Año 2017. Fecha que marcó un antes y un después en el Compliance Penal.
Corrían tiempos convulsos y confusos para las empresas. Se había recogido en el Código Penal lo que parecía resultar en términos coloquiales una especie de “escudo defensor, protector y salvador” que permitía la exención o atenuación de la responsabilidad penal de las organizaciones, siempre y cuando implantasen un programa o plan de prevención de delitos que debía contar con una serie de requisitos mínimos.
Un tema y ámbito material por entonces inmaduro, que pedía a gritos un marco de desarrollo confiable, seguro y de calidad, tanto por su carácter inicial voluntario, como por el escaso conocimiento en la materia.
Y es justo en este momento cuando, partiendo de la base de otros estándares internacionales como la primigenia ISO 19600 sobre Sistemas de Gestión de Compliance- Directrices (actualmente remplazada por la ISO 37301); o la renovada ISO 37001 sobre Sistemas de Gestión Antisoborno; la Asociación Española de Normalización -UNE-, en el seno de su Comité Técnico sobre Ética, Gobernanza y Responsabilidad Social de las Organizaciones (CTN 165), lanza al mercado la “joya de la corona del Compliance”.
Un modelo que se ha convertido en un aliado indiscutible para las empresas en la implementación y desarrollo de su Compliance Penal, permitiendo sentar las bases y generar todo un sistema o marco de buenas prácticas, instrumentos, herramientas, mecanismos de control y gestión del riesgo para todo tipo de empresas.
Y además certificable y acreditable frente a terceros <<¡qué más se puede pedir!>>.
Todo ello, provocó un efecto en cadena en la implementación de los Sistemas de Gestión de Compliance Penal, convirtiéndose en el modelo clásico y referente por antonomasia, incluso ejemplarizante en países donde no contaban aún con dichos esquemas.
Sin embargo, ya han pasado más de siete años desde su lanzamiento y desde entonces, tanto a nivel internacional como nacional se han publicado más de diez referenciales en la materia, todos ellos complementarios, pero mucho más adaptados a la actualidad legislativa y operativa. Por lo que tocaba “renovarse o morir”.
Y así es como se acaba de publicar la nueva actualización de esta norma UNE 19601, cuyos cambios y mejoras más reseñables se concretan en los siguientes aspectos, con el objetivo de consolidar, armonizar y homogenizar sus elementos y requisitos con el de resto de marcos de Compliance.
1.- Respecto al contexto de la organización, se ha optado por no incluir la valoración de las cuestiones relativas al cambio climático a pesar de que a nivel internacional las normas ISO de Compliance sí que lo consideran relevante y de que en el Código Penal actual existen riesgos o delitos vinculados al medio ambiente por los que la empresa podría ser responsable penalmente.
2.- La necesidad de determinar específicamente qué expectativas y necesidades de las partes interesadas caen bajo el paraguas del ámbito penal.
3.- Reubicación y profundización en las fases de la gestión del riesgo (identificación, análisis, valoración, revisión y documentación) y su relación directa con en el contexto de la organización al punto 4 del esquema.
4.- Redefinición de las posiciones de liderazgo, gobernanza y la Función de Compliance, con el objetivo de ofrecer mayor claridad en el marco de sus funciones y responsabilidades.
5.- Inclusión de la “Cultura de Compliance Penal” no como elemento de apoyo, sino como pilar base del compromiso consciente, visible y sostenido de la empresa por la ética y el cumplimiento normativo, reforzando los criterios que sustentan y virtualizan su gobernanza
6.- Segregación entre las prácticas que suponen actos de formación de aquellas otras que impulsan y contribuyen a la “toma de conciencia”, incluyendo su expansión a los socios de negocio.
7.- Modulación de los parámetros de diligencia debida y supervisión en los supuestos de sociedades no contraladas que representan vínculos de inversión financiera o puramente accionarial.
8.- Matizaciones relativas a los procesos de comunicación, reporte e investigación de incumplimientos e irregularidades, teniendo presentes las actuales regulaciones en materia de Canal de Denuncias, Sistema Interno de Información y las normas ISO 37002 e ISO/TS 37008.
9.- Reorganización de los aspectos relativos a la Auditoría Interna, incluyendo el plan, programa y elementos propios del proceso como la selección y criterios del equipo experto auditor.
10.-, Fijación de los elementos mínimos o inputs de entrada que debe contener cualquier revisión del Sistema de Gestión de Compliance Penal, con independencia del órgano destinatario, y recomendaciones en los supuestos de elevación de información a la Dirección y el Órgano de Gobierno.
11.- Descripción de la mejora como un acto “continuo”.
12.- Restructuración de la información documentada mínima necesaria como evidencia y prueba de la implantación y desarrollo del sistema. (Anexo C).
13.- Inclusión en el prototipo de cláusula contractual la posibilidad de auditar de forma directa o bien a través de un tercero externo especializado el cumplimiento razonable de las obligaciones, controles o garantías de Compliance que se hayan fijado como mínimos en los procesos de diligencia debida (Anexo E)
Por último, un consejo de cierre: recuerda actualizar y mantener al día tu Sistema de Gestión de Compliance, introduciendo las novedades de forma previa a tu ciclo de auditoría y proceso de certificación.
