UT03 Legislació per al compliment de la responsabilitat penal.¶
Al llarg d’aquesta unitat es desenvoluparan competències sobre el desenvolupament i generació de sistemes de compliance penal i antisuborn, principalment seran:
- Identificar riscos penals per a una organització.
- Implantació de mesures d’eliminació o minimització de riscos penals.
- Desenvolupament de sistemes de gestió penal d’acord amb la legislació i la normativa vigent.
- Desenvolupament dels principis bàsics de les organitzacions per compartir el suborn i promoure una cultura empresarial ètica.
En aquesta unitat es desenvoluparan els continguts següents:
- Riscos penals que afecten l’organització.
- Sistemes de gestió de Compliance penal.
- Sistemes de gestió anticorrupció.
1.- Compliment de la responsabilitat penal.**¶
Riscos penals que afecten una organització.¶
Els riscos penals en les organitzacions sorgeixen com a conseqüència de l’incompliment de les lleis aplicables. Una llei es defineix com una norma jurídica dictada per un legislador, en què s’obliga o prohibeix alguna cosa en consonància amb la justícia i l’incompliment de la qual comporta una sanció.
Les possibles sancions que pugui rebre una organització en relació al compliment legal, són riscos que han de ser tinguts en compte per alimentar els sistemes de gestió de compliment, i un dels conceptes inicials necessaris és el coneixement de les lleis aplicables.
El Risc penal està relacionat amb el desenvolupament de conductes que poden ser constitutives de delicte segons el règim de responsabilitat de les persones jurídiques definit en el Codi Penal Espanyol.
Principals lleis d’afectació a les tecnologies d’informació a Espanya.**¶
El Reglament General de Protecció de Dades (RGPD, o GDPR per les seves sigles en anglès) i la Llei Orgànica de Protecció de Dades (LOPD). Són les dues principals normes que vetllen per la privacitat de les dades personals. Totes les empreses les han de tenir en compte i complir-les escrupolosament. Seran explicades detingudament en els següents temes.
Llei de Propietat Intel·lectual (LPI). Protegeix les creacions originals, en qualsevol format i mitjà: enregistraments, emissions de ràdio, etc. S’ha de tenir en compte, però, que no inclou idees, processos ni conceptes de matemàtiques.
Lleis de Propietat Industrial. Similars a l’anterior, però, en aquest cas, destinades a la protecció de dissenys industrials, marques, noms comercials, patents, etc. Són diverses normatives diferents: de marques, de patents...
Llei de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSI-CE). Regula tots els intercanvis comercials realitzats a través d’Internet, establint els requisits que ha de complir qualsevol comerç online.
Reglament Europeu d'Identificació Electrònica i Serveis de Confiança en el Mercat Interior (eIDAS). Té com a objectiu reforçar la seguretat i la confiança de les transaccions electròniques realitzades dins del marc del Mercat Únic Digital Europeu.
Identificació de riscos penals.
Els possibles delictes i sancions que pot rebre una organització, estan estipulats en el codi penal, consultable al BOE a través del seu web.
En el codi penal, s’enumeren els possibles delictes que poden ser comesos per una organització:
Trànsit il·legal d'òrgans.
Tracta d'éssers humans.
Delictes relatius a la prostitució i corrupció de menors.
Delictes contra la intimitat, aplanament informàtic i altres delictes informàtics.
Estafes i fraus.
Frustració a l’execució.
Insolvències punibles.
Danys informàtics.
Delictes contra la propietat intel·lectual i industrial, el mercat i els consumidors.
Blanqueig de capitals.
Finançament il·legal de partits polítics.
Coixí.
Delictes contra la Hisenda Pública i la Seguretat Social.
Delictes contra els drets de ciutadans estrangers.
Delictes de construcció, edificació o urbanització il·legal.
Delictes contra el medi ambient.
Delictes relatius a l’energia nuclear i a les radiacions ionitzants.
Delictes de risc provocat per explosius.
Delictes contra la salut pública.
Falsedat de moneda.
Falsedat en mitjans de pagament.
Tràfic d’influències.
Corrupció de funcionari estranger.
Provocació a la discriminació, odi i la violència.
Finançament del terrorisme.
Contraban.
Relatius a la manipulació genètica.
Alteració de preus en concursos i subhastes públiques.
Negatives a actuacions inspectores.
Contra els drets dels treballadors.
Associació il·lícita.
Organització i grups criminals.
Per a la identificació de riscos penals, s’ha de tenir en compte les activitats realitzades per cada àrea de l’organització. S’ha de realitzar una anàlisi de riscos relacionada amb els delictes que poden ser comesos per cadascuna d’elles, avaluant els impactes possibles en l’organització i tenint en compte la probabilitat de la seva ocurrència en funció del seu negoci.
Així doncs, seguint els exercicis realitzats en les avaluacions de risc, es poden identificar per exemple els següents riscos penals per a una organització en el sector alimentari:
Confederació canària d’empresaris. Riscos penals en el sector alimentari (CC BY-NC-SA)
Per al sector de construcció, per exemple, s’identificaran aquests altres riscos penals per consecució de la següent tipologia de delictes:
Confederació canària d’empresaris.. Riscos penals en el sector construcció (CC BY-NC-SA)
Per saber-ne més
La Confederació Canària d'Empresaris, ha construït dos documents molt detallats sobre el compliance penal i els riscos associats al mateix, és molt recomanable fer-li una ullada a aquests documents ja que amplien la informació proporcionada en la unitat amb un sentit pràctic.
Guia de compliance per a pimes
Passos pràctics per a la implementació d’un sistema de gestió en compliment penal per a pimes
1.1.- Sistemes de gestió de compliance penal.
Introducció als sistemes de gestió de compliance penal.
Un sistema de gestió de compliance penal es tracta d’un conjunt d’elements d’una organització elaborats per concretar i mesurar el nivell d’assoliment d’objectius en matèria de compliment de la legislació vigent, així com les polítiques, processos i procediments per assolir aquests objectius, reduint en conseqüència els riscos penals d’una organització.
jraffin. Presó (Domini públic)
Com en el cas del compliance, hi ha una norma similar per a la construcció d'un sistema de gestió de riscos penals, però, aquesta és una norma específica per a Espanya. Es tracta de la UNE 19601.
La norma UNE 19601 desenvolupa les guies per a la construcció d’un sistema de gestió de riscos penal. És específica i adaptada al codi penal espanyol, segueix la mateixa estructura de sistemes de gestió que qualsevol norma ISO i és certificable.
La certificació d'un sistema de gestió implica una declaració pública d'una entitat de certificació en la qual s'afirma que l'organització ha implantat i està operant un sistema de gestió segons el definit en la norma ISO/UNE oportuna.
El seu objectiu és definir unes directrius que permetin prevenir i reduir els riscos penals en les organitzacions i generar una cultura ètica i respectuosa amb la llei, com a resposta a la Llei Orgànica 1/2015 que estableix les reformes del codi penal i limita en el seu article 31b, la responsabilitat penal de les persones jurídiques en determinades ocasions, sempre que aquestes comptin amb un sistema de gestió de riscos penals.
A diferència de la ISO 37301, la UNE 19601 està enfocada en riscos penals mentre que la ISO fa referència al compliment en general.
Són diversos els beneficis de l’existència d’un sistema de gestió de compliance penal en l’organització, entre ells destaquen:
La demostració dels esforços i compromís de la direcció pel compliment legal.
Millorar la imatge de l’organització davant de tots els elements amb els quals es relaciona.
Millorar la valoració de l’organització davant els reguladors i mitigar les possibles sancions.
Establir una cultura de compliment normatiu entre els integrants de l’organització.
Facilitar les relacions comercials amb tercers que requereixin de garanties de compliment legal en els seus clients i proveïdors.
Sistema de gestió de compliance penal (SGCP) segons l'estàndard UNE 19601
L’elaboració d’un sistema de gestió de compliance penal impliquen el desplegament d’una sèrie de polítiques, procediments i processos. A continuació, es repassen els principals punts requerits, així com la documentació necessària i exemples relacionats en l’elaboració del sistema.
Els principals elements amb els quals ha de comptar un SGCP són:
Demostració de lideratge i cultura de compliment.
Designació de recursos.
Avaluació de riscos.
Implantació de mecanismes de control.
Formació, conscienciació i comunicació.
Monitoratge.
Sistema de denúncies.
Sistema disciplinari.
No obstant això, com qualsevol altre Sistema de Gestió, segueix la mateixa estructura d’altres ja explicats, per la qual cosa s’especificaran únicament els elements específics d’aquest, emplaçant a la unitat anterior, on en els apartats 2.1 i 2.4 s’expliquen detalladament les implicacions de cada epígraf de la norma.
Context de l’organització
Marcin Jozwiak. Fabrica (CC0)
El primer element necessari per desenvolupar un SGCP és el conèixer el context en què funciona l’organització, i obtenir entesa dels objectius que es busquen en desenvolupar el sistema.
Per conèixer el context de l’organització, caldrà desenvolupar un document en el qual es doni resposta a elements bàsics tals com, descripció de la funció de la mateixa, mida en empleats, clients o volum de negoci, estructura organitzativa, ubicacions físiques, activitats i complexitat de l’organització, relació amb funcionaris públics i obligacions legals, contractuals i professionals.
Elements de context intern a tenir en compte:
Cultura de l’organització.
Estructura organitzativa i rols de cada funció.
Normes i objectius, normes, directrius i models adoptats per l’organització, missió, visió i valors de l’organització.
Recursos humans.
Recursos i coneixement.
Recursos financers tecnològics i xarxes.
Governança.
Necessitats i/o expectatives de parts interessades internes.
Elements de context extern a tenir en compte:
Factors legals, reglamentaris, econòmics, financers, socials, culturals, polítics, ambientals o tecnològics.
Nivells de corrupció.
Cultura de compliment.
Entorn regulatori.
Internalització.
Relacions contractuals i compromisos.
Necessitats i/o expectatives de parts interessades externes.
Així mateix, l’organització ha d’identificar les parts interessades o stakeholders de l’organització, essent aquestes definides com les persones o organitzacions afectades o que puguin sentir-se afectades per les activitats i decisions d’una organització. Poden considerar-se com a stakeholders intern, per exemple, els treballadors, sindicats, accionistes, i socis de l’empresa. Així mateix, com a stakeholders externs, els clients, proveïdors, Administracions, Organitzacions Governamentals, Organitzacions Ciutadanes.
Després, un dels elements fonamentals del procés es basa a identificar els interessos de les parts interessades respecte al SGCP, és a dir, entendre que benefici volen obtenir en el desenvolupament del SGCP.
En aquest epígraf també s'establiran elements com la metodologia de gestió de riscos (habitualment basada en ISO 31000), així com l'establiment dels requisits legals de l'organització i el seu nivell d'aversió al risc, és a dir, que nivell de risc considera evitar.
Rebrand Cities. Comitè (Domini públic)
Lideratge de l’organització i cultura de compliment
La següent fase del SGCP consisteix a demostrar el lideratge de l’organització en termes de gestió de compliance penal, així doncs, la norma UNE defineix els deures a assumir per demostrar aquest lideratge i compromís en relació amb el sistema de gestió de compliance, com són:
El deure d’establir i defensar, com un dels valors fonamentals de l’empresa, que les actuacions de tots els membres d’aquesta siguin sempre conformes a l’ordenament jurídic, promovent una cultura de Compliance adequada en el si de la mateixa.
El deure d'aprovar la política de Compliance penal de l'empresa; el que exigeix establir-ne els objectius amb la finalitat d’assolir resultats específics de manera eficaç.
El deure d'adoptar, implementar, mantenir i millorar contínuament un sistema de gestió de Compliance penal idoni per prevenir i detectar delictes o per reduir de forma significativa el risc de la seva comissió; dotant-hi recursos financers, materials i humans adequats i suficients per al seu funcionament eficaç.
L ‘òrgan de govern de l’organització ha de ser formalitzat en un document que reculli els seus principals deures i responsabilitats en termes de compliment, com ara:
Implementar i mantenir un sistema de compliance penal.
Dotar el sistema dels recursos necessaris.
Donar suport i signar la política de compliment penal de l’organització.
Establiment d’una cultura de compliment.
Una de les maneres de generar una cultura de compliment de l’organització és l’establiment d’un codi ètic que serveixi de directriu comportamental per als integrants de l’organització.
El codi ètic ha d’establir la manera com es prenen les decisions en l’organització com es relaciona l’organització amb empleats, accionistes, clients i proveïdors, a més dels valors de l’organització. El codi ètic no té conseqüències en sancions per a l’organització, no obstant això, si resulta obligatori per a l’organització.
El codi ètic ha de recollir els elements següents:
El mecanisme pel qual s’aprova i s’actualitza el document.
La finalitat.
En àmbit d’aplicació.
Els valors corporatius i els principis de comportament.
Les pautes de conducta.
El seguiment, control i sanció.
La comunicació, difusió, la formació i l’avaluació.
L’actualització i acceptació.
Per saber-ne més
A continuació, es presenten exemples d’organitzacions que han publicat els seus codis ètics:
Designació de recursos
La designació de recursos consisteix a determinar i proporcionar els recursos necessaris per a la implementació i operació del sistema de gestió de compliance penal. Aquests recursos no seran només financers, també s’han de proporcionar recursos humans amb competències específiques en compliance i recursos financers i tecnològics per a la implementació d’accions en el sistema tals com plans de formació, accions de comunicació i en general accions de reducció de riscos o consecució d’objectius del sistema.
Com a part de la dotació dels recursos necessaris, l’òrgan de govern ha de designar un òrgan de compliance penal, que s’encarregui principalment de:
Impulsar i supervisar la implementació i eficàcia del sistema de gestió de compliance penal.
Assegurar que es proporciona la formació contínua.
Emetre un document que reculli expressament les activitats i delictes associats, si no és recollit dins la política de compliance penal.
Contribuir a la identificació de les obligacions de compliance penal.
Col·laborar perquè les obligacions de compliance penal es tradueixin en polítiques, procediments i processos viables o que s'integrin en les polítiques, procediments i processos existents.
Promoure la inclusió de les responsabilitats de compliance penal en les descripcions dels llocs de treball i en els processos de gestió d’acompliment.
Posar en marxa un sistema d’informació i documentació de compliance penal.
Adoptar i implementar processos per gestionar la informació.
Establir indicadors d’acompliment de compliance penal, mesurant-lo i anant-lo per identificar les accions correctives necessàries.
Identificar i gestionar els riscos penals, inclosos els relacionats amb els socis de negoci.
Assegurar que el sistema de compliance penal es revisa a intervals planificats.
Assegurar que es proporciona als empleats accés als recursos de compliance.
Proporcionar assessorament objectiu a l’empresa en matèries relacionades amb compliance.
Un altre dels elements requerits per a l’evidència del suport i compromís per part de la direcció és la definició d’una política de compliment penal. Aquesta, serà l’element base del SGCP, en ella s’hauran de definir les funcions i responsabilitats de tots els integrants de l’organització per vigilar el compliment, així com les mesures de control intern per detectar i prevenir possibles incompliments.
089photoshootings. Equip de compliance penal (Domini públic)
Els principals aspectes a incloure en aquest document són els següents:
Finalitat de la Política de Compliance Penal.
Defensa d’un sistema de gestió a Compliance Penal.
Característiques del sistema de gestió en Compliance Penal.
Ratificar el compromís del compliment.
Situar el compliment normatiu penal com a part fonamental de l’activitat empresarial.
Assignar el rol de responsable del compliment.
Valorar els riscos associats a les activitats desenvolupades.
Definir el pla d’acció per mitigar els riscos.
Establir plans de formació.
Establir un canal de denúncies dins de l’organització.
Definir un sistema d’auditoria intern.
Establir sancions per incompliments.
La política de compliance penal de l’organització ha d’estar publicada per a tots els membres de la mateixa, així com per a tots els tercers relacionats.
Per saber-ne més
No obstant això, hi ha organitzacions que publiquen les seves polítiques de gestió de compliance, en les següents línies, es proposen tres exemples de polítiques publicades per tres organitzacions de tres sectors diferents:
Política de compliance penal d'Alsa
Política de compliance penal de Caixa Popular
Política de compliment penal de la mutualitat de l’advocacia
Anàlisi de risc i planificació
El següent element del SGCP es basa en l’anàlisi de riscos penals que està suportant l’organització. Per a això, s’han de considerar els diferents processos de negoci de l’organització i identificar els possibles riscos per incompliment i els delictes tipificats en el codi penal i detallats en la unitat 3.1 sobre riscos penals.
A continuació, es presenta un exemple de possibles delictes sobre una organització que estan recollits en el codi penal:
World Compliance Association. Llistat de delictes (CC BY-NC-SA)
Els delictes han estat identificats en relació a la seva exposició a les diferents àrees de negoci dins de l'organització.
Per cadascun dels delictes penals identificat, s’ha d’avaluar el risc associat. Per a això utilitzarem la mateixa metodologia explicada en la unitat anterior, avaluant l’impacte i la probabilitat d’ocurrència en l’organització.
En relació al mesurament, es presenta la taula d’impacte:
World Compliance Association. Taula d'Impactes (CC BY-NC-SA)
I la taula de probabilitat:
World Compliance Association. Taula de Probabilitat (CC BY-NC-SA)
El risc està definit pel producte de l’impacte per la probabilitat d’ocurrència, essent en aquest cas un nombre entre l’1 i el 16, si prenem com a exemple els valors de les dues taules anteriors.
Així doncs, podem establir una referència automatitzada per al tractament de riscos, si assignem valors a les següents opcions de tractament:
World Compliance Association. Taula de tractament (CC BY-NC-SA)
Prenent l'exemple, podem fer una referència establint valors forquilla:
Entre els valors 1 i 4 l'opció referència serà trivial (T)
Entre els valors 5 a 8 l'opció de referència serà tolerable (TO)
Entre els valors 9 a 11 l'opció de referència serà moderat (M)
Entre els valors 12 a 14 l'opció de referència serà important (I)
Entre els valors 15 i 16 l'opció de reverència serà intolerable (IN)
I en funció a aquesta classificació s'establirà llavors l'opció preferida de tractament, com hem vist en la unitat anterior, consisteix principalment en Acceptar, Mitigar, Evitar/Eliminar o Transferir el risc.
Els plans d’acció resultants del SGCP donaran resposta als riscos identificats, no obstant això, a l’hora de dissenyar-los, també s’han de tenir en compte els objectius de l’organització, que han d’estar alineats amb els requisits establerts per les parts interessades en l’epígraf de context de l’organització i ser mesurables, seguibles i comunicats.
Mesures per reduir o mitigar el risc penal
L’organització pot establir controls per mitigar el risc penal, la norma UNE 19601 estableix grups de controls com poden ser controls financers i controls no financers. A continuació, es presenta un llistat de mesures preventives que permeten reduir els riscos penals:
Construcció d’un sistema de gestió de risc penal.
Definició de polítiques de compliment penal.
Establiment de processos de diligència deguda amb tercers.
Incentius i mesures disciplinàries amb empleats.
Proporcionar formació, comunicació i conscienciació als empleats.
Desplegament d’un canal de denúncies.
Execució d’auditories internes i externes de compliment.
Delimitació de llocs de treball i funcions dins de l’organització.
Existència de polítiques de segregació de funcions.
Aprovació de transaccions per diferents integrants de l’organització.
Formació i comunicació en compliance
Un dels elements principals del sistema de gestió és la formació i comunicació en compliance. L’organització ha d’establir un pla formatiu perquè tots els integrants d’aquesta siguin conscients de les seves funcions i obligacions i riscos existents en l’organització respecte al compliance penal.
Jerrykimbrel10. Formació (Domini públic)
La formació i comunicació pot ser un element més de demostració del lideratge dels comitès de direcció de l’organització, aquesta formació ha d’estar recolzada i promoguda per la direcció de l’organització.
Pel que fa als continguts dels plans de formació, n’hi ha alguns, que són d’obligat compliment com poden ser el blanqueig de capitals o el finançament del terrorisme, no obstant això, un bon programa de formació de compliance penal ha de cobrir els aspectes següents:
Obligacions i riscos dels integrants de l’organització en relació a l’activitat que exerceixen en l’organització i el seu nivell de responsabilitat.
Cobrir les necessitats de formació d’un empleat en el seu començament en l’organització per després realitzar activitats formatives recurrents.
Establir punts de referència de l’organització sobre el compliment penal, és a dir, quina és la posició de l’organització respecte al compliment legal.
Ser rellevants per a la funció dels empleats, resultant més complets i extensos en aquells empleats que exerceixin funcions amb un major nivell de risc penal i incloent contingut tal com codi de conducta ètic, governança i gestió del risc, responsabilitat econòmica i penal i prevenció penal.
Adaptar-se a modalitats presencial i remota.
Revisar-se i actualitzar-se periòdicament per cobrir nous requisits legals.
Han de recollir la normativa legal i sectorial més rellevant.
Han de posar a prova els coneixements dels integrants de l’organització.
Han de permetre establir noves accions formatives en funció dels resultats de les proves de coneixement als integrants de l’organització.
Han de permetre guardar el registre de les accions formatives realitzades per cada empleat.
A més del pla de formació, s’ha d’establir una estratègia de comunicació per a tots els elements relacionats amb el sistema de gestió del compliance penal. El pla de comunicació ha d’incloure elements com:
Contingut de la comunicació (que s'ha de comunicar).
Quan s'ha de comunicar (davant que esdeveniments, o amb quina freqüència).
Receptor del missatge (a que persones, col·lectius o entitats va destinat el missatge).
Canal (presencial, mail, telèfon, nota de premsa...).
Origen de la comunicació (que persona, departament o rol dins de l'organització ha d'enviar la comunicació).
Registre lingüístic de la comunicació (formal, informal, tècnic o no).
Monitoratge del funcionament del sistema de gestió de compliance
El sistema de gestió de compliance penal ha de ser revisat, supervisat i monitoritzat durant la seva operació, per modificar-lo i actualitzar-lo en cas de ser necessari.
En línia amb la definició de sistema de gestió, la conseqüència del desplegament del mateix és l’establiment de polítiques, procediments i processos en l’organització.
Qualsevol informació sobre les iniciatives i processos existents són útils per al seu seguiment és utilitzada per al seu monitoratge. La supervisió d’aquesta informació és una de les funcions de l’òrgan de supervisió de compliance.
Els processos desplegats poden ser monitoritzats a través de l’establiment de mètriques que permetin determinar-ne l’evolució i el correcte funcionament. A continuació, es presenten una sèrie d’exemples sobre possibles mètriques de compliance penal a generar en una organització:
Nombre i tipus de denúncies.
Nombre i tipus de delictes confirmats.
Modificacions introduïdes en els controls.
Anàlisi dels factors interns i externs.
Arielrobin
(Domini públic)
Accions d’informació i formació.
Anàlisi dels plans d’acció.
Objectius complerts i els pendents de complir.
Nombre i tipus de denúncies.
Nombre i tipus de delictes confirmats.
Modificacions introduïdes en els controls.
Anàlisi dels factors interns i externs.
Accions d’informació i formació.
Anàlisi i creació de nous plans d’acció per a l’any següent.
Objectius complerts i els pendents de complir.
Objectius complerts.
Avaluació del Manual de Compliance.
Debilitats detectades al Manual de Compliance.
Propostes d’accions informatives i de formació en matèria de compliment normatiu.
Departaments amb més risc.
Mesures disciplinàries aplicades.
Incompliment codi ètic
Pel que fa a les iniciatives dins del sistema de gestió de compliance, caldrà fer un seguiment del seu estat, recursos financers i temps invertit, i elements pendents. En funció de l’estat d’aquests es prendran decisions, per exemple, sobre l’obertura de noves iniciatives o bé sobre la priorització de les iniciatives en curs per al seu tancament, que influeix en l’estat del sistema de gestió.
Un altre dels elements específics de la norma és l’habilitació d’un canal de denúncies per a la comunicació d’activitats sospitoses dins de l’organització, que puguin ser notificades de manera anònima pels integrants de l’organització, i siguin susceptibles de ser investigades per l’òrgan de supervisió de compliance corporatiu. Aquest canal de denúncies ha de complir amb els requisits següents:
Estar disponible tant per als components interns de l'organització com per a ens externs a ella (personal subcontractat, proveïdors, clients...).
Permetre la comunicació mantenint l’anonimat del denunciant.
Evitar represàlies dels individus que utilitzin el canal de denúncies.
Facilitar l’assessorament davant qualsevol persona que utilitzi el canal de denúncies per a dubtes sobre el compliment relacionades amb qualsevol activitat.
S’ha de garantir que els membres de l’organització coneixen els canals de denúncies habilitats, a més, se n’ha de fomentar l’ús.
kindelmedia. Sanció (Domini públic)
Finalment, com a element diferenciador dels SGCP, s’ha de comptar amb un règim sancionador informat als integrants de l’organització en el qual es puguin determinar les conseqüències que pot tenir un incompliment del sistema les conseqüències del qual puguin suposar un risc penal per a l’organització. El règim sancionador ha de comptar amb els elements següents:
Classificació de les sancions, establint nivells en funció de les conseqüències puguin comportar per a l’organització, per exemple, infraccions lleus, greus o molt greus.
Conseqüències d’incórrer en les sancions anteriors, com, per exemple, amonestació verbal per a les sancions breus fins a la suspensió de sou i feina per períodes de temps per a les sancions més greus i fins i tot la rescissió de la relació laboral amb l’empleat.
Procediment d’actuació que inclogui tots els passos per a la seva classificació, sanció, comunicació i resposta.
Els epígrafs 9 i 10 fan referència a les activitats d’auditoria i millora contínua, i no es diferencien en gaire a altres sistemes de gestió com els ja explicats en el tema anterior.
Autoavaluació
Pregunta
Acme compta amb un total de 50 MHz d'espectre de senyal adquirit per a les comunicacions dels telèfons mòbils dels seus clients. Com més baixa sigui la freqüència del senyal, més penetració té en els edificis, per la qual cosa estan pensant utilitzar 2 MHz no adquirits per la franja inferior, que saben que avui dia no estan sent utilitzats.
Les auditories de radiofreqüències no solen ser gaire habituals, però si es fa almenys una vegada a l'any.
Les sancions que pot ocasionar aquesta situació poden ser molt greus i fins i tot implicar la retirada de la llicència d’operador de telecomunicacions.
Tenint en compte aquesta situació Quina decisió seria la més raonable?
Respostes
Opció 1
Assumir. Només són 2 MHz, a penes imperceptible i no causa molèstia.
Opció 2
Eliminar. Es limitaran a emetre en les freqüències adquirides.
Opció 3
Mitigar. Es limitaran a emetre unicament 1 MHz fora de les freqüències adquirides.
Retroalimentació
1.2.- Sistema de Gestió Antisuborn i Anticorrupció.
Sistemes de gestió antisuborn i anticorrupció
Sistemes de gestió antisuborn
El suborn consisteix en una oferta, promesa, lliurament, acceptació o sol·licitud d'un avantatge indegut de qualsevol valor, en violació de la llei aplicable, com a incentiu o recompensa perquè una persona actuï o deixi d'actuar en relació les obligacions d'aquesta persona.
El suborn és un de les formes de corrupció més habituals. Les organitzacions han d’establir mesures passa la prevenció del suborn a través d’una cultura d’integritat, transparència, compliment i lluita contra la corrupció.
La norma ISO 37001 s’ha creat per al desenvolupament de guies que permetin prevenir, detectar i gestionar conductes delictives de suborn, complint amb la legislació. És una norma certificable.
La norma ISO 37001 vs la norma UNE 19601
DS-foto. Situacions relacionades amb suborns (Domini públic)
La norma ISO 37001 és un sistema de gestió que s’entén com una guia en matèria de prevenció de la corrupció, essent aquest un subconjunt dels possibles delictes en l’abast de la UNE 19601, essent aquest un estàndard nacional espanyol. La implantació qualsevol dels dos sistemes de gestió no suposa en si mateix un eximent en cas que l’organització incorri en un delicte ja sigui de suborn, corrupció o qualsevol dels recollits en el codi penal, i que podrien estar ja registrats en l’anàlisi de riscos de la matriu del sistema de gestió de compliance penal, no obstant això, si pot suposar un criteri per a la limitació de la responsabilitat de l’organització, sempre que se segueixi i s’operi de manera diligent el sistema de gestió.
La ISO 37001 és una cosa més exigent en matèria de corrupció i delictes anti suborn que la UNE 19601, no obstant, si l’organització ja disposa d’un sistema de gestió basat en la UNE, serà suficient amb revisar les polítiques, protocols i controls establerts per adaptar-los al delicte de suborn.
Per a això, els principals passos haurien de ser:
Modificar el mapa de riscos de l’organització per incloure els riscos de suborn i corrupció.
Revisar l’abast del sistema de gestió per verificar que es manté igual o s’inclouen noves línies de negoci exposades a riscos de suborn i corrupció.
Generació de la documentació que evidenciï la gestió del risc de suborn i els objectius per desenvolupar i implementar un sistema anti suborn, essent aquests, per exemple, polítiques antisuborn, (el contingut de les quals pot ser afegit a la política de compliance penal), assignació de recursos específics per a les iniciatives anti corrupció i suborn.
Revisar les parts interessades i avaluar si es mantenen respecte al sistema de gestió de compliance penal o s’inclouen nous actors com ara socis, proveïdors, clients o ens del sector públic que permetin obtenir llicències o participar en concursos.
Definir processos de deguda diligència per als socis i entitats relacionades que incloguin elements de control anti corrupció i suborn com ara codis ètics, controls financers (aprovació de pagaments, limitació d'efectiu, mancomunitat, justificació de pagaments...); control de pagaments; control de regals rebuts (crear bossa comuna i repartiment o sorteig entre els empleats).
Sistemes de gestió antisuborn amb ISO 37001
Els requisits documentals de la norma ISO 37001 són els següents:
Existència d’una política antisuborn que prohibeixi el suborn.
L’expressió de lideratge, compromís i responsabilitat.
Comunicació de la política als empleats, els socis comercials i altres parts interessades.
Nomenament d’un responsable per supervisar el programa.
Controls de personal i formació.
Avaluacions periòdiques del risc de suborn al qual està exposada l’organització.
Avaluacions de deguda diligència en projectes, socis comercials i proveïdors.
Implementació de controls antisuborn.
Implementació de controls financers i no financers apropiats per prevenir el risc de suborn.
Informes, monitoratge, investigació i auditoria.
Acció correctiva i millora contínua.
Controls antisuborn:
WiR_Pixs. Mascaretes i bitllets (Domini públic)
-
Deguda diligència: procés per avaluar amb major detall la naturalesa i abast del risc de suborn i ajudar les organitzacions a prendre decisions en relació amb transaccions, projectes, activitats, socis de negocis i personal específics.
-
Exemples: Anàlisi de conducta de tercers, anàlisi de reputació, antecedents...
-
Control Financer: per gestionar les seves transaccions financeres correctament i per registrar aquestes transaccions amb precisió, de forma completa i de manera oportuna.
-
Exemples: Aprovacions de transaccions en funció del seu volum, segregació de funcions, rotació de personal.
-
Control No Financer: per ajudar a assegurar que els aspectes comercials, els relatius a les compres, operacions i altres aspectes no financers, relacionats amb les seves activitats, es gestionen de forma apropiada.
-
Exemples: Publicació de licitacions, avaluació per diverses persones, formació anticorrupció.
-
Control de Regals, atencions, donacions i beneficis similars: Existència de polítiques d’acceptació de regals o similars. Registre de regals rebuts, establiment de límits, quanties... Control de regals rebuts (crear bossa comuna i repartiment o sorteig entre els empleats).
-
Procés de Contractació de personal: Investigació d’antecedents si fos possible durant la contractació del personal, comunicació de les polítiques de suborn, formació i conscienciació.
A continuació, es proposen dos exemples de manuals de sistemes de gestió antisuborn:
-
Política antisuborn de T-Systems Mèxic:
-
Portal Antisuborn del Programa nacional d’infraestructura educativa de Perú, amb informació detallada del sistema de gestió antisuborn:
A3.- Continguts Addicionals
Implantació de sistemes de compliment penal per a pimes - Confederació Canària d'Empresaris:
Sistemes de gestió de compliment penal - sodercan: Societat per al desenvolupament regional de Cantàbria:
Manual del sistema de gestió de risc penal de Red Eléctrica de España (REE)
Sistema de gestió de risc penal i antisuborn del grup itinere.
Articles sobre la ISO 37301i la ISO 37001
IDBO compliance - La norma ISO 37301
Associació Espanyola de Compliance- Identificar riscos penals
Associació Espanyola de Normalització (AENOR) - Certificació antisuborn ISO 37001
International Organization for Standarization ( ISO) - Extracte de norma ISO 37001
SIGE - ISO 37001 Sistema de gestió antisuborn
TUV - Implantació d'un sistema antisuborn basat en ISO 37001
Isotools - Que suposa la ISO 37001 en la lluita contra el frau?
Compliance antisuborn:
Els controls financers en un sistema antisuborn: Article
Norma ISO 37001: Enllaç
Global trust association - Principals controls antisuborn