Indice de madurez de la empresa española en materia de corporate compliance

Nuestro despacho inicia hoy un estudio cuya finalidad es determinar el nivel de madurez de la empresa española en materia de corporate compliance. Una vez finalizado el estudio se publicará el índice de madurez, general y por sectores, que será actualizado cada año.

El estudio va enfocado a conocer la capacidad de la empresa para demostrar que realmente dispone de un modelo eficaz de prevención y control de delitos, más allá del habitual esfuerzo cosmético del llamado “makeup compliance”.

Para participar en el estudio sólo hay que descargar y cumplimentar este cuestionario:

Cuestionario Estudio IM2014

INSTRUCCIONES

1. Para cumplimentar este cuestionario sólo hay que introducir 1, 2 ó 3 en las casillas correpondiente de la columna G (señalada en amarillo)

2. Una vez cumplimentado el cuestionario rogamos que lo envíen a la dirección indicada en el cuestionario. Sólo se aceptarán los cuestionarios enviados desde direcciones de correo electrónico cuyo nombre de dominio contenga el nombre de la empresa que haya contestado el cuestionario.

3. La finalidad y los resultados del estudio son meramente estadísticos y se publicarán sin mencionar el nombre de las empresas participantes en el mismo.

4. El índice de madurez en relación a cada delito será adaptado utilizando la variable sector como factor de corrección.

Agradecemos de antemano la participación en el estudio.

La exención de la responsabilidad penal corporativa en la futura reforma del Código Penal

El anteproyecto de reforma del Código Penal elaborado por el Ministerio de Justicia detalla los requisitos que deben cumplir los modelos de prevención y control (Corporate defense) para que las empresas queden exentas de responsabilidad penal.

El texto recoge y desarrolla el criterio manifestado en la Circular 1/2011 de la Fiscalía General del Estado en relación al llamado “makeup compliance”, representado por protocolos escritos y modelos teóricos que se limitan a describir los sistemas de control y prevención de delitos diseñados, y en muchos casos no aplicados, por las empresas para eludir la responsabilidad penal.

REQUISITOS PARA LA EXENCIÓN DE RESPONSABILIDAD PENAL

La empresa podrá quedar exenta de responsabilidad si prueba que se dan las siguientes circunstancias:

1. Disponer de un modelo de organización y gestión adoptado por el órgano de administración

2. Que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza que los cometidos

3. El modelo de prevención y control debe haber sido ejecutado con eficacia

4. Antes de la comisión del delito

5. Debe existir una supervisión del funcionamiento y del cumplimiento del modelo de prevención

6. Asignada a un órgano de la empresa con poderes autónomos de iniciativa y control

7. El autor del delitos tiene que haber eludido de forma fraudulenta las medidas de control

8. No tiene que haberse producido una omisión o un control insuficiente por parte del órgano de supervisión. Se confirma por lo tanto nuestro criterio de que la tolerancia equivale a la derogación del control

9. Si estos requisitos sólo pueden ser acreditados parcialmente, ello será valorado a los efectos de atenuación de la pena, pero no habrá exención de la responsabilidad penal. Se refuerza por lo tanto la necesidad de disponer de medios de prueba que acrediten la efectiva aplicación de las medidas de prevención y control.

REQUISITOS DE LOS MODELOS DE PREVENCIÓN

Los modelos de prevención y control dirigidos a prevenir los delitos de los representantes legales y de los directivos deberán cumplir los siguientes requisitos:

1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Los modelos de prevención y control dirigidos a prevenir los delitos de los trabajadores deberán cumplir los siguientes requisitos:

1. Las medidas de prevención y control deberán:

  • Estar adaptadas al tamaño de la empresa
  • Estar adaptadas al tipo de actividades que se llevan a cabo
  • Garantizar el desarrollo de la actividad empresarial conforme a la Ley
  • Permitir la detección rápida y prevención de situaciones de riesgo

2. El funcionamiento eficaz del modelo de prevención requerirá:

  • Una verificación periódica del mismo
  • Una modificación cuando se produzcan infracciones relevantes de sus disposiciones
  • Una actualización cuando se produzcan cambios relevantes en la organización, en la estructura de control o en la actividad desarrollada
  • Un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención

CONCLUSIONES

Si la reforma prevista del Código Penal mantiene este texto se habrá producido una ampliación clara de los requisitos exigidos para la exención de la responsabilidad penal de las empresas y será necesaria una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica.

Control de proveedores y responsabilidad corporativa: los modelos de Inditex y Apple

El alto nivel de externalización que actualmente tienen las empresas hace que compartan con sus proveedores la gestión de la reputación corporativa.

Cuando las hojas salariales de una empresa o las historias clínicas de un hospital aparecen en un contenedor, el nombre del proveedor al que se había encomendado su correcta destrucción, y que certificó que efectivamente lo había hecho, ni siquiera aparece. En cambio, el de la empresa que lo contrató y confió en que cumpliría el contrato es objeto de críticas en los medios y de denuncias ante la Agencia de Protección de Datos.

A ello se unen factores que configuran una tormenta perfecta. El proveedor está aplicando una política de ahorro de costes que puede influir en la calidad, y probablemente su capacidad de hacer frente a una reclamación de daños y perjuicios ha quedado limitada, al haber reducido la cobertura de su seguro de responsabilidad civil a causa de la misma política de ahorro de costes.

En 2012 varias empresas de diversos sectores tuvieron problemas en la calidad de sus productos o servicios y es razonable pensar que el origen de estos incidentes pudiera deberse, en cierta medida, al recorte presupuestario comentado.

Ante esta situación surge más que nunca la necesidad de establecer medidas de control y pruebas cronológicas sobre el esfuerzo realizado por la empresa para asegurar la calidad, el cumplimiento contractual y el cumplimiento normativo de los proveedores. Al igual que en las grandes empresas existe las funciones de auditoría interna y control interno, se hace necesario potenciar las funciones de auditoría y control externos.

Para analizar la política y los protocolos a seguir para prevenir supuestos de responsabilidad civil (culpa in eligendo y culpa in vigilando) derivados de las acciones u omisiones de los proveedores, vamos a relacionar los elementos más significativos de los modelos de control externo de dos grandes compañías como Inditex y Apple.

Modelo Inditex

La política de control de proveedores de Inditex se basa en los siguientes puntos:

  • Programa de cumplimiento
  • Programa de sensibilización
  • Código de conducta de fabricantes y proveedores
  • Autoevaluación de proveedores
  • Auditoría social
  • Asignación de rating
  • Monitorización permanente de los proveedores
  • Programas y auditorías de seguimiento
  • Aplicación de planes de acción correctivos
  • Acompañamiento en la mejora constante de las condiciones sociolaborales
  • Colaboración con organizaciones de referencia
  • Estrategia global de gestión del agua
  • Plan estratégico medioambiental 2011-2015
  • Compromiso de vertido cero

La política de Inditex en relación a sus proveedores se encuentra en la sección Proveedores del área de Sostenibilidad de su sede web.

Modelo Apple

La política de control de proveedores de Apple se basa en los siguientes puntos:

  • Lista pública de proveedores (PDF)
  • Código de conducta para proveedores (PDF)
  • Programa de formación para toda la cadena de suministro
  • Política de protección de los derechos del trabajador
  • Política de seguridad e higiene en el trabajo
  • Política de protección del medioambiente
  • Cálculo de la huella ambiental y de carbono a nivel mundial
  • Auditorías presenciales
  • Investigaciones encargadas a asociaciones independientes
  • Publicación de los resultados de los controles

La política de Apple en relación a sus proveedores se encuentra en la sección Supplier Responsibility de su sede web.

Sobre el papel ambos modelos son tan completos que si una empresa quiere saber si su modelo de control de proveedores es exhaustivo, sólo tiene que compararlo con los de Inditex y Apple. Incluso puede utilizar la lista de puntos anterior como checklist. En la práctica hay que saber distinguir entre maquillaje (makeup compliance) y control efectivo, por lo que es importante valorar los resultados y generar pruebas de la existencia y la eficacia de los controles.

Finalmente, cabe mencionar la reciente resolución de la AEPD, en la se se ha impuesto una sanción de 33.000 euros a una empresa por el mal funcionamiento del procedimiento de gestión de las solicitudes de baja cursadas por usuarios que no deseaban seguir recibiendo publicidad por correo electrónico. Este procedimiento estaba externalizado en una empresa especializada, y la AEPD considera que la empresa sancionada debía haberse asegurado del correcto funcionamiento de la operativa encomendada al proveedor. La resolución establece que la empresa desatendió su deber de cuidado de la labor del proveedor, que envió 23 mensajes publicitarios al usuario afectado, a pesar de haber comunicado éste que no deseaba recibir más publicidad.