Nuevo curso: Prestación de servicios de compliance a empresas

Me complace anunciar un nuevo curso dirigido a despachos de abogados sobre la prestación de servicios de compliance a pequeñas y medianas empresa.

El curso pretende ser una guía práctica sobre el ciclo completo de prestación de servicios de compliance, desde la captación y retención de potenciales clientes hasta la contratación y desarrollo del proyecto de compliance y de sus servicios asociados.

En el curso se tratarán los siguientes temas:

  • Marketing jurídico para la:
    • Identificación de clientes target
    • Captación del interés
    • Retención de clientes target
  • Preparación de la oferta:
    • Valoración económica de los servicios
    • Presentación de la propuesta
  • Planificación del proyecto
  • Etapas del proyecto
  • Desarrollo del proyecto
  • Gestión de recursos durante el proyecto
  • Servicios asociados que pueden ofrecerse
  • Adecuación a la UNE 19601
  • Adecuación al RGPD
  • Fidelización del cliente
  • Herramientas

La primera convocatoria de este curso está prevista para el 23 de junio de 2017

El horario será de 9:00 a 14:00.

El curso está limitado a 12 asistentes por sesión, con el fin de conseguir el máximo aprovechamiento.

El precio del curso es de 250€ más IVA y tendrá lugar en nuestro despacho, en Diagonal 640 1C de Barcelona.

Si te interesa asistir, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

ARGUMENTO 14 – Estrategia de defensa basada en pruebas preconstituidas, ordenadas, centralizadas y con sello de tiempo (Defense file)

En España, y en general en los países mediterráneos, no existe una cultura de preconstitución de prueba y de preparación para el litigio. Igual que estudiamos los días antes del examen, en la mayoría de los casos nos preparamos para el litigio después de recibir el escrito de demanda o de querella.

El concepto anglosajón de “litigation readiness” sugiere una planificación dirigida a estar preparado para acreditar el cumplimiento ante la eventualidad de una reclamación en sede civil, penal o administrativa.

Este concepto, trasladado a nuestra aplicación Compliance 3.0, consiste en seleccionar, obtener, ordenar y archivar las evidencias que acreditan la existencia, la idoneidad y la eficacia de cada control, con la prueba cronológica añadida del sellado de tiempo o time stamping del documento probatorio.

Este “defense file” se crea de manera sistemática y automática al incorporar cada evidencia a la aplicación de manera asociada a cada control y tiene el objetivo de acreditar el esfuerzo realizado por la empresa para asegurar el cumplimiento en todos los niveles de la organización.

El primer efecto positivo de disponer de un repositorio de evidencias es emocional, ya que mitiga el pánico post-querella, que se ocasiona cuando el querellado ve que las pruebas exculpatorias están dispersas, en distintos departamentos, proveedores, auditores, gestores, abogados… o no existen.

La imagen de orden que ofrece la simple visualización de la aplicación y de los controles con sus evidencias asociadas es una prueba en sí misma de diligencia y de cultura de cumplimiento.

Finalmente, la empresa dispone de un arsenal de evidencias, que, sin ánimo de saturar al tribunal desde el punto de vista cuantitativo, permite realizar una selección de las más significativas y ofrecer, en una sola acta notarial, una estrategia de defensa robusta y eficaz, con el fin de conseguir el archivo de las actuaciones en la fase de instrucción.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 13 – Creación de cortafuegos que ayuden a aislar la responsabilidad en los verdaderos autores del incumplimiento

Cada vez que en una empresa hacemos pruebas de estrés de controles o simulacros de querella, y analizamos hasta dónde llegaría la responsabilidad penal, comprobamos que los cortafuegos que supuestamente debían proteger a la persona jurídica, al órgano de administración, al órgano de compliance y a los directivos, no son tan robustos como parecían.

El problema no está en la fase de diseño, ya que como dicen, el papel lo aguanta todo, sino en la fase de implantación y ejecución de la estructura de control.

En la práctica es muy difícil aislar la responsabilidad y hacer que “cada palo aguante su vela”. Las obligaciones de control están interconectadas a través de una línea de delegaciones que muchas veces es imperfecta. Además, algunas facultades y sus consiguientes obligaciones de control son indelegables, de acuerdo con lo establecido en la Ley de Sociedades de Capital. Finalmente, la delegación puede crear un nuevo garante pero también puede ser insuficiente para liberar de responsabilidad al que delega el control o la función.

Por ello, el diseño y la creación de cortafuegos no debe ser un fin en sí mismo sino el resultado de la construcción de una robusta estructura de control realmente destinada a la prevención y detección de infracciones.

Pensemos que la creación de cortafuegos puede constituir en sí misma una maniobra de elusión de responsabilidad que será valorada negativamente por la acusación y por el tribunal. Se podría ver como una estrategia parecida a la del que se esconde tras la figura de un testaferro para concentrar en él toda la responsabilidad.

La concentración de la responsabilidad en una persona debe estar originada por la mala fe orientada a neutralizar los efectos del control por parte del autor del delito, y no por la mala fe orientada exclusivamente a la exculpación de los directivos a través del diseño de líneas de defensa de cartón piedra, tan irreales como ineficaces.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 12 – Aseguramiento de que ningún control quede sin asignar a un responsable

Es muy habitual en los proyectos de compliance encontrar controles sin asignar.

La existencia de un control sin asignar es un claro indicador de su ineficacia, ya que no es posible asegurar el cumplimiento de un objetivo de prevención de un riesgo si el control asociado no tiene un responsable que vele por su aplicación continuada.

La asignación de un control a su responsable lo convierte en propietario del control y ello significa que deberá dedicarse no solo a su implantación, sino también a la vigilancia de su aplicación, a su monitorización, a la ejecución de las acciones correctivas y de mejora y a la obtención de evidencias de la existencia, la idoneidad y la eficacia del control.

La asignación del control puede producirse asociándolo a un puesto de trabajo, a una función o a una persona concreta. En los tres casos, el control deberá figurar en una parte destacada de la descripción del puesto de trabajo (DPT o job description) del responsable del control.

La asignación del control también puede estar prevista en una norma, en la etapa de un proceso o en un procedimiento.

En nuestra aplicación  Compliance 3.0 cada control debe estar asociado a un responsable y cada responsable debe estar asociado a una DPT y a la etapa concreta de un proceso.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Nuevo curso: Prestación de servicios de compliance a empresas

Me complace anunciar un nuevo curso dirigido a despachos de abogados sobre la prestación de servicios de compliance a pequeñas y medianas empresa.

El curso pretende ser una guía práctica sobre el ciclo completo de prestación de servicios de compliance, desde la captación y retención de potenciales clientes hasta la contratación y desarrollo del proyecto de compliance y de sus servicios asociados.

En el curso se tratarán los siguientes temas:

  • Marketing jurídico para la:
    • Identificación de clientes target
    • Captación del interés
    • Retención de clientes target
  • Preparación de la oferta:
    • Valoración económica de los servicios
    • Presentación de la propuesta
  • Planificación del proyecto
  • Etapas del proyecto
  • Desarrollo del proyecto
  • Gestión de recursos durante el proyecto
  • Servicios asociados que pueden ofrecerse
  • Adecuación a la UNE 19601
  • Adecuación al RGPD
  • Fidelización del cliente
  • Herramientas

La primera convocatoria de este curso está prevista para el 23 de junio de 2017

El horario será de 9:00 a 14:00.

El curso está limitado a 12 asistentes por sesión, con el fin de conseguir el máximo aprovechamiento.

El precio del curso es de 250€ más IVA y tendrá lugar en nuestro despacho, en Diagonal 640 1C de Barcelona.

Si te interesa asistir, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

ARGUMENTO 11 – Ampliación del perímetro de control y mejora del control de proveedores y socios de negocio

Un programa de Compliance completo exige extender el perímetro de control a los proveedores, ya que éstos trabajan por cuenta de la empresa y pueden implicarla en una infracción.

Veamos un ejemplo. Una empresa encarga a un proveedor especializado la destrucción de documentos confidenciales entre los que figuran nóminas, CV, informes médicos y evaluaciones de desempeño. El proveedor certifica la destrucción, pero en realidad los tira a un vertedero o los deja en un contenedor de reciclaje de papel. Si hay una denuncia, ésta será dirigida contra la empresa, que es la que figura en los documentos y no contra el proveedor. Puede haber una posible culpa in eligendo si el proveedor ha sido seleccionado por criterios de ahorro de costes (beneficio indirecto) y no por criterios de calidad. Y también culpa in vigilando al aceptar el simple certificado de una empresa desconocida como prueba de la destrucción cuando los datos personales tratados eran de carácter reservado.

Algunas empresas siguen con la falsa creencia de que al externalizar una actividad también externalizan los riesgos asociados a ella. Piensan, por ejemplo, que al externalizar un tratamiento de datos se externalizan los riesgos de incumplimiento asociados al mismo. O que al externalizar una actividad de exportación se externalizan también los riesgos relacionados con los actos de corrupción que tengan lugar en los trámites aduaneros.

Cuando una célebre marca de lencería publicó su catálogo con papel procedente de bosques protegidos, el impacto reputacional de la infracción no fue para el proveedor que incumplió las obligaciones de trazabilidad del papel. Su nombre ni siquiera trascendió.

Los controles anticorrupción de la FCPA, de la ISO 37001 y de la UNE 19601 deben aplicarse en cascada inversa, extendiéndose hasta los niveles que sean exigibles de la cadena se suministro de una empresa. Este objetivo es prioritario en nuestra aplicación Compliance 3.0, en la que se puede obtener un mapa de riesgos de cada proveedor o socio de negocio.

Un programa de compliance que no implique a los proveedores y a los socios de negocio es un programa incompleto. En cambio, la coordinación con los proveedores en la consecución de un objetivo común de cumplimiento será algo cada vez más habitual y pondrá a las empresas sin compliance en riesgo de exclusión del mercado.

Un ejemplo de esta coordinación es el de Apple, que exige el uso de energías renovables a sus proveedores en todo el mundo y audita constantemente su proceso de producción. Aunque los objetivos no se consiguiesen al 100%, el esfuerzo realizado, el capital invertido en materia de control y las numerosas evidencias generadas a lo largo de los años facilitarían a la empresa desvincularse jurídicamente de un eventual incumplimiento del proveedor.

Si una empresa no tiene miedo al riesgo de exclusión comentado, sólo tiene que preguntarse si actualmente cumple los estándares de cumplimiento para ser proveedor de una empresa como Apple. O para ser beneficiaria de una inversión del Fondo Noruego, por citar otro clásico en materia de compliance.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Ciclo de desayunos de trabajo sobre la nueva norma UNE 19601

Este es el calendario de desayunos de trabajo que hemos programado durante el próximo mes de junio con el fin de presentar, debatir y valorar la nueva norma UNE 19601 sobre sistemas de compliance penal que Aenor ha publicado hoy.

Está previsto que esta UNE se convierta en un marco de referencia para los programas de compliance penal que algunas empresas pueden llegar a exigir a sus proveedores o socios comerciales, por lo que es importante valorar el seguimiento de sus criterios y controles, incluso en el caso de que se decida no solicitar la certificación.

Los cuatro desayunos de trabajo tendrán el mismo contenido, y se celebrarán los siguientes días:

– 1 de junio
– 7 de junio
– 22 de junio
– 29 de junio

Los desayunos de trabajo tendrán lugar de 9 a 11 h. en nuestro despacho y son una continuación de la jornada que organizamos el día 12 de enero para celebrar el 30 aniversario de nuestra especialización.

En el caso de que tengas interés en esta materia, te ruego indiques la fecha del desayuno de trabajo al que deseas asistir a Montse Otalora: montse.otalora@ribastic.com

Publicada la norma UNE 19601 sobre sistemas de compliance penal

AENOR ha publicado hoy la norma UNE 19601:2017 sobre sistemas de gestión de compliance penal.

Está previsto que esta UNE se convierta en un marco de referencia para los programas de compliance penal que algunas empresas pueden llegar a exigir a sus proveedores o socios comerciales, por lo que es importante valorar el seguimiento de sus criterios y controles, incluso en el caso de que se decida no solicitar la certificación.

ARGUMENTO 10 – Incremento de la coordinación entre departamentos eliminando controles solapados y esfuerzos antagónicos

La correcta gestión de un programa de Compliance exige un gran esfuerzo de coordinación entre los distintos departamentos o unidades de negocio, que es donde realmente deben residir los controles. Esta coordinación está impulsada por el equipo de Compliance y evita que se produzcan ineficiencias derivadas de controles duplicados, controles sin asignar y controles que se anulan o revocan entre sí.

La posibilidad de que existan controles duplicados es muy común en las grandes empresas. La duplicidad no es mala en si misma, ya que actúa como medida de aseguramiento de que el control se va aplicar. El problema es que puede generar conflictos de competencias entre departamentos que luchan por la propiedad del control o el efecto contrario: que el responsable de un control duplicado baje la guardia pensando que el otro responsable ya está trabajando en ello. En ambos casos se produce un sobrecoste que podría ser evitado o aplicado a reforzar controles más débiles.

Los controles sin asignar son los más peligrosos, ya que desde Compliance se puede estar pensando que el control está plenamente operativo y en cambio no es así. Esta situación es una de las que deben ser detectadas en los procesos de verificación periódica de la idoneidad y la eficacia de los controles. En departamentos de alta rotación, como el de Marketing, es muy probable que la salida de un profesional deje en el aire un control que no es reasignado a su sustituto. Aunque es posible que ocurra todo lo contrario: que la nueva incorporación importe una mala práctica que potencie los riesgos que el control sin asignar iba a mitigar. También es posible que no haya sustituto.

Los controles que se anulan o revocan entre sí se unen a las órdenes contradictorias o derogatorias que pueden emitir algunos directivos o mandos intermedios que piensan que ciertos controles van contra los intereses del negocio. Es normal que los controles tengan excepciones. Por ejemplo las medidas de seguridad y de control de acceso tienen como excepción los servicios de mantenimiento o de limpieza, que tienen acceso a todas las zonas de la empresa. Pero pueden existir situaciones en las que el control de un departamento interfiera o entre claramente en conflicto con el de otro departamento.

Todos estos riesgos pueden ser prevenidos con una buena planificación y coordinación del esfuerzo de control realizado por los distintos departamentos y unidades de negocio. Esta coordinación es la base de la metodología y de la función de compliance.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 09 – Distribución de responsabilidades coherente con el criterio de proximidad del riesgo

Una gran ventaja del compliance es el esfuerzo que hay que invertir en designar a los responsables de cada control y en conseguir que toda la estructura de control funcione de manera coordinada y eficaz.  Para ello tiene que producirse una delegación de autoridad y de responsabilidad distribuida, que obligue a ordenar la matriz de poderes de la parte superior y los job description de toda la estructura.

Cuando hablamos del propietario del control también nos referimos a la necesidad de que el responsable de una medida preventiva tenga un sentimiento de propiedad sobre ella, con todas sus consecuencias, positivas y negativas. No se trata de “apadrinar” un control, sino de hacerse cargo realmente del mismo, sabiendo que de él depende que un riesgo muy concreto no se materialice. Por eso no es bueno que ciertos controles se asignen de forma compartida en un mismo nivel jerárquico y en una misma franja horaria.

La verdadera cultura de cumplimiento exige que cada miembro de la organización sea su propio Compliance Officer y realice su trabajo sabiendo que forma parte de un engranaje en el que cualquier desliz puede bloquear la máquina entera.

Para ello tiene que haber una distribución de responsabilidades. Cada persona de la organización debe conocer sus funciones de control. Éstas deben estar claramente indicadas en su Descripción del Puesto de Trabajo o en su nombramiento, como una delegación directa del órgano de administración a través de la estructura de control de la que forma parte esencial. Y con una clara percepción del cuadrante del mapa de riesgos en el que se ubica su labor.

La distribución de responsabilidades debe ser coherente con los recursos disponibles y con la gravedad, la probabilidad y la proximidad del riesgo. Ni el control puede estar alejado del riesgo, ni puede asignarse un número excesivo de controles a una sola persona, ni pueden gestionarse riesgos graves y probables con escasos recursos.

En nuestra aplicación Compliance 3.0 cada control debe ir asociado a un responsable y cada responsable debe tener asociada una Descripción del Puesto de Trabajo, unas tareas periódicas de control con sus correspondientes alertas y recordatorios y unas evidencias que periódicamente debe obtener e introducir en la aplicación.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0