Salta el contingut

UT01.- Punts principals sobre el compliment normatiu

Al llarg d'aquesta unitat desenvoluparan una sèrie de conceptes sobre el compliment normatiu de l'objectiu de:

  1. Identificar les bases del compliment regulador a tenir en compte a les organitzacions.
  2. Conèixer els principis del bon govern i la seva relació amb l’ètica professional.
  3. Construir un conjunt de polítiques i procediments, així com una estructura organitzativa que estableixi la cultura de compliment normatiu dins de les organitzacions.
  4. Descriure les funcions i competències del responsable de compliment normatiu.
  5. Establir les relacions amb tercers per a un correcte compliment normatiu.

Aquesta unitat està enfocada en elements introductoris, per la qual cosa es desenvoluparan, en concret, els continguts següents:

  1. Introducció al compliment normatiu (Compliance: objectiu, definició i conceptes principals).
  2. Principis del bon govern i ètica empresarial.
  3. Compliance Officer: funcions i responsabilitats.
  4. Relacions amb terceres parts dins del Compliance.

1 - Introducció al compliment normatiu

Definició, objectiu i funció del compliment normatiu.

El compliment consisteix a establir una sèrie de processos en una organització, que, acompanyats d'un conjunt de polítiques i procediments aconsegueixin assegurar que es respectin tots els requeriments legals, normatius i compromisos interns i amb tercers que siguin d'aplicació a l'organització.

El principal objectiu del compliment -també denominat compliance- és, en definitiva, el de garantir que una organització compleix amb les seves obligacions adquirides com a conseqüència del funcionament del seu negoci..

La funció de compliance implica l'adopció dins de l'organització de diferents components que suporten la seva funció, com ara:

  • Un codi ètic, com un conjunt de principis i pautes de conducta que conformen la cultura organitzacional d'una empresa.
  • Un conjunt de bones pràctiques, que, essent ja adoptades i provades d'ocasionar beneficis en organitzacions, estan demostrades i reconegudes per proporcionar beneficis en organitzacions similars.
  • Una identificació de compromisos a dividir en: legals, normatius, contractuals, organitzacionals.
  • L'existència d'un responsable de compliment, encarregat d'assegurar que es respectin, les normes, lleis, i en general, compromisos adquirits per l'organització, i, que supervisi el bon funcionament del sistema de gestió de compliment.
  • L'existència d'un canal de denúncies, per articular la comunicació anònima de qualsevol tipus de violació de les normes existents.
  • Activitats de formació per conscienciar l'organització sobre els deures i obligacions sobre el compliment i per a la creació d'una cultura organitzacional de compliment.
  • L'existència d'un sistema de gestió de compliment, per operar i assegurar la millora contínua del procés de compliment.

Com s'ha comentat, el compliment normatiu implica el disseny d'una sèrie de polítiques, processos i procediments que s'hauran de respectar durant el funcionament del negoci per impedir actuacions delictives i sancions per infringir la llei, no obstant això, no s'ha de limitar únicament a les lleis aplicables, sinó que ha de tenir en compte diferents elements com polítiques internes, compromisos contractuals amb clients, proveïdors o tercers, a més, també ha de comptar amb un enfocament ètic, ja que el funcionament negoci d'acord amb la legislació no sempre és d'acord amb un codi ètic.

Compromisos de les organitzacions

Els compromisos adquirits per una organització, es poden classificar en dues categories diferents, d’una banda, aquells que poden ser d’obligat compliment, com pot ser la legislació vigent, sentències d’un tribunal o un jutge, o imposicions sota contracte amb un tercer. D’altra banda, es podria definir una categoria de compromisos voluntaris que l’empresa decideix assumir, com ara codis ètics, estàndards, normatives o bones pràctiques.

A continuació, es presenten alguns dels compromisos possibles que poden ser adquirits per una organització:

Compromisos d’obligat compliment:

En aquest tipus de compromisos implica un alt nivell de risc més elevat per a la companyia, ja que en cas d'incompliment, poden existir sancions econòmiques i penals, es podrien posar en risc contractes signats amb clients, amb la consegüent pèrdua de negoci, així com ocasionar pèrdues en la imatge i reputació de la companyia.

Legislació vigent:

Qualsevol empresa està sotmesa a una legislació pel sol fet de mantenir la seva funció. El compliment legislatiu està també associat a un dels principals riscos als quals es veu sotmès una organització, el risc penal, financer i reputacional. Aquest haurà de ser tingut en compte a l’hora d’identificar, analitzar i gestionar els riscos dins del pla de gestió de compliment.

Qualsevol empresa que tingui la seva activitat a Espanya ha de respectar, per exemple, les lleis següents:

  • Llei de Societats de Capital: és la llei que regula les societats a Espanya. Totes les persones que creïn una societat empresa han de conèixer que drets i obligacions tenen com a socis i administradors, i les conseqüències sobre el seu propi patrimoni podria tenir el no actuar d’acord amb la legislació.
  • Llei d’impost de societats: és la legislació sobre la tributació de les activitats econòmiques d’una societat. Regula els impostos sobre els rendiments de negoci i les deduccions, bonificacions i tipus impositius, una cosa similar a l’IRPF, però per a empreses.
  • Llei de l'Impost sobre el Valor Afegit: es tracta de la llei que regula els impostos sobre els productes i serveis que presta l'empresa cap al consumidor final, aquesta llei estableix que, com a proveïdora i consumidora de productes i serveis, una organització ha de suportar i repercutir l'Impost de Valor Afegit (IVA), en cas que l'IVA repercutit sigui més gran que el suportat, l’empresari ha de pagar a hisenda la diferència en concepte d’IVA.
  • Llei de marques: és la legislació per a la protecció dels elements distintius d’una empresa, a través d’ella es regiran els drets sobre les marques i els noms comercials de productes i serveis d’una empresa espanyola. La sol·licitud i tramitació de les marques a Espanya, es realitza a través de l'Oficina Espanyola de Patents i Marques, i han d'especificar les tipologies de productes i serveis que es vol identificar. Aquestes, poden ser renovades de manera indefinida o per períodes de deu anys.
  • Llei de Serveis de la Societat de la Informació i de comerç electrònic (LSSI-CE): Es tracta de la llei que regula les activitats comercials realitzades a través d'internet. Principalment defineix els requisits que han de complir els llocs web de comerç electrònic de totes aquelles empreses registrades a Espanya. En ella, s'estableix que en els llocs de comerç electrònic ha de constar el nom del domini d'Internet, oferir informació sobre l'empresa, col·laborar amb les autoritats i retenir les dades concernents a comunicacions electròniques.
  • Reglament General de Protecció de Dades (RGPD): Estableix les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d'aquestes dades. A més, protegeix els drets i llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals. Finalment, regula la lliure circulació de les dades personals a la Unió, que no podrà ser restringida ni prohibida per motius relacionats amb la protecció de les persones físiques pel que fa al tractament de dades personals.
  • Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPD): És l'adaptació a la normativa local espanyola al Reglament Europeu de Protecció de Dades (RGPD), l'objectiu d'aquesta llei és proporcionar una base legal per al tractament de les dades personals de les persones físiques, a més, en la normativa nacional s'inclouen articles enfocats en la garantia dels drets digitals com ara la desconnexió digital, dret a l’oblit, seguretat digital, protecció de menors.

Obligacions per manament judicial, tribunals o sentències judicials:

En aquest tipus d’obligacions, implica una acció per part de l’organització que els rep, aquestes accions podrien ser, des de la proporció de certa informació a un judgat o a forces i cossos de seguretat de l’estat, fins al pagament de multes o sancions, fins i tot la modificació del seu model de negoci, fins al punt de la rescissió de les llicències que permeten executar l’activitat de l’organització. Aquest tipus d’obligacions poden implicar grans riscos per a les organitzacions i han de ser tingudes en compte en el moment de construir els sistemes de gestió de compliment.

Obligacions per contracte de tercers:

En ocasions, les organitzacions es comprometen en el compliment de certes normes com a forma de garantir els seus serveis, en general es tracta de condicions que podrien classificar-se com a compromisos voluntaris, però, en ser incloses en els contractes de prestació de serveis, esdevenen compromisos d’obligat compliment.

Una mostra d’aquest tipus d’obligacions poden ser els compromisos contractuals de certificació en normes ISO, com pot ser la 9001 sobre sistemes de gestió de la qualitat, 14001 sobre sistemes de gestió ambiental, 20001 sobre gestió de serveis de TI, i ISO 27001 sobre sistemes de gestió de seguretat de la informació.

Compromisos voluntaris:

Els compromisos voluntaris tenen un menor nivell de risc quant a les conseqüències directes derivades del seu incompliment, ja que en el curt termini aquestes seran molt lleus i podrien limitar-se a danys reputacionals, no obstant això, aquest tipus compromisos signifiquen un millor funcionament per a l’organització, podent implicar en funció dels esforços realitzats, un funcionament més eficient, segur i respectuós amb la societat i medi ambient. Aquests poden ser:

  • Polítiques i procediments:

    Image by

    Les polítiques i procediments integren les normes, regles i directrius a través de les quals s’ha de regir una organització.

    Les polítiques han de ser específiques per a cada organització i establir-ne els principis i el mode de comportament. Aquests documents, són en general escrits en llenguatge d’alt nivell sense incloure detalls tècnics ja que són directrius, estratègics. Les polítiques d'una organització tenen diversos objectius, principalment ajuden a aconseguir els objectius estratègics d'una organització, estalviar temps i costos en la presa de decisions rutinàries, implementar sistemes normatius de gestió empresarial (qualitat, medi ambient, seguretat de la informació), redueixen els riscos empresarials i ajuden a millorar el control directiu, administratiu i operatiu de la companyia.

    Si bé les polítiques són documents estratègics, els procediments, són els documents que defineixen les tàctiques a través de les quals s'aconseguiran els objectius de la companyia. En general són documents amb un nivell de detall més elevat, que descriuen una manera d’executar una activitat o un procés dins de l’empresa. El procediment pot descriure un procés empresarial complet, descrivint pas a pas les activitats que el comprenen.

  • Normes i estàndards:

    Una norma és una forma comunament acceptada de dur a terme una activitat. En general, pot tractar-se de qualsevol procés empresarial, no obstant això, en relació amb tecnologies d’informació, es poden definir com a formes de gestionar els sistemes i tecnologies d’informació i comunicacions d’una organització.

    L'exemple més conegut són les ISO (International Organization for Standardization), que, encara que no estiguin limitades a la gestió de processos d'IT si són les més generalitzades, per exemple, la norma ISO 20000 de gestió de serveis TI, la ISO 27001 de gestió de seguretat de la informació o la ISO 22301 sobre continuïtat de negoci. A Espanya, la transposició a aquests estàndards són les normes UNE ( Una Norma Espanyola), publicades per l'Associació Espanyola per a la NORmalització i Certificació (AENOR).

  • Bones Pràctiques i Millors pràctiques:

    Les bones pràctiques són accions recomanades per dur a terme una activitat que han resultat satisfactòries per a l’organització, aquestes activitats, han de ser documentades per tal de crear guies, procediments, directrius o manuals d’execució d’un procés.

    Les millors pràctiques són accions, que, si bé han demostrat ser satisfactòries per a l’organització, han estat monitoritzades i optimitzades per obtenir els millors resultats en execució i eficiència en els objectius d’una organització. Les millors pràctiques són fruit de l’anàlisi i aplicació de coneixements i processos empresarials dels resultats obtinguts dels mateixos, del que s’ha identificat és beneficiós per a l’organització, de les lliçons apreses després d’incidències, i en definitiva després de la reflexió sobre resultats i aprenentatge continu.

  • Marcs de treball o Frameworks:

    Els marcs de treball s’enfoquen en el com implementar una sèrie de processos en una organització, aquests poden ser construïts basant-se en normes existents, però desenvolupant un conjunt de processos i bones pràctiques que marquen els passos per desenvolupar certes funcions dins d’una companyia. Establint tècniques estandarditzades d’operació incrementant el valor i l’eficiència dels processos TI i per tant, del negoci. Exemple de marcs de treball són:

    • ITIL: Acrònim en anglès de "Biblioteca d'Infraestructura per a les Tecnologies de la Informació", consisteix en una sèrie de llibres que recullen els processos i bones pràctiques per a la gestió de les tecnologies d'informació obtingudes de diverses fonts. L'última versió d'ITIL (v4) publicada el 2019, s'enfoca en l'automatització de serveis IT, la gestió dels serveis, i la integració de les àrees d'IT en el negoci de l'organització.

    • Objectius de Control per a Tecnologies de la Informació i Relacionades (COBIT, per les seves sigles en anglès): És un marc desenvolupat per ISACA l'objectiu de desenvolupar estratègies de gestió i govern de la informació i a més inclou eines per construir, supervisar i millorar processos IT després de la seva implementació i proveir de solucions per a la gestió de riscos. Cobit inclou 40 objectius de gestió per ajudar les organitzacions, per aconseguir els següents objectius:

    • Alinear els objectius empresarials amb els objectius informàtics

    • Establir un marc de governança sòlid
    • Navegar pel govern de la informació, la gestió de riscos i la seguretat

  • Codi ètic:

    El codi ètic és el conjunt de valors, principis i pautes a través de les quals s’ha de regir la cultura d’una organització. Associat al codi ètic de l’organització, podem trobar el codi de conducta, en el qual s’establiran les directrius comportamentals que han de regir la manera d’actuar dels professionals que componen l’organització.

    Sota l’àmbit del codi ètic de l’empresa, es poden establir elements com les relacions entre persones, la discriminació, el medi ambient, el suborn i l’ús d’informació privilegiada i la responsabilitat social corporativa. El codi ètic permet prendre decisions als integrants de l’organització en relació a la realització del seu treball i en les seves relacions amb altres persones i organitzacions, establint quin ha de ser el seu comportament més apropiat.

    El codi ètic va més enllà de la legislació i dels compromisos obligatoris d’una organització. Les activitats d’una empresa poden ser considerades legals, i tanmateix, aquestes mateixes activitats, poden de dubtosa eticitat. Per exemple: És legal que un esportista que participa en un torneig pugui cobrar una comissió per l’organització d’aquest torneig en un país estranger, però, no és ètic el cobrament d’aquesta comissió degut principalment a: 1) la participació de l’esportista en la competició que ha ajudat a organitzar, 2) dur a terme una acció que té impacte sobre un o diversos grups per aconseguir un benefici individual o de molt pocs individus, 3) cobrar una comissió elevada, 4) el greuge comparatiu en la remuneració de la resta d’esportistes, 5) l’impacte que pot ocasionar en costos logístics per a la resta d’esportistes i clubs que formen part de la competició, 6) el cost mediambiental que implica traslladar una competició a un altre país a diversos milers de quilòmetres de distància.

2 -Principis del bon govern i ètica empresarial

El bon govern corporatiu

Image by
Image by Mariakray from Pixabay

El govern corporatiu té a veure amb la presa de decisions per part de la direcció de l'empresa i de la seva estratègia corporativa.

Per obtenir suport a aquest tipus de decisions, s’estableixen processos de bon govern corporatiu que consisteixen en el conjunt de regles, processos i principis utilitzats pels consells de govern de les empreses per prendre decisions que afectin l’empresa i la seva relació amb tots els actors involucrats i parts interessades.

Les decisions preses per les empreses de gran grandària poden tenir una gran repercussió en la societat, per aquest motiu convé tenir unes normes i pautes d’actuació que ajudin a prendre decisions en les organitzacions, i especialment pel que fa a elements com estratègia de la companyia i inversions, però també en altres elements com fusions i adquisicions.

Els processos de bon govern corporatiu tenen com a objectiu principal millorar la credibilitat de les organitzacions introduint elements que garanteixin la veracitat, transparència i responsabilitat social corporativa en les decisions de gestió empresarial preses per les cúpules directives.

Dins d’aquestes pautes, hi ha l’existència d’eines de control corporatiu, que siguin utilitzades per mesurar les decisions de l’organització des del punt de vista econòmic, social o estratègic.

Un altre element del bon govern implica el concepte de compliment normatiu, i com a conseqüència, el compliment de la llei vigent i la reducció del risc de qualsevol conseqüència penal o econòmica per a la companyia i la seva direcció.

Així mateix, un altre objectiu consisteix a vigilar i controlar els comportaments de la companyia, de les àrees de negoci i dels seus integrants, establint drets i obligacions de les mateixes i vigilant el seu compliment.

Les activitats relacionades amb el bon govern corporatiu poden ser interpretades pel mercat com un avantatge competitiu, per això, són utilitzades com una mètrica de situació respecte a la competència, i una manera de dur a terme accions de millora que principalment estaran relacionades amb els majors beneficis generats pel bon govern, com l’augment de la confiança del mercat, la millora dels processos interns de la companyia i la garantia de funcionament dins dels marges de la llei, com a exemple, un dels elements que més es realitza dins de les polítiques de bon govern corporatiu són la prevenció de delictes fiscals i blanqueig de capitals, existint-ne d'altres més relacionats amb l'estricte compliment normatiu més enfocats a la prevenció del finançament del terrorisme.

Durant els últims anys, totes les companyies s'han vist immerses d'alguna o altra forma en processos de digitalització. L’ús d’eines digitals, de tecnologies de comunicació i d’obertura a internet, comporta inevitablement un augment dels riscos de les organitzacions. Per això, i cada vegada més, les organitzacions centren els seus esforços en el control dels seus sistemes d’informació, i per tant la protecció de la seva infraestructura tecnològica contra ciberincidents que puguin tenir impacte en la confidencialitat, integritat i disponibilitat de la seva informació i per tant en els seus processos de negoci.

En l'actualitat, una de les normatives amb major impacte per a les empreses és la Llei Orgànica de Protecció de Dades nacional (LOPD), i a nivell europeu la Regulació General de Protecció de Dades (RGPD), la finalitat principal de la qual és augmentar el control de les companyies respecte a la informació que manegen, i en especial el de les dades dels seus clients.

El bon govern corporatiu té part també en elements més relacionats amb l’ètica i no tant amb les limitacions legals o normatives, com poden ser les retribucions dels seus consellers. Les empreses cotitzades han de realitzar un informe de retribució dels seus consellers amb caràcter anual. Aquesta retribució ha de ser sotmesa a votació i aprovada en junta d’accionistes per evitar que els comitès de direcció de les companyies tinguin retribucions allunyades de la realitat del mercat i a més garantir la transparència en encabir els seus clients i actors relacionats.

Com a part de les activitats relacionades amb el bon govern corporatiu, s’ha de realitzar un informe anual d’avaluació de compliment d’objectius, la finalitat d’aquest procés és establir un pla de compliment, mesurant les accions realitzades i establint plans d’acció correctiva en cas necessari, l’informe cobreix de manera anual les activitats d’un procés de revisió, com són:

  • Disseny:

    • Anàlisi del negoci i aspectes que cal avaluar.

  • Avaluació:

    • Qüestionari d’avaluació.
    • Anàlisi de la documentació interna i externa de l’organització.
    • Entrevistes amb la direcció.

  • Diagnòstic:

    • Conclusions i recomanacions.

  • Resposta:

    • Pla d’accions correctives.

El bon govern corporatiu està íntimament relacionat amb el compliment normatiu atès que un dels principals elements que ha de tenir en compte el bon govern, té a veure amb la bona execució d’un procés de compliment normatiu. Aquesta relació es fa cada vegada més necessària a partir de l’any 2010 en el qual, el codi penal recull responsabilitats penals per a persones jurídiques. A més, la llei de societats de capital, també requereix des d'aquest mateix any la introducció de polítiques de bon govern corporatiu tant a companyies cotitzades com a companyies que no ho estan.

Precisament, hi ha diverses funcions que tenen a veure tant amb el bon govern corporatiu com amb el compliment normatiu, entre elles:

  • L’aprovació dels plans estratègics, plans de negoci, pressupostos corporatius, i la política de responsabilitat social corporativa, entre d’altres.
  • Definició de polítiques de gestió de riscos que cobreixin a més dels riscos del propi negoci, aquells relacionats amb l’incompliment legal, fiscal, i sancions penals.
  • Establiment dels governs corporatius, i funcions relacionades amb la presa de decisions sobre
  • Definició de codis ètics, polítiques de transparència i de compliment legal que donin suport a la presa de decisions.
  • Presa de decisions relacionades amb els sistemes de gestió de compliance.

Elements amb els quals ha de comptar una política de bon govern corporatiu:

  • Cultura, valors i principis de l’organització.

    • Existència de missió i visió de l’organització.
    • Existència d'un codi de conducta.
    • Canal de denúncies obert i anònim.
    • Règim sancionador davant d’incompliments del codi de conducta.
    • Principis ètics de comportaments i presa de decisions.

  • Supervisió de l’entorn de control de l’organització.

    • Definició dels equips de supervisió del sistema de control intern (auditoria interna, reportant directament al comitè de direcció).
    • Existència de consellers externs i independents.
    • Independència dels consellers en funció amb rols o negocis previs.
    • Formació dels consellers en polítiques de control intern i gestió de riscos.

  • Estructura organitzativa de l’empresa:

    • Existència d’un organigrama amb el detall de línies de negoci, funcionals, geogràfiques, auxiliars i divisions per entitats legals.
    • Definició de rols i responsabilitats per a cada funció.
    • Segregació de rols i responsabilitats.
    • Report coherent a l’estructura organitzativa.

  • Polítiques i procediments de recursos humans:

    • Procediments d’altes i baixes d’empleats i documentació de formació per a les noves incorporacions que introdueixi la cultura corporativa de l’organització.
    • Establiment de programes formatius, d’avaluació d’acompliment, remuneració i polítiques sancionadores.
    • Definició de programes de mesurament d’acompliment i alineament amb els objectius de l’organització.
    • Identificació les funcions crítiques de l’organització.
    • Existència d’un pla de successió per a les funcions crítiques.
    • Definició de plans formatius que cobreixin els aspectes sense successió en funcions crítiques.

  • Models d’assignació d’autoritat i responsabilitat per a la presa de decisions.

    • Existència d’un model formal d’assignació d’autoritat segons objectius de l’organització.
    • Definició de protocols d’assignació d’autoritzar en funció de la criticitat de la decisió a prendre.
    • Definició de procediment de revisió periòdica del model de decisió en funció de canvis en l’organització i la inclusió de noves casuístiques a integrar.
    • Existència de processos de validació per part d’auditoria interna.

  • Sistemes de gestió del canvi.

    • Definició de processos d’estratègia empresarial a mitjà i llarg termini.
    • Establiment de recursos i eines per al monitoratge del canvi i les seves conseqüències.
    • Existència de processos de monitoratge de factors externs (legislació, competència, mercat, economia, geopolítica) i anàlisi dels impactes en el negoci per a establiment de processos d'innovació.
    • Revisió de canvis en l’organització i les funcions clau en l’organització.
    • Existència de polítiques de gestió de riscos i de continuïtat de negoci davant de canvis.

Principis de l’ètica empresarial

L’ètica empresarial és el codi que segueix una organització a l’hora de realitzar la seva activitat, prendre decisions, gestiona els seus recursos humans i desenvolupar-se en una comunitat. Defineix els límits que una empresa decideix posar-se, directrius a seguir, metes a assolir a nivell social i mediambiental, essent aquests generalment més restrictius que les normes i lleis. Tot aquest conjunt d’elements conforma una sèrie de valors i principis que alhora constitueixen la cultura de l’empresa.

Així mateix, l’ètica empresarial regeix la manera com l’organització es relaciona amb els seus clients, proveïdors, i treballadors amb l’objectiu d’exercir un impacte positiu en la societat.

L'ètica empresarial és una manera d'atraure talent i generar un ambient laboral beneficiós per als empleats de l'organització, a més, generarà més confiança tant en clients com en inversors, la qual cosa indirectament repercutirà en un augment de la rendibilitat. Aquest tipus d’activitats genera atracció cap a les empreses d’un major volum i qualificació de professionals que volen créixer en organitzacions en les quals confien i que compten en projectes en els quals creuen.

Tot i que els objectius de les organitzacions poden ser diferents, l’ètica gira entorn d’aspectes que en general tenen a veure amb la millora de l’entorn i clima laboral, promoure la igualtat, el respecte als drets, etc.

Aquest tipus d’activitats no només es limiten a destinar part del pressupost anual a una iniciativa específica, sinó que també suposen una sèrie d’actuacions en les quals l’organització pot millorar en aspectes no directament relacionats amb el negoci, per exemple, en diversitat en el lloc de treball, en reciclatge, conciliació, etc...

Les iniciatives relacionades amb ètica empresarial poden tenir multitud d’objectius, no obstant això, els següents es plantegen com els més rellevants, o freqüents:

  • Respecte al medi ambient. Totes les empreses tenen d’alguna manera o altra un impacte mediambiental a causa del consum energètic, emissions o producció de deixalles, per això, la majoria de les organitzacions tracten d’optimitzar els seus models de producció per reduir els seus impactes mediambientals, per exemple, fent més eficient el seu consum energètic o utilitzant energies renovables.
  • Responsabilitat social corporativa. Consisteix en iniciatives que tindran impacte actual o futur en la societat, es tracta de dur a terme accions que millorin les condicions de vida de les zones en les quals treballa l’organització, impulsant iniciatives que afavoreixin el creixement de la comunitat. També fa referència a iniciatives que solucionin problemes existents en la societat que no tenen necessàriament a veure amb el producte o servei que presta la companyia.
  • Competència deslleial. L’ètica empresarial també té en compte iniciatives que evitin la competència deslleial entre organitzacions, com pot ser, la venda per sota de cost, la comparació, les comunicacions agressives, la crítica o la desinformació.
  • Tot i que aquest és un aspecte directament relacionat amb el producte, la qualitat té també un component ètic, evidentment les empreses han de complir uns estàndards de qualitat mínims, no obstant això, es tracta de posar atenció en l'augment dels nivells d'excel·lència dels clients per millorar-hi la confiança, a més de, per exemple, s'aconsegueixi evitar que aquests siguin substituïts en un curt espai de temps, amb els impactes que això pugui comportar.
  • Publicitat enganyosa, fent de la comunicació cap als clients una eina per a la generació de confiança sense utilitzar arguments de venda invàlids o incorrectes. Millorar la transparència de l’organització a través de la publicació dels comptes econòmics de l’empresa.
  • Gestió dels recursos humans, fomentant un bon ambient laboral desenvolupant valors positius de respecte pels empleats i les seves famílies, com la conciliació.
  • Creació i innovació, com a eina de millora d’eficiència i millora en impactes ambientals i rendibilitat, millora en la imatge de l’organització i en la competitivitat.

Motius per construir un codi ètic empresarial:

  1. Millora de la imatge i reconeixement empresarial entre empleats, clients, proveïdors competència, la qual cosa es tradueix en un augment de la confiança en totes les parts interessades.
  2. Reducció dels riscos per incompliment legal i per tant de sancions econòmiques i penals. L’ètica empresarial posa el llistó del compliment en una posició més elevada que la de les obligacions legals.
  3. Obtenció de beneficis fiscals per l’execució d’activitats relacionades amb l’ètica empresarial. Per exemple, a través de proporció d'assegurances mèdiques i plans de pensions a empleats.
  4. Augment de la lleialtat dels treballadors a través de la creació d’iniciatives de conciliació i generació d’ambients segurs després de la definició de normes de convivència i respecte als treballadors.
  5. Més atracció a inversió a causa d’un augment de la imatge corporativa en la societat.

Arribats a aquest punt ja coneixem els objectius i motius d'una organització per definir un codi ètic empresarial, però, Què ha de contenir aquest codi? A continuació, es presenten una sèrie de característiques amb la qual ha de comptar una política d’ètica empresarial.

El codi ètic sempre ha de comptar amb els valors corporatius com a base.

A més, ha de girar al voltant de principis ètics universals, com són la justícia, igualtat, legalitat, responsabilitat i solidaritat.

Ha de contenir una enumeració de les obligacions legals a les quals està sotmesa l’empresa.

En ell, s’han de tenir en compte possibles aspectes conflictius de l’organització que permetin prendre decisions, com per exemple una política de retribució justa i equitativa, així mateix, ha d’establir el codi comportamental dels empleats de l’organització.

Ha d’estar descrita en un llenguatge accessible per a tots els destinataris de la mateixa tant a nivell intern com extern i ha d’aplicar a tots els empleats de l’organització.

La seva construcció ha de comptar amb personal de diferents parts de l’organització per obtenir el major volum d’informació i representació possible.

I, finalment ha de ser un document viu, que es revisi i actualitzi amb certa freqüència.

3 - Compliance Officer: Funcions i responsabilitats

El Compliance Officer

El compliance officer és la persona encarregada de vetllar pel compliment dels requisits legals i normatius d’una organització, s’encarrega d’identificar els riscos regulatoris i assegura l’existència de controls interns per al mesurament i gestió dels mateixos.

Ha de promoure una conducta ètica i una cultura de compliment normatiu i ha de treballar per garantir que l’activitat de l’empresa de realitzi d’acord amb la llei, els compromisos adquirits amb clients i la normativa interna.

Com a responsable de compliment, ha d’estar al tant de les darreres lleis, normatives i reglaments que s’han de complir, i ha d’aconseguir transformar-los a requisits i procediments dins de l’organització.

Si bé la figura de compliance officer no està definida en la legislació espanyola, aquest, pot arribar a tenir responsabilitat penal sobre qualsevol tipus d'activitat il·lícita desenvolupada dins de l'organització, ja sigui per la seva participació en la mateixa, o de manera indirecta, únicament amb el coneixement de les activitats il·legals de l'organització, o, per desconeixement per l’omissió en les seves responsabilitats com a supervisor del compliment en l’organització. Les funcions de supervisió i vigilància si estan contemplades en la legislació.

Després de la reforma del Codi Penal operada per la Llei Orgànica 1/2015, s'estableix:

" 2a la supervisió del funcionament i del compliment del model de prevenció implantat ha estat confiada a un òrgan de la persona jurídica amb poders autònoms d’iniciativa i de control o que tingui encomanada legalment la funció de supervisar l’eficàcia dels controls interns de la persona jurídica;" (…)

" 4a no s’ha produït una omissió o un exercici insuficient de les seves funcions de supervisió, vigilància i control per part de l’òrgan a què es refereix la condició 2a"

Si bé l'article 2 no fa referència explícita al compliance officer, es pot interpretar la seva figura en la definició d'òrgan de la persona jurídica amb poders autònoms d'iniciativa i de control, així com les eines i obligacions amb què ha de comptar aquesta figura per exercir la seva funció, com són:

Poders per realitzar de manera autònoma i proactiva controls sobre el negoci, o una funció legalment establerta de supervisió sobre aquest.

Que no existeixi una omissió o insuficiència de les funcions de compliance officer. Ha d’executar les seves funcions amb diligència i determinació.

Que informi obligatòriament de possibles incompliments legals i els riscos associats.

Dins de l’organització tant el responsable de compliment com el comitè d’administració tenen dins de les seves funcions el compliment legal i normatiu, no obstant això, mentre la funció del comitè se centra en la consecució dels objectius comercials respectant la llei però defensant els interessos de l’empresa, el compliance officer té com a objectiu el com respectar la llei, dissenyant processos organitzacionals per complir-la, fomentant la cultura i conscienciació en compliment, i establint objectius més estrictes a través dels codis ètics i de bona conducta.

Així mateix, cal destacar la figura del responsable de compliment respecte a la del delegat de protecció de dades. Si bé el primer s’encarrega del compliment de la normativa a nivell general, el segon s’enfoca únicament en el compliment normatiu en matèria de protecció de dades i en els processos associats a aquest compliment tals, com el registre d’activitats de tractament, l’anàlisi de riscos de privacitat, les avaluacions d’impacte en privacitat, els compromisos de confidencialitat i els documents de requisits de seguretat.

Ambdues figures estan estretament relacionades ja que la normativa de protecció de dades és una de les més rellevants i de les quals majors riscos i sancions suposa a les organitzacions.

Funcions del compliance officer

A continuació, es descriuen les funcions principals que són desenvolupades pel responsable de compliment d’una organització:

  • Entendre el funcionament de l’organització i del negoci:

    La primera funció del compliance officer és la d’entendre el negoci de l’organització i els processos i procediments de l’empresa, de tal manera que pugui identificar els requisits i obligacions dels mateixos i integrar-los en el sistema de compliment normatiu.

  • Operació dels sistemes de gestió de compliment:

    Cal definir i assegurar el desplegament de les mesures i controls que permetin identificar i gestionar els riscos i incidències relacionades amb el compliment, bé sigui a través del personal o a través d’eines internes o externes a l’organització, tals com:

    • Sistemes de denúncies.
    • Reunions amb responsables de processos.
    • Reports d’incidències.
    • Comunicació i suport cap a empleats davant el dubte que una activitat suposi un risc per a l’organització.
    • Revisió de nous processos de l’organització o modificació dels existents.
    • Mètriques i indicadors d’acompliment i compliment.

  • Desenvolupar una cultura de compliment en l’organització:

    El compliance officer ha de promoure els processos de compliment dins de l’organització, comunicar-los i supervisar-los, amb l’objectiu que els seus integrants els coneguin i els prenguin en compte. Han de ser comunicats i recordats amb freqüència. En cas que existeixi maduresa quant a la cultura de compliment de l’organització, el compliance officer serà consultat a l’hora d’establir nous processos de negoci en l’organització, i aquest ajudarà a dissenyar-los dins del límits legals.

  • Assessorament legal i regulatori:

    S’ha d’encarregar de conèixer les lleis i regulacions que afecten el negoci de l’organització i s’ha de mantenir actualitzat sobre totes les modificacions o noves regulacions que puguin sorgir. A més, han de conèixer els possibles impactes que pot ocasionar el seu incompliment, per la qual cosa són consultats davant el llançament de nous productes o serveis.

  • Supervisió dels processos de l’organització:

    Cal assegurar del monitoratge proactiu dels processos de l’organització pel que fa al compliment legal o normatiu. Per a aquest tipus de seguiments es realitzaran revisions periòdiques amb una freqüència determinada avaluant el procés i als seus integrants.

  • Contacte amb el regulador:

    El responsable de compliment ha de ser el punt de contacte a través del qual es duguin a terme les comunicacions amb regulador. És l’encarregat de comunicar a l’empresa qualsevol tipus de requeriment amb origen en alguna llei o en el propi regulador, així mateix, també és el responsable de transmetre informació cap al regulador, comunicant requeriments, sol.licituds d’informació, suggeriments, dubtes i consultes.

  • Gestió d'incidències:

    Com a responsable d'un procés de risc per a les organitzacions, el compliance officer ha de ser capaç de reaccionar a qualsevol incidència relacionada amb el compliment, bé a través de denúncies o a través de sancions, ha de tenir les eines necessàries per poder aturar una situació de risc per a la companyia i mitigar qualsevol vulnerabilitat que pugui ocasionar sancions o multes.

  • Conscienciació:

    Ha de tenir la capacitat de comunicar els processos de gestió de compliance, però a més ha de dur a terme activitats de conscienciació sobre compliment normatiu als empleats amb freqüència, l’objectiu d’aquestes formacions és principalment mitigar els riscos d’incompliment, però també actualitzar els empleats davant l’aparició de noves normatives o requisits legals i mantenir la comunicació entre el negoci i l’àrea de compliment.

  • Assegurar el compliment en terceres parts:

    El compliance officer ha de tenir en compte també el compliment legal i normatiu en els productes i serveis contractats a terceres parts, i ser capaç d’identificar i gestionar els riscos que sorgeixen de la relació amb els seus clients, proveïdors i en general amb qualsevol tercer relacionat amb l’organització.

S’ha de tenir especial atenció a les responsabilitats de compliment, ja que, en cas d’externalitzar un servei, i s’esdevingui una incidència per algun tipus d’incompliment legal amb el proveïdor, l’empresa contractant, no està eximida de responsabilitat sobre aquest servei, aquests casos són especialment rellevants, per exemple, en processos relacionats amb la protecció de dades.

4 - Relacions amb terceres parts en compliance

Riscos de compliment amb tercers

Avui dia totes les empreses tenen relació amb tercers que formen part de manera directa o indirecta del seu negoci. Els tercers relacionats, poden ser entre d'altres, proveïdors, socis, distribuïdors, intermediaris, empreses col·laboradores, i també clients.

Com hem vist en l'apartat anterior, el codi penal estableix que una empresa (persona jurídica) és responsable dels actes delictius comesos pels seus representants legals o pels qui ostentin facultats d'organització i control dins d'aquesta. En aquest punt estem incloent "els seus representants legals", és a dir, els tercers relacionats. Per aquest motiu, cobra tanta rellevància la gestió del compliment en terceres parts i els riscos associats als serveis prestats per terceres parts.

Per aquest motiu el compliance no s’ha de limitar a l’organització, sinó que es tracta que tots els tercers relacionats amb l’empresa respectin també els seus compromisos. En cas contrari, la seva activitat econòmica es pot veure afectada, i també la seva reputació.

El risc de corrupció relacionat amb tercers és estadísticament elevat, ja que, en la majoria dels casos, els pagaments de suborns són gestionats a través de tercers, sent aquest focus en la identificació dels riscos relacionats amb suborns i corrupció en les transaccions comercials.

De quina manera es pot controlar el compliment en terceres parts?

Per a aquesta tasca existeixen procediments denominats de "diligència deguda" l'objectiu dels quals és dur a terme una adequada selecció i supervisió de les empreses que col·laboren amb l'organització, de tal manera que s'ajustin als principis, valors i conductes de l'organització. Així mateix, serveix per conèixer el nivell de compromís ètic i de compliment legal dels tercers.

Tal és la importància d'aquest tipus de processos que organismes com l'Organització per a la Cooperació i el Desenvolupament Econòmic (OCDE) ha publicat una guia de diligència deguda per a una conducta empresarial responsable, tenint en compte especialment els següents elements a analitzar, que formen part de la Conducta Empresarial Responsable.

  • Drets humans.
  • Ocupació i relacions laborals.
  • Medi ambient.
  • Lluita contra la corrupció, suborn i extorsió.
  • Interessos dels consumidors.
  • Divulgació d’informació.

Processos de diligència deguda

Els processos de diligència deguda es poden articular a través de tres fases:

  1. Avaluació del comportament del tercer a contractar, a través de l’anàlisi dels seus antecedents, valorant informació financera, responsables de les organitzacions, relacions amb l’administració pública, problemes amb l’administració o problemes legals previs o existència de notícies negatives prèvies.
  2. Formalització detallada de la relació amb el tercer, servei a proveir, element que ha de ser objecte d’una transacció econòmica, o qualsevol que sigui l’objecte del contracte, ha de quedar clarament definit i delimitat. En el contracte s’han d’establir clausules relacionades amb el compliment, la legalitat dels productes o serveis proveïts, la veracitat de la informació proveïda pel tercer, els valors de l’organització, i l’existència de processos de gestió de compliment tals com vigilància i control, a més de possibilitat de ser auditat. Així mateix, s’han d’avaluar els pagaments a realitzar, els motius dels mateixos i la raonabilitat de les quantitats relacionades amb els serveis o productes objecte del contracte.
  3. Monitoratge dels tercers relacionats amb l’organització, no limitant l’estudi al procés de contractació, sinó analitzant els tercers de manera com a part d’un procés, amb una freqüència determinada la informació proveïda pels tercers en relació al compliance i el compliment dels compromisos definits en el contracte.

➕ informació

Es pot consultar la guia de l'OCDE sobre diligència deguda en el següent link: Guia de l'OCDE de deguda diligència per a una conducta empresarial responsable

Els següents elements representen informació addicional estesa sobre l’exposat a la unitat. Aquests continguts són d’estudi opcional i no formaran part de l’avaluació.

Codis de bon govern corporatiu per a societats cotitzades. https://www.cnmv.es/portal/Publicaciones/CodigosGovCorp.aspx

Llei orgànica de protecció de dades i drets digitals (LOPD-DD): https://www.boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf

Regulació general de protecció de daus (GDPR): https://www.boe.es/doue/2016/119/L00001-00088.pdf

Reforma de codi penal 2015: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-3439

Guia de diligència deguda per a una conducta empresarial responsable, per l'Organització per a la Cooperació i el Desenvolupament Econòmic (OCDE): https://mneguidelines.oecd.org/Guia-de-la-OCDE-de-debida-diligencia-para-una-conducta-empresarial-responsable.pdf