, y como todos los cambios de este tipo necesita del paciente esfuerzo divulgador de medios de comunicación especializados que sepan transmitir el mensaje adecuadamente…

 

El compliance en la PYME es un cambio cultural, y como todos los cambios de este tipo necesita del paciente esfuerzo divulgador de medios de comunicación especializados que sepan transmitir el mensaje adecuadamente, y también necesita de la acción de organizaciones independientes, rigurosas y responsables, que ofrezcan a la sociedad un mensaje centrado exclusivamente en el fomento y mejora de la función de compliance y la promoción y protección de sus profesionales. Por esa razón, desde hace dos años el Grupo de trabajo sobre PYME de ASCOM viene haciendo una intensa labor de reflexión al respecto, cuyos primeros frutos vamos a presentar el próximo 21 de noviembre en el Dia del Compliance Officer al que, obviamente, Canal Compliance está invitado.

 

si bien se habla mucho de compliance y ya va siendo hora que se hable correctamente, para que las empresas se animen a profundizar en el compliance por convencimiento y no por temor”

Una vez dicho esto, yo reformularía la frase y diría que “si bien se habla mucho de compliance y ya va siendo hora que se hable correctamente, para que las empresas se animen a profundizar en el compliance por convencimiento y no por temor”.

 

 

Siendo prácticos. ¿Les sale rentable a las empresas y organizaciones la implementación y certificación de sistemas compliance?

Estoy firmemente convencido que sí. La implementación de un Sistema de Gestión de Compliance supone una decidida apuesta por una mejora de la cultura empresarial que, en coherencia, no puede delimitarse a “no delinquir”, sino que acaba impactando en las relaciones internas y externas de la organización y en la transparencia y sostenibilidad de la misma. La decisión de acometer el proceso de certificación produce dos efectos importantes: supone un reto que compromete a todos los niveles de la organización, convirtiéndose en una oportunidad de mejora, y a la vez comporta una reconocimiento público, explicito e inequívoco de la salud y compromiso de la organización con sus obligaciones.

A día de hoy, la certificación todavía suma, pero dentro de no mucho, la ausencia de certificación de compliance en una organización le restará.

Para finalizar, he escuchado mucho teorizar sobre el futuro del Compliance en este país. Casi todos coinciden en que hemos llegado tarde, pero ¿Cómo va a evolucionar, como está evolucionando?

Las organizaciones deben asimilar que necesitan implementar sistemas de compliance porque, en caso contrario su supervivencia se verá muy comprometida en el medio plazo. El compliance, es un cambio cultural irreversible y en crecimiento. Eso no quiere decir que todos los sectores empresariales vayan a responder de la misma manera, y muy probablemente veremos grandes resistencias al compliance, especialmente entre las PYME por las razones que ya he expuesto.

Por otra parte, es muy importante que el legislador y los reguladores hagan un esfuerzo por dotar a este cambio de un marco normativo y regulatorio claro, donde la proporcionalidad, el enfoque basado en el riesgo y la seguridad razonable faciliten la adaptación del compliance en las organizaciones.

 

Es imprescindible dotar de seguridad jurídica a los responsables de compliance y adaptar los modelos y regulaciones a los retos que afrontan las PYME y las microempresas…

 

Es imprescindible dotar de seguridad jurídica a los responsables de compliance y adaptar los modelos y regulaciones a los retos que afrontan las PYME y las microempresas, no solo en el ámbito penal, también en otros bloques normativos como LOPD, PBC-FT, competencia o consumidores. En este capítulo, creo urgente una reforma del proceso penal que permita una aplicación de la responsabilidad penal de la persona jurídica acorde con los postulados que observamos en el derecho comparado. Nuestro proceso penal presenta unas rigideces que son contrarias al espíritu de esta reforma.

Finalmente, creo que a medida que avancemos el la cultura del compliance, el foco protagonista se desplazará del compliance penal hacia otras cuestiones que en el día a día son mucho mas frecuentes y tienen mayor impacto, por ejemplo, la importancia que tiene el compliance como herramienta del Buen Gobierno de las organizaciones. Esta es una cuestión que – para mí – es clave y hablaremos mucho de ella en el futuro, especialmente cuando la responsabilidad de los gestores de las organizaciones se vaya pasando por el tamiz de la reforma de la Ley de Sociedades de capital de 2014. Pero, como decía Kipling, esa es ya otra historia…


Francisco BonattiFrancisco Bonatti29 octubre, 2018
normalizacion-1280x853.jpg

12min1113
Francisco Bonatti Bonet. Socio y director de Bonatti Penal & Compliance. Miembro de la junta directiva de ASCOM. Abogado penalista desde hace más de veinticinco años. Especializado en Prevención del Blanqueo de Capitales y la Financiación del Terrorismo.

 

Francisco Bonatti en la sede de ASCOM

 

No hace demasiado en Lefevre se presentaba la publicación de uno de sus mementos. ¿Que aporta Memento Experto / Sistemas de Gestión Compliance al panorama del Cumplimiento Normativo?

Una de las cuestiones que hemos detectado a lo largo de los años en BONATTI COMPLIANCE es que los profesionales jurídicos que se introducen en esta disciplina acostumbran a tener dificultades para comprender cómo se deben “bajar al terreno” los sistemas de compliance.

Este fenómeno se agudiza cuando hablamos de sistemas de compliance normalizados. Como por ejemplo la norma UNE 19601. Les cuesta incluso adecuar su lenguaje a la terminología propia de ISO. Caen habitualmente en la interpretación jurídica de las Normas de Gestión de Sistemas. Cuando son normas de gestión de organizaciones.

A la inversa, (consultores, auditores y entidades de certificación de sistemas de gestión) no estaban acostumbradas a la complejidad e impacto de las obligaciones y riesgos que entraña integrar en un sistema de gestión el compliance penal. Que además puede acabar siendo sometido a la evaluación judicial en un proceso penal. No es que otras normas de gestión (como ISO 14001 o ISO 27001) no tengan cuestiones de cumplimiento normativo. Es que en el caso de UNE 19601 el alcance es, principal y exclusivamente, el cumplimento normativo penal.

En BONATTI COMPLIANCE creemos que es importante generar herramientas. Que éstas sirvan para facilitar el encuentro de ambos grupos de profesionales en una comprensión común del compliance normalizado. Lefebvre El Derecho, y muy especialmente su Consejero Delegado, D. Juan Pujol, nos dieron la oportunidad de redactar este Memento. Tiene como intención crear una herramienta de trabajo. Que les resulte eficaz a los abogados y expertos legales que se quieran introducir en el mundo de la normalización. Y que sea útil también para auditores y consultores de sistemas de gestión que quieran integrar en sus conocimientos los aspectos normativos y regulatorios del compliance.

CAPÍTULOS INICIALES.

Los capítulos iniciales del Memento van preparando al lector para alcanzar una comprensión sistematizada de la norma UNE 19601 . Norma sobre sistemas de gestión de compliance penal en España. En la obra tratamos con detalle la labor de ISO y UNE en la normalización de sistemas de gestión. Explicamos los procesos de normalización y su terminología. Introducimos al lector en las Normas de Certificación acreditada. También en el papel y relevancia que desempeña ENAC en ese proceso. También tratamos los aspectos prácticos de la responsabilidad penal de la persona jurídica en España y los principales marcos de referencia en compliance internacional. Y con todo ese bagaje previo, dedicamos los últimos capítulos a analizar las tres principales normas de compliance: ISO 19600, ISO 37001 y la norma UNE 19601. El libro termina con un capítulo que ofrece orientaciones sobre cómo diseñar e implementar un SGCP en las organizaciones.

 

Eficacia e integración

 

En Canal Compliance siempre nos hemos referido a sistemas compliance “Eficaces”. Por que,precisamente desde la judicatura se han pronunciado en esa eficacia como garante de seguridad y efectividad. En este sentido ¿Una implementación práctica de la UNE, redunda en este mismo concepto, no?

Las normas ISO y UNE tienen como única finalidad implantar en las organizaciones sistema de gestión de compliance eficaces. Porque no consideran en su alcance otra cosa que no sea alcanzar los objetivos del sistema. Este es uno de los aspectos que a los juristas les cuesta de comprender inicialmente: la UNE 19601 no define organización como persona jurídica ni tiene como finalidad la exención penal. Para UNE 19601 un Sistema es eficaz si fomenta en la organización una cultura de compliance penal. Concepto éste al que dedica un detallado capítulo (7.1) Está  alineado con los postulados de la circular de la FGE y de la Jurisprudencia del TS. Ofrece ejemplos muy tangibles y detallados sobre cómo se concreta esa cultura de compliance en las organizaciones, convirtiéndose en una guía muy eficaz para alcanzar el compliance penal.

¿Fijar la metodología de implementación de la UNE ayuda a crear Cultura de Cumplimiento u obliga a cumplir de forma efectiva?

La UNE 19601, así como las normas ISO 19600 y 37001 mantienen como idea común que los sistemas de compliance parten del establecimiento de procesos de control. Pro culminan en un verdadero proceso de transformación cultural de la organización. Entonces  buscan como objetivo que todos los miembros de la organización sean plenamente conscientes de los riesgos de compliance que gestionan en su día a día. Y que sus incumplimientos afectan a toda la organización. No hay mejor defensa en compliance que la que se ejerce desde una primera línea consciente y motivada. La Cultura de Compliance es -en los sistemas ISO/UNE- la única forma efectiva de cumplimiento.

¿Dónde radica la importancia de certificar la norma, cuales deben ser las características de la certificadora?

Como comentábamos más arriba, las normas ISO/UNE no se basan en el concepto de entidad legal o persona jurídica. Se basan en un concepto de organización más operativo. Una organización puede integrarse por diversas personas físicas y jurídicas -o incluso por una parte inferior de una persona jurídica- siempre que existan unos objetivos comunes y un reparto de roles, funciones y responsabilidades. Los Sistemas Normalizados de Gestión tienen como finalidad que la organización consiga alcanzar efectivamente los objetivos del Sistema. Sea éste de calidad, seguridad de la información, continuidad de negocio o compliance.

 

MSS-A.

Los sistemas de tipo MSS-A establecen, además, requisitos, cuyo cumplimiento por la organización le permite obtener evaluaciones de su conformidad. Son certificaciones emitidas por terceros independientes. Acostumbran a denominarse Entidades de certificación. En compliance nos referimos, por ahora, a las normas UNE 19601 e ISO 37001. La finalidad que tienen estas certificaciones es dar confianza a otras organizaciones sobre el sistema que hemos implementado. Pero no tiene como finalidad eximir de responsabilidad penal. La principal utilidad de la certificación es asegurar a terceros que nuestra organización cumple con los requisitos de una norma de gestión. También ofrecerle la confianza necesaria a la hora de establecer relaciones con nosotros. En este sentido, la norma UNE 19601 ha disparado la implantación de sistemas de gestión en la medida en que su futura certificación permitirá a las empresas certificadas generar confianza en el mercado.

ENAC.

Tan solo tiene sentido recomendar que la Entidad de Certificación esté acreditada por ENAC. La Entidad Nacional de Acreditación es una asociación sin ánimo de lucro. Mantiene en exclusiva las funciones públicas de acreditación en España. Ello significa que su finalidad -entre otras- es ofrecer confianza a los consumidores y a los mercados respecto a la independencia y solvencia técnica de las Entidades de Certificación.

ENAC es, probablemente la entidad de acreditación mas prestigiosa de la Unión Europea y me consta que está haciendo grandes esfuerzos para asegurar que la certificación de compliance penal se realice con un alto nivel de calidad técnica. De modo que ha impulsado la nueva norma UNE 165019 que regula los requisitos que deberán reunir las entidades de certificación que se quieran acreditar ante ENAC.

Ha tenido la oportunidad de trabajar en la elaboración de esta norma y estoy convencido que impulsará el valor en el mercado de la certificación acreditada.
Obviamente, en el mercado se ofertarán también certificaciones emitidas por asociaciones y otras entidades que no quieran o no puedan acreditarse ante ENAC, pero yo recomendaría que se descartaran, porque no darán nunca frente a terceros la confianza que ofrece la certificación acreditada.

En este sentido, ya comienzan a aparecer magistrados que opinan que la certificación acreditada debería tener en el marco del proceso penal la presunción de eficacia del Sistema certificado, si bien admitiendo prueba en contrario a presentar por la parte procesal que discrepe de dicha eficacia.


Francisco BonattiFrancisco Bonatti22 octubre, 2018
bonatti-libreria-1280x674.jpg

10min1881

Francisco Bonatti Bonet. Socio y director de Bonatti Penal & Compliance. Miembro de la junta directiva de ASCOM. Abogado penalista desde hace más de veinticinco años. Especializado en Prevención del Blanqueo de Capitales y la Financiación del Terrorismo.

 

El CO deberá aprender a pensar en clave de derecho penal prospectivo y acostumbrarse a analizar dónde y cómo se puede cometer un delito que en la mayoría de las ocasiones no se ha cometido

Canal Compliance.
El pasado 1 de octubre se iniciaba un nuevo curso compliance. El Máster en Compliance ICAB 2018-2019. Es docente y se encuentra al frente del comité científico del mismo. en este sentido, en el de la experiencia docente ¿Qué valor le otorga a la formación en materia compliance, como se debe formar a los buenos compliance officer al margen de los evidentes conocimientos legales que se deben asumir?
Francisco Bonatti.

Creo que no tardaremos muchos años en ver en oferta Grados Universitarios en Compliance. Porque es una disciplina mucho más consolidada de lo que parece. Si tomamos como referencia la definición que hace el Comité de Basilea sobre la función de compliance (1) y buscamos sus antecedentes históricos más modernos, nos remontaremos a finales de los años 70 del siglo pasado. Son aproximadamente cuarenta años de historia. Éstos han dado de sí lo suficiente para definir con claridad toda una nueva rama de conocimiento y práctica en la gestión de organizaciones.

Hard skills.

Para definir las hard skills de un compliance Officer, es necesario hacer mención a conocimientos legales, empresariales, psicológicos y criminológicos. Normalmente desde un enfoque muy específico. Diferenciado de su praxis más habitual. Así, por ejemplo, en materia de compliance penal, el CO deberá aprender a pensar en clave de derecho penal prospectivo y acostumbrarse a analizar dónde y cómo se puede cometer un delito que en la mayoría de las ocasiones no se ha cometido. También respecto al que vamos a hacer cuanto esté en nuestra mano para que nunca se cometa. Este enfoque del derecho penal está muy alejado del enfoque tradicional del procesalista. Éste trabaja sobre hechos ya consumados en un momento y entorno concreto. Al igual que con el derecho penal, el resto de las materias que deben estudiarse exigen algún tipo de enfoque distinto del habitual.

 

Francisco Bonatti

 

 

Soft skills.

Es también necesario disponer de conocimientos sobre estructura y gestión de organizaciones. Gestión de procesos, projecting management, finanzas y nuevas tecnologías aplicadas a los negocios. De esta maner poder evaluar riesgos y también para integrar los sistemas de compliance en los procesos operativos de las organizaciones.

Los profesionales que trabajan en funciones de compliance deben, además, desarrollar una serie de soft skills muy específicas. Estas son: empatía, asertividad y gestión emocional.  Incorporando a su acervo habilidades en materia de negociación, coaching en entornos laborales. Y otras metodologías de gestión emocional y motivación de las conductas. No podemos olvidar nunca que el objetivo final del compliance es un proceso de transformación cultural de las organizaciones.

 

No podemos olvidar nunca que el objetivo final del compliance es un proceso de transformación cultural de las organizaciones.

 

En relación con el master de compliance de ICAB, debo agradecer tanto la Junta de Gobierno, como al departamento de formación de mi Colegio me hayan dado absoluta libertad para diseñar un master que responde a lo que yo hubiese querido tener a mi alcance cuando comencé a trabajar en esta profesión. Y la verdad es que disfruto mucho con este proyecto.

 

Opción formativa única.

Creo que es una opción formativa única. No ya sólo por su extensión (supera ampliamente las 200 horas de clases) y la gran calidad de todos sus profesores, sino fundamentalmente por su enfoque 100% práctico. Con un programa de contenidos y una metodología de trabajo en equipo pensados para que, desde la primera sesión, los alumnos dediquen todos sus esfuerzos a aprender a diseñar un Sistema de gestión de Compliance Penal. Este será conforme a la norma UNE 19601 e implementarlo con una herramienta de software.

Sin embargo, esta visión práctica no es incompatible con un programa académico. Que abarca todas las áreas de conocimiento que he mencionado y todos los bloques normativos propios del compliance en su más amplia extensión. Así que a lo largo de sus sesiones abarcamos desde la criminología de empresa hasta la ISO 14001. Pasando por la ciberseguridad o el compliance en mercados regulados.

En esta segunda edición el máster hemos complementado el programa con un conjunto de talleres prácticos. También visitas a departamentos de compliance. Los alumnos cuentan con una biblioteca sobre la materia que primer nivel. Otro aspecto que lo hace único es la participación de la totalidad de reguladores que intervienen en los principales bloques normativos sobre compliance. Esto que dota al alumno de una visión imprescindible para los profesionales del compliance: la del regulador.

En este sentido en el de la formación y en el de las capacitaciones de los profesionales. ¿Cuáles considera que deben ser las características de un buen compliance officer?

Además de los conocimientos y habilidades que apuntaba en la respuesta anterior, lo que le pediremos a un compliance Officer dependerá de su grado de responsabilidad dentro la función de compliance. Si hablamos de los líderes de la función, resulta imprescindible un conocimiento del sector en el que desempeña su función de compliance y un grado de madurez y experiencia profesional acordes con la complejidad y el nivel de riesgo de la organización.

 

… un verdadero líder espiritual que debe ejercer un liderazgo desde los valores y para fomentar valores

 

La norma UNE 19601 nos habla de integridad y compromiso, habilidades de comunicación y capacidad de influencia, así como prestigio para que sus consejos y directrices tengan aceptación. Si lo leemos detenidamente, comprobamos que nos está perfilando a un verdadero líder espiritual que debe ejercer un liderazgo desde los valores y para fomentar valores. En esta misma línea apunta el Libro Blanco sobre la función de compliance publicado por la Asociación Española de Compliance- ASCOM, posiblemente el documento más completo confeccionado sobre la función de compliance.

(1) Una función independiente que identifica, asesora, alerta, monitorea y reporta los riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras o pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las regulaciones, los códigos de conducta y los estándares de buenas prácticas



Acerca de

Canal Compliance, surge con el afán de convertirse en canal de comunicación  e información Compliance. Estamos seguros de los beneficios sociales y empresariales del cumplimiento normativo. Somos conscientes que la eficacia de la norma se debe sustentar en la creación de una verdadera cultura Compliance y que ésta no es posible sin un verdadero canal de comunicación, una herramienta que permita que la información fluya con libertad e independencia y que ésta alcance a todos los actores del sector del Cumplimiento normativo.


CONTÁCTENOS

POR TELÉFONO