En los últimos años se ha hablado mucho de compliance normativo, compliance corporativo, criminal compliance, etc y de entrada surge la duda de si hablamos de lo mismo, o tienen particularidades que los diferencian. En esta publicación vamos a tratar de distinguir a uno de ellos, el criminal compliance o gestión de riesgos penales.
¿Es lo mismo el compliance corporativo que el compliance penal?
El compliance corporativo a groso modo se refiere a la evaluación de todos los procesos, políticas y procedimientos de la corporación, sus responsables, controles y medidas de reacción ante la concresión de riesgos. Es decir, su alcance es amplio porque abarca todos los riesgos operativos, financieros, la ética empresarial y el cumplimiento de las regulaciones del sector del modelo de negocio. El enfoque basado en riesgos resulta fundamental para emprender el plan de compliance.
En otro orden de ideas, hablamos de compliance penal cuando el eje fundamental sobre el cual gira el programa de identificación, tratamiento y control, se focaliza en detectar y controlar los impactos sobre la organización de delitos contemplados en el Código Penal y leyes especiales con ilícitos penales, a los que pueda responder la persona jurídica.
Un modelo de detección y reacción ante delitos, debe incluir para ser eficaz: un mapa de riesgos penales, un canal de alerta o de denuncia, protocolos de actuación ante la concesión de riesgos, un sistema disciplinario, recursos financieros y un sistema de revisión periódico, entre otros aspectos.
¿Son excluyentes el compliance corporativo y el criminal compliance a la hora de implantarlos en una organización?
No, no son excluyentes. El criminal compliance apenas identifica y mitiga una parcela de la totalidad de los riesgos a los cuales están sometidas a diario las corporaciones, mientras que el compliance corporativo actúa sobre todos los riesgos de forma sistemática y transversal.
¿Cuál es estándar o normativa aplicable en el momento de diseñar e implementar el criminal compliance?
La norma española (UNE) 19601, resulta ser el estándar ideal para gestionar los riesgos penales de una organización por los siguiente motivos:
La norma está orientada a la mejora continua mediante la aplicación del ciclo de PHVA (planificar-hacer-verificar-actuar), conocido también como el ciclo de Deming.
Es una norma aplicable a cualquier tipo de organización (pública, privada, OSFL, con o sin personalidad jurídica) sin hacer distingos de su tipo, tamaño o sectores en lo que opere. Las corporaciones varian en estructura y tamaño y deben partir de un elemento de gestión de riesgos similar.
La UNE 19601 tiene como referente la estructura de alto nivel (High Structure Level) dispuesta para todas las normas ISO, motivo por el cual se puede acoplar a otros programas implementados en las organizaciones y puede converger con el sistema de gestión de co mpliance ISO-37301, la ISO 37001 sobre Sistema de gestión antisoborno y la ISO 31000, sobre Gestión del Riesgo, entre otras.
Esta norma ayuda a las organizaciones a desarrollar un sistema de gestión penal dirigido a prevenir, detectar y controlar conductas ilícitas construyendo una cultura de compliance, que puede exonerar o atenuar la responsabilidad penal de la persona jurídica y en algunos casos, la de sus representantes.
Implementar un sistema de gestión penal a futuro impacta favorablemente en la gestión empresarial debido a que permite relacionarse con corporaciones que ya lo tienen implementado y deviene en un paso adelante en la planificación y estrategia empresarial.
¿Quién se encarga de diseñar e implementar un sistema de criminal compliance en tu organización?
El proceso de diseño generalmente es atribuido a entes externos a la organización, como ejemplo una consultora o firma de abogados especializados en Derecho penal y en identificación y gestión de riesgos. Para agilizar la selección, es necesario destacar las solvencias formativas que tenga el lider del proyecto y la experiencia en el diseño de sistemas o programas de compliance, ya que el ciclo (planificar-hacer-verificar-actuar) debe dejar trazabilidad, y de esta forma evidenciar que es un sistema adaptado al contexto de la organización.
El copy paste, paper o fake en compliance es relevante ya que la función de cumplimiento de las grandes empresas revisa en detalle los sistema de gestión de riesgos empresariales para determinar el grado de madurez de la cultura compliance.
De forma concomitante se debe atribuir la vigencia, escrutinio y constante actualización a la función de cumplimiento que puede ser individual, bajo la supervisión de un compliance officer (oficial de cumplimiento) o colectivo, con el estamento de un comité de compliance, todo de acuerdo a las necesidades de la empresa.
Si desea mayor información sobre este apasionante tema, o tiene una duda sobre la factibilidad de implementar un sistema de gestión de riesgos penales eficaz en su organización puede contactarnos por nuestros canales de comunicación.
