Inicio Legislación penal para el cumplimiento
Artículo
Cancelar

Legislación penal para el cumplimiento

2024-03-09 Actualizado 2024-03-25 27 minutos lectura

Cumplimiento de la responsabilidad penal

Los riesgos penales en las organizaciones surgen como consecuencia del incumplimiento de las leyes aplicables. Una ley se define como una norma jurídica dictada por un legislador, en que se obliga o prohíbe algo en consonancia con la justicia y cuyo incumplimiento conlleva una sanción.

Las posibles sanciones que pueda recibir una organización en relación al cumplimiento legal, son riesgos que deben ser tenidos en cuenta para alimentar los sistemas de gestión de cumplimiento, y uno de los conceptos iniciales necesarios es el conocimiento de las leyes aplicables.

El Riesgo penal está relacionado con el desarrollo de conductas que pueden ser constitutivas de delito según el régimen de responsabilidad de las personas jurídicas definido en el Código Penal Español.

Principales leyes de afectación a las tecnologías de información en España

El Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) y la Ley Orgánica de Protección de Datos (LOPD). Son las dos principales normas que velan por la privacidad de los datos personales. Todas las empresas deben tenerlas en cuenta y cumplirlas escrupulosamente. Serán explicadas detenidamente en los siguientes temas.

Ley de Propiedad Intelectual (LPI). Protege las creaciones originales, en cualquier formato y medio: grabaciones, emisiones de radio, etc. Debe tenerse en cuenta, no obstante, que no incluye ideas, procesos ni conceptos de matemáticas.

Leyes de Propiedad Industrial. Similares a la anterior, pero, en este caso, destinadas a la protección de diseños industriales, marcas, nombres comerciales, patentes, etc. Son varias normativas diferentes: de marcas, de patentes…

Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE). Regula todos los intercambios comerciales realizados a través de Internet, estableciendo los requisitos que debe cumplir cualquier comercio online.

Reglamento Europeo de Identificación Electrónica y Servicios de Confianza en el Mercado Interior (eIDAS). Tiene como objetivo reforzar la seguridad y la confianza de las transacciones electrónicas realizadas dentro del marco del Mercado Único Digital Europeo.

Identificación de riesgos penales

Los posibles delitos y sanciones que puede recibir una organización, están estipulados en el código penal, consultable en el BOE a través de su web.

En el código penal, se enumeran los posibles delitos que pueden ser cometidos por una organización:

  • Tráfico ilegal de órganos.
  • Trata de seres humanos.
  • Delitos relativos a la prostitución y corrupción de menores.
  • Delitos contra la intimidad, allanamiento informático y otros delitos informáticos.
  • Estafas y fraudes.
  • Frustración a la ejecución.
  • Insolvencias punibles.
  • Daños informáticos.
  • Delitos contra la propiedad intelectual e industrial, el mercado y los consumidores.
  • Blanqueo de capitales.
  • Financiación ilegal de partidos políticos.
  • Cohecho.
  • Delitos contra la Hacienda Pública y la Seguridad Social.
  • Delitos contra los derechos de ciudadanos extranjeros.
  • Delitos de construcción, edificación o urbanización ilegal.
  • Delitos contra el medio ambiente.
  • Delitos relativos a la energía nuclear y a las radiaciones ionizantes.
  • Delitos de riesgo provocado por explosivos.
  • Delitos contra la salud pública.
  • Falsedad de moneda.
  • Falsedad en medios de pago.
  • Tráfico de influencias.
  • Corrupción de funcionario extranjero.
  • Provocación a la discriminación, odio y la violencia.
  • Financiación del terrorismo.
  • Contrabando.
  • Relativos a la manipulación genética.
  • Alteración de precios en concursos y subastas públicas.
  • Negativas a actuaciones inspectoras.
  • Contra los derechos de los trabajadores.
  • Asociación ilícita.
  • Organización y grupos criminales.

Para la identificación de riesgos penales, se ha de tener en cuenta las actividades realizadas por cada área de la organización. Se debe realizar un análisis de riesgos relacionado con los delitos que pueden ser cometidos por cada una de ellas, evaluando los impactos posibles en la organización y teniendo en cuenta la probabilidad de su ocurrencia en función de su negocio.

Así pues, siguiendo los ejercicios realizados en las evaluaciones de riesgo, se pueden identificar por ejemplo los siguientes riesgos penales para una organización en el sector alimentario:

Riesgos Penales en el Sector alimentario Riesgos Penales en el Sector alimentario

Para el sector de construcción, por ejemplo, se identificarán estos otros riesgos penales por consecución de la siguiente tipología de delitos:

Riesgos penales de construcción Riesgos penales de construcción

La Confederación Canaria de Empresarios, ha construido dos documentos muy detallados acerca del compliance penal y los riesgos asociados al mismo, es muy recomendable echarle un vistazo a l documento Pasos prácticos para la implementación de un sistema de gestión en cumplimiento penal para pymes ya que amplían la información proporcionada en la unidad con un sentido práctico.

Sistemas de gestión de compliance penal

Un sistema de gestión de compliance penal se trata de un conjunto de elementos de una organización elaborados para concretar y medir el nivel de consecución de objetivos en materia de cumplimiento de la legislación vigente, así como las políticas, procesos y procedimientos para lograr dichos objetivos, reduciendo en consecuencia los riesgos penales de una organización.

Como en el caso del compliance, existe una norma similar para la construcción de un sistema de gestión de riesgos penales, sin embargo, esta es una norma específica para España. Se trata de la UNE 19601.

La norma UNE 19601 desarrolla las guías para la construcción de un sistema de gestión de riesgos penal. Es específica y adaptada al código penal español, sigue la misma estructura de sistemas de gestión que cualquier norma ISO y es certificable.

La certificación de un sistema de gestión implica una declaración pública de una entidad de certificación en la que se afirma que la organización ha implantado y está operando un sistema de gestión según lo definido en la norma ISO/UNE oportuna.

Su objetivo es definir unas directrices que permitan prevenir y reducir los riesgos penales en las organizaciones y generar una cultura ética y respetuosa con la ley, como respuesta a la Ley Orgánica 1/2015 que establece las reformas del código penal y limita en su artículo 31b, la responsabilidad penal de las personas jurídicas en determinadas ocasiones, siempre y cuando estas cuenten con un sistema de gestión de riesgos penales.

A diferencia de la ISO 37301, la UNE 19601 está enfocada en riesgos penales mientras que la ISO hace referencia al cumplimiento en general.

Son varios los beneficios de la existencia de un sistema de gestión de compliance penal en la organización, entre ellos destacan:

  1. La demostración de los esfuerzos y compromiso de la dirección por el cumplimiento legal.
  2. Mejorar la imagen de la organización ante todos los elementos con los cuales se relaciona.
  3. Mejorar la valoración de la organización ante los reguladores y mitigar las posibles sanciones.
  4. Establecer una cultura de cumplimiento normativo entre los integrantes de la organización.
  5. Facilitar las relaciones comerciales con terceros que requieran de garantías de cumplimiento legal en sus clientes y proveedores.

Sistema de gestión de compliance penal (SGCP) según el estándar UNE 19601

La elaboración de un sistema de gestión de compliance penal implican el despliegue de una serie de políticas, procedimientos y procesos. A continuación, se repasan los principales puntos requeridos, así como la documentación necesaria y ejemplos relacionados en la elaboración del sistema.

Los principales elementos con los que debe contar un SGCP son:

  • Demostración de liderazgo y cultura de cumplimiento.
  • Designación de recursos.
  • Evaluación de riesgos.
  • Implantación de mecanismos de control.
  • Formación, concienciación y comunicación.
  • Monitorización.
  • Sistema de denuncias.
  • Sistema disciplinario.

No obstante, como cualquier otro Sistema de Gestión, sigue la misma estructura de otros ya explicados, por lo que se van a especificar únicamente los elementos específicos de éste, emplazando a la unidad anterior, donde en los apartados 2.1 y 2.4 se explican detalladamente las implicaciones de cada epígrafe de la norma.

Contexto de la organización

El primer elemento necesario para desarrollar un SGCP es el conocer el contexto en el que funciona la organización, y obtener entendimiento de los objetivos que se buscan al desarrollar el sistema.

Para conocer el contexto de la organización, será necesario desarrollar un documento en el que se dé respuesta a elementos básicos tales como, descripción de la función de la misma, tamaño en empleados, clientes o volumen de negocio, estructura organizativa, ubicaciones físicas, actividades y complejidad de la organización, relación con funcionarios públicos y obligaciones legales, contractuales y profesionales.

Elementos de contexto interno a tener en cuenta:

  • Cultura de la organización.
  • Estructura organizativa y roles de cada función.
  • Normas y objetivos, normas, directrices y modelos adoptados por la organización, misión, visión y valores de la organización.
  • Recursos humanos.
  • Recursos y conocimiento.
  • Recursos financieros tecnológicos y redes.
  • Gobernanza.
  • Necesidades y/o expectativas de partes interesadas internas.

Elementos de contexto externo a tener en cuenta:

  • Factores legales, reglamentarios, económicos, financieros, sociales, culturales, políticos, ambientales o tecnológicos.
  • Niveles de corrupción.
  • Cultura de cumplimiento.
  • Entorno regulatorio.
  • Internalización.
  • Relaciones contractuales y compromisos.
  • Necesidades y/o expectativas de partes interesadas externas.

Asimismo, la organización debe identificar a las partes interesadas o stakeholders de la organización, siendo estas definidas como las personas u organizaciones afectadas o que puedan sentirse afectadas por las actividades y decisiones de una organización. Pueden considerarse como stakeholders interno, por ejemplo, los trabajadores, sindicatos, accionistas, y socios de la empresa. Asimismo, como stakeholders externos, los clientes, proveedores, Administraciones, Organizaciones Gubernamentales, Organizaciones Ciudadanas.

Después, uno de los elementos fundamentales del proceso se basa en identificar los intereses de las partes interesadas con respecto al SGCP, es decir, entender que beneficio quieren obtener en el desarrollo del SGCP.

En este epígrafe también se establecerán elementos como la metodología de gestión de riesgos (habitualmente basada en ISO 31000), así como el establecimiento de los requisitos legales de la organización y su nivel de aversión al riesgo, es decir, que nivel de riesgo considera evitar.

Liderazgo de la organización y cultura de cumplimiento

La siguiente fase del SGCP consiste en demostrar el liderazgo de la organización en términos de gestión de compliance penal, así pues, la norma UNE define los deberes a asumir para demostrar ese liderazgo y compromiso en relación con el sistema de gestión de compliance, como son:

  1. El deber de establecer y defender, como uno de los valores fundamentales de la empresa, que las actuaciones de todos los miembros de ésta sean siempre conformes al ordenamiento jurídico, promoviendo una cultura de Compliance adecuada en el seno de la misma.
  2. El deber de aprobar la política de Compliance penal de la empresa; lo que exige establecer los objetivos de la misma con la finalidad de lograr resultados específicos de manera eficaz.
  3. El deber de adoptar, implementar, mantener y mejorar continuamente un sistema de gestión de Compliance penal idóneo para prevenir y detectar delitos o para reducir de forma significativa el riesgo de su comisión; dotando al mismo de recursos financieros, materiales y humanos adecuados y suficientes para su funcionamiento eficaz.

El órgano de gobierno de la organización debe ser formalizado en un documento que recoja sus principales deberes y responsabilidades en términos de cumplimiento, tales como:

  • Implementar y mantener un sistema de compliance penal.
  • Dotar al sistema de los recursos necesarios.
  • Apoyar y firmar la política de cumplimiento penal de la organización.
  • Establecimiento de una cultura de cumplimiento.

Una de las maneras de generar una cultura de cumplimiento de la organización es el establecimiento de un código ético que sirva de directriz comportamental para los integrantes de la organización.

El código ético debe establecer la manera en la que se toman las decisiones en la organización como se relaciona la organización con empleados, accionistas, clientes y proveedores, además de los valores de la organización. El código ético no tiene consecuencias en sanciones para la organización, no obstante, si resulta obligatorio para la organización.

El código ético debe recoger los siguientes elementos:

  • El mecanismo por el cual se aprueba y se actualiza el documento.
  • La finalidad.
  • En ámbito de aplicación.
  • Los valores corporativos y los principios de comportamiento.
  • Las pautas de conducta.
  • El seguimiento, control y sanción.
  • La comunicación, difusión, la formación y la evaluación.
  • La actualización y aceptación.

A continuación, se presentan ejemplos de organizaciones que han publicado sus códigos éticos:

Designación de recursos

La designación de recursos consiste en determinar y proporcionar los recursos necesarios para la implementación y operación del sistema de gestión de compliance penal. Estos recursos no serán solo financieros, también se deben proporcionar recursos humanos con competencias específicas en compliance y recursos financieros y tecnológicos para la implementación de acciones en el sistema tales como planes de formación, acciones de comunicación y por lo general acciones de reducción de riesgos o consecución de objetivos del sistema.

Como parte de la dotación de los recursos necesarios, el órgano de gobierno debe designar un órgano de compliance penal, que se encargue principalmente de:

  • Impulsar y supervisar la implementación y eficacia del sistema de gestión de compliance penal.
  • Asegurar de que se proporciona la formación continua.
  • Emitir un documento que recoja expresamente las actividades y delitos asociados, si no es recogido dentro de la política de compliance penal.
  • Contribuir a la identificación de las obligaciones de compliance penal.
  • Colaborar para que las obligaciones de compliance penal se traduzcan en políticas, procedimientos y procesos viables o que se integren en las políticas, procedimientos y procesos existentes.
  • Promover la inclusión de las responsabilidades de compliance penal en las descripciones de los puestos de trabajo y en los procesos de gestión de desempeño.
  • Poner en marcha un sistema de información y documentación de compliance penal.
  • Adoptar e implementar procesos para gestionar la información.
  • Establecer indicadores de desempeño de compliance penal, midiéndolo y analizándolo para identificar las acciones correctivas necesarias.
  • Identificar y gestionar los riesgos penales, incluidos los relacionados con los socios de negocio.
  • Asegurar que el sistema de compliance penal se revisa a intervalos planificados.
  • Asegurar que se proporciona a los empleados acceso a los recursos de compliance.
  • Proporcionar asesoramiento objetivo a la empresa en materias relacionadas con compliance.

Otro de los elementos requeridos para la evidencia del soporte y compromiso por parte de la dirección es la definición de una política de cumplimiento penal. Esta, será el elemento base del SGCP, en ella se deberán definir las funciones y responsabilidades de todos los integrantes de la organización para vigilar el cumplimiento, así como las medidas de control interno para detectar y prevenir posibles incumplimientos.

Los principales aspectos a incluir en este documento son los siguientes:

  • Finalidad de la Política de Compliance Penal.
  • Defensa de un sistema de gestión en Compliance Penal.
  • Características del sistema de gestión en Compliance Penal.
  • Ratificar el compromiso del cumplimiento.
  • Situar el cumplimiento normativo penal como parte fundamental de la actividad empresarial.
  • Asignar el rol de responsable del cumplimiento.
  • Valorar los riesgos asociados a las actividades desarrolladas.
  • Definir el plan de acción para mitigar los riesgos.
  • Establecer planes de formación.
  • Establecer un canal de denuncias dentro de la organización.
  • Definir un sistema de auditoría interno.
  • Establecer sanciones por incumplimientos.

La política de compliance penal de la organización debe estar publicada para todos los miembros de la misma, así como para todos los terceros relacionados.

Análisis de riesgo y planificación

El siguiente elemento del SGCP se basa en el análisis de riesgos penales que está soportando la organización.  Para ello, se deben considerar los diferentes procesos de negocio de la organización e identificar los posibles riesgos por incumplimiento y los delitos tipificados en el código penal y detallados en la unidad 3.1 sobre riesgos penales.

A continuación, se presenta un ejemplo de posibles delitos sobre una organización que están recogidos en el código penal:

Listado de delitos Listado de delitos

Los delitos han sido identificados en relación a su exposición a las diferentes áreas de negocio dentro de la organización.

Por cada uno de los delitos penales identificado, se ha de evaluar el riesgo asociado. Para ello utilizaremos la misma metodología explicada en la unidad anterior, evaluando el impacto y la probabilidad de ocurrencia en la organización.

En relación a la medición, se presenta la tabla de impacto:

Tabla de impactos Tabla de impactos

Y la tabla de probabilidad:

Tabla de probabilidad Tabla de probabilidad

El riesgo esta definido por el producto del impacto por la probabilidad de ocurrencia, siendo en este caso un numero entre el 1 y el 16, si tomamos como ejemplo los valores de las dos tablas anteriores.

Así pues, podemos establecer una referencia automatizada para el tratamiento de riesgos, si asignamos valores a las siguientes opciones de tratamiento:

Tabla de tratamiento Tabla de tratamiento

Tomando el ejemplo, podemos hacer una referencia estableciendo valores horquilla:

  • Entre los valores 1 y 4 la opción referencia será trivial (T)
  • Entre los valores 5 a 8 la opción de referencia será tolerable (TO)
  • Entre los valores 9 a 11 la opción de referencia será moderado (M)
  • Entre los valores 12 a 14 la opción de referencia será importante (I)
  • Entre los valores 15 y 16 la opción de reverencia será intolerable (IN)

Y en función a esta clasificación se establecerá entonces la opción preferida de tratamiento, como hemos visto en la unidad anterior, consiste principalmente en Aceptar, Mitigar, Evitar/Eliminar o Transferir el riesgo.

Los planes de acción resultantes del SGCP darán respuesta a los riesgos identificados, no obstante, a la hora de diseñarlos, también se deben tener en cuenta los objetivos de la organización, que deben estar alineados con los requisitos establecidos por las partes interesadas en el epígrafe de contexto de la organización y ser medibles, seguibles y comunicados.

Medidas para reducir o mitigar el riesgo penal

La organización puede establecer controles para mitigar el riesgo penal, la norma UNE 19601 establece grupos de controles como pueden ser controles financieros y controles no financieros. A continuación, se presenta un listado de medidas preventivas que permiten reducir los riesgos penales:

  • Construcción de un sistema de gestión de riesgo penal.
  • Definición de políticas de cumplimiento penal.
  • Establecimiento de procesos de diligencia debida con terceros.
  • Incentivos y medidas disciplinarias con empleados.
  • Proporcionar formación, comunicación y concienciación a los empleados.
  • Despliegue de un canal de denuncias.
  • Ejecución de auditorías internas y externas de cumplimiento.
  • Delimitación de puestos de trabajo y funciones dentro de la organización.
  • Existencia de políticas de segregación de funciones.
  • Aprobación de transacciones por diferentes integrantes de la organización.

Formación y comunicación en compliance

Uno de los elementos principales del sistema de gestión es la formación y comunicación en compliance. La organización debe establecer un plan formativo para que todos los integrantes de la misma sean conscientes de sus funciones y obligaciones y riesgos existentes en la organización con respecto al compliance penal.

La formación y comunicación puede ser un elemento más de demostración del liderazgo de los comités de dirección de la organización, dicha formación debiera estar respaldada y promovida por la dirección de la organización.

Con respecto a los contenidos de los planes de formación, existen algunos, que son de obligado cumplimiento como pueden ser el blanqueo de capitales o la financiación del terrorismo, no obstante, un buen programa de formación de compliance penal debe cubrir los siguientes aspectos:

  • Obligaciones y riesgos de los integrantes de la organización en relación a la actividad que desempeñan en la organización y su nivel de responsabilidad.
  • Cubrir las necesidades de formación de un empleado en su comienzo en la organización para luego realizar actividades formativas recurrentes.
  • Establecer puntos de referencia de la organización sobre el cumplimiento penal, es decir, cual es la posición de la organización con respecto al cumplimiento legal.
  • Ser relevantes para la función de los empleados, resultando más completos y extensos en aquellos empleados que desempeñen funciones con un mayor nivel de riesgo penal e incluyendo contenido tal como código de conducta ético, gobernanza y gestión del riesgo, responsabilidad económica y penal y prevención penal.
  • Adaptarse a modalidades presencial y remota.
  • Revisarse y actualizarse periódicamente para cubrir nuevos requisitos legales.
  • Deben recoger la normativa legal y sectorial más relevante.
  • Deben poner a prueba los conocimientos de los integrantes de la organización.
  • Deben permitir establecer nuevas acciones formativas en función de los resultados de las pruebas de conocimiento a los integrantes de la organización.
  • Deben permitir guardar el registro de las acciones formativas realizadas por cada empleado.

Además del plan de formación, se debe establecer una estrategia de comunicación para todos los elementos relacionados con el sistema de gestión del compliance penal. El plan de comunicación debe incluir elementos como:

  • Contenido de la comunicación (que se debe comunicar).
  • Cuando se debe comunicar (ante que eventos, o con qué frecuencia).
  • Receptor del mensaje (a que personas, colectivos o entidades va destinado el mensaje).
  • Canal (presencial, mail, teléfono, nota de prensa…).
  • Origen de la comunicación (que persona, departamento o rol dentro de la organización debe enviar la comunicación).
  • Registro lingüístico de la comunicación (formal, informal, técnico o no).

Monitorización del funcionamiento del sistema de gestión de compliance

El sistema de gestión de compliance penal debe ser revisado, supervisado y monitorizado durante su operación, para modificarlo y actualizarlo en caso de ser necesario.

En línea con la definición de sistema de gestión, la consecuencia del despliegue del mismo es el establecimiento de políticas, procedimientos y procesos en la organización.

Cualquier información sobre las iniciativas y procesos existentes son útiles para su seguimiento es utilizada para su monitorización. La supervisión de esta información es una de las funciones del órgano de supervisión de compliance.

Los procesos desplegados pueden ser monitorizados a través del establecimiento de métricas que permitan determinar su evolución y correcto funcionamiento. A continuación, se presentan una serie de ejemplos sobre posibles métricas de compliance penal a generar en una organización:

  • Número y tipo de denuncias.
  • Número y tipo de delitos confirmados.
  • Modificaciones introducidas en los controles.
  • Análisis de los factores internos y externos.
  • Acciones de información y formación.
  • Análisis y creación de nuevos planes de acción para el año siguiente.
  • Objetivos cumplidos y los pendientes de cumplir.
  • Objetivos cumplidos.
  • Evaluación del Manual de Compliance.
  • Debilidades detectadas en el Manual de Compliance.
  • Propuestas de acciones informativas y de formación en materia de cumplimiento normativo.
  • Departamentos con más riesgo.
  • Medidas disciplinarias aplicadas.
  • Incumplimiento código ético

Con respecto a las iniciativas dentro del sistema de gestión de compliance, habrá que hacer un seguimiento de su estado, recursos financieros y tiempo invertido, y elementos pendientes. En función al estado de los mismos se tomarán decisiones, por ejemplo, sobre la apertura de nuevas iniciativas o bien sobre la priorización de las iniciativas en curso para su cierre, que influye en el estado del sistema de gestión.

Otro de los elementos específicos de la norma es la habilitación de un canal de denuncias para la comunicación de actividades sospechosas dentro de la organización, que puedan ser notificadas de manera anónima por los integrantes de la organización, y sean susceptibles de ser investigadas por el órgano de supervisión de compliance corporativo. Este canal de denuncias debe cumplir con los siguientes requisitos:

  • Estar disponible tanto para los componentes internos de la organización como para entes externos a ella (personal subcontratado, proveedores, clientes…).
  • Permitir la comunicación manteniendo el anonimato del denunciante.
  • Evitar represalias de los individuos que utilicen el canal de denuncias.
  • Facilitar el asesoramiento ante cualquier persona que utilice el canal de denuncias para dudas sobre el cumplimiento relacionadas con cualquier actividad.
  • Se debe garantizar que los miembros de la organización conocen los canales de denuncias habilitados, además, se debe fomentar su uso.

Por último, como elemento diferenciador de los SGCP, se debe contar con un régimen sancionador informado a los integrantes de la organización en el que se puedan determinar las consecuencias que puede tener un incumplimiento del sistema cuyas consecuencias puedan suponer un riesgo penal para la organización. El régimen sancionador debe contar con los siguientes elementos:

  • Clasificación de las sanciones, estableciendo niveles en función de las consecuencias puedan acarrear para la organización, por ejemplo, infracciones leves, graves o muy graves.
  • Consecuencias de incurrir en las sanciones anteriores, como, por ejemplo, amonestación verbal para las sanciones breves hasta la suspensión de empleo y sueldo por periodos de tiempo para las sanciones más graves e incluso la rescisión de la relación laboral con el empleado.
  • Procedimiento de actuación que incluya todos los pasos para su clasificación, sanción, comunicación y respuesta.

Los epígrafes 9 y 10 hacen referencia a las actividades de auditoria y mejora continua, y no se diferencian en mucho a otros sistemas de gestión como los ya explicados en el tema anterior.

Sistema de Gestión Antisoborno y Anticorrupción

El soborno consiste en una oferta, promesa, entrega, aceptación o solicitud de una ventaja indebida de cualquier valor, en violación de la ley aplicable, como incentivo o recompensa para que una persona actúe o deje de actuar en relación las obligaciones de esa persona.

El soborno es uno de las formas de corrupción más habituales. Las organizaciones deben establecer medidas pasa la prevención del soborno a través de una cultura de integridad, transparencia, cumplimiento y lucha contra la corrupción.

La norma ISO 37001 se ha creado para el desarrollo de guías que permitan prevenir, detectar y gestionar conductas delictivas de soborno, cumpliendo con la legislación. Es una norma certificable.

La norma ISO 37001 vs la norma UNE 19601

La norma ISO 37001 es un sistema de gestión que se entiende como una guía en materia de prevención de la corrupción, siendo este un subconjunto de los posibles delitos en el alcance de la UNE 19601, siendo este un estándar nacional español. La implantación cualquiera de los dos sistemas de gestión no supone en sí mismo un eximente en caso de que la organización incurra en un delito ya sea de soborno, corrupción o cualquiera de los recogidos en el código penal, y que podrían estar ya registrados en el análisis de riesgos de la matriz del sistema de gestión de compliance penal, no obstante, si puede suponer un criterio para la limitación de la responsabilidad de la organización, siempre que se siga y se opere de manera diligente el sistema de gestión.

La ISO 37001 es algo más exigente en materia de corrupción y delitos anti soborno que la UNE 19601, no obstante, si la organización ya dispone de un sistema de gestión basado en la UNE, será suficiente con revisar las políticas, protocolos y controles establecidos para adaptarlos al delito de soborno.

Para ello, los principales pasos deberían ser:

  1. Modificar el mapa de riesgos de la organización para incluir los riesgos de soborno y corrupción.
  2. Revisar el alcance del sistema de gestión para verificar que se mantiene igual o se incluyen nuevas líneas de negocio expuestas a riesgos de soborno y corrupción.
  3. Generación de la documentación que evidencie la gestión del riesgo de soborno y los objetivos para desarrollar e implementar un sistema anti soborno, siendo estos, por ejemplo, políticas antisoborno, (cuyo contenido puede ser añadido a la política de compliance penal), asignación de recursos específicos para las iniciativas anti corrupción y soborno.
  4. Revisar las partes interesadas y evaluar si se mantienen con respecto al sistema de gestión de compliance penal o se incluyen nuevos actores tales como socios, proveedores, clientes o entes del sector público que permitan obtener licencias o participar en concursos.
  5. Definir procesos de debida diligencia para los socios y entidades relacionadas que incluyan elementos de control anti corrupción y soborno tales como códigos éticos, controles financieros (aprobación de pagos, limitación de efectivo, mancomunidad, justificación de pagos…); control de pagos; control de regalos recibidos (crear bolsa común y reparto o sorteo entre los empleados).

Sistemas de gestión antisoborno con ISO 37001

Los requisitos documentales de la norma ISO 37001 son los siguientes:

  • Existencia de una política antisoborno que prohíba el soborno.
  • La expresión de liderazgo, compromiso y responsabilidad.
  • Comunicación de la política a los empleados, los socios comerciales y otras partes interesadas.
  • Nombramiento de un responsable para supervisar el programa.
  • Controles de personal y formación.
  • Evaluaciones periódicas del riesgo de soborno al que está expuesta la organización.
  • Evaluaciones de debida diligencia en proyectos, socios comerciales y proveedores.
  • Implementación de controles antisoborno.
  • Implementación de controles financieros y no financieros apropiados para prevenir el riesgo de soborno.
  • Informes, monitorización, investigación y auditoría.
  • Acción correctiva y mejora continua.

Controles antisoborno

  • Debida diligencia: proceso para evaluar con mayor detalle la naturaleza y alcance del riesgo de soborno y ayudar a las organizaciones a tomar decisiones en relación con transacciones, proyectos, actividades, socios de negocios y personal específicos.
  • Ejemplos: Análisis de conducta de terceros, análisis de reputación, antecedentes…
  • Control Financiero: para gestionar sus transacciones financieras correctamente y para registrar estas transacciones con precisión, de forma completa y de manera oportuna.
  • Ejemplos: Aprobaciones de transacciones en función de su volumen, segregación de funciones, rotación de personal.
  • Control No Financiero: para ayudar a asegurar que los aspectos comerciales, los relativos a las compras, operaciones y otros aspectos no financieros, relacionados con sus actividades, se gestionan de forma apropiada.
  • Ejemplos: Publicación de licitaciones, evaluación por varias personas, formación anticorrupción.
  • Control de Regalos, atenciones, donaciones y beneficios similares: Existencia de políticas de aceptación de regalos o similares. Registro de regalos recibidos, establecimiento de límites, cuantías… Control de regalos recibidos (crear bolsa común y reparto o sorteo entre los empleados).
  • Proceso de Contratación de personal: Investigación de antecedentes si fuera posible durante la contratación del personal, comunicación de las políticas de soborno, formación y concienciación.

 A continuación, se proponen dos ejemplos de manuales de sistemas de gestión antisoborno:

Bibliografía y contenidos adicionales

Artículos sobre la ISO 37301 y la ISO 37001:

Ciberseguridad en Entornos de las Tecnologías de la Información, Normativa de Ciberseguridad
ciberseguridad en entornos de las tecnologías de la información normativa de ciberseguridad
Este artículo está licenciado bajo CC BY 4.0 por el autor.
Recientemente actualizado
Índice

Diseño de sistemas de gestión de cumplimiento normativo

Legislación sobre protección de datos