martes, 26 de agosto de 2014

La responsabilidad penal corporativa, el Compliance Officer y el modelo integrado de GRC


Resumen: Los riesgos y los requerimientos actuales de cumplimiento regulatorio en la empresa son numerosos, exigentes y varían constantemente. Su ignorancia, deliberada o no, puede causar graves efectos en la organización. También, en un entorno globalizado y cada vez más competitivo, las normas de libre adscripción y marcos de mejores prácticas aportan valor a la empresa pero obligan a la entidad a implantar programas de cumplimiento para acreditar el debido control sobre todos los ámbitos. De la convergencia de todos ellos es que aparecen los Compliance Management Systems (CMS) y los Modelos integrados de Gobernance, Risk & Compliance (GRC).

 

Autor del artículo
Colaboración
José Luis Colom Planas
 
Actualizado
 
26 de agosto de 2014
 

 

ÍNDICE
1. INTRODUCCIÓN AL MODELO GRC
2. RESPONSABILIDAD PENAL CORPORATIVA
2.1. Responsabilidad del administrador
2.2. Actual reforma del Código Penal del año 2010
2.2.1. Responsabilidad de las personas jurídicas
2.2.2. Huida hacia adelante para extinguir la responsabilidad
2.3. Proyecto de Ley estimada para otoño de 2014
2.3.1. El administrador responde personalmente
2.3.2. Responsabilidad directa de la persona jurídica
2.3.3. Mecanismos de exención de responsabilidad
2.3.4. Régimen de atenuación
2.3.5. Penas por incumplimiento del debido control
3. ANALIZANDO LOS ÁMBITOS DE GRC
3.1. Introducción
3.2. Gobierno corporativo
3.3. Gestión del riesgo
3.4. Cumplimiento normativo y regulatorio
3.4.1. Generalidades
3.4.2. Compliance Management Systems (CMS)
3.5. Buscando una definición  de GRC
4. LA COMPLEJIDAD DEL ENTORNO DE CUMPLIMIENTO
4.1. Aparición de nuevos riesgos
4.2. Ambiente de negocios más inestable
4.3. Algunas responsabilidades de cumplimiento
4.4. Algunas concreciones de cumplimiento
4.5. Consecuencias del enfoque aislado sin GRC
5. REQUISITOS PARA IMPLANTAR UN MODELO GRC
6. IMPLEMENTACIÓN DE UN MODELO DE GRC
6.1. Transición al modelo
6.2. El modelo en funcionamiento
7. VENTAJAS DE IMPLANTAR UN MODELO DE CUMPLIMIENTO
8. ROLES RELACIONADOS
8.1. El Chief Compliance Officer (CCO)
8.2. El Coordinador de GRC
8.3 Sobre el secreto profesional
9. RECABADO Y CUSTODIA DE EVIDENCIAS
9.1. Sellado de tiempo o “timestamp”
9.2. Fuentes de Tiempo Seguras
9.3. Diferencia entre “sello de tiempo” y “marca de tiempo”
3. MODELO INTEGRADO DE CAPACIDAD GRC
3.1. Introducción
3.2. Desempeño basado en principios
3.3. Componentes integrados del modelo de capacidad GRC
3.4. Resultados esperados del modelo de capacidad GRC
3.5. Acciones y controles del modelo de capacidad GRC
3.5.1. Los controles proactivos
3.5.2. Los controles de detección
3.5.3. Los controles de respuesta
11. BIBLIOGRAFÍA CONSULTADA
12. DERECHOS DE AUTOR

1. INTRODUCCIÓN AL MODELO GRC

GRC es la contracción de Gobierno, Riesgo y Cumplimiento (Governance, Risk & Compliance) por sus siglas en español y en inglés.

Podemos decir que se plantea a partir de la necesidad de integración de las diferentes tareas en el Gobierno corporativo, la gestión de riesgos y el cumplimiento normativo y regulatorio en una misma organización.

Otra forma de verlo es como la mayor concienciación de las empresas en su conducta, con el fin de evitar sanciones y mantener su prestigio social, y la consecuente optimización y coordinación de las diferentes acciones y mecanismos de control.

El entorno en que se desenvuelven las empresas hoy en día es más complejo y difícil que antes. Incluso las PYMES y micro-PYMES se enfrentan a problemas que, históricamente, afectaban sólo a las grandes compañías multinacionales. Las partes interesadas, internas y externas, además de exigir un alto rendimiento  también exigen transparencia en las operaciones de la organización.

Los riesgos y requerimientos de cumplimiento actuales son numerosos, exigentes y varían constantemente pudiendo causar su ignorancia, deliberada o no, graves efectos en la entidad. Además, cómo si eso no fuera suficiente, los costes de abordarlos por separado son difíciles de evaluar. [5]

Una solución a este problema pude ser adoptar una visión que apunte hacia el desempeño basado en principios; un modelo de negocio que exija lograr objetivos de manera confiable teniendo en cuenta la incertidumbre (riesgo y beneficio); y actuar con integridad (respetando las obligaciones legales y los compromisos normativos voluntarios).

La OCDE en su documento “Los principios de Gobierno Corporativo” [9] considera que es una función determinante del Consejo de Administración el asegurar sistemas de control adecuados para la gestión de riesgos y el cumplimiento legal. En la actualidad se considera imprescindible que los administradores adopten las medidas necesarias para que sus organizaciones cumplan con las obligaciones exigidas por la normativa legal aplicable, implementando los modelos de control adecuados para ello.

2. RESPONSABILIDAD PENAL CORPORATIVA

2.1. Responsabilidad del administrador

Recordemos el artículo 31 CP que resuelve las situaciones en las que se produce una disociación entre quien actúa, el representante, y quien ostenta la cualidad que el tipo exige al sujeto activo del delito, el representado, ya se trate de una persona física o jurídica. El artículo 31 CP dispone: “El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se dan en la entidad o persona en cuyo nombre o representación obre”.

Sirva como ejemplo, para ilustrarlo, la condición de obligado tributario en una defraudación penalmente relevante del Impuesto sobre Sociedades, que, caso de no existir el artículo 31 CP, difícilmente se podría predicar del representante pues el obligado en dicho tributo no es él sino la persona jurídica.

2.2. Actual reforma del Código Penal del año 2010

2.2.1. Responsabilidad de las personas jurídicas

Desde el punto de vista del Derecho vigente, la Ley Orgánica 5/2010, de 22 de junio, [4] por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, ha introducido en el ordenamiento jurídico Español un nuevo concepto: La responsabilidad penal de las personas jurídicas.

Se añade el artículo 31 bis CP, que dispone en su número 1: “En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.

En los mismos supuestos, las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”.

Podríamos decir que distingue dos tipos de culpa de la persona jurídica: “In eligendo” al referirse a delitos cometidos por los representantes legales o administradores que ha designado la organización para que le representen e “In vigilando” tratándose de empleados sometidos a la autoridad de los anteriores, sin haberse ejercido el debido control.

Respecto este último grupo es de destacar que el concepto de “debido control”, es señalando como atenuante en el mismo artículo 31 bis CP, número 4, apartado d): “Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

En consecuencia, se ratifica la necesidad de establecer un adecuado “Programa de Cumplimiento” por parte de las empresas, pese a la ausencia de concreción en nuestra legislación actual al aludir al “debido control”, solo delimitado como el establecimiento y adopción de medidas eficaces de prevención y detección de delitos. El concepto “medidas eficaces” elude toda opción de simplemente maquillar un programa de cumplimiento en lo que se conoce, empleando terminología anglosajona, como “makeup compliance”.

2.2.2. Huida hacia adelante para extinguir la responsabilidad

Para los que se plantearan la venta, cesión o fusión de la persona jurídica imputada, únicamente con la finalidad de eludir o entorpecer la acción procesal posterior, existe el apartado 2 del artículo 130 CP que dispone: La transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal, que se trasladará a la entidad o entidades en que se transforme, quede fusionada o absorbida y se extenderá a la entidad o entidades que resulten de la escisión. El Juez o Tribunal podrá moderar el traslado de la pena a la persona jurídica en función de la proporción que la persona jurídica originariamente responsable del delito guarde con ella.

No extingue la responsabilidad penal la disolución encubierta o meramente aparente de la persona jurídica. Se considerará en todo caso que existe disolución encubierta o meramente aparente de la persona jurídica cuando se continúe su actividad económica y se mantenga la identidad sustancial de clientes, proveedores y empleados, o de la parte más relevante de todos ellos”.

 

2.3. Proyecto de Ley estimada para otoño de 2014

El Proyecto de Ley Orgánica por la que se modificaría la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal [6], analizando aquí el texto de 4 de octubre de 2013 (Congreso de los Diputados), presenta una serie de concreciones adicionales:

2.3.1. El administrador responde personalmente

Hemos visto anteriormente lo que dispone el artículo 31CP, pudiendo llegar a interpretarse, a sensu contrario, como que se pasa a considerar a los administradores de una persona jurídica como sujeto activo de cualquier delito imputable a ésta, respondiendo personalmente.

Partiremos de que, en Derecho Penal, uno no puede responder de lo que haga otro, ya que la responsabilidad penal es la consecuencia jurídica derivada de la comisión de un hecho antijurídico, por un sujeto imputable, tipificado en el Código Penal. Solo puede responderse de la propia conducta antijurídica por acción u omisión. Y esto es válido para personas físicas y jurídicas. En este caso, la empresa, y el administrador como sujeto activo,  solo será culpable de lesionar un bien jurídico de forma merecedora de pena, ocasionado por cualquier empleado, si está mal organizada para evitar un delito cometido en su estructura, es decir, que según dispone el artículo 31 bis CP no ha ejercido el debido control efectivo.

Queda demostrada así la importancia capital de ir preparando la implantación en la empresa de un completo y adecuado programa de cumplimiento.  No solo para preservar a la propia organización, sino a sus representantes y administradores de posibles imputaciones penales.

2.3.2. Responsabilidad directa de la persona jurídica

Se modifica el artículo 31 bis CP, número 1, en referencia a la responsabilidad directa de la persona jurídica por la comisión de un delito por parte de cualquier persona con capacidad de decisión o de organización y control. En consecuencia no es necesario que sea el administrador sino que puede ser cualquier Directivo, mando intermedio, etc., ya sea individualmente o de forma colegiada: “En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

Se pretende conseguir que socios y altos directivos no solo adopten políticas empresariales que persigan el logro de objetivos económicos, sino que además adopten las medidas de gobierno y gestión necesarias para la consecución de objetivos legales. En otras palabras, se trata de que la empresa se autorregule de forma que los programas de cumplimiento, códigos de conducta, programas éticos, etc.,  se erijan en instrumentos efectivos para prevenir delitos en el seno de la empresa, más que un simple maquillaje, cara al exterior, que en el fondo no proteja de nada.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.

Se continúa insistiendo en la necesidad de implantar mecanismos de supervisión, vigilancia y control en los “programas de cumplimiento”.

2.3.3. Mecanismos de exención de responsabilidad

Podríamos decir que si se han adoptado las medidas de control exigibles a la empresa, conforme a criterios razonablemente adecuados, examinados desde una perspectiva ex ante, no cabe atribuir responsabilidad penal a la persona jurídica.

El artículo 31 bis CP, en su número 2, dispone: “Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

1.ª) el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza;

El concepto “medidas idóneas” en esta 1ª condición puede interpretarse cómo que no será suficiente con la implementación de unas “medidas genéricas de vigilancia y control” sino que deben ser idóneas para cada posible naturaleza de delitos,  es de suponer que en base a su riesgo real de materialización en la estructura concreta de la persona jurídica. Como se indica en el que equivale al preámbulo del RD 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2012, de 28 de abril, de prevención de blanqueo de capitales y de la financiación del terrorismo Un enfoque orientado al riesgo que, no solamente, incrementará la eficiencia de las medidas a aplicar, sino que se presenta, igualmente como un elemento de flexibilidad de la norma, dirigida a un colectivo muy heterogéneo de sujetos”.

En relación a la exención, cuando se dice “ha adoptado y ejecutado con eficacia, antes de la comisión del delito (…)” no se refiere únicamente a haber implantado,  con un contenido  claro y ajustado a los requerimientos de la empresa,  modelos de prevención y control. Deberían existir unos requisitos de prueba que lo demuestren como puede ser la recogida de evidencias de los controles implementados, con su correspondiente timestamp o “sello de tiempo”, que deberían ser custodiadas en un repositorio específico y seguro.

2.ª) la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;

Esta 2ª condición se refiere a la necesidad de una figura, o un órgano, independientes dentro de la persona jurídica, para supervisar y controlar el modelo de prevención. A este respecto recordaré otra vez el RD 304/2014, de 5 de mayo, de PBCyFT, que en su artículo 35.2 dispone también que “los sujetos obligados establecerán un órgano de control interno responsable de la aplicación de los procedimientos de prevención del blanqueo de capitales y de la financiación del terrorismo”, con las consideraciones de ese mismo artículo 35.2 in fine.

3.ª) los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;

4.ª) no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la letra b).

2.3.4. Régimen de atenuación

Se establece un peculiar y diferenciado régimen de atenuación previsto en el número 4 del artículo 31 bis CP. Se concreta como una lista cerrada con un numerus clausus de circunstancias atenuantes. El legislador lo debe haber establecido así al ser impracticable, dada la especial naturaleza de las personas jurídicas,  aplicarles la lista general de circunstancias atenuantes que se recoge en el artículo 21 CP legislada pensando en las personas físicas. Se concretan en una circunstancia de previsión para futuros casos y otras de confesión y colaboración para la investigación del delito: “Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:

a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades.

b) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos.

c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito.

d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Vemos según el apartado d) que siempre favorece la implantación en la empresa de medidas eficaces de prevención y control, lo que es lo mismo, un programa de cumplimiento efectivo. La inversión económica que representa ese programa se justifica en que las circunstancias atenuantes son siempre carga de prueba de aquel al que favorecen, en este caso la persona jurídica. Cabe recordar que los seguros de responsabilidad civil (RC) no cubren la responsabilidad penal, ni la responsabilidad civil derivada de la comisión de un delito.

2.3.5. Penas por incumplimiento del debido control

Se introduce en el capítulo XI del título XIII del libro II una nueva sección cuarta bis, con la rúbrica “Del incumplimiento del deber de vigilancia o control en personas jurídicas y empresas”.

También un nuevo artículo 286 seis CP, con la siguiente redacción: “1. Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses, e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso, el representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, que omita la adopción de las medidas de vigilancia o control que resultan exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la diligencia debida (…).

3. ANALIZANDO LOS ÁMBITOS DE GRC

3.1. Introducción

Hemos visto que GRC es la contracción de Gobierno, Riesgo y Cumplimiento (Governance, Risk & Compliance) por sus siglas en español y en inglés y se plantea a partir de la necesidad de integración de las diferentes tareas en el Gobierno corporativo, la gestión de riesgos y el cumplimiento normativo y regulatorio en una misma organización.

3.2. Gobierno corporativo

La razón de ser de una empresa es crear valor para sus partes interesadas (stakeholders). En consecuencia, esa creación de valor será un objetivo de gobierno para cualquier empresa. La creación de valor significa lograr unos objetivos, normalmente concretados en obtener beneficios, a un coste óptimo de recursos, mientras se minimiza el riesgo. Como las empresas suelen tener diferentes partes interesadas, el gobierno trata sobre negociación y conciliación entre ellas en lo referente a las diferentes percepciones en el valor. El sistema de gobierno debería así tener en cuenta a todas las partes interesadas cuando se tomen decisiones relacionadas con la evaluación de beneficios, riesgos y recursos. Las necesidades de las partes interesadas tienen que transformarse en estrategia corporativa practicable y consensuada. [1]

Gobernar es asegurar unos objetivos, en base a la estrategia empresarial acordada, a partir de la administración de unos recursos determinados y manteniendo el riesgo a niveles aceptables.

3.3. Gestión del riesgo

Cada vez más, ya sea en marcos legales de obligado cumplimiento o en normativas de libre adscripción representadas mediante estándares y mejores prácticas internacionales, el “riesgo” a que se presenten circunstancias adversas que impliquen un impacto en el objeto protegido por la norma será sustantivo para poder determinar qué medidas deberían aplicarse (ya sean jurídicas, organizativas o técnicas) para mitigarlo a niveles aceptables para la organización en base a su “apetito de riesgo” acordado.

El riesgo empresarial es la probabilidad de que se materialice, por causas internas o externas,  alguna amenaza aprovechando cualquier vulnerabilidad en la estructura de la organización que provoque cierto impacto, directo o indirecto, en la consecución de los objetivos fijados.

Como se cita en la introducción de la norma UNE-ISO 31000:2010 Gestión del Riesgo. Principios y directrices: [2] “Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas que hacen incierto saber si y cuando conseguirán sus objetivos. La incidencia que esta incertidumbre tiene sobre la consecución de los objetivos de una organización constituye el “riesgo”.

Todas las actividades de una organización implican riesgos. Las organizaciones gestionan el riesgo identificándolo, analizándolo y evaluando después si el riesgo se debería modificar mediante un tratamiento que satisfaga sus criterios de riesgo. A lo largo de todo este proceso, las organizaciones comunican y consultan a las partes interesadas, realizan seguimiento y revisan el riesgo y los controles que lo modifican para asegurar que no es necesario un tratamiento adicional del riesgo”.

3.4. Cumplimiento normativo y regulatorio

3.4.1. Generalidades

El cumplimiento normativo y regulatorio es el que persigue en una organización el aseguramiento de que sus empleados y accionistas se adhieran y actúen de conformidad a las reglas adoptadas por el negocio y los requerimientos legales.

Debe contemplarse desde el punto de vista jurídico y organizativo. La razón es la habitual convergencia, en una misma organización, de  diferentes obligaciones corporativas sabiendo que sus fuentes pueden ser diversas. Pueden incluir las que nacen de la Ley, las que surgen de los diferentes contratos suscritos, normativas sectoriales o normas auto-impuestas:
 
  • Normas de adscripción voluntaria (como pueden ser las normas internacionales ISO, normas sectoriales…).
  • Regulación de obligado cumplimiento según la legislación aplicable (en España el CP, LOPD, LPBCyFT…).

Como hemos visto, la introducción de la responsabilidad penal de las empresas por la LO 5/2010, de 22 de junio, viene a corroborar las tesis de este artículo. En consecuencia, se ratifica la necesidad de establecer un adecuado “Programa de Cumplimiento” por parte de las empresas que acredite “debido control”, estableciendo y adoptando medidas de prevención y detección de delitos. Estas medidas de carácter general deberán aplicarse siempre sin menoscabo de las medidas específicas que pudieran concurrir como consecuencia de ser considerada la persona jurídica “sujeto obligado” por otra Ley, como puede ser la LPBCyFT.

3.4.2. Compliance Management Systems (CMS)

Un paso más allá de establecer un Programa de Cumplimiento es llevarlo a constituir un completo Sistema de Gestión del Cumplimiento (CMS – Compliance Management System – por sus siglas en inglés). [7]

Después de varios estándares nacionales, entre ellos el Australian Standard AS3806:2008, se está desarrollando la Norma ISO/DIS 19600 - International Guideline Standard on Compliance Management Systems. Ha estado publicado el borrador para la recepción de comentarios hasta el 21 de abril 2104.

El objeto de las normas standard para CMS es proporcionar directrices o requisitos mínimos para todas las organizaciones, públicas y privadas, para diseñar, implementar, mantener y mejorar sistemas eficaces de gestión de cumplimiento.
 


Una comparación de estas normas en esencia muestra que hay poca diferencia con respecto a los principios de gobierno del cumplimiento, la organización y los procesos de un CMS efectivo. Por ejemplo, el gobierno del cumplimiento como norma incluye funciones de acceso directo de la función de cumplimiento al Consejo de Administración, su independencia de la dirección operativa de la compañía, autoridad organizativa adecuada y disponer de  los recursos necesarios.

Adoptar un CMS, basado por ejemplo en la estructura de la Norma ISO/DIS 19600, es una buena forma de preparar la integración con otras Normas ISO de la empresa y facilitar la transición del cumplimiento hacia un modelo global de GRC.

Las nuevas Normas ISO están basadas en el Anexo SL, por lo que disponen de una estructura homogénea que les permite integrarse entre ellas. Este Anexo SL se aplicará a todas las normas que vayan apareciendo nuevas y, paulatinamente, a todas las actualizaciones de las existentes.

NOTA DEL EDITOR: Para profundizar en las implicaciones en las Normas ISO, tras la aparición del Anexo SL, puede consultarse: Integrar diferentes Normas ISO gracias al Anexo SL en este mismo blog.

Basándome en esa estructura, muestro a continuación una tabla provisional con las diferentes cláusulas de la Norma ISO/DIS 19600.

Estructura de alto nivel para ISO MSS
Guía sobre cumplimiento en la norma ISO/DIS 19600
Contexto de la organización
- Análisis del entorno en el que opera la organización (contexto, problemática, partes interesadas ​​y sus requerimientos, necesidades y expectativas).
- Ámbito de aplicación del sistema de gestión del Cumplimiento.
- Identificación de las obligaciones de cumplimiento.
- Evaluación de los riesgos de cumplimiento
Liderazgo
- Política, compromiso, liderar con el ejemplo.
- Roles, responsabilidades y autoridades con respecto al cumplimiento, para el Consejo de Administración, la Alta Dirección y Dirección operativa, los empleados y un Compliance Officer independiente.
Planificación
 - Planificación de las medidas para controlar los riesgos de cumplimiento.
- Establecimiento de objetivos de cumplimiento.
Soporte
- Concienciación, competencia y capacitación en el cumplimiento.
- Comportamiento y cultura.
- Comunicación y documentación.
Operación
- Implementación de controles para el cumplimiento (técnicos, procedimentales, dirigiendo la actitud y el comportamiento del personal).
Evaluación del desempeño
- Monitorización del cumplimiento. Aplicación de indicadores.
- Análisis de la información (interna y externa) y  comunicación de los resultados.
- Auditoría interna y revisión por la Dirección.
Mejora
- Acciones sobre el incumplimiento de los requisitos y el escalado a los niveles de Alta Dirección cuando sea necesario.
- Acción correctiva.
- Actividades de mejora.

 

3.5. Buscando una definición  de GRC

Podemos definir GRC como la capacidad que tiene la organización de lograr unos objetivos, administrando los recursos, en base a la estrategia acordada [GOBIERNO], gestionando el riesgo dentro de niveles aceptables [RIESGO] y respetando las obligaciones regulatorias y los compromisos normativos voluntarios [CUMPLIMIENTO]. [3]

En consecuencia se pretende alcanzar la seguridad razonable de lograr los objetivos mediante el compromiso de llevarse a cabo las acciones necesarias, para alcanzar conformidad con los requerimientos de cumplimiento establecidos (internos y externos), teniendo en cuenta el riesgo.

Es una realidad el que las regulaciones globales y locales están creciendo en volumen, en frecuencia de las revisiones o reformas legislativas y en complejidad. Como resultado, la exigencia de responsabilidad legal a los Consejos de Administración, y a otros órganos de gobierno corporativo, y directamente a los Directivos, se ha intensificado.  Sin olvidar que la contención de los costes asociados a la gestión del riesgo y cumplimiento continúa siendo un reto para los Directores Financieros (CFO) que les obliga a velar para que no se produzca una redundancia de esfuerzos en esas áreas.
 

4. LA COMPLEJIDAD DEL ENTORNO DE CUMPLIMIENTO

La transición en la que nos encontramos inmersos desde la era industrial a la era de la información y últimamente a la era del conocimiento, implica una serie de cambios que llevan aparejados:
 
  • La aparición de nuevos riesgos
  • Un ambiente de negocios más inestable
  • La aparición de responsabilidades de cumplimiento
  • Las ineludible concreción de esas responsabilidades
  • La conveniencia de instaurar un modelo GRC

4.1. Aparición de nuevos riesgos
 
  • Redes sociales con sus riesgos potenciales en la privacidad y en la reputación de las organizaciones. Todo dentro de un modelo de propagación viral.
  • Riesgos generados por la globalización de los mercados, de la información y de los estándares.
  • Riesgos relacionados con la diferencia de valores de las personas del siglo XXI con las del siglo anterior.
  • Riesgos asociados a Internet y la ciberdelincuencia.
  • Riesgos consecuencia de las nuevas tecnologías emergentes (Cloud Computing, Big Data, IoT…) y la escasa experiencia en su control.
  • Riesgos de contagio entre los mercados.
  • Riesgos relacionados con los socios de negocios (Third-parties), y cumplimiento de acuerdos contractuales, en un entorno cada vez más externalizado.
  • Etc.

4.2. Ambiente de negocios más inestable
 
  • Alta velocidad del mercado (TTM – “time to market” más corto; LC – “Lifecycle” menos duradero…).
  • Mayor complejidad en todos los ámbitos.
  • Nuevas estrategias más agresivas por parte de los competidores que se traducen en presiones dentro de la organización.
  • Mayor gradiente de obsolescencia en los modelos de negocio.
  • Necesidad de innovación permanente para poder contrarrestar las desbordantes ofertas, habitualmente desde otros países,  que compiten únicamente por precio.
  • Necesidad de formación continuada y de valor, o disponer de asesoramiento externo experto en múltiples ámbitos, debido al entorno cambiante.
  • Aumento de la regulación, y la consecuente presión por parte de las autoridades de control y la propia sociedad, donde la empresa interactúa. Efecto multiplicador si la organización opera en sectores regulados o en mercados internacionales con diferentes legislaciones y normativa aplicable que posiblemente no está armonizada.
  • Etc.

 

            Factores que han propiciado la aparición de GRC

4.3. Algunas responsabilidades de cumplimiento
 
  • Gestión de Riesgos
  • Prevención del fraude
  • Prevención de responsabilidad penal corporativa
  • Prevención de sanciones administrativa
  • Compromisos legales como sujeto obligado
  • Seguridad de la información
  • Certificaciones exigidas por proveedores
  • Privacidad y protección de datos personales
  • Seguridad física de personas e instalaciones
  • Continuidad del negocio
  • Etc.

4.4. Algunas concreciones de cumplimiento
 
  • Requerimientos legales generales. Por ejemplo: CP (LO 10/1995, de  23 de noviembre - reformada por la LO 5/2010, de 22 de junio); (LOPD y su reglamento (LO 15/1999, de 13 de diciembre – RD 1720/2007, de 21 de diciembre); LSSI-CE (LEY 34/2002, de 11 de julio)…
  • Requerimientos legales sectoriales. Por ejemplo: LPBCyFT y su reglamento, para sujetos obligados (LEY 10/2010, de 28 de abril – RD 304/2014, de 5 de mayo); Sanidad (LAP - Ley 41/2002, de 14 de noviembre; LGSP – Ley 33/2011, de 4 de octubre, etc.)…
  • Otros requerimientos sectoriales. Por ejemplo: Certificación GMP (laboratorios de cosmética); PCI-DSS (Tarjetas de crédito)…
  • Estándares o mejores prácticas externas. Por ejemplo: ISO 38500 (Gobierno); ISO 31000 (Riesgo); COSO; ISO 27001 (Seguridad de la información); ISO 22301 (Continuidad del negocio); COBIT; ISO 20000 (Gestión de servicios); ITIL…
  • Prácticas internas. Por ejemplo: Políticas promulgadas por los órganos de gobierno; Procedimientos definidos por los órganos de gestión; Plan de auditorías y control…
  • Interacción con terceros. Por ejemplo: Proveedores, prestadores de servicios, asesores y expertos externos; Autoridades de inspección y control (En España la AEPD, SEPBLAC, etc.)…

4.5. Consecuencias del enfoque aislado sin GRC

La falta de integración y coordinación entre las diferentes áreas de cumplimiento y gestión de riesgos hace aflorar los problemas propios de la fragmentación empresarial en silos inconexos:
 
  • Adopción, por parte de las áreas funcionales, de criterios o enfoques diferentes que en ocasiones pueden ser opuestos.
  • Esa falta de criterio corporativo desaprovecha las sinergias y, habitualmente, las mejores prácticas internas ya que las diferentes áreas funcionales pueden utilizar diferentes procesos y herramientas para efectuar tratamientos equivalentes.
  • Duplicación de esfuerzos con una carga superflua para determinadas áreas funcionales, o desempeños individuales, habitualmente faltos de recursos.
  • Falta de estandarización de estas actividades a nivel corporativo.
  • Ausencia de colaboración entre áreas funcionales y personal asignado.
  • Inconsistencia en criterios, métricas e indicadores, dificultando un análisis predictivo global.
  • Se encuentra a faltar una visión de conjunto para la toma de decisiones de gobierno.
  • Esfuerzos de cumplimiento regulatorio aislados, reactivos y sin valor añadido para el conjunto de la organización.
  • Como consecuencia de la duplicidad de esfuerzos, aumentan los costes para el cumplimiento global corporativo.

5. REQUISITOS PARA IMPLANTAR UN MODELO GRC

Un modelo GRC pretende la unificación de criterios  coordinando esfuerzos y la colaboración entre los diferentes involucrados en la dirección de la organización  mediante:
 
  • El apoyo unánime de la Alta Dirección y los órganos de gobierno.
  • Medios adecuados (Asignación de los recursos necesarios al modelo).
  • Estructura organizativa bien definida.
  • Acceso a la información empresarial y a todas las funciones y procesos.
  • La integración de los órganos/responsables del gobierno, la gestión de riesgos, el control interno y el cumplimiento normativo y regulatorio.
  • La asignación de roles, responsabilidades y autoridades del personal clave.
  • Establecimiento de un plan de formación para todo el personal.
  • La formalización de adecuados canales de comunicación.
  • La aplicación generalizada de un enfoque basado en riesgos, diseñando, implementando y manteniendo un programa eficaz.
  • La implementación global de un programa de cumplimiento corporativo.



6. IMPLEMENTACIÓN DE UN MODELO DE GRC

6.1. Transición al modelo

Para adoptar un proyecto de implantación de un modelo de GRC deben considerarse, adaptadas a la realidad de la organización, unas cuantas fases. Por ejemplo, podemos definir estas nueve:
 
  • Definir los objetivos y el alcance: En esta primera fase se consensuarán los objetivos deseados, y una primera definición del alcance, para el  modelo de GRC en la organización.
  • Estudiar la normativa aplicable: Regulaciones internacionales, nacionales y locales que le afecten como empresa, por ser sujeto obligado, mercados regulados, normativas sectoriales, específicas, de libre adscripción, frameworks adoptados, códigos de conducta existentes, códigos deontológicos que obligan a determinado personal, mejores prácticas adoptadas…
  • Análisis de riesgos: Se evaluará un completo mapa de riesgos, en base al alcance previamente determinado. Las mejores prácticas consisten en efectuar un inventario previo de los bloques normativos que aplican a la organización [alineados con los objetivos de cumplimiento del primer punto], para luego identificar las conductas de riesgo asociadas a cada uno de ellos (Que impliquen la responsabilidad penal de la persona jurídica, que ocasionen daños de reputación, que comprometan la seguridad de la información, que atenten a la continuidad del negocio, que violen la privacidad…).
  • Diagnóstico de la situación actual: En esta fase se evaluará el grado de madurez actual de la organización, dentro del alcance definido, por ejemplo respecto de los ocho componentes definidos por la OCEG en su modelo [el modelo se extracta al final de este artículo], y de las medidas ya implantadas. A partir del grado de madurez actual y de los objetivos específicos de la empresa, se obtendrá el grado de madurez deseado que determinará el GAP inicial.
  • Planificación: En la fase de planificación, se determinarán las actuaciones necesarias para llevar a la empresa al nivel de madurez deseado. Contando con los órganos de gobierno y el equipo directivo se elaborará el Plan Rector, creándose las estructuras organizativas necesarias y asignándose roles, responsabilidades y autoridad para llevarlo a cabo.
  • Desarrollo del plan: Se diseñará con detalle el modelo de GRC y se elaborarán los programas de cumplimiento, Concreción y promulgación de las políticas necesarias [ex novo o adaptando alguna de las existentes] empezando por las fundamentales [Éticas o de conducta empresarial] y vertebrando después hacia las demás políticas [ya más concretas], un sistema efectivo de controles de cumplimiento y reporte que garantice la aplicación práctica de las políticas, canales de comunicación y whistleblowers, los protocolos de actuación por evidencias o por indicios,  confección de códigos éticos o de buena conducta, procesos de due diligence, concretar el plan de formación e información periódica a trabajadores y directivos, desarrollar el plan de auditorías
  • Implantación y formación: Durante la implantación del modelo de GRC, deben realizarse talleres y reuniones con el equipo directivo, con quienes han de implementar y verificar los controles, con los auditores, con todo el personal de la empresa…  para que vayan conociendo y asumiendo el modelo, así como concienciándose del valor del mismo para la organización y todas sus partes interesadas.
  • Monitorización y evaluación: Después de haber implementado el modelo GRC es capital el seguimiento del desempeño, mediante protocolos y procedimientos que aseguren la eficacia del propio modelo. Se evaluarán los controles periódicamente en base a auditorías que permitan evidenciar el diferencial entre lo establecido y lo realmente  llevado a la práctica y, si es posible, mediante monitorización. Se analizarán los fallos de cumplimiento para sacar conclusiones y poder así rectificar esa situación. Se mantendrá informado al consejo de administración.
  • Mejora continua: Debe contemplarse un proceso de actualización permanente en función de: Lo aprendido de la experiencia con el propio modelo, los cambios en la empresa (internos), en el entorno en que opera y la normativa y regulación que le es aplicable (externos). El modelo de GRC debe ser algo vivo o pierde su valor.

6.2. El modelo en funcionamiento

Un modelo de GRC ya instaurado y en pleno funcionamiento debe contemplar en primer lugar los medios necesarios para la prevención. No hace falta mencionar las ventajas de evitar un ilícito frente  a tener que afrontar las responsabilidades y penas derivadas del mismo.

Caso de que no hayan funcionado con la debida eficacia esas medidas de prevención, el modelo debe contemplar controles adecuados de detección.

Una vez evidenciado el ilícito deberá actuarse con un plan de respuesta, con las acciones necesarias para su remediación, y con su correspondiente seguimiento.
 


El proceso debe ser cíclico de forma que se base en la mejora continuada a partir de la propia ejecución del modelo.

 

7. VENTAJAS DE IMPLANTAR UN MODELO DE CUMPLIMIENTO

El diseño e implantación de un sistema de control efectivo, tiene una serie de ventajas para la empresa:
 
  • Permite prevenir las infracciones ya que la implantación de controles efectivos actuarán como elemento disuasorio frente a la comisión de ilícitos. Si a pesar de todas estas medidas el hecho antijurídico se produjera, sería más fácil detectarlo o contenerlo.
  • Otorga beneficios indirectos al negocio, ya que representa un mayor control sobre la empresa. Muchas medidas pueden utilizarse adicionalmente como un sistema de captar información de interés sobre la marcha de los procesos de negocio o para rediseñar circuitos de información obsoletos.
  • Logra evitar sanciones al haber cada vez más normativa que obliga a los sujetos obligados a implantar medidas de control. El mero hecho de no hacerlo puede suponer importantes sanciones administrativas, con independencia de las exenciones penales para la persona jurídica, que ya hemos visto, que le proporcionan unas medidas de vigilancia y control efectivo.
  • Mantiene el prestigio al ayudar a preservar la reputación ya que el poder demostrar que se posee un estricto sistema de verificación y control, en época de corrupción y escándalos, implica un valor añadido para la empresa en relación a clientes, proveedores, entidades financieras… que absorbe parte del presupuesto de la inversión necesaria. A sensu contrario permitir un daño reputacional debido a un escándalo, que con medidas de control efectivo se hubiera podido evitar, en un mundo cada vez más interconectado socialmente, a través de Internet, es una auténtica temeridad.

8. ROLES RELACIONADOS

Ambos roles que presento a continuación podrían recaer en la misma persona en función del tamaño y de los los requerimientos de la organización, de las competencias del sujeto que ostentará los roles, o incluso llegar a ser externalizados en un tercero en calidad de experto externo si la legislación lo permite.

8.1. El Chief Compliance Officer (CCO)

El rol de oficial jefe de cumplimiento corporativo (CCO) hay quién lo contempla únicamente desde la óptica de focalizar en la prevención y detección de delitos penales de la persona jurídica.

No es del todo mi particular parecer ya que existen otros incumplimientos regulatorios en el marco de la empresa que no necesariamente implican, en casos concretos, una ratio legis de tipo penal y, en consecuencia, inicialmente no se usará esa vía. Algunos de ellos, por ejemplo, pueden sancionarse administrativamente o por la vía civil obligando al resarcimiento de los daños causados e ineludiblemente también requieren o se beneficiarían de un programa de control efectivo sujeto a coordinación y supervisión.

Lo ilustraré diciendo que amplia legislación, de aplicación habitual en la empresa, puede llegar a tener su correspondencia en el CP aunque su incumplimiento, como se sabe,  no implica necesariamente la apertura de un proceso por la vía penal (vid. Procedimiento administrativo sancionador por infracciones leves en LPBCyFT).

 
 
Legislación  específica
 
Artículos relacionados del CP
 
Protección de Datos Personales
 
LOPD    (LO 15/1999)
RLOPD (RD 1720/2007)
 
197 CP
Descubrimiento y revelación de secretos.
 
Blanqueo de Capitales
 
LPBCyFT    (Ley 10/2010)
RLPBCyFT (RD 304/2014)
 
301 a 303 CP
De la receptación y el Blanqueo de Capitales
 
Propiedad Intelectual
 
LPI (RD Legislativo 1/1996)
 
270 CP
De los delitos relativos a la Propiedad Intelectual

Ejemplo de otros ámbitos legislativos habituales en la empresa

En lo que solemos estar todos de acuerdo es en que se trata de un perfil eminentemente jurídico, conocedor del Derecho Penal y otras especialidades, como las citadas anteriormente, aunque yo le añadiría  conocimientos multidisciplinares como pueden ser organizativos, financieros, técnicos…, según el caso. Esto es así porque debe conocer, no solo la regulación nacional y local de los países en los que está presente la empresa, sino saber con detalle cómo opera ésta y el sector donde se desenvuelve, regulado o no, para determinar con la mayor precisión dónde enfocar sus esfuerzos.

Debe tener una mentalidad analítica. Cuando se produce un fallo de cumplimiento dentro de la empresa, el CCO debe auditar mirando de cerca, de forma detallada, lo que ocurrió y su por qué.  Involucrará, de ser necesario, a especialistas de las diferentes áreas funcionales para comprender mejor lo acaecido y evitar que pueda pasarse por alto algún indicio. Deberá velar por la cadena de custodia de las posibles pruebas obtenidas caso de descubrir algún ilícito.

El CCO debe considerarse por la empresa como un garante de cumplimiento. Para ello podrá actuar solo o dirigiendo un órgano colegiado de control interno, en función del tamaño, complejidad y jurisdicciones dónde actúa la empresa, aplicando siempre el principio de proporcionalidad.  En cualquier caso deberá quedar garantizada su independencia.

Sobre el oficial jefe de cumplimiento recae una gran responsabilidad, especialmente desde la óptica penal, dado su perfil de “experto conocedor” e independencia de actuar.

Debe tenerse en cuenta que la asignación del deber específico de supervisión actúa como una delegación del deber de control, que corresponde a los administradores de la empresa, y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito. Podría llegar a contemplarse la intervención delictiva del CCO pudiendo imputársele comisión por tolerancia dolosa (complicidad) o por omisión imprudente.

Podría impugnarse la aplicación del principio "in dubio pro reo" sobre los posibles hechos delictivos, apoyándose en un supuesto de ignorancia deliberada, en base a los conocimientos y competencias especializados del sujeto en el ámbito del delito a considerar. Es indudable que el CCO los tiene o debería tenerlos.

De ahí que sea muy importante, en su desempeño profesional, el mantener rigurosamente documentado:
 
  • Prueba de un análisis continuado de riesgos.
  • Prueba de la existencia de controles en base a los análisis anterior.
  • Prueba de la eficacia de esos controles para mitigar los riesgos.
  • Recabado de evidencias, si puede ser con timestamp o sellado de tiempo y garantía de integridad, garantizando su autenticidad y el memento en que se obtuvieron.
  • Custodia de las evidencias en un repositorio seguro.

8.2. El Coordinador de GRC

Es un perfil de espectro mucho más amplio que el del CCO. Su perfil será simultáneamente Jurídico, organizativo y técnico y deberá disponer de un amplio abanico de competencias multidisciplinares. No importa desde donde se acceda a este rol puesto que el conocimiento requerido, dentro de su desempeño, deberá ser global.

Pensemos que no solo coordinará el cumplimiento legal, sino también el cumplimiento normativo de adscripción voluntaria (por ejemplo las posibles normas ISO). Coordinará también el análisis y gestión de riesgos en diferentes ámbitos de la empresa, intervendrá en los planes de auditoría, interactuará con RR.HH. buscando la “Collective Action”, etc.
 


Conocer las singularidades legales de todas las áreas funcionales, y unidades de negocio en la organización, no sólo le proporcionará un valioso conocimiento de la estructura operativa de la organización sino que le permitirá, también, conocer detalladamente los riesgos legales que les afectan. El rol de  coordinador de GRC tiene una clara dimensión corporativa ya que para desarrollar su eficaz desempeño es necesario que conozca bien e interactúe con la totalidad de áreas funcionales y unidades de negocio.

Debe cumplir una serie de requisitos inherentes a su desempeño profesional:
 
  • Perfil jurídico/organizativo/técnico. Por la naturaleza de su trabajo debe conocer la legislación aplicable al ámbito de la empresa (no solo la penal) así como la posible normativa de adscripción voluntaria y estándares adoptados por la empresa.
  • Proactivo más que reactivo. Significa dotar al coordinador de GRC de legitimidad para actuar de forma autónoma frente a las áreas funciones y unidades de negocio, de modo que no precise ser requerido para focalizar hacia dichos ámbitos y poder desarrollar así sus funciones de prevención de ilícitos y/o de no-conformidades en relación a la regulación y las normas voluntarias respectivamente.
  • Visión circular (360º). Debe saber mirar desde perspectivas diferentes. Los coordinadores de GRC deben ver las situaciones y propuestas no solo desde el punto de vista del área funcional corporativa que propone o actúa, también desde el punto de vista del cliente, del regulador, del auditor externo, de las autoridades de control y agencias gubernamentales…
  • Basarse en evidencias. El coordinador de GRC debe buscar evidencias de todo. Sabemos que las suposiciones deben quedar al margen del ámbito jurídico ya que solo es probatorio lo que puede demostrarse. Una cosa es lo que dispongan las políticas promulgadas por los órganos de gobierno, o detallen los procedimientos operativos redactados por los órganos de gestión, y otra lo que ocurre en realidad.

8.3 Sobre el secreto profesional

El secreto profesional de los abogados de empresa [8] es un tema polémico tras la Sentencia del Tribunal de Justicia de las Comunidades Europeas de 14 de septiembre de 2010 (TJCE 2010/275), asunto Azko Nobel Chemicals Ltd. Y Arkros Chemicals Ltd., que niega al abogado el secreto profesional por el asesoramiento legal que haya podido prestar a la empresa básicamente porque indica que el abogado interno carece de independencia para asesorar a la empresa. Por ello, todas las comunicaciones que haya enviado a su empresa en el desempeño de sus funciones, como asesor legal, no estarán amparadas por el secreto profesional.

NOTA DEL EDITOR: La denominación del Tribunal de Justicia de la Unión Europea (TJUE) hasta la entrada en vigor  del Tratado de Lisboa, el 1 de diciembre de 2009, era la de Tribunal de Justicia de las Comunidades Europeas (TJCE).

Anteriormente, en la Sentencia del TJCE, de 18 de mayo de 1982, en el asunto 155/79, AM & S Europe Limited, se falla desestimando el recurso demandante:

“21 Más allá de estas diversidades, los Derechos internos de los Estados miembros revelan, no obstante, la existencia de criterios comunes, por cuanto protegen, en condiciones similares, la confidencialidad de la correspondencia entre los Abogados y sus clientes, siempre que, por un lado, se trate de la correspondencia mantenida en el marco y en interés de los derechos de defensa del cliente y, por otro lado, se trate de Abogados independientes, es decir, no vinculados a su cliente mediante una relación laboral”.

En aras de la imparcialidad diré que el Ilustre Colegio de Abogados de Madrid (ICAM) manifestó en su momento que la Sentencia no aprecia en toda su dimensión la capacidad real que tienen las empresas para dotarse internamente de medidas, procedimientos y garantías que salvaguarden la independencia de sus abogados internos.

Previas a la sentencia, las conclusiones de la Abogada General Julianne Kokott, de 29 de abril de 2010, manifiestan que “Existe el riesgo real de que los abogados internos, en su afán por obedecer al empresario, den de motu propio al asesoramiento legal el contenido que complazca al empresario. (…) En cambio, en principio el abogado externo dispone de varios clientes, con lo que sí existe una discrepancia, dispone de la libertad suficiente para renunciar por iniciativa propia a la propia representación del cliente y así mantener su independencia”

Para acabar, y en relación al Derecho vigente en España, recordaré el artículo 23 de la LPBCyFT (Ley 10/2010, de 28 de abril, de Prevención de Blanqueo de Capitales y Financiación del Terrorismo), que establece: Exención de responsabilidad. La comunicación de buena fe de información a las autoridades competentes con arreglo a la presente Ley por los sujetos obligados o, excepcionalmente, por sus directivos o empleados, no constituirá violación de las restricciones sobre divulgación de información impuestas por vía contractual o por cualquier disposición legal, reglamentaria o administrativa, y no implicará para los sujetos obligados, sus directivos o empleados ningún tipo de responsabilidad”.

El abogado no está sometido a las obligaciones contenidas en los artículos 7.3,18 y 21 de la LPBCyFT respecto a la información que reciban de sus clientes que se utilice para la defensa del cliente en el marco de un procedimiento judicial, resultando acorde y encaja con la normativa sobre secreto profesional. El artículo 22 de la LPBCyFT establece lo siguiente: No sujeción. Los abogados no estarán sometidos a las obligaciones establecidas en los artículos 7.3, 18 y 21 con respecto a la información que reciban de uno de sus clientes u obtengan sobre él al determinar la posición jurídica en favor de su cliente o desempeñar su misión de defender a dicho cliente en procesos judiciales o en relación con ellos, incluido el asesoramiento sobre la incoación o la forma de evitar un proceso, independientemente de si han recibido u obtenido dicha información antes, durante o después de tales procesos”.

Sin perjuicio de lo establecido en la presente Ley, los abogados guardarán el deber de secreto profesional de conformidad con la legislación vigente”.

La conclusión inmediata que se desprende es que si el Compliance Officer o el Coordinador de GRC forman parte de la plantilla de la empresa dejan de estar protegidos, pese a que fueren abogados y como norma general, por el secreto profesional. En cuanto a la Ley de PBCyFT ni tan siquiera así, salvo que se limiten a asesorar a su cliente en relación a un posible proceso judicial, algo que podría ocurrir con un asesor legal externo, pero no con un Compliance Officer o un Coordinador de GRC que, por su desempeño y funciones asignadas al rol, no se limita a ese único menester.

9. RECABADO Y CUSTODIA DE EVIDENCIAS

Para el recabado y la inmediata custodia en repositorios seguros de las evidencias en forma de documentos, en formato electrónico, que se considere ir obteniendo y conservando procedentes de informes, controles, notificaciones, eventos…, será imprescindible recurrir a algún método que acredite el preciso instante en que se obtuvo y garantice su integridad.

9.1. Sellado de tiempo o “timestamp”

El sellado de tiempo es un método que permite probar que un documento electrónico existe a partir de un momento determinado y que no ha sido modificado (conserva su integridad) desde entonces. El sellado de tiempo proporciona, como valor añadido a la utilización de la firma digital,  información acerca del momento de creación de la firma mediante una marca de tiempo proporcionada por una tercera parte de confianza.

El sellado de tiempo está definido en el standard RFC-3161 y recogido en la Norma ISO-18014-1:2008, -2 y -3.

9.2. Fuentes de Tiempo Seguras

Para poder asociar los documentos electrónicos con un instante de tiempo determinado es necesario utilizar una Autoridad de Sellado de Tiempo (TSA – Time Stamp Authority, por sus siglas en inglés) como tercera parte de confianza. Dicho instante será obtenido por parte del TSA de una fuente de tiempo segura, como puede ser la del Real Observatorio de la Armada que proporciona la base de la hora legal en todo el territorio nacional español según el RD 1308/1992, de  23 octubre, por el que se declara al Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del Patrón Nacional del Tiempo y laboratorio asociado al Centro Español de Metrología.

Actúan como TSA la Fábrica Nacional de Moneda y Timbre (FNMT) y otros muchos facilitadores.

9.3. Diferencia entre “sello de tiempo” y “marca de tiempo”

En el "sello de tiempo" la asignación de la referencia temporal se realiza por un tercero de confianza, independiente y ajeno al procedimiento o documento concreto, mediante un proceso de firma electrónica verificable que asegura la exactitud e integridad de la referencia. Asimismo, el sello de tiempo garantiza fehacientemente que una serie de datos, preparados por el solicitante del sello, han existido y no han sido modificados desde un momento determinado.

En cambio, la “marca de tiempo” es la asignación por medios electrónicos de la fecha y hora a un documento electrónico. No garantiza necesariamente la integridad del documento. Normalmente es la propia empresa interesada la que debe generar la referencia temporal. La marca de tiempo puede ser generada por cualquier aplicación y no tiene por qué ser menos precisa que un sello de tiempo. Habitualmente la referencia temporal se obtiene a través de la fecha y hora de un servidor informático que esté sincronizado mediante el protocolo Network Time Protocol (NTP) con una fuente de tiempo fiable y precisa.

3. MODELO INTEGRADO DE CAPACIDAD GRC

3.1. Introducción

En 2008 el Open Compliance and Ethics Group (OCEG) definió un marco de referencia para la integración del Gobierno Corporativo, la Gestión de Riesgos y el Cumplimiento Regulatorio.

Su publicación “GRC Capability Model” define un marco para el diseño, desarrollo, implementación y seguimiento de un modelo de GRC.

Debido a su popularidad he creído oportuno exponer, de forma abreviada, ese modelo concreto en este artículo.

3.2. Desempeño basado en principios

El desempeño basado en principios se logra integrando y organizando áreas o funcionalidades que, en muchas entidades, se encuentran fragmentadas y aisladas, como por ejemplo:
 
  • El gobierno corporativo
  • La gestión del desempeño
  • La gestión de riesgos
  • El control interno
  • El cumplimiento normativo y regulatorio
  • La auditoría

Aunque todas estas funciones, que aportan al Desempeño Basado en Principios, son más de tres, tiende a generalizarse el uso de las siglas GRC (Gobierno, Riesgo y Cumplimiento) para abreviar el conjunto.

En algunas empresas, estas funcionalidades se manejan en múltiples departamentos diferentes y existe, de haberla, poca comunicación de carácter transversal. En algunas organizaciones estas actividades no se administran en absoluto y, literalmente, no son gobernadas usando técnicas actuales de mejora de procesos de negocio. [5]


 

3.3. Componentes integrados del modelo de capacidad GRC
 
  • CONTEXTO (C). Comprender la cultura y contexto actual del negocio para que la organización pueda abordar e influir, de manera proactiva, en las condiciones para apoyar los objetivos.
  • ORGANIZAR (O). Organizar y supervisar capacidades integradas que le permite a la entidad lograr, de manera confiable, sus objetivos y, al mismo tiempo, abordar la incertidumbre y actuar con integridad.
  • ANALIZAR - EVALUAR (A). Identificar amenazas, oportunidades y requerimientos; evaluar el nivel de riesgo, beneficio y cumplimiento; y alinear un modelo para lograr, de manera confiable, los objetivos, abordando la incertidumbre y actuando con integridad.
  • PRO - ACTUAR (P). Incentivar condiciones y hechos deseables y evitar los que no lo son, con acciones de gestión y control.
  • DETECTAR (D). Detectar avances en el logro de los objetivos, y de igual manera, detectar condiciones y hechos no deseados, usando acciones de gestión y control.
  • RESPONDER(R). Reaccionar a las condiciones y hechos que son deseables con retribuciones, y corregir los que no lo son, de tal manera que se recupere de estos, se resuelven de inmediato y mejore el desempeño futuro.
  • MEDIR (M). Monitorear, medir y modificar las capacidades de GRC, en forma periódica y continua, para asegurar que contribuya a lograr los objetivos del negocio y, al mismo tiempo, ser eficaz, eficiente y reaccionar frente al ambiente de negocios cambiante.
  • INTERACTUAR (I). Capturar, documentar y manejar la información relativa a GRC, para que fluya de forma eficiente y exacta hacia los niveles superiores e inferiores y de manera transversal por toda la empresa, y hacia las partes interesadas –stakeholders- externos.



3.4. Resultados esperados del modelo de capacidad GRC
 
  • U1. Lograr los objetivos del negocio. Las entidades existen y se sostienen mediante el logro de sus objetivos de negocio deseados. GRC debe contribuir a ello.
  • U2. Mejorar la cultura organizacional. Inspirar y promover una cultura de alto desempeño, responsabilidad, integridad, confianza y comunicación.
  • U3. Aumentar la confianza de las partes interesadas. Aumentar la seguridad y confianza de las partes interesadas -stakeholders- de la entidad.
  • U4. Preparar y proteger a la entidad. Preparar a la entidad para enfrentar riesgos y requerimientos y protegerla de consecuencias negativas de hechos adversos, incumplimientos y conductas antiéticas.
  • U5. Evitar, detectar y reducir la adversidad. Disuadir, evitar y establecer consecuencias de conductas negativas. Disminuir los daños tangibles e intangibles causados por eventos de riesgo adversos (los que pueden controlarse y los que no), incumplimiento, comportamientos poco éticos y la probabilidad de que hechos similares sucedan en el futuro.
  • U6. Motivar e inspirar las conductas deseadas. Entregar incentivos y retribuciones motivando la ocurrencia de conductas deseadas, en especial frente a circunstancias difíciles.
  • U7. Mejorar la capacidad de respuesta y eficiencia. Mejorar continuamente la capacidad de respuesta (oportunidad y agilidad) y eficiencia (velocidad y calidad) de todas las actividades de GRC, al mismo tiempo de optimizar la eficacia (capacidad de cumplir los objetivos y requerimientos).
  • U8. Optimizar valor económico y social. Optimizar la asignación de capital humano y financiero a las actividades de GRC para maximizar el valor generado, lo que beneficia a la entidad y la sociedad en la que funciona.

3.5. Acciones y controles del modelo de capacidad GRC

Existen en este modelo tres tipos de acciones y controles, y resulta indispensable que las entidades utilicen una combinación apropiada para gestionar el riesgo y cumplimiento, como parte de las capacidades de GRC de alto rendimiento.

3.5.1. Los controles proactivos

Incentivan proactivamente condiciones o hechos que son deseables y evitan los que no lo son.
 
  • Las acciones y controles de incentivo aumentan la probabilidad, efecto o velocidad de las condiciones o hechos que son deseables.
  • Las acciones y controles preventivos disminuyen la probabilidad, efecto o velocidad de las condiciones o hechos que no son deseables.

3.5.2. Los controles de detección

Detectan la ocurrencia real o potencial de condiciones y hechos que son deseables o no.

3.5.3. Los controles de respuesta

Recompensan las condiciones o hechos que son deseables y corrigen los que no lo son.
 
  • Las acciones y controles de retribución reconocen la ocurrencia de condiciones o hechos deseables, y aumentan la probabilidad, efecto y velocidad actual de otras condiciones o hechos deseables.
  • Las acciones y controles correctivos acaban con la confusión causada por la ocurrencia de condiciones o hechos que no son deseables, y disminuyen la probabilidad, efecto y velocidad actual de otras condiciones o hechos que no son deseables.

En resumen, GRC debe sustentar el gobierno, gestión y aseguramiento del desempeño, riesgo y cumplimiento con una combinación de acciones y controles proactivos, de detección y de respuesta, para lograr el desempeño basado en principios. Según la OCEG, el modelo de capacidad de GRC aporta la estructura para lograrlo.

11. BIBLIOGRAFÍA CONSULTADA

- [1] ISACA. “Cobit 5: Procesos catalizadores - Capítulo 2. La Cascada de Metas y Métricas para Metas Corporativas y Metas TI”. 2012.

- [2] AENOR. “UNE-ISO 31000:2010 Gestión del Riesgo. Principios y directrices”. Julio 2010.

- [3] Fernando Izquierdo Duarte. “Latinoamérica CACS – Sesión 244 Gobierno Riesgo Cumplimiento”. Octubre 2013. PowerPoint. Slides 9,12,13 y 14. ISACA.

- [4] BOE. “Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 23 de junio de 2010.
LO 5/2010, modificación CP

- [5] Scott L Mitchell & Carole Stern Switzer. “Red Book Modelo de Capacidad GRC”. Versión 2.1. OCEG GRC Series. Se le ha otorgado la Creative Commons Attribution-ShareAlike 3.0 Unported License (licencia genérica de atribución por partes iguales de Creative Commons 3.0). Se utilizan algunos fragmentos e imágenes a lo largo de este artículo.
www.oceg.org

- [6] BOLETÍN OFICIAL DE LAS CORTES GENERALES. CONGRESO DE LOS DIPUTADOS. “Proyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 4 de octubre de 2013.
Proyecto de Ley de reforma CP

- Alain Casanovas. “Control Legal Interno”. Madrid 2012. Ed. La Ley (Grupo Wolters Kluwer). (Libro).

- [7] Daniel Lucien Bühr. “From compliance programme to compliance management system: reaching the next level of effective compliance management”. Criminal Law and Business Crime Newsletter. Volume 7 - Number 1 - April 2014. Páginas 18 y 19. International Bar Association Legal Practice Division.

- [8] Juan Antonio Andino López. “Efectos de la vulneración del secreto profesional del abogado en el proceso civil”. Barcelona, mayo de 2013. Facultat de Dret - Universitat de Barcelona (UB). (Tesis Doctoral).

- Vicente Gimeno Sendra y Jordi Gimeno Beviá. “Código de buena conducta de las personas jurídicas”. Consejo General de la Abogacía. Madrid, 18 de Abril de 2012. (Documento).

- [9] OCDE (Organización para la Cooperación y el Desarrollo Económicos). “Principios de Gobierno Corporativo de la OCDE”. 2004.
Principios de Gobierno Corporativo

12. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional.

 

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

 

Sobre el autor:

 

José Luis Colom Planas Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito de la privacidad: Ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). También ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia.

Ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB).

Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.

Realizando el programa ejecutivo de Controller Jurídico (Compliance Officer), en la escuela legal de Wolters Kluwer Formación.

Es auditor y consultor empresarial especializado en protección de datos y gestión de la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática) y ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.