02 gen. Qué es y qué no es un sistema de Compliance
La implantación plena de un sistema de Compliance penal en una organización no puede limitarse a la creación de un documento escrito, sea cual sea su forma.
Por el contrario, una lectura sistemática de los elementos de los que a día de hoy se dispone (fundamentalmente, la jurisprudencia del Tribunal Supremo, las Circulares de la Fiscalía General del Estado, las normas UNE 19601 e ISO 19600 y el propio Código Penal) dan a entender que se requiere de una serie de elementos complementarios que contribuyan al establecimiento de un verdadero sistema que permita un control efectivo y consolidado.
En este contexto, cabe decir que la Fiscalía ha indicado repetidamente (ver aquí, por todas, las más recientes declaraciones en esta materia) que no sirve un sistema de Compliance basado únicamente en un documento estandarizado o copiado de otro de una organización distinta. Esta práctica, que ha dado lugar a los llamados “Programas cosméticos de Compliance”, hace que el sistema implantado devenga ineficaz y, en consecuencia, pierda su fuerza eximente.
En este sentido, sin embargo, se debe ir un paso más allá. Como resulta natural, la base de todo sistema debe ser un estudio y un análisis de riesgos previo, puesto que si no se dispusiera de él no se podría llegar a trabajar en la implantación de ningún sistema. No obstante, una vez hecho este estudio (que suele tener forma de memoria de actuaciones, o incluso de manual), se requiere hacer una matriz que analice los riesgos penales detectados y que presente, teniendo en cuenta los mismos, todos los elementos de los que se dispone para evitar su materialización. Este documento deberá estar siempre actualizado y servirá de referencia para ver, en un primer vistazo, todos los elementos de los que la organización disponga.
Además, es prioritario que el órgano encargado de la supervisión del sistema de Compliance disponga de un Plan de Supervisión que le guíe a lo largo del proceso de control.En este sentido, este documento deberá observar los puntos críticos que resulten de aplicación en cada organización, así como las formaciones hechas y las programadas, las reuniones que se hayan celebrado y, en definitiva, todo tipo de incidencias relacionadas con la ejecución de las actuaciones.
Lo mismo cabe decir del Canal de Denuncias. Este elemento, particularmente sensible dadas sus funciones, debe ser gestionado atendiendo a todos los requisitos que la legislación en materia de protección de datos establece. Es prioritario que se comunique a todos los miembros de la organización y que se garantice un buen uso del mismo, transmitiendo confianza para todos los posibles usuarios y demostrando su efectividad.
Todo ello, como suele suceder en los análisis de riesgos, debe tener un soporte escrito, y, con la periodicidad que se determine (según la norma UNE 19601, anualmente), debe plasmarse en un informe las conclusiones a las que se haya llegado en materia de ejecución de la supervisión.
Por supuesto, no debe olvidarse que cada organización tiene sus características y necesidades propias, derivadas no sólo de su tamaño, sino también de su estructura interna, la división de funciones, la actividad que desempeña, etc. A pesar de ello, en la medida de lo posible se deberían adaptar estos elementos a las distintas estructuras, con tal de garantizar que ésta cuente siempre con un sistema adecuado que le permita gestionar y prevenir la comisión de riesgos penales.
No Comments