Archivo de la categoría: Compliance

La inutilidad del corporate compliance frente a la tolerancia

Posted on por

La lectura del artículo Algunos hombres malos de Manuel Conthe en Expansión, a principios de agosto, fue doblemente inspiradora. En primer lugar, porque sus argumentos coincidían con mis repetitivas recomendaciones sobre el riesgo de la tolerancia, la presión comercial y las restricciones presupuestarias en relación a la eficacia de un proyecto de corporate compliance. Y en segundo lugar, porque el artículo me descubrió a Max H. Bazerman y a Ann E. Tenbrunsel y su libro Blind Spots, cuya lectura me aportó argumentos adicionales para demostrar la inutilidad de los códigos éticos y los programas de corporate compliance si las empresas crean paralelamente una cultura de incumplimiento de los principios teóricos que defienden o dan instrucciones que contradicen en la práctica dichos principios.

Tolerancia dolosa

El informe anual de responsabilidad social corporativa es prácticamente un repositorio de evidencias de cumplimiento normativo, que puede ser muy útil para acreditar el constante esfuerzo de la empresa para actuar de forma ética y prevenir el incumplimiento de la ley. En la práctica, sin embargo, una política de RSC impoluta puede estar ocultando una cultura paralela que entra en contradicción con los principios éticos que la empresa defiende.

Imaginemos una entidad financiera que da mucha importancia a sus departamentos de auditoría interna, control interno y cumplimiento normativo, pero que después tolera que el departamento comercial de banca patrimonial valore mucho más a los candidatos que acrediten que pueden aportar clientes con grandes patrimonios, o datos financieros sobre los mismos, que en la actualidad están gestionando en otra entidad.

Manuel Conthe explica el caso de un hedge fund que disponía de una unidad de cumplimiento normativo de 38 profesionales pero, en la práctica, toleraba la contratación de gestores de cartera y analistas que tuvieran fuentes de información privilegiada. La SEC acusó a esta entidad de indiferencia corporativa ante la conducta ilegal de sus empleados y de tolerar que la constante búsqueda de oportunidades crease una cultura corporativa paralela que no rechazaba el uso de información privilegiada.

En la práctica puede darse el caso de que haber aplicado un control sea peor que no haberlo aplicado. Y me refiero con ello al siguiente esquema:

  1. Si el riesgo no está identificado y el control todavía no ha sido aplicado, podemos estar ante un supuesto de falta de diligencia, que podría ser tratado como conducta imprudente en caso de delito.
  2. Si el riesgo está identificado y el control se ha aplicado, pero después ha sido retirado de forma expresa o ignorado a través de la permisividad y la existencia de infracciones no sancionadas, podríamos estar ante un supuesto de tolerancia dolosa.

Presión comercial

De forma inconsciente una empresa puede estar promoviendo esta cultura paralela y generar riesgos de incumplimiento. Los códigos éticos pueden pasar a un segundo plano cuando el negocio debe cumplir unos objetivos mensuales de los que depende la continuidad en la empresa de un rango determinado de directivos. Si estos directivos pueden alterar o solicitar a un superior la modificación de sus privilegios informáticos o de sus límites de contratación, y esta conducta se tolera, se estarán desvirtuando los controles que prevenían la comisión de delitos. La tolerancia habrá derogado el control.

Igualmente, un exceso de presión comercial puede inspirar a un directivo que ya ha agotado todos los recursos para vender más, a intentar que la competencia venda menos. En el Digital Attack Map, el mapa gestionado por Google en el que se reflejan los ataques de denegación de servicio que se están produciendo en el mundo en tiempo real, se puede ver el flujo de datos con los que los servidores de unos estados bombardean los servidores de otros estados. Algo parecido sucede durante las campañas navideñas entre algunas plataformas de comercio electrónico que compiten entre si. El objetivo no es tumbar el servidor, sino ralentizar su funcionamiento para que los clientes se impacienten y vayan a la competencia. La existencia de estos ataques está comprobada. La cuestión es saber si las empresas en las que se originan los han ordenado, los toleran o desconocen su existencia.

Restricciones presupuestarias

Los esfuerzos de las empresas por reducir gastos también pueden influir en la creación de culturas paralelas de incumplimiento. Por ejemplo, si a un departamento de informática se le exige más capacidad de reporting y con mayor frecuencia,  pero al mismo tiempo se le recorta el presupuesto, se puede producir una situación de tolerancia a la instalación de software sin licencia. Ello puede generar una tormenta perfecta, ya que las empresas de software tienen sus propias dificultades para crecer con clientes nuevos y por lo tanto están incrementado las auditorías de sus clientes históricos.

El mismo riesgo puede surgir en los departamentos de I+D+i, donde la presión por innovar y crear nuevos productos, sin el consiguiente refuerzo económico, puede provocar situaciones de espionaje industrial o infracciones de la propiedad intelectual e industrial de otras empresas.

Los nuevos requisitos del corporate compliance

El nuevo proyecto de reforma del Código Penal establece los requisitos que deben cumplir los programas de corporate compliance para que la empresa consiga la exención de la responsabilidad penal derivada de los delitos cometidos por sus empleados.

Sus criterios, que coinciden con los manifestados por la Fiscalía General del Estado, exigen una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica y la eliminación de situaciones de tolerancia que produzcan la derogación de dichas medidas.

Como los autores de Blind Spots defienden en su libro, la evaluación de los empleados no puede depender de criterios y objetivos estrictamente cuantitativos, sino también éticos. Y la ética no es un papel, ni un código, ni un informe anual. La ética, al igual que el cumplimiento normativo, es algo que hay que practicar cada día, compatibilizándola con los objetivos de facturación y las prioridades del negocio, sin culturas paralelas ni conductas toleradas. Y además de practicarla, hay que ser capaz de demostrarlo.

Ciclo de seminarios monográficos sobre responsabilidad de los directivos

Posted on por

 

OBJETIVO

El objetivo de este ciclo de seminarios es analizar en profundidad el impacto de los cambios legislativos previstos para 2014 en la responsabilidad de aquellas personas que ocupan cargos directivos, con especial atención al nuevo delito de omisión de medidas de prevención y control.

ESTRUCTURA COMÚN DE TODOS LOS SEMINARIOS

Todos los seminarios se estructurarán en tres bloques:

1. Introducción: en este bloque se analizarán los principales cambios legislativos previstos para 2014 y el impacto en la responsabilidad legal de cada tipo de directivo.

2. Funciones de control: en este bloque se analizarán las medidas de prevención y control dirigidas a evitar la responsabilidad de los Directivos.

3. Caso práctico: en este bloque se analizará un caso práctico de una empresa. La exposición correrá a cargo de una persona que ostente el cargo analizado en el seminario.

DURACIÓN

La duración del seminario será de tres horas, incluyendo una pausa-café.
Todos los seminarios se iniciarán a las 18:00 h. y finalizarán a las 21:00 h.

LUGAR DE CELEBRACIÓN

Los seminarios se celebrarán en la sede de Ribas y Asociados:
Avenida Diagonal 640 1C de Barcelona.

SESIONES IN COMPANY

Estos seminarios pueden también realizarse en formato “in company” con el número de asistentes y la estructura que el cliente determine.
En caso de estar interesado en esta modalidad, puede enviar un mensaje a montse.otalora@ribastic.com

NÚMERO MÁXIMO DE ASISTENTES

Con el objetivo de conseguir el máximo aprovechamiento de las reuniones de trabajo, éstas tendrán un número máximo de diez asistentes. Si alguna de ellas superara el aforo indicado, se propondrá una nueva fecha para repetir la sesión.

PRECIO

Cada seminario tendrá un coste de 300 euros + IVA 21%
En el caso de seminarios “in company”, se preparará una propuesta a medida.

FORMA DE PAGO

Mediante transferencia bancaria previa a la celebración del seminario.

DIPLOMA

Se entregará a los asistentes un diploma acreditativo de la asistencia al seminario.

FECHAS

Los seminarios se celebrarán durante los meses de noviembre y diciembre de 2013, de acuerdo con el siguiente calendario.

07-11-13  Funciones de control y responsabilidad legal del DPO
14-11-13  Funciones de control y responsabilidad legal del CIO
21-11-13  Funciones de control y responsabilidad legal del Director Financiero
28-11-13  Funciones de control y responsabilidad legal del In House Lawyer
04-12-13  Funciones de control y responsabilidad legal del Auditor Interno
12-12-13  Funciones de control y responsabilidad legal del Director de RRHH
19-12-13  Funciones de control y responsabilidad legal del Director General o CEO

INSCRIPCIONES

Para formalizar la inscripción rogamos envíen un mensaje a Montse Otalora (montse.otalora@ribastic.com) acompañando copia de la transferencia a la cuenta corriente que ella les facilitará. Su teléfono es el 934940748. Muchas gracias.

La exención de la responsabilidad penal corporativa en la futura reforma del Código Penal

Posted on por

El anteproyecto de reforma del Código Penal elaborado por el Ministerio de Justicia detalla los requisitos que deben cumplir los modelos de prevención y control (Corporate defense) para que las empresas queden exentas de responsabilidad penal.

El texto recoge y desarrolla el criterio manifestado en la Circular 1/2011 de la Fiscalía General del Estado en relación al llamado «makeup compliance», representado por protocolos escritos y modelos teóricos que se limitan a describir los sistemas de control y prevención de delitos diseñados, y en muchos casos no aplicados, por las empresas para eludir la responsabilidad penal.

REQUISITOS PARA LA EXENCIÓN DE RESPONSABILIDAD PENAL

La empresa podrá quedar exenta de responsabilidad si prueba que se dan las siguientes circunstancias:

1. Disponer de un modelo de organización y gestión adoptado por el órgano de administración

2. Que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza que los cometidos

3. El modelo de prevención y control debe haber sido ejecutado con eficacia

4. Antes de la comisión del delito

5. Debe existir una supervisión del funcionamiento y del cumplimiento del modelo de prevención

6. Asignada a un órgano de la empresa con poderes autónomos de iniciativa y control

7. El autor del delitos tiene que haber eludido de forma fraudulenta las medidas de control

8. No tiene que haberse producido una omisión o un control insuficiente por parte del órgano de supervisión. Se confirma por lo tanto nuestro criterio de que la tolerancia equivale a la derogación del control

9. Si estos requisitos sólo pueden ser acreditados parcialmente, ello será valorado a los efectos de atenuación de la pena, pero no habrá exención de la responsabilidad penal. Se refuerza por lo tanto la necesidad de disponer de medios de prueba que acrediten la efectiva aplicación de las medidas de prevención y control.

REQUISITOS DE LOS MODELOS DE PREVENCIÓN

Los modelos de prevención y control dirigidos a prevenir los delitos de los representantes legales y de los directivos deberán cumplir los siguientes requisitos:

1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Los modelos de prevención y control dirigidos a prevenir los delitos de los trabajadores deberán cumplir los siguientes requisitos:

1. Las medidas de prevención y control deberán:

  • Estar adaptadas al tamaño de la empresa
  • Estar adaptadas al tipo de actividades que se llevan a cabo
  • Garantizar el desarrollo de la actividad empresarial conforme a la Ley
  • Permitir la detección rápida y prevención de situaciones de riesgo

2. El funcionamiento eficaz del modelo de prevención requerirá:

  • Una verificación periódica del mismo
  • Una modificación cuando se produzcan infracciones relevantes de sus disposiciones
  • Una actualización cuando se produzcan cambios relevantes en la organización, en la estructura de control o en la actividad desarrollada
  • Un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención

CONCLUSIONES

Si la reforma prevista del Código Penal mantiene este texto se habrá producido una ampliación clara de los requisitos exigidos para la exención de la responsabilidad penal de las empresas y será necesaria una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica.

Control de proveedores y responsabilidad corporativa: los modelos de Inditex y Apple

Posted on por

El alto nivel de externalización que actualmente tienen las empresas hace que compartan con sus proveedores la gestión de la reputación corporativa.

Cuando las hojas salariales de una empresa o las historias clínicas de un hospital aparecen en un contenedor, el nombre del proveedor al que se había encomendado su correcta destrucción, y que certificó que efectivamente lo había hecho, ni siquiera aparece. En cambio, el de la empresa que lo contrató y confió en que cumpliría el contrato es objeto de críticas en los medios y de denuncias ante la Agencia de Protección de Datos.

A ello se unen factores que configuran una tormenta perfecta. El proveedor está aplicando una política de ahorro de costes que puede influir en la calidad, y probablemente su capacidad de hacer frente a una reclamación de daños y perjuicios ha quedado limitada, al haber reducido la cobertura de su seguro de responsabilidad civil a causa de la misma política de ahorro de costes.

En 2012 varias empresas de diversos sectores tuvieron problemas en la calidad de sus productos o servicios y es razonable pensar que el origen de estos incidentes pudiera deberse, en cierta medida, al recorte presupuestario comentado.

Ante esta situación surge más que nunca la necesidad de establecer medidas de control y pruebas cronológicas sobre el esfuerzo realizado por la empresa para asegurar la calidad, el cumplimiento contractual y el cumplimiento normativo de los proveedores. Al igual que en las grandes empresas existe las funciones de auditoría interna y control interno, se hace necesario potenciar las funciones de auditoría y control externos.

Para analizar la política y los protocolos a seguir para prevenir supuestos de responsabilidad civil (culpa in eligendo y culpa in vigilando) derivados de las acciones u omisiones de los proveedores, vamos a relacionar los elementos más significativos de los modelos de control externo de dos grandes compañías como Inditex y Apple.

Modelo Inditex

La política de control de proveedores de Inditex se basa en los siguientes puntos:

  • Programa de cumplimiento
  • Programa de sensibilización
  • Código de conducta de fabricantes y proveedores
  • Autoevaluación de proveedores
  • Auditoría social
  • Asignación de rating
  • Monitorización permanente de los proveedores
  • Programas y auditorías de seguimiento
  • Aplicación de planes de acción correctivos
  • Acompañamiento en la mejora constante de las condiciones sociolaborales
  • Colaboración con organizaciones de referencia
  • Estrategia global de gestión del agua
  • Plan estratégico medioambiental 2011-2015
  • Compromiso de vertido cero

La política de Inditex en relación a sus proveedores se encuentra en la sección Proveedores del área de Sostenibilidad de su sede web.

Modelo Apple

La política de control de proveedores de Apple se basa en los siguientes puntos:

  • Lista pública de proveedores (PDF)
  • Código de conducta para proveedores (PDF)
  • Programa de formación para toda la cadena de suministro
  • Política de protección de los derechos del trabajador
  • Política de seguridad e higiene en el trabajo
  • Política de protección del medioambiente
  • Cálculo de la huella ambiental y de carbono a nivel mundial
  • Auditorías presenciales
  • Investigaciones encargadas a asociaciones independientes
  • Publicación de los resultados de los controles

La política de Apple en relación a sus proveedores se encuentra en la sección Supplier Responsibility de su sede web.

Sobre el papel ambos modelos son tan completos que si una empresa quiere saber si su modelo de control de proveedores es exhaustivo, sólo tiene que compararlo con los de Inditex y Apple. Incluso puede utilizar la lista de puntos anterior como checklist. En la práctica hay que saber distinguir entre maquillaje (makeup compliance) y control efectivo, por lo que es importante valorar los resultados y generar pruebas de la existencia y la eficacia de los controles.

Finalmente, cabe mencionar la reciente resolución de la AEPD, en la se se ha impuesto una sanción de 33.000 euros a una empresa por el mal funcionamiento del procedimiento de gestión de las solicitudes de baja cursadas por usuarios que no deseaban seguir recibiendo publicidad por correo electrónico. Este procedimiento estaba externalizado en una empresa especializada, y la AEPD considera que la empresa sancionada debía haberse asegurado del correcto funcionamiento de la operativa encomendada al proveedor. La resolución establece que la empresa desatendió su deber de cuidado de la labor del proveedor, que envió 23 mensajes publicitarios al usuario afectado, a pesar de haber comunicado éste que no deseaba recibir más publicidad.