En estas fechas navideñas tan señaladas, además de esforzarnos, también a nivel profesional, por cerrar bien el año y disfrutar de quienes están a nuestro alrededor, es un momento muy adecuado para mirar al futuro para no cometer los errores del pasado, y empezar a planificar el camino de lo que, sin ninguna duda, sabemos que ha de hacerse.
En cualquier persona jurídica, una de estas obligaciones periódicas tiene que ver con los sistemas de Cumplimiento Normativo. Ya se ha insistido en el pasado en que un buen sistema de Compliance no se agota en la realización de una due diligence, una evaluación de riesgos y el establecimiento de un Manual de Prevención de Riesgos, aunque sean puntos de partida esenciales. Para que ese sistema sirva para algo en caso de encontrarnos en algún momento ante un potencial caso de responsabilidad del artículo 31.bis del Código Penal, debemos estar ante un sistema vivo, dinámico y que vaya cambiando con las circunstancias de la entidad. Es por ello que este es un muy buen momento para hacer un repaso de los aspectos esenciales que, año tras año, hay que ir revisando y trabajando, como mínimo, para que el Compliance de la persona jurídica pueda ser algo sustantivo y no meramente decorativo.
Revisión y actualización del mapa de riesgos
Dado que tanto la normativa aplicable a la actividad de la persona jurídica como la propia persona jurídica en su funcionamiento son cambiantes en el tiempo, es necesario estudiar anualmente si el mapa de riesgos en vigor sigue siendo relevante y preciso. Así, hay que analizar si se han producido cambios en la actividad, estructura, mercados, proveedores o clientes de la entidad, evaluar incidencias ocurridas durante el año, identificar nuevos riesgos normativos en caso de modificaciones legislativas (con su correspondiente due diligence), y documentar la revisión, aunque no haya cambios relevantes, para evidenciar el esfuerzo e interés por mantenerse al día.
Análisis de cambios normativos y regulatorios
En tiempos recientes, España se ha caracterizado por una gran producción normativa a múltiples niveles, por lo que es muy relevante revisar las novedades legislativas que afecten, directa o tangencialmente, a la organización. Es clave verificar si las políticas y procedimientos implantados siguen alineados con la normativa vigente y, en caso contrario, proponer y documentar las modificaciones necesarias.
Revisión del código ético y políticas internas
También en las regulaciones internas debe comprobarse que el contenido sigue siendo adecuado y actualizado, para lo cual es muy útil atender a la experiencia inmediata, según las circunstancias y problemas que hayan podido plantearse. También es recomendable evaluar si las políticas son claras, accesibles y conocidas por los miembros, puesto que carecerán de utilidad si no son interiorizadas por el personal. Debe revisarse su coherencia con la práctica real de la organización, ya que no es extraño encontrarse con regulaciones excesivas en algunos ámbitos, y excesivamente parcas en otros. Cualquier actualización de las versiones existentes debe aprobarse mediante los canales oportunos, y difundirse adecuadamente.
Evaluación de la eficacia de los controles
Dado que los controles de los riesgos deben ser dinámicos, individualizados y efectivos, es lógico revisar los existentes para cada riesgo relevante de manera habitual. Debe verificarse su aplicación efectiva, no solo su diseño, analizando las incidencias detectadas y los controles que hayan podido fallar. Cualquier incidencia debe ser sujeta a mejoras o controles adicionales si procede.
Revisión del canal de denuncias
Más allá de la gestión diaria del mismo, tratando con la máxima seriedad cualquier información que llegue al responsable de su gestión, cada cierto tiempo hay que verificar su accesibilidad, confidencialidad y funcionamiento técnico, para asegurar que tales pilares de la función que desempeña siguen intactos.
El estudio de la actividad canalizada a través del mismo va a ser muy valiosa, al analizar el número y tipología de comunicaciones recibidas, revisar tiempos de respuesta y gestión de los casos, evaluar la protección del informante y la trazabilidad del proceso y confirmar el cumplimiento de la normativa de protección del denunciante. Todos estos datos son claves para determinar la efectividad del sistema interno de información, y si necesita algún ajuste para servir mejor a su función.
Análisis de incumplimientos e investigaciones internas
Naturalmente, en el caso de que se hayan producido incidencias relevantes, se deben revisar las denuncias, investigaciones y auditorías internas realizadas, evaluando la adecuación de las medidas disciplinarias impuestas como consecuencia, para asegurar la corrección de todo el proceso.
A continuación, deben analizarse las causas en la raíz de los incumplimientos, para observar los posibles fallos que han permitido su producción, y de esta manera verificar la implementación de acciones correctivas.
Revisión del plan de formación del personal
La formación es parte esencial de un buen sistema de compliance, ya que es la base principal sobre la que se asienta la creación de una cultura de cumplimiento en la persona jurídica, siendo su implantación la mejor medida de reducción de riesgos. Dado que, con el tiempo, las personas de la organización pueden cambiar, y el propio contenido del sistema es dinámico, se necesita mantener al personal actualizado en los hitos esenciales del sistema, y los riesgos y particularidades inherentes a cada departamento.
De esta manera, se debe comprobar si se ha ejecutado el plan anual de formación que debe preverse en el Manual, analizando la participación y cobertura de los colectivos clave, de manera que se elimine cualquier posibilidad de desconocimiento. También se necesita evaluar la efectividad de la formación, comprobando la conciencia de su contenido entre el personal para ver si es necesario poner mayor énfasis en algún apartado en concreto, lo que se llevará a cabo mediante la actualización del plan de formación para el siguiente ejercicio.
Evaluación del órgano o responsable de compliance
Es muy difícil que exista un sistema de cumplimiento normativo efectivo sin que su responsable, unipersonal o no, tenga autonomía real en la ejecución de su misión, por lo que debe revisarse su independencia y autoridad real, y su acceso directo al órgano de dirección. Debe comprobarse la suficiencia de recursos humanos y materiales para la adecuada llevanza de su función.
Debe igualmente ser objeto de análisis la calidad y frecuencia de los informes y recomendaciones al órgano de dirección, para supervisar el efecto que han tenido y que responden a las necesidades reales de la organización, documentando conclusiones y posibles mejoras a proponer en la estructura del sistema.
Revisión de la documentación y evidencias
Un sistema de compliance se pone a prueba en el caso de que exista una situación en la que la persona jurídica pueda aparecer como responsable ante las autoridades competentes, por lo que es esencial presentar ante las mismas todas las evidencias documentales del buen hacer de la entidad para evitar tal responsabilidad.
Por ello, es muy importante llevar un registro adecuado, de manera que la documentación esté actualizada y correctamente archivada, que se pueda verificar la trazabilidad de las actuaciones del sistema y que se han revisado registros de formación, controles, denuncias y reportes. Siempre teniendo en cuenta la normativa en protección de datos, si aplica, hay que asegurarse de la adecuada conservación de potenciales evidencias durante los plazos legales.
Informe anual de compliance
Todas estas actuaciones de comprobación deben cristalizar en la elaboración de un informe anual por parte del responsable del sistema de compliance, que aborde todos los extremos ya mencionados para su presentación al órgano de dirección, junto a las correcciones que, en su caso, se sugieran.
Dicho informe debe listar las actividades realizadas durante el año, todas las incidencias relevantes y los resultados de las revisiones. El análisis ha de ser claro y riguroso, evaluando el grado de madurez del sistema, debe definir acciones de mejora recomendadas, derivadas de la revisión anual, estableciendo responsables y plazos, priorizando las acciones a adoptar según el nivel de riesgo, con un adecuado seguimiento durante el siguiente año.
Guillermo Andrés Alberola, Responsable del Área de Cumplimiento
¿Dudas sobre su caso? Escríbanos y le orientamos.
Puede ponerse en contacto con nosotros escribiéndonos a clientes@acountax.es, llamándonos de forma gratuita al 900 264 785 o rellenando el siguiente formulario de contacto que ponemos a su disposición. Le responderemos en menos de 24 horas.