Entrada en vigor de la reforma del Código Penal – Acciones a realizar

Hoy entra en vigor la reforma del Código Penal, que establece los requisitos a cumplir para que una empresa pueda acceder a la exención de la responsabilidad penal.

De forma telegráfica resumo las acciones que recomiendo realizar en el caso de que todavía no se hayan ejecutado.

1. Aprobar una política que describa el modelo de prevención y control de la empresa.
2. Nombrar un Comité de Compliance basado en un modelo de control descentralizado.
3. Identificar el riesgo de delito en cada departamento a través del correpondiente mapa de riesgos.
4. Definir y aplicar un protocolo de toma de decisiones
5. Definir y aplicar un modelo de gestión de los recursos financieros orientado al compliance.
6. Crear, mantener y promocionar adecuadamente el canal ético de la empresa.
7. Establecer un sistema disciplinario que tenga en cuenta los cortos plazos de prescripción de las infracciones en los convenios
8. Programar una verificación periódica del funcionamiento y el cumplimiento del modelo de prevención y control.

Adicionalmente, y con el fin de cumplir los requisitos de antelación, eficacia, idoneidad y prueba, se recomienda realizar las siguientes acciones:

1. Completar el código ético con escenarios de riesgo y prohibiciones idóneas para todos los riesgos previstos en el mapa de riesgos.
2. Completar el modelo de prevención y control con controles idóneos para todos los riesgos previstos en el mapa de riesgos.
3. Obtener evidencias cronológicas de la existencia y la eficacia de los controles.
4. Conservar las evidencias de los controles en un repositorio que de fe de su antigüedad.

Una oportunidad para compartir o limitar la responsabilidad del Compliance Officer

El pasado 3 de junio se publicó en el Boletín Oficial del Senado el Proyecto de Ley de Auditoría de Cuentas, que extiende la obligación de disponer de una Comisión de Auditoría a las empresas cuyo importe neto de la cifra de negocios de más de 200 millones de euros o tengan más de 1.000 empleados.

La Comisión de Auditoría de estas empresas deberá tener la composición y las funciones contempladas en el artículo 529 quaterdecies del Texto Refundido de la Ley de Sociedades de Capital.

Esta comisión puede compartir o llegar a sustituir las funciones y responsabilidades del Compliance Officer o del Comité de Compliance en su caso, ya que es el órgano al que se refiere alternativamente el artículo 31 bis del Código Penal cuando habla del órgano que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.

Composición de la Comisión de Auditoría

La comisión de auditoría estará compuesta exclusivamente por consejeros no ejecutivos nombrados por el consejo de administración, la mayoría de los cuales, al menos, deberán ser consejeros independientes y uno de ellos será designado teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o en ambas. En su conjunto, los miembros de la comisión tendrán los conocimientos técnicos pertinentes en relación con el sector de actividad al que pertenezca la entidad auditada.

Funciones de la Comisión de Auditoría

Sin perjuicio de las demás funciones que le atribuyan los estatutos sociales o de conformidad con ellos, el reglamento del Consejo de Administración, la Comisión de Auditoría tendrá, como mínimo, una serie de funciones, entre las que destaca la de supervisar la eficacia del control interno de la sociedad, la auditoría interna y los sistemas de gestión de riesgos.

En las entidades a que dispongan de un órgano con funciones equivalentes a las de la Comisión de Auditoría, que se haya establecido y opere conforme a su normativa aplicable, las funciones de la Comisión de Auditoría serán asumidas por el citado órgano, debiendo dichas entidades hacer público en su página web el órgano encargado de esas funciones y su composición. Este órgano podría ser el Comité de Compliance o el Compliance Officer. La dificultad de que una sola persona asuma estas funciones confirma una vez más la recomendación de que se trate de un órgano colegiado.

Empresas que estarán obligadas a tener Comisión de Auditoría

Están obligadas a tener Comisión de Auditoría las entidades de interés público. El artículo 3.5.b del proyecto establece que tendrán la consideración de entidades de interés público las que se determinen reglamentariamente en atención a su importancia pública significativa por la naturaleza de su actividad, por su tamaño o por su número de empleados.

Hasta el momento en que se produzca el desarrollo reglamentario de la futura Ley de Auditoría de Cuentas, el actual Reglamento del texto refundido de la Ley de Auditoría de Cuentas atribuye la consideración de entidades de interés público a las empresas cuyo importe neto de la cifra de negocios o plantilla media durante dos ejercicios consecutivos, a la fecha de cierre de cada uno de ellos, sea superior a 200.000.000 de euros o a 1.000 empleados, respectivamente. ACTUALIZACIÓN: la propuesta del Gobierno consiste en que estos umbrales pasen a 2.000 millones y 4.000 empleados.

Cómo quedará configurada la responsabilidad del Compliance Officer

Con la entrada en vigor de la nueva Ley de Auditoría de Cuentas las empresas podrán optar por las siguientes alternativas:

1. Asignar la función de supervisión del modelo de prevención y control de delitos (Programa de Compliance) exclusivamente a la Comisión de Auditoría, por ser el órgano que tiene encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica, de acuerdo con lo establecido en el artículo 31 bis del Código Penal y la Ley de Sociedades de Capital. Ello sin perjuicio de que la Comisión de Auditoría delegue funciones de supervisión y control en el Comité de Compliance o en el Compliance Officer en su caso.

2. Asignar al Comité de Compliance las funciones establecidas legalmente a la Comisión de Auditoría. En tal caso, el Comité de Compliance deberá operar conforme a lo establecido en la Ley de Auditoría de Cuentas, en la Ley de Sociedades de Capital y en el artículo 31 bis del Código Penal de forma acumulativa. La empresa deberá hacer público en su página web el órgano encargado de estas funciones y su composición.

3. Repartir las funciones de supervisión y control entre la Comisión de Auditoría y el Comité de Compliance. Esta sería la opción más recomendable según mi opinión, ya que de esta manera se produciría una especialización en la función de control, financiero y contable en el primer caso, y relativo a los riesgos penales en el segundo.

Conclusiones

La extensión de la obligación de disponer de Comisión de Auditoría a las sociedades no cotizadas que cumplan los requisitos cuantitativos comentados abre la posibilidad de compartir o concentrar la función de supervisión y control en un órgano superior, formado, (por razones de independencia) por consejeros no ejecutivos. Ello será especialmente relevante en el momento de depurar responsabilidades por la existencia de un déficit de control en la sociedad, dado que los consejeros ya tienen en la actualidad una potencial responsabilidad penal por la vía del artículo 31 y el Compliance Officer, o el Comité de Compliance en su caso, no debería responder de un entorno de control diseñado por el Consejo de Administración.

 

El Reglamento Europeo de Protección de Datos coge impulso

Artículo de Marc Rius

En reunión de esta mañana del Consejo de Justicia y Asuntos de Interior de la Unión Europea, se ha decidido por pleno consenso aceptar el enfoque general del Reglamento Europeo de Protección de datos, que ha sido elaborado durante los últimos 3 años y medio.

Aunque la mayoría de países han mostrado sus preocupaciones acerca de algunos puntos, todos han coincidido en la necesidad de avanzar en el proyecto y presentarlo lo antes posible ante el Parlamento de la Unión Europea y discutir el texto definitivo. Como todos los países han ido repitiendo a los largo de la sesión, este texto es un texto de compromiso con un amplio margen de mejora, pero sirve de base para empezar los trílogos frente al Parlamento Europeo.

La mayoría de los comentarios críticos con el texto, siendo por tanto el punto más controvertido del texto propuesto actual, propuesto han sido realizados acerca del artículo 6.4, sobre licitud del tratamiento y, en especial, sobre la última frase del mismo. Dicho artículo establece que “Cuando la finalidad del tratamiento posterior sea incompatible con aquella para la que se recogieron los datos personales por el mismo responsable, el tratamiento posterior deberá tener base jurídica al menos en uno de los fundamentos mencionados en el apartado 1, letras a) a e). El tratamiento posterior por el mismo responsable para fines incompatibles por motivos de legítimo interés del responsable o de un tercero será lícito cuando estos intereses superen a los del interesado”.

Las principales críticas al referido artículo ponen en duda la posibilidad de ejercer una protección efectiva de la privacidad de los datos de los usuarios, creando un desequilibrio entre la privacidad y el tratamiento de datos, pudiendo ir incluso contra los propósitos generales de la regulación de protección de datos en Europa.

Otras dudas, o puntos en los que sigue existiendo preocupación y sobre los que se espera poder ahondar durante los trílogos, son:

– El tratamiento de datos con finalidades de investigación científica.
– El tratamiento de datos de menores.
– La transferencia internacional de datos.
– El sistema de ventanilla única.
– El derecho a indemnización y responsabilidad

En especial, el Ministro de Justicia, Rafael Catalá, en representación de España, ha hecho especial hincapié en considerar el texto como un buen compromiso entre los países miembros y la comisión, con aspectos mejorables. En este sentido, ha indicado es especialmente necesario obtener cuanto antes un texto definitivo en pro de los derechos de los ciudadanos y las empresas. El texto va a permitir la tutela de los derechos en toda Europa, dotando a las empresas de normas armonizadas en todo el territorio, lo que repercutirá en la competitividad de éstas.

Este enfoque general crea, según la gran mayoría de representantes del Consejo de Justicia y Asuntos de Interior, un marco de regulación que permite, a grandes rasgos, permitir un alto nivel en la protección de datos de los individuales, así como mejorar la competitividad de las empresas.

El primero de los trílogos está previsto para el 24 de junio, cumpliendo así las expectativas de comprimir el calendario de trabajo lo máximo posible para evitar a toda costa tener un texto definitivo y aprobado a finales de año. Parece por tanto que realmente se ha conseguido el impulso necesario, en parte por el compromiso de crear y desarrollar el Mercado Único Digital como objetivo de la Comisión Europea.

Falta esperar pues si el esfuerzo realizado por el Consejo de Justicia y Asuntos de Interior de la Unión Europea para superar la gran cantidad de notas a pie de página que conformaban la anterior propuesta de Reglamento es suficiente para convencer al Parlamento y si el equipo encargado del proyecto es capaz de conseguir un texto definitivo para finales de año, pero parece ser que esta vez existen posibilidades reales de cumplir los objetivos.

Última convocatoria del Curso de Compliance Officer antes del verano

Por una anulación de última hora han quedado libres dos plazas en la convocatoria del Curso intensivo de Compliance Officer de los días 18 y 19 de junio (16 horas presenciales y 134 horas online – Máximo 12 alumnos)

Esta será la última convocatoria que haremos antes del verano.

El programa es el mismo que el de las convocatorias enteriores, pero si queréis que os lo envíe podéis remitirme un mensaje a xavier.ribas@ribastic.com

Muchas gracias.

Xavier Ribas

Estudio – Análisis de los códigos éticos del Ibex 35 – 2015

Nuestro despacho ha elaborado un estudio titulado “Códigos éticos y líneas rojas penales” en el que analizamos dónde colocan públicamente las líneas rojas relativas a los principales delitos económicos las empresas del Ibex 35.

Expansión dedicó ayer dos páginas a este estudio con un gráfico comparativo y un artículo de Almudena Vigil en el que, con gran esfuerzo de síntesis, comentó las principales conclusiones del análisis.

El estudio puede ser de utilidad para cualquier empresa que desee dar un mensaje al mercado y a sus grupos de interés sobre el marco de actuación en el que debe trabajar el equipo directivo y todos los niveles de la organización.

Estudio “Códigos éticos y líneas rojas penales Ibex 35 – 2015

Artículo de Almudena Vigil en Expansion.com

Gr

Curso de Compliance adaptado a la reforma del Código Penal

Logo del grupo 100x50

 

 

Nuestro despacho inicia en abril la segunda edición del Curso de Compliance de 150 horas que tiene los siguientes formatos:

– Presencial intensivo – 2 días (16 horas presenciales + 134 horas online)
– Online (150 horas online)

Las características diferenciales de este curso son las siguientes:

– En las dos modalidades presenciales no se superarán los 12 asistentes por clase con el fin de conseguir el máximo aprovechamiento en los debates, talleres y casos prácticos.

– Toda la formación será impartida por abogados en ejercicio, por lo que  irá orientada a la aplicación práctica de la metodología a la función de compliance.

– La metodología irá orientada específicamente a la prevención de la responsabilidad de la empresa y del directivo.

– Se realizarán 20 talleres de aplicación y prueba de medidas preventivas y controles específicos.

– Se analizarán y resolverán 40 casos prácticos.

– Se analizarán 50 escenarios de riesgo con sus respectivos controles y evidencias.

– Se revisarán 20 actividades críticas que habitualmente se externalizan.

– Se identificarán 20 categorías de proveedores críticos de diversos sectores.

– Se explicará la metodología de control de los proveedores críticos.

– Se explicará el uso de herramientas informáticas de análisis de riesgos, gestión de controles y de evidencias.

Si deseas que te envíe el programa y el precio del curso en sus dos modalidades te ruego que me lo indiques enviando un mensaje a xavier.ribas@ribastic.com

Te ruego también que especifiques cuál de los dos formatos te interesa más.

El programa coincide en estructura y alcance con la metodología Compliance 3.0 desarrollada y registrada por nuestro despacho, por lo que su distribución está restringida.

El nuevo modelo de prevención y control (Programa de Compliance)

1. Antecedentes

2010 – La reforma del Código Penal introduce la responsabilidad penal de las empresas.

2011 – La circular 1/2011 de la Fiscalía General del Estado alerta sobre la ineficacia del “compliance cosmético”, es decir, de los protocolos de prevención y detección de delitos que simplemente se aplican, sin acreditar de forma periódica la existencia y la eficacia del control.

2015 La nueva reforma, en vigor a partir del 1 de julio de este año, describe con mayor detalle los requisitos que las empresas deben cumplir para conseguir la exención de la responsabilidad penal.

El requisito de la eficacia exigido para las medidas de prevención y control de delitos obliga a crear una prueba del esfuerzo realizado por las empresas y los directivos para evitar la comisión de delitos en cualquier nivel de la empresa.

2. El modelo de prevención y control

Para acceder a la exención de la responsabilidad, la empresa debe establecer un modelo de organización y gestión, el llamado programa de compliance.

Este modelo debe cumplir los siguientes requisitos:

PREVIO – Adoptado antes de la comisión del delito
EFICAZ – Ejecutado con eficacia antes de la comisión del delito
IDÓNEO – Debe incluir medidas de vigilancia y control idóneas para:

– Prevenir delitos de la misma naturaleza que el cometido
– O para reducir de forma significativa el riesgo de su comisión

 3. Contenido del modelo de prevención y control

  • Mapa de riesgos.- Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
  • Protocolo de toma de decisiones.- Establecimiento de protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución en las mismas con relación a aquéllos.
  • Modelo de gestión de los recursos financieros.- Disposición de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
  • Canales de denuncias.- Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo de vigilar el funcionamiento y la observancia del modelo de prevención.
  • Sistema disciplinario.- Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
  • Verificación periódica.- Realización de una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios

4. Órgano de supervisión

  • En las grandes empresas deberá existir un órgano de supervisión.
  • Con poderes autónomos de iniciativa y de control.
  • Dedicado a la supervisión del funcionamiento y del cumplimiento del modelo
  • También puede ser objeto de una asignación legal de la función de supervisar la eficacia de los controles internos

5. Control eficaz

Para conseguir la exención de la responsabilidad penal no debe haberse producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano de supervisión.

6. Prueba del control

  • EXENCIÓN.- Si la empresa acredita totalmente el cumplimiento de las anteriores condiciones, quedará exenta de responsabilidad penal.
  • ATENUACIÓN.- La acreditación parcial de las anteriores condiciones, podrá ser valorada a los efectos de la atenuación de la pena

Ver este resumen de forma gráfica en la infografía titulada “El camino a la exención”:

Infografía – El camino a la exención (PDF)

Publicada en el BOE la reforma del Código Penal de 2015 sobre la responsabilidad penal de las empresas

El BOE de hoy publica la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. que establece los requisitos que las empresas deberán cumplir para quedar exentas de responsabilidad penal.

El nuevo régimen entra en vigor el 1 de julio de 2015.

Dado el carácter definitivo del texto, hemos resumido estos requisitos en la siguiente infografía titulada “El camino a la exención”.

Infografía – El camino a la exención (PDF)

Infografia - El camino a la exencion

Infografía – El camino hacia la exención de la responsabilidad penal corporativa

El Congreso de los Diputados aprobó ayer el texto definitivo de la reforma del Código Penal, que establece los requisitos que una empresa debe cumplir para poder quedar exenta de responsabilidad penal. El nuevo régimen entra en vigor el 1 de julio de 2015.

Dado el carácter definitivo del texto, hemos resumido estos requisitos en la siguiente infografía titulada “El camino hacia la exención”.

Infografía – El camino a la exención (PDF)

Infografia - El camino a la exencion

Posibles deficiencias en el manual antiblanqueo de Banco Madrid

Una noticia de ayer dió a conocer las conclusiones del informe sobre el Banco Madrid enviado por el SEPBLAC a la Fiscalía Anticorrupción. En él se recogen una serie de posibles deficiencias detectadas en el manual de prevención del blanqueo de capitales de la entidad.

Entre las deficiencias identificadas en el informe destacarían las siguientes:

1. Inexistencia de un capítulo específico relativo a los agentes, presentadores y mediadores, cuya actividad es significativa en el Banco Madrid.

2. Falta de especificación de la forma de comunicación de las operaciones sospechosas por parte de los empleados al órgano de control interno, en cuanto a plazos, contenido mínimo, etc.

3. Omisión de actividades de elevado riesgo como la intermediación, el comercio exterior, los despachos de abogados y las inmobiliarias.

4. Mayor orientación del manual a la actividad de la banca minorista que a la de banca privada.

5. Ausencia de mención de los procedimientos de verificación interna de la correcta aplicación de las medidas de prevención.

6. Inexistencia de criterios de actuación en relación a la titularidad de las operaciones.

Al margen de la especificidad en materia de prevención del blanqueo de las presuntas deficiencias, y del posible incumplimiento de la normativa que la regula, la lectura de la noticia nos lleva una vez más a reconocer la importancia de la estructura normativa en materia de Compliance. A pesar de la dificultad de conseguir el conocimiento pleno de tal volumen de normas por sus destinatarios.

Las políticas, las normas y procedimientos deben describir los comportamientos que la empresa espera del equipo humano que la forma, así como las malas prácticas que están prohibidas. Este principio tan elemental, que debe inspirar el cuerpo normativo de la empresa, desde el código ético hasta el último procedimiento, no siempre se cumple, como veremos en un estudio que nuestro despacho está preparando en relación al Ibex35.