ARGUMENTO 11 – Ampliación del perímetro de control y mejora del control de proveedores y socios de negocio

Un programa de Compliance completo exige extender el perímetro de control a los proveedores, ya que éstos trabajan por cuenta de la empresa y pueden implicarla en una infracción.

Veamos un ejemplo. Una empresa encarga a un proveedor especializado la destrucción de documentos confidenciales entre los que figuran nóminas, CV, informes médicos y evaluaciones de desempeño. El proveedor certifica la destrucción, pero en realidad los tira a un vertedero o los deja en un contenedor de reciclaje de papel. Si hay una denuncia, ésta será dirigida contra la empresa, que es la que figura en los documentos y no contra el proveedor. Puede haber una posible culpa in eligendo si el proveedor ha sido seleccionado por criterios de ahorro de costes (beneficio indirecto) y no por criterios de calidad. Y también culpa in vigilando al aceptar el simple certificado de una empresa desconocida como prueba de la destrucción cuando los datos personales tratados eran de carácter reservado.

Algunas empresas siguen con la falsa creencia de que al externalizar una actividad también externalizan los riesgos asociados a ella. Piensan, por ejemplo, que al externalizar un tratamiento de datos se externalizan los riesgos de incumplimiento asociados al mismo. O que al externalizar una actividad de exportación se externalizan también los riesgos relacionados con los actos de corrupción que tengan lugar en los trámites aduaneros.

Cuando una célebre marca de lencería publicó su catálogo con papel procedente de bosques protegidos, el impacto reputacional de la infracción no fue para el proveedor que incumplió las obligaciones de trazabilidad del papel. Su nombre ni siquiera trascendió.

Los controles anticorrupción de la FCPA, de la ISO 37001 y de la UNE 19601 deben aplicarse en cascada inversa, extendiéndose hasta los niveles que sean exigibles de la cadena se suministro de una empresa. Este objetivo es prioritario en nuestra aplicación Compliance 3.0, en la que se puede obtener un mapa de riesgos de cada proveedor o socio de negocio.

Un programa de compliance que no implique a los proveedores y a los socios de negocio es un programa incompleto. En cambio, la coordinación con los proveedores en la consecución de un objetivo común de cumplimiento será algo cada vez más habitual y pondrá a las empresas sin compliance en riesgo de exclusión del mercado.

Un ejemplo de esta coordinación es el de Apple, que exige el uso de energías renovables a sus proveedores en todo el mundo y audita constantemente su proceso de producción. Aunque los objetivos no se consiguiesen al 100%, el esfuerzo realizado, el capital invertido en materia de control y las numerosas evidencias generadas a lo largo de los años facilitarían a la empresa desvincularse jurídicamente de un eventual incumplimiento del proveedor.

Si una empresa no tiene miedo al riesgo de exclusión comentado, sólo tiene que preguntarse si actualmente cumple los estándares de cumplimiento para ser proveedor de una empresa como Apple. O para ser beneficiaria de una inversión del Fondo Noruego, por citar otro clásico en materia de compliance.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Ciclo de desayunos de trabajo sobre la nueva norma UNE 19601

Este es el calendario de desayunos de trabajo que hemos programado durante el próximo mes de junio con el fin de presentar, debatir y valorar la nueva norma UNE 19601 sobre sistemas de compliance penal que Aenor ha publicado hoy.

Está previsto que esta UNE se convierta en un marco de referencia para los programas de compliance penal que algunas empresas pueden llegar a exigir a sus proveedores o socios comerciales, por lo que es importante valorar el seguimiento de sus criterios y controles, incluso en el caso de que se decida no solicitar la certificación.

Los cuatro desayunos de trabajo tendrán el mismo contenido, y se celebrarán los siguientes días:

– 1 de junio
– 7 de junio
– 22 de junio
– 29 de junio

Los desayunos de trabajo tendrán lugar de 9 a 11 h. en nuestro despacho y son una continuación de la jornada que organizamos el día 12 de enero para celebrar el 30 aniversario de nuestra especialización.

En el caso de que tengas interés en esta materia, te ruego indiques la fecha del desayuno de trabajo al que deseas asistir a Montse Otalora: montse.otalora@ribastic.com

Publicada la norma UNE 19601 sobre sistemas de compliance penal

AENOR ha publicado hoy la norma UNE 19601:2017 sobre sistemas de gestión de compliance penal.

Está previsto que esta UNE se convierta en un marco de referencia para los programas de compliance penal que algunas empresas pueden llegar a exigir a sus proveedores o socios comerciales, por lo que es importante valorar el seguimiento de sus criterios y controles, incluso en el caso de que se decida no solicitar la certificación.

ARGUMENTO 10 – Incremento de la coordinación entre departamentos eliminando controles solapados y esfuerzos antagónicos

La correcta gestión de un programa de Compliance exige un gran esfuerzo de coordinación entre los distintos departamentos o unidades de negocio, que es donde realmente deben residir los controles. Esta coordinación está impulsada por el equipo de Compliance y evita que se produzcan ineficiencias derivadas de controles duplicados, controles sin asignar y controles que se anulan o revocan entre sí.

La posibilidad de que existan controles duplicados es muy común en las grandes empresas. La duplicidad no es mala en si misma, ya que actúa como medida de aseguramiento de que el control se va aplicar. El problema es que puede generar conflictos de competencias entre departamentos que luchan por la propiedad del control o el efecto contrario: que el responsable de un control duplicado baje la guardia pensando que el otro responsable ya está trabajando en ello. En ambos casos se produce un sobrecoste que podría ser evitado o aplicado a reforzar controles más débiles.

Los controles sin asignar son los más peligrosos, ya que desde Compliance se puede estar pensando que el control está plenamente operativo y en cambio no es así. Esta situación es una de las que deben ser detectadas en los procesos de verificación periódica de la idoneidad y la eficacia de los controles. En departamentos de alta rotación, como el de Marketing, es muy probable que la salida de un profesional deje en el aire un control que no es reasignado a su sustituto. Aunque es posible que ocurra todo lo contrario: que la nueva incorporación importe una mala práctica que potencie los riesgos que el control sin asignar iba a mitigar. También es posible que no haya sustituto.

Los controles que se anulan o revocan entre sí se unen a las órdenes contradictorias o derogatorias que pueden emitir algunos directivos o mandos intermedios que piensan que ciertos controles van contra los intereses del negocio. Es normal que los controles tengan excepciones. Por ejemplo las medidas de seguridad y de control de acceso tienen como excepción los servicios de mantenimiento o de limpieza, que tienen acceso a todas las zonas de la empresa. Pero pueden existir situaciones en las que el control de un departamento interfiera o entre claramente en conflicto con el de otro departamento.

Todos estos riesgos pueden ser prevenidos con una buena planificación y coordinación del esfuerzo de control realizado por los distintos departamentos y unidades de negocio. Esta coordinación es la base de la metodología y de la función de compliance.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 09 – Distribución de responsabilidades coherente con el criterio de proximidad del riesgo

Una gran ventaja del compliance es el esfuerzo que hay que invertir en designar a los responsables de cada control y en conseguir que toda la estructura de control funcione de manera coordinada y eficaz.  Para ello tiene que producirse una delegación de autoridad y de responsabilidad distribuida, que obligue a ordenar la matriz de poderes de la parte superior y los job description de toda la estructura.

Cuando hablamos del propietario del control también nos referimos a la necesidad de que el responsable de una medida preventiva tenga un sentimiento de propiedad sobre ella, con todas sus consecuencias, positivas y negativas. No se trata de “apadrinar” un control, sino de hacerse cargo realmente del mismo, sabiendo que de él depende que un riesgo muy concreto no se materialice. Por eso no es bueno que ciertos controles se asignen de forma compartida en un mismo nivel jerárquico y en una misma franja horaria.

La verdadera cultura de cumplimiento exige que cada miembro de la organización sea su propio Compliance Officer y realice su trabajo sabiendo que forma parte de un engranaje en el que cualquier desliz puede bloquear la máquina entera.

Para ello tiene que haber una distribución de responsabilidades. Cada persona de la organización debe conocer sus funciones de control. Éstas deben estar claramente indicadas en su Descripción del Puesto de Trabajo o en su nombramiento, como una delegación directa del órgano de administración a través de la estructura de control de la que forma parte esencial. Y con una clara percepción del cuadrante del mapa de riesgos en el que se ubica su labor.

La distribución de responsabilidades debe ser coherente con los recursos disponibles y con la gravedad, la probabilidad y la proximidad del riesgo. Ni el control puede estar alejado del riesgo, ni puede asignarse un número excesivo de controles a una sola persona, ni pueden gestionarse riesgos graves y probables con escasos recursos.

En nuestra aplicación Compliance 3.0 cada control debe ir asociado a un responsable y cada responsable debe tener asociada una Descripción del Puesto de Trabajo, unas tareas periódicas de control con sus correspondientes alertas y recordatorios y unas evidencias que periódicamente debe obtener e introducir en la aplicación.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 08 – Mayor descentralización y eficacia del control

Un buen programa de compliance debe basar la eficacia de su estructura de control en el principio de proximidad del riesgo y, como consecuencia directa de ello, en la descentralización del control.

El Compliance Officer o el Comité de Compliance tienen funciones de supervisión delegadas del órgano de administración y tienen los mismos problemas que éste: están alejados de los riesgos que genera el negocio, no son expertos en la amplia gama de materias a controlar y pierden eficacia si centralizan sus funciones de supervisión y control.

Un ejemplo claro es la prevención de riesgos laborales, ya que la figura del delegado de PRL permite acercar el control al lugar en el que se genera el riesgo y crear una estructura de control absolutamente descentralizada. Hoy en día no se concibe que una empresa con varias fábricas no tenga delegados de PRL en todas ellas y obligaciones de control asignadas en las DPT (Descripción del Puesto de Trabajo) de todos los jefes de equipo. Ello hace que, en las grandes empresas, las responsabilidades derivadas de los accidentes de trabajo estén también cada vez más localizadas cerca del lugar donde se ha producido el accidente.

Si aplicamos el mismo esquema en todas las áreas de control basadas en tipologías concretas de riesgo veremos la importancia de complementar las tres líneas clásicas de defensa: Negocio, Compliance y Auditoría interna por líneas verticales muy especializadas y dinámicas.

La tradicional escasez de recursos de Compliance y de Auditoría Interna hace que las verificaciones periódicas centralizadas se concentren en procesos concretos y con una periodicidad limitada. La descentralización permite que exista una estructura de control dinámica, experta y eficaz, que transporta el esfuerzo de control a cada punto de la organización donde se haya identificado un riesgo.

En el diseño de nuestra aplicación Compliance 3.0 se dio prioridad a esta estructura descentralizada, de manera que el principal objetivo es que exista una estructura de control y cada control tenga un responsable asignado, seleccionado en función del principio de proximidad del riesgo.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 07 – Efecto disuasorio de la percepción del control, de acuerdo con la teoría de las ventanas rotas

El ser humano no actúa de la misma manera cuando percibe que su actividad está siendo monitorizada y que va a ser sancionado si incumple. Un ejemplo evidente lo tenemos en las zonas de la autopista en las que la velocidad es controlada mediante un radar.

Una de las conclusiones de la teoría de las ventanas rotas es que la falta de control genera una percepción de que los incumplimientos no son castigados y ello da paso a otros incumplimientos más graves. Si en una fábrica abandonada no se reparan las ventanas rotas la sensación de falta de control hará que alguien se atreva a forzar la puerta y a entrar. Lo mismo ocurre con un coche abandonado.

Siguiendo esta línea argumental se dice que el 10% de los trabajadores de una empresa no cometerá infracciones aunque la percepción de control sea baja y el 10% cometerá infracciones aunque la percepción de control sea alta. Pero la gran mayoría, el 80% restante, no cometerá infracciones si percibe que éstas serán descubiertas y sancionadas.

Una empresa con compliance dispondrá de un órgano supervisor, una estructura de control y un sistema sancionador que mantendrá alto el nivel de percepción de que las infracciones serán descubiertas y sancionadas. Ello generará un efecto disuasorio que favorecerá la creación de una cultura de cumplimiento.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

ARGUMENTO 06 – Reducción de las sanciones en materia de competencia, protección de datos y otras infracciones administrativas

La conducta de la empresa antes y después de la infracción puede encajar en alguno de los supuestos previstos en las leyes administrativas que permiten aplicar una reducción en la cuantía de la sanción.

Existen precedentes en materia de Competencia, tanto en resoluciones del TJUE (Caso Schindler) como de la CNMC (Caso mudanzas), en las que se indica que disponer previamente de programas internos de cumplimiento en materia de competencia no supone automáticamente una circunstancia atenuante, sino que hay que analizar las circunstancias de cada caso. Una vez analizadas, la existencia de un modelo de compliance puede actuar como elemento moderador de la sanción. Así ocurrió en el caso relativo al acuerdo de las empresas de mudanzas, en el que la CNMC redujo la sanción a una empresa que había implantado un programa de cumplimiento normativo tras conocer la infracción. Se entiende que la reducción de la sanción habría sido mayor si el programa de compliance hubiese estado implantado con anterioridad.

En materia de protección de datos, el artículo 83.2.d del RGPD establece que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.

También se tendrá en cuenta la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción, y si la empresa estaba adherida a códigos de conducta o a mecanismos de certificación.

Todos estos puntos a valorar son indicadores del esfuerzo realizado por la empresa para cumplir la ley y permiten a la autoridad administrativa aplicar criterios de moderación que tengan como resultado final una reducción de la sanción aplicada.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

ARGUMENTO 05 – Ahorro de costes derivados de pleitos, sanciones, indemnizaciones, pérdida de facturación y contratos públicos

Este argumento es uno de los que menos explicación necesitan.

Si en la lista completa de argumentos encontramos muchos efectos indirectos o colaterales del incumplimiento, en este caso las multas y las penas interdictivas tienen un impacto directo en las cuentas de la empresa.

A las sanciones administrativas multimillonarias que una empresa puede soportar por prácticas anticompetitivas se suman ahora las sanciones del Reglamento General de Protección de Datos de la UE (RGPD), que pueden llegar hasta los 20 millones de euros o al 4% de la facturación global de la empresa.

Si en los 25 años transcurridos desde la aprobación de la LORTAD sólo habíamos presentado ante el Consejo de Administración de nuestros clientes los resultados de un proyecto de protección de datos en escasas ocasiones, y de forma breve, desde la entrada en vigor del RGPD ha cambiado la tendencia y se está incrementando dramáticamente el número de presentaciones y la duración de las mismas.

Es un claro ejemplo de que el compliance no es caro cuando permite evitar sanciones tan altas. Pero además de la cuantía neta de la sanción hay que calcular el coste del tiempo dedicado a la defensa de la empresa y de sus directivos (en materia de competencia la CNMC puede también sancionarlos), las indemnizaciones a los perjudicados y el impacto en ventas que puede tener la noticia de la sanción.

La empresa debe tener en cuenta el sector al que pertenece y las sanciones que mayor impacto pueden tener en su negocio. Por ejemplo, una sanción de la CNMC a una empresa de gran consumo del sector de la alimentación puede tener un impacto reducido en las ventas, pero la simple noticia de la contaminación de un producto para bebés por una bacteria nociva tendrá un efecto inmediato y devastador, al que se unirá el coste de retirada del producto, la gestión de la crisis, la campaña informativa y el esfuerzo posterior para recuperar la confianza del consumidor, que puede durar años.

Capítulo aparte merece la pena de inhabilitación de la empresa para contratar con el Sector Público, que puede llegar hasta los 15 años. El impacto de este tipo de penas es demoledor en las empresas cuyo principal cliente es la Administración Pública. No hace falta decir que una pena de inhabilitación para contratar con el principal, y a veces único cliente de la empresa, pone seriamente en peligro su continuidad en el mercado.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Cómo evaluar un factor de riesgo a partir de tres niveles de interlocución

Nuevo vídeo de nuestra aplicación Compliance 3.0 en el que explicamos cómo se evalúa un factor de riesgo a través de tres niveles de interlocución de un departamento. El departamento escogido como ejemplo es el Comercial, que es el que más discrepancias ofrece entre el nivel más alto y el más bajo en asuntos recurrentes, como las invitaciones, atenciones y regalos a clientes.