Resumen: Los riesgos y los requerimientos actuales
de cumplimiento regulatorio en la empresa son numerosos, exigentes y varían
constantemente. Su ignorancia, deliberada o no, puede causar graves efectos en
la organización. También, en un entorno globalizado y cada vez más competitivo,
las normas de libre adscripción y marcos de mejores prácticas aportan valor a
la empresa pero obligan a la entidad a implantar programas de cumplimiento para
acreditar el debido control sobre
todos los ámbitos. De la convergencia de todos ellos es que aparecen los Compliance Management Systems (CMS) y
los Modelos integrados de Governance, Risk & Compliance (GRC).
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
18 de agosto de 2015
|
|
ÍNDICE
1. INTRODUCCIÓN AL MODELO GRC2. RESPONSABILIDAD PENAL CORPORATIVA
2.1. Antigua reforma del Código Penal del año 2010
2.2. Huida hacia adelante para extinguir la responsabilidad
2.3. Vigente Código Penal, modificado en 2015
2.3.1. Responsabilidad directa de la persona jurídica
2.3.2. Mecanismos de exención de responsabilidad
2.3.3. Régimen de atenuación
2.3.4. Responsabilidad del administrador
3. ANALIZANDO LOS ÁMBITOS DE GRC
3.1. Introducción
3.2. Gobierno corporativo
3.3. Gestión del riesgo
3.4. Cumplimiento normativo y regulatorio
3.4.1. Generalidades
3.4.2. Compliance Management Systems (CMS)
3.5. Buscando una definición de GRC
4. LA COMPLEJIDAD DEL ENTORNO DE CUMPLIMIENTO
4.1. Aparición de nuevos riesgos
4.2. Ambiente de negocios más inestable
4.3. Algunas responsabilidades de cumplimiento
4.4. Algunas concreciones de cumplimiento
4.5. Consecuencias del enfoque aislado sin GRC
5. REQUISITOS PARA IMPLANTAR UN MODELO GRC
6. IMPLEMENTACIÓN DE UN MODELO DE GRC
6.1. Transición al modelo
6.2. El modelo en funcionamiento
7. VENTAJAS DE IMPLANTAR UN MODELO DE CUMPLIMIENTO
8. ROLES RELACIONADOS
8.1. El Chief Compliance Officer (CCO)
8.2. El Coordinador de GRC
8.3 Sobre el secreto profesional
9. RECABADO Y CUSTODIA DE EVIDENCIAS
9.1. Sellado de tiempo o “timestamp”
9.2. Fuentes de Tiempo Seguras
9.3. Diferencia entre “sello de tiempo” y “marca de tiempo”
3. MODELO INTEGRADO DE CAPACIDAD GRC
3.1. Introducción
3.2. Desempeño basado en principios
3.3. Componentes integrados del modelo de capacidad GRC
3.4. Resultados esperados del modelo de capacidad GRC
3.5. Acciones y controles del modelo de capacidad GRC
3.5.1. Los controles proactivos
3.5.2. Los controles de detección
3.5.3. Los controles de respuesta
11. BIBLIOGRAFÍA CONSULTADA
12. CONTROL DE CAMBIOS DEL ARTÍCULO
13. DERECHOS DE AUTOR
1. INTRODUCCIÓN
AL MODELO GRC
GRC es la contracción de Gobierno, Riesgo y Cumplimiento (Governance,
Risk & Compliance) por sus siglas en español y en inglés.
Podemos decir que se plantea a partir de la necesidad de
integración de las diferentes tareas en el Gobierno corporativo, la gestión de
riesgos y el cumplimiento normativo y regulatorio en una misma organización.
Otra forma de verlo es como la mayor concienciación de las
empresas en su conducta, con el fin de evitar sanciones y mantener su prestigio
social, y la consecuente optimización y coordinación de las diferentes acciones
y mecanismos de control.
El entorno en que se desenvuelven las empresas hoy en día es
más complejo y difícil que antes. Incluso las PYMES y micro-PYMES se enfrentan a
problemas que, históricamente, afectaban sólo a las grandes compañías multinacionales.
Las partes interesadas, internas y externas, además de exigir un alto
rendimiento también exigen transparencia
en las operaciones de la organización.
Los riesgos y requerimientos de cumplimiento actuales son
numerosos, exigentes y varían constantemente pudiendo causar su ignorancia,
deliberada o no, graves efectos en la entidad. Además, cómo si eso no fuera
suficiente, los costes de abordarlos por separado son difíciles de evaluar. [5]
Una solución a este problema pude ser adoptar una visión que
apunte hacia el desempeño basado en principios; un modelo de negocio que exija
lograr objetivos de manera confiable teniendo en cuenta la incertidumbre
(riesgo y beneficio); y actuar con integridad (respetando las obligaciones
legales y los compromisos normativos voluntarios).
La OCDE en su documento “Los principios de Gobierno
Corporativo” [9]
considera que es una función determinante del Consejo de
Administración el asegurar sistemas de control adecuados para la gestión de
riesgos y el cumplimiento legal. En la actualidad se considera imprescindible
que los administradores adopten las medidas necesarias para que sus
organizaciones cumplan con las obligaciones exigidas por la normativa legal
aplicable, implementando los modelos de control adecuados para ello.
2.
RESPONSABILIDAD PENAL CORPORATIVA
2.1. Antigua
reforma del Código Penal del año 2010
Añadía el artículo 31 bis CP, que disponía en su número 1: “En los supuestos previstos en este Código, las personas jurídicas serán penalmente
responsables de los delitos cometidos en nombre o por cuenta de las
mismas, y en su provecho, por sus representantes legales y administradores de
hecho o de derecho.
En los mismos supuestos, las personas jurídicas serán también
penalmente responsables de los delitos cometidos, en el
ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por
quienes, estando sometidos a la autoridad de las personas físicas
mencionadas en el párrafo anterior, han podido realizar los hechos por no
haberse ejercido sobre ellos el debido
control atendidas las concretas circunstancias del caso”.
Podríamos decir que distinguía dos tipos de culpa de la
persona jurídica: “In eligendo” al
referirse a delitos cometidos por los representantes legales o administradores que
ha designado la organización para que le representen e “In vigilando” tratándose de empleados sometidos a la autoridad de
los anteriores, sin haberse ejercido el debido
control.
Respecto este último grupo es de destacar que el concepto
de “debido control”, era señalando
como atenuante en el mismo artículo 31 bis CP, número 4, apartado d): “Haber establecido, antes del comienzo del juicio
oral, medidas eficaces para prevenir
y descubrir los delitos que en el futuro pudieran cometerse con
los medios o bajo la cobertura de la persona jurídica”, pero en
absoluto este “debido control” era contemplado como eximente.
En consecuencia, se ratificaba la necesidad de establecer un
adecuado “Programa de Cumplimiento”
por parte de las empresas, pese a la ausencia de concreción en la legislación de
entonces al aludir al “debido control”,
solo delimitado como el establecimiento y adopción de medidas eficaces de prevención
y detección de delitos. El concepto “medidas eficaces” elude toda opción de
simplemente maquillar un programa de cumplimiento en lo que se conoce,
empleando terminología anglosajona, como “makeup compliance”.
2.2.
Huida hacia adelante para extinguir la responsabilidad
Para los que se planteaban la venta, cesión o fusión de la
persona jurídica imputada, únicamente con la finalidad de eludir o entorpecer
la acción procesal posterior, se redactó el apartado 2 del artículo 130 CP que
disponía: “La transformación, fusión,
absorción o escisión de una persona jurídica no extingue su responsabilidad
penal, que se trasladará a la entidad o entidades en que se transforme,
quede fusionada o absorbida y se extenderá a la entidad o entidades que
resulten de la escisión. El Juez o Tribunal podrá moderar el traslado de la
pena a la persona jurídica en función de la proporción que la persona jurídica
originariamente responsable del delito guarde con ella.
No extingue la responsabilidad penal
la disolución encubierta o meramente aparente de la persona jurídica. Se considerará
en todo caso que existe disolución encubierta o meramente aparente de la
persona jurídica cuando se continúe su actividad económica y se mantenga la
identidad sustancial de clientes, proveedores y empleados, o de la parte más
relevante de todos ellos”.
2.3. Vigente
Código Penal, modificado en 2015
La LO 10/1995, de 23 de noviembre, del Código Penal,
modificada por la LO 1/2015, de 30 de marzo, [6] en vigor a partir de julio
de 2015, presenta una serie de concreciones adicionales:
2.3.1.
Responsabilidad directa de la persona jurídica
Se modifica el artículo 31 bis CP, número 1, en referencia a
la responsabilidad directa de la persona jurídica por la comisión de un delito
por parte de cualquier persona con capacidad de decisión o de organización y
control. En consecuencia no es necesario que sea el administrador sino que
puede ser cualquier Directivo, mando intermedio, etc., ya sea individualmente o
de forma colegiada: “1. En los
supuestos previstos en este Código, las personas jurídicas serán penalmente
responsables:
a) De los delitos cometidos en
nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por
sus representantes legales o por aquellos que actuando individualmente o como
integrantes de un órgano de la persona jurídica, están autorizados para
tomar decisiones en nombre de la persona jurídica u ostentan facultades de
organización y control dentro de la misma”.
Se pretende conseguir que socios y directivos no solo adopten
políticas empresariales que persigan el logro de objetivos económicos, sino que
además adopten las medidas de gobierno y gestión necesarias para la consecución
de objetivos legales. En otras palabras, se trata de que la empresa se
autorregule de forma que los programas de cumplimiento, códigos de conducta,
programas éticos, etc., se erijan en
instrumentos efectivos para prevenir delitos en el seno de la empresa, más que
un simple maquillaje, cara al exterior, que en el fondo no proteja de nada.
“b) De los delitos cometidos, en el
ejercicio de actividades sociales y por cuenta y en beneficio directo o
indirecto de las mismas, por quienes, estando sometidos a la autoridad de las
personas físicas mencionadas en el párrafo anterior, han podido realizar los
hechos por haberse incumplido gravemente por aquéllos los deberes de
supervisión, vigilancia y control de su actividad atendidas las concretas
circunstancias del caso”.
Se continúa insistiendo en la necesidad de implantar
mecanismos de supervisión, vigilancia y control en los “programas de
cumplimiento”.
2.3.2.
Mecanismos de exención de responsabilidad
El artículo 31 bis CP, en su número 2, dispone: “2. Si el delito fuere cometido por las personas
indicadas en la letra a) del apartado anterior, la persona jurídica quedará
exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª el órgano de administración ha
adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos
de organización y gestión que incluyen las medidas de vigilancia y control
idóneas para prevenir delitos de la misma naturaleza o para reducir de
forma significativa el riesgo de su comisión;”
El concepto “medidas de
vigilancia y control idóneas” en esta 1ª condición puede interpretarse cómo
que no será suficiente con la implementación de unas “medidas genéricas de vigilancia y control” sino que deben ser
idóneas para cada posible naturaleza de delitos, es de suponer que en base a su riesgo real
de materialización en la estructura concreta de la persona jurídica.
Pensemos que actualmente no se concibe un sistema de
organización, vigilancia y control efectivo que no esté basado en la
apreciación y el consecuente tratamiento del riesgo.
Como se indica en el que equivale al preámbulo del RD
304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2012,
de 28 de abril, de prevención de blanqueo de capitales y de la financiación del
terrorismo “Un enfoque orientado al riesgo que, no solamente, incrementará la
eficiencia de las medidas a aplicar, sino que se presenta, igualmente como
un elemento de flexibilidad de la norma, dirigida a un colectivo muy
heterogéneo de sujetos”.
En relación a la exención, cuando se dice “ha adoptado y ejecutado con eficacia, antes
de la comisión del delito (…)” no se refiere únicamente a haber
implantado, con un contenido claro y ajustado a los requerimientos de la
empresa, modelos de prevención y
control. Deberían existir unos requisitos de prueba que lo demuestren como
puede ser la recogida de evidencias de los controles implementados, con su
correspondiente timestamp o “sello de
tiempo”, que deberían ser custodiadas en un repositorio específico y seguro.
2.ª la supervisión del
funcionamiento y del cumplimiento del modelo de prevención implantado ha sido
confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa
y de control o que tenga encomendada legalmente la función de supervisar la
eficacia de los controles internos de la persona jurídica;
Esta 2ª condición se refiere a la necesidad de una figura,
o un órgano, independientes dentro de la persona jurídica, para supervisar y
controlar el modelo de prevención. A este respecto recordaré otra vez el RD
304/2014, de 5 de mayo, de PBCyFT, que en su artículo 35.2 dispone también que “los sujetos obligados establecerán un órgano
de control interno responsable de la aplicación de los procedimientos de
prevención del blanqueo de
capitales y de la financiación del terrorismo”, con las consideraciones de
ese mismo artículo 35.2 in fine. Es la
tendencia, especialmente dentro de cualquier especialidad de cumplimiento.
“3.ª los autores individuales han
cometido el delito eludiendo fraudulentamente los modelos de organización y de
prevención y
4.ª no se ha producido una omisión o
un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control
por parte del órgano al que se refiere la condición 2.ª”
Queda claro que la ratio
legis es que el modelo de organización y prevención sea eficaz y
constantemente supervisado por el órgano independiente de control.
2.3.3.
Régimen de atenuación
a) Haber procedido, antes de conocer
que el procedimiento judicial se dirige contra ella, a confesar la infracción a
las autoridades.
b) Haber colaborado en la
investigación del hecho aportando pruebas, en cualquier momento del proceso,
que fueran nuevas y decisivas para esclarecer las responsabilidades penales
dimanantes de los hechos.
c) Haber procedido en cualquier
momento del procedimiento y con anterioridad al juicio oral a reparar o
disminuir el daño causado por el delito.
d) Haber establecido, antes del
comienzo del juicio oral, medidas eficaces para prevenir y descubrir los
delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura
de la persona jurídica”.
Vemos que siempre favorece la implantación en la empresa de medidas eficaces de prevención y control o, lo que es lo mismo, un programa de
cumplimiento efectivo:
- Ex ante, ya que logran la exención completa de RPPJ o, en su defecto, una atenuación parcial de la pena, según el párrafo final del artículo 31 bis 2 CP: “En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena”.
- Ex post de la comisión del delito y antes del juicio oral, según el apartado d) del artículo 31 quater 1 CP: “d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.
Cabe decir que la inversión económica que representa ese
programa se justifica en que las circunstancias atenuantes son siempre carga de prueba de aquel al que
favorecen, en este caso la persona jurídica. Recuerdo que los seguros de responsabilidad civil (RC) no cubren la responsabilidad
penal, ni la responsabilidad civil derivada de la comisión de un delito.
2.3.4.
Responsabilidad del administrador
Al final, se ha “caído” en el proceso de aprobación el
artículo 286 seis CP, que se preveía en el borrador de la propuesta para la
Sección 4ª “Delitos de corrupción en los
negocios”, con la siguiente redacción: “1. Será castigado con pena de
prisión de tres meses a un año o multa de doce a veinticuatro meses, e
inhabilitación especial para el ejercicio de la industria o comercio por tiempo
de seis meses a dos años en todo caso, el representante legal o administrador
de hecho o de derecho de cualquier persona jurídica o empresa, organización o
entidad que carezca de personalidad jurídica, que omita la adopción de las
medidas de vigilancia o control que resultan exigibles para evitar la infracción
de deberes o conductas peligrosas tipificadas como delito, cuando se dé
inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada
o, al menos, seriamente dificultada, si se hubiera empleado la diligencia
debida (…).
No obstante, recuerdo que el artículo 31 CP resuelve las
situaciones en las que se produce una disociación entre quien actúa, el
representante, y quien ostenta la cualidad que el tipo exige al sujeto activo
del delito, el representado, ya se trate de una persona física o jurídica
como es el caso. A tenor literal dispone: “El que actúe
como administrador de hecho o de derecho de una persona jurídica, o en nombre o
representación legal o voluntaria de otro, responderá personalmente, aunque
no concurran en él las condiciones, cualidades o relaciones que la
correspondiente figura de delito requiera para poder ser sujeto activo del
mismo, si tales circunstancias se dan en la entidad o persona en cuyo
nombre o representación obre”.
Sirva como ejemplo, para ilustrarlo, la condición de obligado
tributario en una defraudación penalmente relevante del Impuesto sobre Sociedades,
que, caso de no existir el artículo 31 CP, difícilmente se podría predicar del
representante pues el obligado en dicho tributo no es él sino la persona
jurídica.
El artículo 31 CP, que ya estaba presente antes de la
modificación de 2015 del Código Penal, puede
llegar a interpretarse a sensu contrario, como que a efectos prácticos se
pasa a considerar a los administradores de una persona jurídica como sujeto
activo de cualquier delito imputable a ésta, respondiendo personalmente.
Partiremos de que, en Derecho Penal, uno no puede responder
de lo que haga otro, ya que la responsabilidad penal es la consecuencia
jurídica derivada de la comisión de un hecho antijurídico, por un sujeto
imputable, tipificado en el Código Penal. Solo puede responderse de la propia
conducta antijurídica por acción u omisión. Y esto es válido para
personas físicas y jurídicas. En este caso, la empresa, y el administrador
como sujeto activo, solo será culpable
de lesionar un bien jurídico de forma merecedora de pena, ocasionado por
cualquier empleado, si está mal organizada para evitar un delito cometido en su
estructura, es decir, que según dispone el artículo 31 bis CP no ha ejercido el debido control
efectivo.
Queda demostrada así la importancia capital de implantar en
la empresa un completo y adecuado programa de cumplimiento. No solo para preservar a la propia
organización, sino a sus representantes y administradores de posibles
imputaciones.
3. ANALIZANDO
LOS ÁMBITOS DE GRC
3.1.
Introducción
Hemos visto que GRC es la contracción de Gobierno, Riesgo y
Cumplimiento (Governance, Risk & Compliance) por sus siglas en español y en
inglés y se plantea a partir de la necesidad de integración de las diferentes
tareas en el Gobierno corporativo, la gestión de riesgos y el cumplimiento
normativo y regulatorio en una misma organización.
3.2.
Gobierno corporativo
La razón de ser de una empresa es crear valor para sus partes
interesadas (stakeholders). En consecuencia, esa creación de valor será un
objetivo de gobierno para cualquier empresa. La creación de valor significa lograr
unos objetivos, normalmente concretados en obtener beneficios, a un coste
óptimo de recursos, mientras se minimiza el riesgo. Como las empresas suelen
tener diferentes partes interesadas, el gobierno trata sobre negociación y conciliación
entre ellas en lo referente a las diferentes percepciones en el valor. El sistema de gobierno debería así tener en cuenta a todas las partes
interesadas cuando se tomen decisiones relacionadas con la evaluación de
beneficios, riesgos y recursos. Las necesidades de las partes interesadas
tienen que transformarse en estrategia corporativa practicable y consensuada. [1]
Gobernar es asegurar
unos objetivos, en base a la estrategia empresarial acordada, a partir de la
administración de unos recursos determinados y manteniendo el riesgo a niveles
aceptables.
3.3.
Gestión del riesgo
Cada vez más, ya sea en marcos legales de obligado
cumplimiento o en normativas de libre adscripción representadas mediante
estándares y mejores prácticas internacionales, el “riesgo” a que se presenten
circunstancias adversas que impliquen un impacto en el objeto protegido por la
norma será sustantivo para poder determinar qué medidas deberían aplicarse (ya
sean jurídicas, organizativas o técnicas) para mitigarlo a niveles aceptables
para la organización en base a su “apetito
de riesgo” acordado.
El riesgo empresarial
es la probabilidad de que se materialice, por causas internas o externas, alguna amenaza aprovechando cualquier vulnerabilidad
en la estructura de la organización que provoque cierto impacto, directo o
indirecto, en la consecución de los objetivos fijados.
Como se cita en la introducción de la norma UNE-ISO 31000:2010
Gestión del Riesgo. Principios y
directrices: [2] “Organizaciones de
todos los tipos y tamaños se enfrentan a factores e influencias externas e
internas que hacen incierto saber si y cuando conseguirán sus objetivos. La
incidencia que esta incertidumbre tiene sobre la consecución de los objetivos
de una organización constituye el “riesgo”.
Todas las actividades de una organización implican
riesgos. Las organizaciones gestionan el riesgo identificándolo,
analizándolo y evaluando después si el riesgo se debería modificar mediante un
tratamiento que satisfaga sus criterios de riesgo. A lo largo de todo este
proceso, las organizaciones comunican y consultan a las partes interesadas, realizan
seguimiento y revisan el riesgo y los controles que lo modifican para asegurar
que no es necesario un tratamiento adicional del riesgo”.
3.4.
Cumplimiento normativo y regulatorio
3.4.1.
Generalidades
El cumplimiento
normativo y regulatorio es el que persigue en una organización el aseguramiento
de que sus empleados y accionistas se adhieran y actúen de conformidad a las reglas
adoptadas por el negocio y los requerimientos legales.
Debe contemplarse desde el punto de vista jurídico y
organizativo. La razón es la habitual convergencia, en una misma organización,
de diferentes obligaciones corporativas sabiendo
que sus fuentes pueden ser diversas. Pueden incluir las que nacen de la Ley,
las que surgen de los diferentes contratos suscritos, normativas sectoriales o
normas auto-impuestas:
- Normas de adscripción voluntaria - Autorregulación (como pueden ser las normas internacionales ISO, normas sectoriales…).
- Regulación de obligado cumplimiento según la legislación aplicable (en España el CP, LOPD, LPBCyFT…).
Como hemos visto, la introducción de la responsabilidad penal
de las empresas por la LO 5/2010, de 22 de junio, viene a corroborar las tesis
de este artículo. En consecuencia, se ratifica la necesidad de establecer un
adecuado “Programa de Cumplimiento”
por parte de las empresas que acredite “debido
control”, estableciendo y adoptando medidas de prevención y detección de delitos.
Estas medidas de carácter general deberán aplicarse siempre sin menoscabo de
las medidas específicas que pudieran concurrir como consecuencia de ser
considerada la persona jurídica “sujeto
obligado” por otra Ley, como puede ser la LPBCyFT.
3.4.2. Compliance
Management Systems (CMS)
Un paso más allá de establecer un Programa de Cumplimiento es llevarlo a constituir un completo
Sistema de Gestión del Cumplimiento (CMS – Compliance Management System – por
sus siglas en inglés). [7]
Después de varios estándares nacionales, entre ellos el Australian Standard AS3806:2008, se ha
desarrollando la Norma ISO 19600:2014 -
International Guideline Standard on Compliance Management Systems.
El objeto de estas normas standard para Sistemas de Gestión
del Cumplimiento (CMS) es proporcionar directrices o requisitos mínimos para
todas las organizaciones, públicas y privadas, para diseñar, implementar,
mantener y mejorar sistemas eficaces de gestión de cumplimiento.
Una comparación de estas normas en esencia muestra que hay
poca diferencia con respecto a los principios de gobierno del cumplimiento, la
organización y los procesos de un CMS efectivo. Por ejemplo, el gobierno del
cumplimiento como norma incluye funciones de acceso directo de la función de
cumplimiento al Consejo de Administración, su independencia de la dirección
operativa de la compañía, autoridad organizativa adecuada y disponer de los recursos necesarios.
Adoptar un CMS, basado por ejemplo en la estructura de la
Norma ISO 19600:2014, es una buena forma de preparar la integración con otras
Normas ISO de la empresa y facilitar la transición del cumplimiento hacia un
modelo global de GRC.
Las nuevas Normas ISO están basadas en el Anexo SL, por lo
que disponen de una estructura homogénea que les permite integrarse entre
ellas. Este Anexo SL se aplicará a todas las normas que vayan apareciendo
nuevas a partir del año 2012 y, paulatinamente, a todas las actualizaciones de
las existentes.
NOTA DEL EDITOR: Para profundizar en las implicaciones en las Normas ISO, tras
la aparición del Anexo SL, puede consultarse: Integrar diferentes Normas ISO gracias al Anexo SL en este mismo blog.
Basándome en esa estructura, muestro a continuación una tabla
con las diferentes cláusulas de la Norma ISO 19600:2014.
Estructura de alto nivel para
ISO MSS
|
Guía
sobre cumplimiento en la norma ISO 19600:2014
|
Contexto de la organización
|
- Análisis del entorno en el que opera la organización (contexto,
problemática, partes interesadas y sus requerimientos, necesidades y
expectativas).
- Ámbito de aplicación del sistema de gestión del Cumplimiento.
- Identificación de las obligaciones de cumplimiento.
- Evaluación de los riesgos de cumplimiento
|
Liderazgo
|
- Política, compromiso, liderar con el ejemplo.
- Roles, responsabilidades y autoridades con respecto al
cumplimiento, para el Consejo de Administración, la Alta Dirección y
Dirección operativa, los empleados y un Compliance Officer independiente.
|
Planificación
|
- Planificación de las medidas
para controlar los riesgos de cumplimiento.
- Establecimiento de objetivos de cumplimiento.
|
Soporte
|
- Concienciación, competencia y capacitación en el cumplimiento.
- Comportamiento y cultura.
- Comunicación y documentación.
|
Operación
|
- Implementación de controles para el cumplimiento (técnicos, procedimentales,
dirigiendo la actitud y el comportamiento del personal).
|
Evaluación del desempeño
|
- Monitorización del cumplimiento. Aplicación de indicadores.
- Análisis de la información (interna y externa) y comunicación de los resultados.
- Auditoría interna y revisión por la Dirección.
|
Mejora
|
- Acciones sobre el incumplimiento de los requisitos y el escalado a
los niveles de Alta Dirección cuando sea necesario.
- Acción correctiva.
- Actividades de mejora.
|
Podemos definir GRC
como la capacidad que tiene la organización de lograr unos objetivos,
administrando los recursos, en base a la estrategia acordada [GOBIERNO], gestionando el riesgo dentro de niveles
aceptables [RIESGO] y respetando las
obligaciones regulatorias y los compromisos normativos voluntarios [CUMPLIMIENTO]. [3]
En consecuencia se pretende alcanzar la seguridad razonable
de lograr los objetivos mediante el compromiso de llevarse a cabo las acciones
necesarias, para alcanzar conformidad con los requerimientos de cumplimiento
establecidos (internos y externos), teniendo en cuenta el riesgo.
4. LA
COMPLEJIDAD DEL ENTORNO DE CUMPLIMIENTO
La transición en la que nos encontramos inmersos desde la era industrial a la era de la información y últimamente a la era del conocimiento, implica una serie de cambios que llevan
aparejados:
- La aparición de nuevos riesgos
- Un ambiente de negocios más inestable
- La aparición de responsabilidades de cumplimiento
- Las ineludible concreción de esas responsabilidades
- La conveniencia de instaurar un modelo GRC
4.1.
Aparición de nuevos riesgos
- Redes sociales con sus riesgos potenciales en la privacidad y en la reputación de las organizaciones. Todo dentro de un modelo de propagación viral.
- Riesgos generados por la globalización de los mercados, de la información y de los estándares.
- Riesgos relacionados con la diferencia de valores de las personas del siglo XXI con las del siglo anterior.
- Riesgos asociados a Internet y la ciberdelincuencia.
- Riesgos consecuencia de las nuevas tecnologías emergentes (Cloud Computing, Big Data, IoT…) y la escasa experiencia en su control.
- Riesgos de contagio entre los mercados.
- Riesgos relacionados con los socios de negocios (Third-parties), y cumplimiento de acuerdos contractuales, en un entorno cada vez más externalizado.
- Etc.
4.2.
Ambiente de negocios más inestable
- Alta velocidad del mercado (TTM – “time to market” más corto; LC – “Lifecycle” menos duradero…).
- Mayor complejidad en todos los ámbitos.
- Nuevas estrategias más agresivas por parte de los competidores que se traducen en presiones dentro de la organización.
- Mayor gradiente de obsolescencia en los modelos de negocio.
- Necesidad de innovación permanente para poder contrarrestar las desbordantes ofertas, habitualmente desde otros países, que compiten únicamente por precio.
- Necesidad de formación continuada y de valor, o disponer de asesoramiento externo experto en múltiples ámbitos, debido al entorno cambiante.
- Aumento de la regulación, y la consecuente presión por parte de las autoridades de control y la propia sociedad, donde la empresa interactúa. Efecto multiplicador si la organización opera en sectores regulados o en mercados internacionales con diferentes legislaciones y normativa aplicable que posiblemente no está armonizada.
- Etc.
Factores que han propiciado la aparición de GRC
4.3. Algunas
responsabilidades de cumplimiento
- Gestión de Riesgos
- Prevención del fraude
- Prevención de responsabilidad penal corporativa
- Prevención de sanciones administrativa
- Compromisos legales como sujeto obligado
- Seguridad de la información
- Certificaciones exigidas por proveedores
- Privacidad y protección de datos personales
- Seguridad física de personas e instalaciones
- Continuidad del negocio
- Etc.
4.4. Algunas
concreciones de cumplimiento
- Requerimientos legales generales. Por ejemplo: CP (LO 10/1995, de 23 de noviembre - reformada por la LO 1/2015, de 30 de marzo); (LOPD y su reglamento (LO 15/1999, de 13 de diciembre – RD 1720/2007, de 21 de diciembre); LSSI-CE (LEY 34/2002, de 11 de julio)…
- Requerimientos legales sectoriales. Por ejemplo: LPBCyFT y su reglamento, para sujetos obligados (LEY 10/2010, de 28 de abril – RD 304/2014, de 5 de mayo); Sanidad (LAP - Ley 41/2002, de 14 de noviembre; LGSP – Ley 33/2011, de 4 de octubre, etc.)…
- Otros requerimientos sectoriales. Por ejemplo: Certificación GMP (laboratorios de cosmética); PCI-DSS (Tarjetas de crédito)…
- Estándares o mejores prácticas externas. Por ejemplo: ISO 38500 (Gobierno); ISO 31000 (Riesgo); COSO; ISO 27001 (Seguridad de la información); ISO 22301 (Continuidad del negocio); COBIT; ISO 20000 (Gestión de servicios); ITIL…
- Prácticas internas. Por ejemplo: Políticas promulgadas por los órganos de gobierno; Procedimientos definidos por los órganos de gestión; Programas de auditoría y control…
- Interacción con terceros. Por ejemplo: Proveedores, prestadores de servicios, asesores y expertos externos; Autoridades de inspección y control (En España la AEPD, SEPBLAC, CNMC, etc.)…
4.5.
Consecuencias del enfoque aislado sin GRC
La falta de integración y coordinación entre las diferentes
áreas de cumplimiento y gestión de riesgos hace aflorar los problemas propios
de la fragmentación empresarial en silos inconexos:
- Adopción, por parte de las áreas funcionales, de criterios o enfoques diferentes que en ocasiones pueden ser opuestos.
- Esa falta de criterio corporativo desaprovecha las sinergias y, habitualmente, las mejores prácticas internas ya que las diferentes áreas funcionales pueden utilizar diferentes procesos y herramientas para efectuar tratamientos equivalentes.
- Duplicación de esfuerzos con una carga superflua para determinadas áreas funcionales, o desempeños individuales, habitualmente faltos de recursos.
- Falta de estandarización de estas actividades a nivel corporativo.
- Ausencia de colaboración entre áreas funcionales y personal asignado.
- Inconsistencia en criterios, métricas e indicadores, dificultando un análisis predictivo global.
- Se encuentra a faltar una visión de conjunto para la toma de decisiones de gobierno.
- Esfuerzos de cumplimiento regulatorio aislados, reactivos y sin valor añadido para el conjunto de la organización.
- Como consecuencia de la duplicidad de esfuerzos, aumentan los costes para el cumplimiento global corporativo.
5. REQUISITOS
PARA IMPLANTAR UN MODELO GRC
Un modelo GRC pretende la unificación de criterios coordinando esfuerzos y la colaboración entre
los diferentes involucrados en la dirección de la organización mediante:
- El apoyo unánime de la Alta Dirección y los órganos de gobierno.
- Medios adecuados (Asignación de los recursos necesarios al modelo).
- Estructura organizativa bien definida.
- Acceso a la información empresarial y a todas las funciones y procesos.
- La integración de los órganos/responsables del gobierno, la gestión de riesgos, el control interno y el cumplimiento normativo y regulatorio.
- La asignación de roles, responsabilidades y autoridades del personal clave.
- Establecimiento de un plan de formación para todo el personal.
- La formalización de adecuados canales de comunicación.
- La aplicación generalizada de un enfoque basado en riesgos, diseñando, implementando y manteniendo un programa eficaz.
- La implementación global de un programa de cumplimiento corporativo.
6. IMPLEMENTACIÓN DE UN MODELO DE GRC
6.1.
Transición al modelo
Para adoptar un proyecto de implantación de un modelo de GRC deben
considerarse, adaptadas a la realidad de la organización, unas cuantas fases.
Por ejemplo, podemos definir estas nueve:
- Definir los objetivos y el alcance: En esta primera fase se consensuarán los objetivos deseados, y una primera definición del alcance, para el modelo de GRC en la organización.
- Estudiar la normativa aplicable: Regulaciones internacionales, nacionales y locales que le afecten como empresa, por ser sujeto obligado, mercados regulados, normativas sectoriales, específicas, de libre adscripción, frameworks adoptados, códigos de conducta existentes, códigos deontológicos que obligan a determinado personal, mejores prácticas adoptadas…
- Análisis de riesgos: Se evaluará un completo mapa de riesgos, en base al alcance previamente determinado. Las mejores prácticas consisten en efectuar un inventario previo de los bloques normativos que aplican a la organización [alineados con los objetivos de cumplimiento del primer punto], para luego identificar las conductas de riesgo asociadas a cada uno de ellos (Que impliquen la responsabilidad penal de la persona jurídica, que ocasionen daños de reputación, que comprometan la seguridad de la información, que atenten a la continuidad del negocio, que violen la privacidad…).
- Diagnóstico de la situación actual: En esta fase se evaluará el grado de madurez actual de la organización, dentro del alcance definido, por ejemplo respecto de los ocho componentes definidos por la OCEG en su modelo [el modelo se extracta al final de este artículo], y de las medidas ya implantadas. A partir del grado de madurez actual y de los objetivos específicos de la empresa, se obtendrá el grado de madurez deseado que determinará el GAP inicial.
- Planificación: En la fase de planificación, se determinarán las actuaciones necesarias para llevar a la empresa al nivel de madurez deseado. Contando con los órganos de gobierno y el equipo directivo se elaborará el Plan Rector, creándose las estructuras organizativas necesarias y asignándose roles, responsabilidades y autoridad para llevarlo a cabo.
- Desarrollo del plan: Se diseñará con detalle el modelo de GRC y se elaborarán los programas de cumplimiento, Concreción y promulgación de las políticas necesarias [ex novo o adaptando alguna de las existentes] empezando por las fundamentales [Éticas o de conducta empresarial] y vertebrando después hacia las demás políticas [ya más concretas], un sistema efectivo de controles de cumplimiento y reporte que garantice la aplicación práctica de las políticas, canales de comunicación y whistleblowers, los protocolos de actuación por evidencias o por indicios, confección de códigos éticos o de buena conducta, procesos de due diligence, concretar el plan de formación e información periódica a trabajadores y directivos, desarrollar el plan de auditorías…
- Implantación y formación: Durante la implantación del modelo de GRC, deben realizarse talleres y reuniones con el equipo directivo, con quienes han de implementar y verificar los controles, con los auditores, con todo el personal de la empresa… para que vayan conociendo y asumiendo el modelo, así como concienciándose del valor del mismo para la organización y todas sus partes interesadas.
- Monitorización y evaluación: Después de haber implementado el modelo GRC es capital el seguimiento del desempeño, mediante protocolos y procedimientos que aseguren la eficacia del propio modelo. Se evaluarán los controles periódicamente en base a auditorías que permitan evidenciar el diferencial entre lo establecido y lo realmente llevado a la práctica y, si es posible, mediante monitorización. Se analizarán los fallos de cumplimiento para sacar conclusiones y poder así rectificar esa situación. Se mantendrá informado al consejo de administración.
- Mejora continua: Debe contemplarse un proceso de actualización permanente en función de: Lo aprendido de la experiencia con el propio modelo, los cambios en la empresa (internos), en el entorno en que opera y la normativa y regulación que le es aplicable (externos). El modelo de GRC debe ser algo vivo o pierde su valor.
6.2. El
modelo en funcionamiento
Un modelo de GRC ya instaurado y en pleno funcionamiento debe
contemplar en primer lugar los medios necesarios para la prevención. No hace falta mencionar las ventajas de evitar un
ilícito frente a tener que afrontar las responsabilidades
y penas derivadas del mismo.
Caso de que no hayan funcionado con la debida eficacia esas
medidas de prevención, el modelo debe contemplar controles adecuados de detección.
Una vez evidenciado el ilícito deberá actuarse con un plan de
respuesta, con las acciones
necesarias para su remediación, y con su correspondiente seguimiento.
El proceso debe ser cíclico de forma que se base en la mejora
continuada a partir de la propia ejecución del modelo.
7.
VENTAJAS DE IMPLANTAR UN MODELO DE CUMPLIMIENTO
El diseño e implantación de un sistema de control efectivo,
tiene una serie de ventajas para la empresa:
- Permite prevenir las infracciones ya que la implantación de controles efectivos actuarán como elemento disuasorio frente a la comisión de ilícitos. Si a pesar de todas estas medidas el hecho antijurídico se produjera, sería más fácil detectarlo o contenerlo.
- Otorga beneficios indirectos al negocio, ya que representa un mayor control sobre la empresa. Muchas medidas pueden utilizarse adicionalmente como un sistema de captar información de interés sobre la marcha de los procesos de negocio o para rediseñar circuitos de información obsoletos.
- Logra evitar sanciones al haber cada vez más normativa que obliga a los sujetos obligados a implantar medidas de control. El mero hecho de no hacerlo puede suponer importantes sanciones administrativas, con independencia de las exenciones penales para la persona jurídica, que ya hemos visto, que le proporcionan unas medidas de vigilancia y control efectivo.
- Mantiene el prestigio al ayudar a preservar la reputación ya que el poder demostrar que se posee un estricto sistema de verificación y control, en época de corrupción y escándalos, implica un valor añadido para la empresa en relación a clientes, proveedores, entidades financieras… que absorbe parte del presupuesto de la inversión necesaria. A sensu contrario permitir un daño reputacional debido a un escándalo, que con medidas de control efectivo se hubiera podido evitar, en un mundo cada vez más interconectado socialmente, a través de Internet, es una auténtica temeridad.
8. ROLES
RELACIONADOS
Ambos roles que presento a continuación podrían recaer en la misma persona en función del
tamaño y de los los requerimientos de la organización, de las competencias del
sujeto que ostentará los roles, o incluso llegar a ser externalizados en un tercero
en calidad de experto externo si la
legislación lo permite.
8.1. El Chief Compliance Officer (CCO)
El rol de oficial jefe de cumplimiento corporativo (CCO) hay
quién lo contempla únicamente desde la óptica de focalizar en la prevención y
detección de delitos penales de la persona jurídica.
No es del todo mi particular parecer ya que existen otros
incumplimientos regulatorios en el marco de la empresa que no necesariamente
implican una ratio legis de tipo
penal y, en consecuencia, inicialmente no se usará esa vía reservada como
última ratio. Algunos de esos incumplimientos, por ejemplo, pueden sancionarse
administrativamente o por la vía civil obligando al resarcimiento de los daños
causados e ineludiblemente también requieren o se beneficiarían de un programa
de control efectivo sujeto a coordinación y supervisión.
Lo ilustraré diciendo que amplia legislación, de aplicación habitual
en la empresa, puede llegar a tener su correspondencia en el CP aunque su
incumplimiento, como se sabe, no implica
necesariamente la apertura de un proceso por la vía penal (vid. Procedimiento
administrativo sancionador por infracciones leves en LPBCyFT).
Legislación específica
|
Artículos
relacionados del CP
|
|
Protección
de Datos Personales
|
-
LOPD (LO 15/1999)
-
RLOPD (RD 1720/2007)
|
197
CP
Descubrimiento
y revelación de secretos.
|
Blanqueo
de Capitales
|
-
LPBCyFT (Ley 10/2010)
-
RLPBCyFT (RD 304/2014)
|
298
a 304 CP
De
la receptación y el Blanqueo de Capitales
|
Propiedad
Intelectual
|
-
LPI (RDL 1/1996)
-
Ley 21/2014, de 4 de noviembre, por la que se modifica la LPI
|
270
CP
De
los delitos relativos a la Propiedad Intelectual
|
Ejemplo de otros ámbitos legislativos habituales en la
empresa
En lo que solemos estar todos de acuerdo es en que se trata
de un perfil eminentemente jurídico, conocedor
del Derecho Penal y otras especialidades, como las citadas anteriormente, aunque yo le añadiría conocimientos multidisciplinares como pueden
ser organizativos, financieros, técnicos…, según el caso. Esto es así porque
debe conocer, no solo la regulación nacional y local de los países en los que está
presente la empresa, sino saber con detalle cómo opera ésta y el sector donde
se desenvuelve, regulado o no, para determinar con la mayor precisión dónde
enfocar sus esfuerzos.
Debe tener una mentalidad analítica. Cuando se produce un
fallo de cumplimiento dentro de la empresa, el CCO debe auditar mirando de
cerca, de forma detallada, lo que ocurrió y su por qué. Involucrará, de ser necesario, a especialistas
de las diferentes áreas funcionales para comprender mejor lo acaecido y evitar
que pueda pasarse por alto algún indicio. Deberá velar por la cadena de
custodia de las posibles pruebas obtenidas caso de descubrir algún ilícito.
El CCO debe considerarse por la empresa como un garante de
cumplimiento. Para
ello podrá actuar solo o dirigiendo un órgano colegiado de control interno, en
función del tamaño, complejidad y jurisdicciones dónde actúa la empresa,
aplicando siempre el principio de
proporcionalidad. En cualquier caso
deberá quedar garantizada su independencia.
Sobre el oficial jefe de cumplimiento recae una gran
responsabilidad, especialmente desde la óptica penal, dado su perfil de
“experto conocedor” e independencia de actuar.
Debe tenerse en cuenta que la asignación del deber específico
de supervisión actúa como una delegación del deber de control, que corresponde
a los administradores de la empresa, y genera una obligación, un deber jurídico
de vigilancia y control, cuya omisión puede llegar a constituir un delito. Podría
llegar a contemplarse la intervención delictiva del CCO pudiendo imputársele comisión
por tolerancia dolosa (complicidad) o por omisión imprudente del deber de
garante.
NOTA DEL EDITOR: Para profundizar en los riesgos inherentes al desempeño del
CCO recomiendo, en este mismo blog, el artículo “Responsabilidad
por deber de garante: Aplicación al CCO y al DPO”
Podría impugnarse la aplicación del principio "in dubio pro reo" sobre los posibles
hechos delictivos, al no poder apoyarse en un supuesto de ignorancia deliberada, en base a los conocimientos y competencias
especializados del sujeto en el ámbito del delito a considerar. Es indudable
que el CCO los tiene o debería tenerlos.
De ahí que sea muy importante, en su desempeño profesional, el
mantener rigurosamente documentado:
- Prueba de un análisis continuado de riesgos.
- Prueba de la existencia de controles en base a los análisis anterior.
- Prueba de la eficacia de esos controles para mitigar los riesgos.
- Recabado de evidencias, si puede ser con timestamp o sellado de tiempo y garantía de integridad, garantizando su autenticidad y el memento en que se obtuvieron.
- Custodia de las evidencias en un repositorio seguro.
8.2. El
Coordinador de GRC
Es un perfil de espectro mucho más amplio que el del CCO. Su perfil será simultáneamente Jurídico, organizativo y técnico y
deberá disponer de un amplio abanico de competencias multidisciplinares. No
importa desde donde se acceda a este rol puesto que el conocimiento requerido,
dentro de su desempeño, deberá ser global.
Pensemos que no solo coordinará el cumplimiento legal, sino
también el cumplimiento normativo de adscripción voluntaria (por ejemplo las
posibles normas ISO). Coordinará también el análisis y gestión de riesgos en diferentes
ámbitos de la empresa, intervendrá en los planes de auditoría, interactuará con
RR.HH. buscando la “Collective Action”, etc.
Conocer las singularidades legales de todas las áreas funcionales, y unidades de negocio en la organización, no sólo le proporcionará un valioso conocimiento de la estructura operativa de la organización sino que le permitirá, también, conocer detalladamente los riesgos legales que les afectan. El rol de coordinador de GRC tiene una clara dimensión corporativa ya que para desarrollar su eficaz desempeño es necesario que conozca bien e interactúe con la totalidad de áreas funcionales y unidades de negocio.
Debe cumplir una serie de requisitos inherentes a su
desempeño profesional:
- Perfil jurídico/organizativo/técnico. Por la naturaleza de su trabajo debe conocer la legislación aplicable al ámbito de la empresa (no solo la penal) así como la posible normativa de adscripción voluntaria y estándares adoptados por la empresa.
- Proactivo más que reactivo. Significa dotar al coordinador de GRC de legitimidad para actuar de forma autónoma frente a las áreas funciones y unidades de negocio, de modo que no precise ser requerido para focalizar hacia dichos ámbitos y poder desarrollar así sus funciones de prevención de ilícitos y/o de no-conformidades en relación a la regulación y las normas voluntarias respectivamente.
- Visión circular (360º). Debe saber mirar desde perspectivas diferentes. Los coordinadores de GRC deben ver las situaciones y propuestas no solo desde el punto de vista del área funcional corporativa que propone o actúa, también desde el punto de vista del cliente, del regulador, del auditor externo, de las autoridades de control y agencias gubernamentales…
- Basarse en evidencias. El coordinador de GRC debe buscar evidencias de todo. Sabemos que las suposiciones deben quedar al margen del ámbito jurídico ya que solo es probatorio lo que puede demostrarse. Una cosa es lo que dispongan las políticas promulgadas por los órganos de gobierno, o detallen los procedimientos operativos redactados por los órganos de gestión, y otra lo que ocurre en realidad.
8.3 Sobre
el secreto profesional
El secreto profesional de los abogados de empresa [8] es un tema polémico tras la Sentencia del
Tribunal de Justicia de las Comunidades Europeas de 14 de septiembre de 2010
(TJCE 2010/275), asunto Azko Nobel Chemicals Ltd. Y Arkros Chemicals Ltd., que
niega al abogado el secreto profesional
por el asesoramiento legal que haya podido prestar a la empresa básicamente
porque indica que el abogado interno carece de independencia para asesorar a la
empresa. Por ello, todas las comunicaciones que haya enviado a su empresa en el
desempeño de sus funciones, como asesor legal, no estarán amparadas por el
secreto profesional.
NOTA DEL EDITOR: La denominación del Tribunal de Justicia de la Unión
Europea (TJUE) hasta la entrada en vigor
del Tratado de Lisboa, el 1 de diciembre de 2009, era la de Tribunal de
Justicia de las Comunidades Europeas (TJCE).
Anteriormente, en la Sentencia del TJCE, de 18 de mayo de
1982, en el asunto 155/79, AM & S Europe Limited, se falla desestimando el
recurso demandante:
“21 Más allá de estas diversidades,
los Derechos internos de los Estados miembros revelan, no obstante, la
existencia de criterios comunes, por cuanto protegen, en condiciones similares,
la confidencialidad de la correspondencia entre los Abogados y sus clientes,
siempre que, por un lado, se trate de la correspondencia mantenida en el
marco y en interés de los derechos de defensa del cliente y, por otro lado,
se trate de Abogados independientes, es decir, no vinculados a su cliente
mediante una relación laboral”.
En aras de la imparcialidad diré que el Ilustre Colegio de Abogados
de Madrid (ICAM) manifestó en su momento que la Sentencia no aprecia en toda su
dimensión la capacidad real que tienen las empresas para dotarse internamente
de medidas, procedimientos y garantías que salvaguarden la independencia de sus
abogados internos.
Previas a la sentencia, las conclusiones de la Abogada
General Julianne Kokott, de 29 de
abril de 2010, manifiestan que “Existe el
riesgo real de que los abogados internos, en su afán por obedecer al
empresario, den de motu propio al asesoramiento legal el contenido que
complazca al empresario. (…) En cambio,
en principio el abogado externo dispone de varios clientes, con lo que sí
existe una discrepancia, dispone de la libertad suficiente para renunciar por
iniciativa propia a la propia representación del cliente y así mantener su
independencia”
Para acabar, y en relación al Derecho vigente en España,
recordaré el artículo 23 de la LPBCyFT (Ley 10/2010, de 28 de abril, de
Prevención de Blanqueo de Capitales y Financiación del Terrorismo), que establece:
“Exención de
responsabilidad. La comunicación de buena fe de información a las
autoridades competentes con arreglo a la presente Ley por los sujetos obligados
o, excepcionalmente, por sus directivos o empleados, no constituirá
violación de las restricciones sobre divulgación de información impuestas por
vía contractual o por cualquier disposición legal, reglamentaria o
administrativa, y no implicará para los sujetos obligados, sus directivos o
empleados ningún tipo de responsabilidad”.
El abogado no está sometido a las obligaciones contenidas en
los artículos 7.3,18 y 21 de la LPBCyFT respecto a la información que reciban
de sus clientes que se utilice para la defensa del cliente en el marco de un
procedimiento judicial, resultando acorde y encaja con la normativa sobre
secreto profesional. El artículo 22 de la LPBCyFT establece lo siguiente: “No
sujeción. Los abogados no estarán sometidos a las obligaciones
establecidas en los artículos 7.3, 18 y 21 con respecto a la información que
reciban de uno de sus clientes u obtengan sobre él al determinar la posición
jurídica en favor de su cliente o desempeñar su misión de defender a dicho
cliente en procesos judiciales o en relación con ellos, incluido el
asesoramiento sobre la incoación o la forma de evitar un proceso,
independientemente de si han recibido u obtenido dicha información antes, durante
o después de tales procesos”.
Sin perjuicio de lo establecido en
la presente Ley, los abogados guardarán el deber de secreto profesional de
conformidad con la legislación vigente”.
La conclusión inmediata que se desprende es que si el Compliance Officer o el Coordinador de GRC forman parte de la
plantilla de la empresa dejan de estar protegidos, pese a que fueren abogados y
como norma general, por el secreto profesional. En cuanto a la Ley de PBCyFT ni
tan siquiera así, salvo que se limiten a asesorar a su cliente en relación a un
posible proceso judicial, algo que podría ocurrir con un asesor legal externo,
pero no con un Compliance Officer o
un Coordinador de GRC que, por su
desempeño y funciones asignadas al rol, no se limita a ese único menester.
9.
RECABADO Y CUSTODIA DE EVIDENCIAS
Para el recabado y la inmediata custodia en repositorios
seguros de las evidencias en forma de documentos, en formato electrónico, que
se considere ir obteniendo y conservando procedentes de informes, controles,
notificaciones, eventos…, será imprescindible recurrir a algún método que
acredite el preciso instante en que se obtuvo y garantice su integridad.
9.1.
Sellado de tiempo o “timestamp”
El sellado de tiempo está definido en el standard RFC-3161 y
recogido en la Norma ISO-18014-1:2008, -2 y -3.
9.2. Fuentes
de Tiempo Seguras
Para poder asociar los documentos electrónicos con un
instante de tiempo determinado es necesario utilizar una Autoridad de Sellado
de Tiempo (TSA – Time Stamp Authority, por sus siglas en inglés) como tercera
parte de confianza. Dicho instante será obtenido por parte del TSA de una
fuente de tiempo segura, como puede ser la del Real Observatorio de la Armada que proporciona la base de la hora
legal en todo el territorio nacional español según el RD 1308/1992, de 23 octubre, por el que se declara al
Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio
depositario del Patrón Nacional del Tiempo y laboratorio asociado al Centro Español
de Metrología.
Actúan como TSA la Fábrica Nacional de Moneda y Timbre (FNMT)
y otros muchos facilitadores.
9.3.
Diferencia entre “sello de tiempo” y “marca de tiempo”
En el "sello de
tiempo" la asignación de la referencia temporal se realiza por un
tercero de confianza, independiente y ajeno al procedimiento o documento
concreto, mediante un proceso de firma electrónica verificable que asegura la
exactitud e integridad de la referencia. Asimismo, el sello de tiempo garantiza
fehacientemente que una serie de datos, preparados por el solicitante del
sello, han existido y no han sido modificados desde un momento determinado.
En cambio, la “marca
de tiempo” es la asignación por medios electrónicos de la fecha y hora a un
documento electrónico. No garantiza necesariamente la integridad del documento.
Normalmente es la propia empresa interesada la que debe generar la referencia
temporal. La marca de tiempo puede
ser generada por cualquier aplicación y no tiene por qué ser menos precisa que
un sello de tiempo. Habitualmente la
referencia temporal se obtiene a través de la fecha y hora de un servidor
informático que esté sincronizado mediante el protocolo Network Time Protocol (NTP) con una fuente de tiempo fiable y
precisa.
3. MODELO
INTEGRADO DE CAPACIDAD GRC
3.1.
Introducción
En 2008 el Open Compliance and Ethics Group (OCEG) definió un
marco de referencia para la
integración del Gobierno Corporativo, la Gestión de Riesgos y el Cumplimiento
Regulatorio.
Su publicación “GRC Capability Model” define un marco para el
diseño, desarrollo, implementación y seguimiento de un modelo de GRC.
Debido a su popularidad he creído oportuno exponer, de forma
abreviada, ese modelo concreto en este artículo.
3.2.
Desempeño basado en principios
El desempeño basado en principios se logra integrando y
organizando áreas o funcionalidades que, en muchas entidades, se encuentran fragmentadas
y aisladas, como por ejemplo:
- El gobierno corporativo
- La gestión del desempeño
- La gestión de riesgos
- El control interno
- El cumplimiento normativo y regulatorio
- La auditoría
Aunque todas estas funciones, que aportan al Desempeño Basado
en Principios, son más de tres, tiende a generalizarse el uso de las siglas GRC
(Gobierno, Riesgo y Cumplimiento) para abreviar el conjunto.
En algunas empresas, estas funcionalidades se manejan en múltiples
departamentos diferentes y existe, de haberla, poca comunicación de carácter
transversal. En algunas organizaciones estas actividades no se administran en
absoluto y, literalmente, no son gobernadas usando técnicas actuales de mejora
de procesos de negocio. [5]
3.3.
Componentes integrados del modelo de capacidad GRC
APRENDER del contexto organizacional, la
cultura y las partes interesadas clave para informar de objetivos, estrategia y
acciones.
ALINEAR la estrategia con los objetivos, y
las acciones con la estrategia, mediante el uso de un enfoque eficaz de toma de
decisiones que se ocupe de los valores, oportunidades, amenazas y
requerimientos.
EJECUTAR acciones que promuevan y recompensen
aquello que sea deseable, prevea y remedie lo indeseable, y detecte lo antes
posible cuando suceda
algo.
REVISAR del diseño y la operación efectiva de
la estrategia y las acciones, así como la adecuación continua de los objetivos
para mejorar la organización.
3.4. Resultados esperados del modelo de capacidad GRC
- Lograr los objetivos del negocio. Las entidades existen y se sostienen mediante el logro de sus objetivos de negocio deseados. GRC debe contribuir a ello.
- Mejorar la cultura organizacional. Inspirar y promover una cultura de alto desempeño, responsabilidad, integridad, confianza y comunicación.
- Aumentar la confianza de las partes interesadas. Aumentar la seguridad y confianza de las partes interesadas -stakeholders- de la entidad.
- Preparar y proteger a la entidad. Preparar a la entidad para enfrentar riesgos y requerimientos y protegerla de consecuencias negativas de hechos adversos, incumplimientos y conductas antiéticas.
- Evitar, detectar y reducir la adversidad. Disuadir, evitar y establecer consecuencias de conductas negativas. Disminuir los daños tangibles e intangibles causados por eventos de riesgo adversos (los que pueden controlarse y los que no), incumplimiento, comportamientos poco éticos y la probabilidad de que hechos similares sucedan en el futuro.
- Motivar e inspirar las conductas deseadas. Entregar incentivos y retribuciones motivando la ocurrencia de conductas deseadas, en especial frente a circunstancias difíciles.
- Mejorar la capacidad de respuesta y eficiencia. Mejorar continuamente la capacidad de respuesta (oportunidad y agilidad) y eficiencia (velocidad y calidad) de todas las actividades de GRC, al mismo tiempo de optimizar la eficacia (capacidad de cumplir los objetivos y requerimientos).
- Optimizar valor económico y social. Optimizar la asignación de capital humano y financiero a las actividades de GRC para maximizar el valor generado, lo que beneficia a la entidad y la sociedad en la que funciona.
3.5.
Acciones y controles del modelo de capacidad GRC
Existen en este modelo tres tipos de acciones y controles, y
resulta indispensable que las entidades utilicen una combinación apropiada para
gestionar el riesgo y cumplimiento, como parte de las capacidades de GRC de
alto rendimiento.
3.5.1.
Los controles proactivos
Incentivan proactivamente condiciones o hechos que son
deseables y evitan los que no lo son.
- Las acciones y controles de incentivo aumentan la probabilidad, efecto o velocidad de las condiciones o hechos que son deseables.
- Las acciones y controles preventivos disminuyen la probabilidad, efecto o velocidad de las condiciones o hechos que no son deseables.
3.5.2.
Los controles de detección
Detectan la ocurrencia real o potencial de condiciones y
hechos que son deseables o no.
3.5.3.
Los controles de respuesta
Recompensan las condiciones o hechos que son deseables y
corrigen los que no lo son.
- Las acciones y controles de retribución reconocen la ocurrencia de condiciones o hechos deseables, y aumentan la probabilidad, efecto y velocidad actual de otras condiciones o hechos deseables.
- Las acciones y controles correctivos acaban con la confusión causada por la ocurrencia de condiciones o hechos que no son deseables, y disminuyen la probabilidad, efecto y velocidad actual de otras condiciones o hechos que no son deseables.
En resumen, GRC debe sustentar el gobierno, gestión y
aseguramiento del desempeño, riesgo y cumplimiento con una combinación de
acciones y controles proactivos, de detección y de respuesta, para lograr el
desempeño basado en principios. Según la OCEG, el modelo de capacidad de GRC aporta la estructura para lograrlo.
11.
BIBLIOGRAFÍA CONSULTADA
- [1] ISACA. “Cobit 5: Procesos catalizadores - Capítulo 2. La Cascada
de Metas y Métricas para Metas Corporativas y Metas TI”. 2012.
- [2] AENOR. “UNE-ISO 31000:2010 Gestión
del Riesgo. Principios y directrices”. Julio 2010.
- [3] Fernando Izquierdo Duarte. “Latinoamérica CACS – Sesión 244 Gobierno
Riesgo Cumplimiento”. Octubre 2013. PowerPoint. Slides 9,12,13 y 14. ISACA.
- [4] BOE. “Ley Orgánica 5/2010, de 22 de junio, por la que se modifica
la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 23 de junio de
2010.
- [5] Scott L Mitchell & Carole Stern Switzer. “Red Book Modelo de Capacidad GRC”. Versión 2.1. OCEG GRC Series. Se le ha
otorgado la Creative Commons Attribution-ShareAlike 3.0 Unported License
(licencia genérica de atribución por partes iguales de Creative Commons 3.0).
Se utilizan algunos fragmentos e imágenes a lo largo de este artículo, igual
que de la nueva versión 3.0.
- [6] BOE nº 77. “LO 1/2015, de 30 de marzo, por la que se modifica la
LO 10/1995, de 23 de noviembre, del Código Penal”.
LO
1/2015, modificación CP
Twittear
- Alain Casanovas. “Control Legal Interno”. Madrid 2012.
Ed. La Ley (Grupo Wolters Kluwer).
- [7] Daniel Lucien Bühr. “From
compliance programme to compliance management system: reaching the next level
of effective compliance management”. Criminal Law and Business Crime
Newsletter. Volume 7 - Number 1 - April 2014. Páginas 18 y 19. International Bar Association Legal Practice Division.
- [8] Juan Antonio Andino López. “Efectos de la vulneración del
secreto profesional del abogado en el proceso civil”. Barcelona, mayo de 2013.
Facultat de Dret - Universitat de Barcelona (UB). (Tesis Doctoral).
- Vicente Gimeno Sendra y Jordi Gimeno Beviá. “Código de buena conducta de las personas
jurídicas”. Consejo General de la Abogacía. Madrid, 18 de Abril de 2012.
(Documento).
- [9] OCDE (Organización para la Cooperación y el Desarrollo Económicos).
“Principios de Gobierno Corporativo de la OCDE”. 2004.
- [10] José Luis Colom
Planas. “Modelos
de cumplimiento legal y apreciación del riesgo”. Blog del Consejo General de la
Abogacía Española. Diciembre de 2014.
12. Control de cambios
del artículo
Siguiendo voluntariamente las disposiciones de la cláusula
7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a
los artículos de este Blog permitiendo conocer la trazabilidad de los mismos
una vez han sido publicados por primera vez. Todo ello en concordancia con el
último párrafo de la cláusula general de exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
26/08/2014
|
Redacción inicial del artículo
|
Autor
|
18/08/2015
|
Se actualiza ampliamente
el artículo como consecuencia de:
- La entrada en
vigor de la LO1/2015, de 30 de
marzo, por la que se modifica la LO10/1995,
de 23 de noviembre, del Código Penal.
- El grupo de OCEG
publica la versión 3.0 de su Modelo Integrado de GRC.
- Se publica
la Norma ISO 19600:2014, International Guideline Standard on Compliance Management
Systems.
|
Autor
|
13.
DERECHOS DE AUTOR
Imágenes
bajo licencia 123RF internacional.
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.