Cómo elaborar un Programa de Cumplimiento. Riesgos (I)

Nuestro Código Penal contempla en el artículo 31 bis la posibilidad que en el caso de Programas de Cumplimiento Normativo enfocados en la prevención de riesgos penales de la empresa estos puedan ser adoptados, ejecutados y supervisados por el Órgano de Administración, si la entidad es de pequeñas dimensiones.

Se entiende por empresas de pequeñas dimensiones todas aquellas que presentan el modelo de cuentas anuales abreviadas en el Registro Mercantil (art. 257 del Texto Refundido de la Ley de Sociedades de Capital).

Pero ¿cómo se elabora un Programa de Cumplimiento Normativo?

Con esta entrada abrimos una serie de publicaciones acerca de cómo elaborarlo, no sólo en el marco de prevención de riesgos penales de la empresa, sino que puede ser aplicable a otras áreas de cumplimiento como la prevención de blanqueamiento de capitales y financiación del terrorismo, transparencia y publicidad engañosa, prevención del fraude, prevención de conflictos de intereses…..y un largo etcétera

En esta publicación nos vamos a centrar en la Gestión de los Riesgos de Compliance en la Empresa tomando como referencia la normativa contenida en la UNE-ISO 31000:2010, este análisis de riesgos no será igual en todas las organizaciones, ya que, dependerá como veremos de multitud de factores.

En primer lugar, habrá que analizar el contexto de la empresa, hay que entender el tipo de negocio que tenemos delante, su estructura y normativa aplicable, ya que, no es lo mismo una empresa familiar bajo la forma jurídica de sociedad de responsabilidad limitada que se dedica al sector textil, que una empresa que adopta la forma jurídica de una sociedad anónima que se dedique al sector vitivinícola.

 
Aspectos importantes a tener en cuenta cuando nos encontremos en esta primera toma de contacto a la hora de analizar el contexto:

1. Debemos comprender y conocer en profundidad las actividades que realiza la empresa, es decir, forma jurídica, productos y/o servicios ofertados, punto geográfico en el que actúa, canales de distribución utilizados.

2. Debemos identificar y conocer los skateholders, es decir, las personas y organizaciones afectadas por las decisiones y actividades que lleva a cabo la empresa. Ejemplo de skateholders son los clientes, accionistas, socios, personal laboral….

3. Se deben identificar todas las actividades realizadas por la empresa con las Administraciones Públicas, tales como, los contratos que se celebren con ellas, ayudas y/o subvenciones de las que se disfrute, Organismos Supervisores, las licencias o autorizaciones administrativas previas necesarias para la realización de las actividades propias de la empresa.

4. También hay que tener en cuenta los procesos operativos que existen en la empresa y las personas que lo integran y sus funciones, así como, los flujos económicos de la empresa con sus departamentos y personas que están en ellos.

5. Analizar los factores que pueden comportar ya en esta fase riesgos. Si la empresa de manera habitual realiza pago o cobros con dinero metálico, la utilización de información privilegiada, el tratamiento de datos personales o las actividades que se realizan y pueden tener un impacto medioambiental.

En segundo lugar, hay que analizar la estructura empresarial. En este análisis se tienen que tener en cuenta los siguientes factores:

a) Forma Jurídica de la Empresa

b) Estructura de la Empresa

c) Estructura organizativa de la Empresa

d) Procesos que se adoptan a la hora de la toma de decisiones.

En tercer lugar, hay que conocer la normativa que es de aplicación a la empresa, tanto interna como externa.

 
    Esta normativa incluye desde las leyes que son de aplicación a la empresa como las políticas internas, códigos de buenas prácticas o conducta empresarial y estándares y normas internacionales que son de aplicación.

 
    Como estamos observando por la lectura de estas líneas todos estos análisis son bastante particulares e individualizados, por poner un ejemplo, aunque dos empresas que revistieran la misma forma jurídica y se dedicaran al mismo sector de la  actividad, con estructura y tamaño idénticos, el hecho de estar ubicadas en Comunidades Autónomas distintas puede determinar aplicación de normativas reguladoras diferentes, por eso, recalco que un Programa de Cumplimiento Normativo diseñado para una empresa no es válido para otra.

 
    En cuarto lugar, hay que definir las áreas que quedan bajo la responsabilidad del Programa de Cumplimiento. 

    La manera de delimitar estas competencias sería elaborando un documento aparte en el que se detallarán las competencias del Compliance Officer y las áreas sobre las que desempeña sus funciones, dicho documento debe ser aprobado por la alta dirección y, además, debe ser accesible y conocido por todas las personas que integran la empresa.

   Una vez realizadas estas cuatro tareas de análisis del contexto y la organización de la empresa hay que analizar y evaluar los riesgos de Compliance, esta tarea es fundamental y debe realizarse de manera minuciosa porque cualquier error en esta fase no podrá subsanarse posteriormente y será arrastrado al resto de fases de creación de nuestro “Programa de Cumplimiento”.

¿Qué es el riesgo de Compliance?

Se definen en la normativa ISO 19600 como el efecto de la incertidumbre sobre los objetivos de cumplimiento.

¿Cómo vamos a identificar los riesgos?

Aunque como venimos diciendo dependerán de las particularidades y características de cada empresa vamos a explicar de manera genérica una forma de identificarlos.

       Riesgos de la actividad 

¿La actividad que realiza la empresa se encuentra regulada? 

¿Se están registrando adecuadamente las comunicaciones con los organismos reguladores y/o supervisores?

¿La actividad que realiza la empresa está sujeta a autorizaciones o licencias previas para el ejercicio de la actividad?

¿Los productos y/o servicios que ofrece la empresa están sujetos para su operatividad con la obtención de licencias o autorizaciones?

¿Se cumplen de manera adecuada las condiciones y/o requisitos que sirven como condicionantes para la obtención de las licencias o autorizaciones necesarias para el ejercicio de la actividad o para operar con determinados productos y/o servicios?

¿Se cumplen de manera adecuada las condiciones impuestas para el uso de la autorización o licencia?

¿Se realizan actividades transfronterizas? ¿Se conocen y han obtenido las preceptivas autorizaciones y/o licencias para operar en otras jurisdicciones, así como, para comercializar los productos, servicios o actividades de la empresa? ¿cumple la empresa con la normativa exigida en esas jurisdicciones?

En el caso de obligación de emisión de informes regulatorios ¿se remiten en los plazos y/o tiempos impuestos?

¿Existe algún mecanismo para conocer e interpretar adecuadamente las nuevas normativas y legislaciones que  pueden afectar a la actividad de la empresa?

¿La empresa cuenta con los mecanismos adecuados para conocer e implantar de manera adecuada los cambios necesarios como consecuencia de la aplicación de nuevas normativas y legislaciones que regulan la actividad de la empresa?

En el caso de externalización de servicios ¿hay controles para garantizar que dichas personas y/o entidades no ostentan mala reputación? ¿hay controles sobre las personas y/o entidades con los que se externalizan los servicios?

¿Existen mecanismos y procedimientos adecuados para la selección del personal que entra a formar parte de la empresa?

En los procesos de selección de nuevo personal ¿se cumple adecuadamente con los principios de no discriminación y planes de igualdad?.

¿Existen mecanismos de evaluación del trabajo de los empleados en base a criterios objetivos que midan el desempeño tanto individual, como colectivo?

¿Se delegan las funciones en la empresa de manera adecuada?

¿La empresa tiene contratos con las Administraciones Públicas?

¿La empresa solicita ayudas y/o subvenciones de las Administraciones Públicas?

¿La empresa de manera habitual realiza o recibe pagos en metálico?

¿La empresa maneja información privilegiada?

¿La empresa realiza actividades que tengan impacto medioambiental?

Riesgos de productos y servicios

¿Se asesora de manera adecuada a los clientes y/o consumidores acerca de los productos, servicios y actividades de la empresa?

¿Hay mecanismos para detectar de forma inmediata errores a la hora de suministrar información a los clientes y/o consumidores acerca de los productos, servicios y actividades de la empresa? 

¿Existen mecanismos disponibles para clientes y/o consumidores por los cuales puedan presentar reclamaciones de manera eficaz?¿Dichas reclamaciones son examinadas, analizadas y resueltas de manera adecuada?

¿La empresa maneja datos de carácter personal?¿se cumple con los requisitos y procedimientos descritos por las normativas reguladoras de protección de datos de carácter personal?

¿Se cumple con los requisitos acerca de la legislación de la libre competencia?¿Ostenta la empresa controles?

Riesgos de canales de distribución

¿La empresa distribuye productos por agentes o prescriptores?

¿Existen protocolos y procedimientos para conocer y analizar a las personas que actuarán en nombre de la organización?

¿Existen protocolos y procedimiento para para garantizar que no se contraten a agentes de mala reputación?

¿Los agentes y prescriptores ostentan formación adecuada sobre los códigos de conducta y políticas internas de la organización?

¿Está sujeta a supervisión, por pare de la empresa, la actividad de los agentes y prescriptores?

¿Distribuye la empresa productos o servicios por canales a distancia o por vía telemática?

¿Existen mecanismos o procedimientos para identificar de manera adecuada a los clientes y/o consumidores que contacten con la empresa por canales a distancia o vía telemática?¿La empresa cumple con la normativa reguladora?

Riesgos dependiendo de áreas geográficas

¿Se mantienen relaciones comerciales con países conflictivos o con sanciones financiera internacionales?

¿La empresa realiza actividades inmobiliarias en zonas de costa?

¿La empresa mantiene relaciones con clientes nacionales, residentes o que mantengan relaciones con países que se consideran de riesgo por la normativa reguladora de la prevención de blanqueamiento de capitales?

¿La empresa mantiene relaciones o realiza actividades vinculadas con paraísos fiscales?

Riesgos normas de conducta 

¿Existen en la empresa potenciales conflictos de intereses entre ella, administradores y empleados, clientes o proveedores que no se gestionen?

¿Existen en la empresa protocolos que garanticen una adecuada separación de funciones para prevenir el fraude interno y lo errores?

¿Existen en la empresa protocolos y controles para autorizar a los empleados y directivos la realización de actividades externas?

¿Existen en la empresa procedimientos para llevar un control acerca del uso que hacen empleados de los recursos, equipos y sistemas que pone a su disposición para llevar a cabo sus actividades profesionales?

¿Existen en la empresa protocolos y procedimientos en caso de entrega o recepción de regalos o invitaciones por parte de clientes, proveedores y otras personas?

¿Existen en la empresa protocolos y procedimientos en relación con las vinculaciones familiares, profesionales y empresariales de los administradores o directivos con funcionarios públicos?

¿Existen en la empresa protocolos y procedimientos adecuados para prevenir de forma eficaz el fraude interno y externo?

¿Existen en la empresa herramientas adecuadas y procedimientos eficaces para proteger la propiedad industrial e intelectual?

¿Existen en la empresa protocolos y procedimientos eficaces para la protección de información confidencial de terceros?

¿Existe en la empresa un adecuado “canal de denuncias” para que los empleados de manera confidencial puedan comunicar internamente prácticas irregulares de las que tengan conocimiento sin temor a sufrir consecuencias negativas por su uso?

Los riesgos, una vez identificados, se deberán analizar y evaluar distinguiendo, en cada uno de ellos, su riesgo inherente y residual.

Riesgo inherente

Es el riesgo intrínseco de las actividades que lleva a cabo la empresa, independientemente de los mecanismos de control existentes. 

Este riesgo se mide por el impacto y la probabilidad.

El impacto son las consecuencias que tendría el evento en el caso de que el riesgo se llegara a materializar.

La probabilidad es la expectativa teórica de que se produzca el evento del riesgo, teniendo en cuenta exclusivamente las características y el contexto de la empresa.

Riesgo residual

Es el riesgo que permanece en la empresa después de aplicarse los controles diseñados para su eliminación.

Estas tareas de identificación, análisis y evaluación deberán ser recogidas documentalmente y estarán sujetas a revisiones y verificaciones periódicas.

En la próxima publicación abordaré la tarea de Evaluación y Tratamiento de Riesgos.