eCompliance, Consultores & Abogados ha desarrollado una plataforma tecnológica, eCAS, diseñada como una solución integral alojada en la nube que permite la identificación, el análisis y la evaluación de riesgos penales de acuerdo con la norma ISO 19600.
Compliance Noticias. Siempre nos hemos referido a los sistemas compliance como Eficaces Sistemas Compliance. Refiriéndonos a éstos como aquellos que de verdad se implantan con el objetivo pleno de la prevención. ¿Para usted qué condicionantes ha de tener un sistema compliance?
César Campuzano. Vd. da con la clave en la pregunta. Un sistema compliance debe ser eficaz. Ese debe ser el primer condicionante. La Circular 1/2016 de la Fiscalía General del Estado, compone un documento que imparte las instrucciones de los fiscales para valorar la eficacia de los planes de cumplimiento normativo o compliance en las empresas, y, a tal efecto, los fiscales deberán seguir unas pautas de carácter general para valorar la eficacia de los programas de gestión de compliance.
Un sistema adecuado de compliance, tiene que comprender un análisis exhaustivo y veraz de los riesgos, analizando y combinando; el impacto, la probabilidad y la vulnerabilidad.
Para ello la metodología de implantación es vital. No se debe efectuar nunca el «corta-pega» para realizar un modelo de prevención. Es un error que se pagaría caro. Hay que determinar la casuística particular de la empresa donde se vaya a implantar. Ninguna organización del mismo sector es igual. Ninguna. Por consiguiente, es necesario realizar una análisis pormenorizado, objetivo y exhaustivo de la estructura de la compañía, de forma que se implante una metodología adecuada respecto; de los riesgos, los procesos, los controles, los tipos de controles, la solidez de los mismos, dejando las evidencias oportunas del desarrollo adecuado y las recomendaciones necesarias para su real eficacia.
Sin perjuicio de lo anterior, condicionantes absolutamente necesarios son; (i) la definición de los objetivos del programa y normativa,(ii) el ámbito de aplicación dentro del grupo empresarial, (iii) el plan de prevención de riesgos penales – mapa de riesgos, plan de acción, controles y evidencias-, (iv) formación e información a los empleados, (v) un buen canal de denuncias (vi) las revisiones periódicas y actualizadas y, por último, (vii) el modelo de respuesta en previsión de las acciones a emprender en caso de un delito o incumplimiento..
El diseño del modelo es fundamental. El código ético es la pieza angular, es donde se definen los principios y valores y las reglas éticas de la empresa, es donde se identifica la cultura de compliance y sirve de guía en la empresa. En suma, son los principios de buen gobierno, de donde saldrá las bases de la metodología que persiga la eficacia del modelo de prevención.
CN. La Cultura compliance se está desarrollando tanto y a pasos tan agigantados que uno de sus principales aspectos es la sistematización, la implantación sistemática por medio de herramientas o plataformas tecnológicas. ¿Porque son necesarias estas herramientas?.
CC. A la luz de la comentada Circular de la Fiscalía, el objeto de los modelos de organización y gestión no es solo evitar la sanción penal de la empresa sino promover una verdadera cultura corporativa, de tal modo que su verdadera eficacia reside en la importancia que los referidos programas o modelos de compliance tienen en la toma de decisiones de los dirigentes y empleados.
Por lo tanto, estos deben de constituir una verdadera cultura de cumplimiento. De tal forma, que los programas de compliance serán analizados por los fiscales desde la óptica del compromiso corporativo y éste tendrá que ser realmente disuasorio de la conducta criminal.
Partiendo de esta base, es incontrovertido que las tecnologías aportan un valor añadido, habida cuenta que con las mismas se pueden desarrollar una adecuada monitorización y automatización de todos los procesos y controles implantados dentro del modelo de compliance. Esto contribuye de forma ágil, actualizada y ordenada al seguimiento eficaz; (i) de la gestión de los documentos que se utilizan en una organización en relación al compliance, (ii) del control de todos los intervinientes o responsables de esa implantación, (iii) de las «muescas informáticas» de esos controles que pueden ser prueba en un determinado momento, que se caracterizan por no ser manipuladas (iv) de la acreditación automatizada de la formación de todos los empleados (v) del control de normas internas, códigos éticos o de conducta, códigos de autorregulación sectorial y estándares internacionales, etc. (vi) de la revisión continua de las actividades que tienen o pueden tener repercusión penal (vii) y facilitarán las previsibles certificaciones de la UNE19601.
Y todo eso favorece ostensiblemente en el ahorro en costes y tiempo, en definitiva, afectará positivamente a la cuenta de resultados de la compañía.
NC. Aseguran que e-CAS es la plataforma tecnológica más avanzada del mercado para la implementación y gestión de Programas de Compliance ¿Que la hace así?
CC. Cierto, así lo vemos. La herramienta de gestión o plataforma tecnológica e-CAS, es muy intuitiva y sencilla. Diseñada como una solución integral alojada en la nube que permite el análisis y la evaluación de riesgos penales y compliance general de acuerdo con la norma ISO 19600.
Es avanzada porque globalmente ampara todos los recursos necesarios para un compliance en una sola herramienta. Es una herramienta viva y flexible que evoluciona constantemente. No queremos que quede como algo estático, sino que siga creciendo en prestaciones. El acceso es seguro (24/7) de rápida implementación y con automatización y gestión continua.
Destaco en este sentido que cuenta con un poderoso gestor documental tanto de la normativa aplicable como de la documentación de la empresa que puede ser adjuntada como evidencia -control. Además, en una misma plataforma, se incluye todo, la definición de la normativa aplicable general, por sectores o normativa particular de la empresa, el ámbito de aplicación que posibilita indicar las sociedades sujetas al programa compliance al ser multiempresa y multiplataforma, pudiéndose integrar en cualquier empresa (bien en icloud, bien en los propios servidores de la empresa). Incluye el plan de acción de riesgos (mapa de riesgos, controles y evidencias), las revisiones periódicas y de actualización, un canal de denuncias muy completo y flexible (pudiéndose hacer anónima la denuncia o no y llevando la instrucción en el módulo). Además, se integra el módulo de formación a los empleados y directivos, así como el modelo de respuestas a emprender en caso de delitos. Y por supuesto un cuadro de mandos con indicadores tanto de la parte de prevención de delitos como del canal de denuncias con comparativas anuales, etc.
NC. Todos los profesionales del derecho, juristas, fiscalía,… con los que ha hablado Compliance Noticias parecen coincidir que nada puede acabar con la voluntad de delinquir, si ésta existe; pero si se le pueden poner las cosas difíciles a los “malos”. ¿Cómo contribuye a esto una plataforma tecnológica como e-CAS?
CC. Efectivamente el riesgo cero no existe. Ahora bien, implantando un adecuado y eficaz programa de compliance que permita su monitorización y revisión continuada ayuda a una evaluación del riesgo reflexionando sobre los posibles riesgos de corrupción a los que se puede enfrentar una persona jurídica u organización empresarial.
Una plataforma tecnológica como eCAS, ayuda enormemente a ese objetivo. La herramienta, aparte de toda la metodología global de un modelo de compliance basado en la ISO 19600, permite introducir métricas y cálculos para conformar el mapa de riesgos de la persona jurídica. Y a partir de ese mapa se instrumenta la vigilancia de los protocolos monitorizando los procesos y controles para evitar los riesgos. Además, ayuda la formación de los empleados para crear esa conciencia de compliance necesaria como cultura de ética empresarial que servirá para evitar actuaciones o hábitos opuesta las malas praxis que toleran o amparan conductas ilícitas en el seno de las empresas o instituciones. Sin olvidar el canal de denuncias incluido dentro de la plataforma, que es otra exigencia de la normativa penal.
En suma, la plataforma eCAS ayuda a verificar de forma sistemática el modelo de prevención implantado en la empresa y, en su momento, puede ser una importante prueba en el caso de ser necesitada, además de ayudar enormemente a los trabajos de las previsibles certificaciones en base a la UNE 19601.
Es importante resaltar que la situación del presente y futuro del compliance nos conlleva a un reto que es la aceptación de los riesgos. Roy Snell, presidente de la asociación americana SCCE, con más de 15.000 miembros, explica esa evolución haciendo una comparativa, sarcástica, con las fases del duelo; negación, ira, depresión, negociación, aceptación. En suma, el saber aceptarlos conlleva necesariamente también a la concienciación de la cultura de compliance.
NC. Con su implantación hacer los análisis de riesgos parece que va a ser mucho más sencillo, ¿No es así?
CC. Efectivamente, lo anticipábamos antes. El análisis de riesgos con eCAS es mucho más sencillo, toda vez que ayuda a la sistematización de los mismos y te dirige a través de sus pantallas, muy intuitivas y sencillas, hasta un mapa de riesgos de la compañía en el que las métricas y los indicadores en el incorporadas hacen sencilla la metodología del análisis. Sin esta tecnología, métricas e indicadores, el compliance se hace menos operativo y costoso desde el punto de vista humano y económico.
NC. eCAS contiene un canal de denuncias. Los canales de denuncias permiten informar de fraudes o irregularidades que atenten contra la legalidad o la ética de las empresas, así como su gestión y tratamiento seguro y confidencial. ¿Cuales deben ser las características de un Eficaz Canal de Denuncias?
CC. En primer lugar, hay que recordar que desde 2015, con la Ley Orgánica 1/2015, en concreto el artículo 31 bis,5,4 establece que los modelos de organización y gestión «(…) impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento». Es decir, existe una exigencia de la implantación de un canal de denuncias eficaz a través del cual los usuarios puedan informar o denunciar posibles incumplimientos.
En segundo lugar, debe ser un sistema que esté respaldado por la dirección. Que sea un sistema previamente divulgado y que cumpla la obligación de información.
Tiene que ser un sistema fácilmente accesible, debe estar a disposición de cualquier persona que tenga relación civil, mercantil laboral con la entidad. Y por supuesto, guardar la máxima confidencialidad y limitación de actuación por determinación de roles y aprobación.
Por un lado, debe tener la posibilidad de la configuración por la empresa de los siguientes elementos; (i) Causas denunciables (ii) Empresa (iii) Relación con la empresa (iv) Obligatoriedad de denunciante/ denunciado (v) Roles participantes: Denunciante (opcionalmente anónimo), Responsable código ético, Comité de ética. (vi) Histórico de actividad (vii) Informes de actividad y métricas de calidad.
Por otro lado, debe existir en el canal un análisis del cumplimiento; (i) monitorizado por el responsable del código ético quien dirige el proceso. (ii) módulo de instrucción y evidencias, en su caso (ii) resolución de la denuncia, (iii) posibilidad de informar al denunciante, (iv) y las denuncias deben quedar almacenadas para su consulta posterior.
Finalmente, deberían contener métricas relacionadas con el canal de denuncias; (i) Denuncias por causa denunciada (ii) Denuncias por estado (iii) Denuncias por mes (iv) Denuncias por tiempo de resolución. (v) comparativas anuales. Esto último, contribuye a la labor del análisis empresarial y evidentemente muestra los indicadores de cumplimiento o cultura de compliance que debe empapar a la persona jurídica con el objetivo de concienciación empresarial.
Todo esto se ofrece desde la plataforma eCAS.
NC. ¿Cómo funciona el módulo de formación, que posibilidades tiene?
CC. Es un módulo en el que se posibilita la monitorización, gestión y automatización de la formación de todos los empleados. La finalidad de dar este servicio es para lograr que la empresa pueda cumplir con otra de las recomendaciones de la normativa aplicable, toda vez que la formación es un elemento decisivo para que sea eficaz un programa de prevención desde el punto de vita de la cultura de compliance de la empresa. Se pretende con el mismo acreditar las distintas campañas de formación que se puedan establecer en cada empresa, de forma que exista la autoevaluación por cada empleado del contenido exhibido y por consiguiente se pueda determinar el número de empleados que lo han cursado y quede la muesca de verificación por cada empleado. Los contenidos podrán ser incorporados por la propia empresa o bien ser incorporados por la plataforma eCAS, a petición expresa de la empresa
NC. ¿Considera que un sistema como este sustituye a un Compliance Officer, o simplemente facilita el trabajo y lo hace más eficaz?
CC. En pequeñas y medianas empresas que puedan tener más de 40 empleados y que tengan una estructura departamental mínima les será de mucha utilidad, tengan un compliance officer como responsable del modelo o no. En microempresas o de reducida dimensión, que no podrán optar por un compliance officer, podrán demostrar una razonable adaptación a su propia dimensión de los requisitos formales del apartado 5 del artículo 31 bis.3, en coherencia con las menores exigencias que estas sociedades tienen también desde el punto de vista contable, mercantil y fiscal. Por ello, el sistema no sustituye necesariamente si no que facilita el trabajo y lo hace más eficaz, independientemente del tamaño de la empresa. Creemos que la plataforma eCAS ayuda y facilita a toda organización, sin perjuicio de valorar el asesoramiento que paralelamente se pueda optar como servicio de consultoría desde eCompliance Consultores & abogados para aquellas empresas que requieran de estos servicios a parte de la plataforma tecnológica eCAS.
NC: La siguiente es una pregunta recurrente, después de que afamados juristas hiciesen sus consideraciones al respecto, pero nos gusta obtener las diferentes opiniones de expertos como usted. ¿Un sistema Compliance es sólo un salvoconducto?
CC. No es un salvoconducto. Ni muchísimo menos. El que lo plantee de esa manera, probablemente se va a equivocar.
Por un lado, un sistema de Compliance, si se consigue que sea objetivamente eficaz y, va de la mano de la cultura de compliance o de la concienciación de la ética empresarial, hará que la organización o la persona jurídica minimice enormemente los riesgos de una compañía.
Por otro lado, si finalmente surge el delito o el incumplimiento, a pesar de tener establecido un sistema, modelo o programa de prevención de delitos o de compliance penal, se puede decir que la empresa tiene elementos suficientes y razonables como para poder intentar acreditar, en sede judicial, que implantó un programa lo más eficaz posible. Luego podrá intentar acreditar que puso los medios, controles y procesos para intentar evitar, al máximo, los riesgos determinados en su plan de prevención. Es decir, le da a la empresa la posibilidad de acreditar la exigencia que viene dada por la normativa aplicable al efecto, en este momento, que exige que exista una «supervisión, vigilancia y control» sobre los empleados, directivos y colaboradores.
Por lo tanto, no es un salvoconducto, pero si puede evitar o atenuar la pena de la resposanbilidad de la persona jurídica como multa (en cantidad importante que puede conllevar al concurso de acreedores) la inhabilitación de la actividad con el mismo resultado que el anterior o incluso a la disolución de la empresa.
El riesgo cero es imposible, si fuera así, no existiría la necesidad de monitorizar ningún mapa de riesgos.
NC. En este sentido ¿Cómo cree que lo está adoptando el sector empresarial de nuestro país?
CC.. La Ley ha venido para quedarse. Es una realidad. En cuanto a cultura de compliance, en España estamos empezando. No obstante, la normativa que entró en vigor, junto con el contagio de cultura compliance de las empresas anglosajonas, sin olvidar, la monitorización de socios comerciales, de proveedores, globalmente hablando, todo esto, como digo, está ejerciendo una necesidad clara en el tejido empresarial español. Tanto es así, que cada vez más, se ve que se están tomando más medidas para implantar modelos de prevención.
Por eso hay muchos directivos y empresarios, de pymes y también de multinacionales, que ven con claridad que tiene muchas ventajas adelantarse (y no esperar a tener problemas) en la iniciativa de la implantación de un modelo de prevención de delitos. Las ventajas que más destacan y, que coincidimos absolutamente con ellos, son las que se refieren; (i) a evitar costes reputacionales, (ii) abaratar costes de seguros y pólizas (iii) la detección precoz de ineficiencias o errores en los métodos de trabajo (iv) la ventaja concluyente en el momento de contratar con grandes empresas y licitaciones públicas (v) porque quieren transmitir el compromiso de compliance y ética empresarial (vi) adelantarse para cuando se pueda obtener la posible certificación de la UNE 19601. (vii) y por supuesto porque ven que pueden atenuar la responsabilidad de la persona jurídica en el caso que pudiera existir un riesgo delictivo.
En ocasiones nos preguntan; ¿Una empresa ética puede obtener beneficios por la implantación del programa o solo genera gastos? Entendemos que es un hecho incontrovertido, que no es un gasto sino una inversión. Por lo tanto, se puede generar beneficios incluso mayores que aquella empresa que solo busca el beneficio como único objetivo anteponiendo la ética o la ley. La ética sirve, entre otras cosas, para recordar que es una obligación ahorrar sufrimiento y gasto haciendo bien lo que sí está en nuestras manos, como también invertir en lo que vale la pena. Servirá, por tanto, para generar un negocio estable y que aguante los avatares empresariales a lo largo de transcurso de los años. En definitiva, se crea ventaja competitiva frente a otras empresas o instituciones que carezcan de estos valores. Todo esto, a medio plazo repercute positivamente en la cuenta de resultados que es uno de los objetivos claros de cualquier empresa.
En menos de dos años, existirá una mayor homogeneidad del modelo (la UNE19601 ha de contribuir a ese fin), una mayor cultura de compliance que evolucionará incluso profesionalizando el sector. Habrá madurado el compliance en España, y las empresas que hayan ido al ritmo adecuado, impulsado por la normativa aplicable, tendrá una indiscutible ventaja sobre el resto.