¿De dónde surge la necesidad de utilizar herramientas de Compliance?

 Descubrí el Compliance al ser publicada la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Para muchos, yo llegaba tarde, yo creo que era el momento adecuado.

Como se ha dicho, el Compliance había llegado para quedarse, a través del Código Penal, sí, sabiendo de sobras que no es el instrumento más adecuado, sí, pero ha llegado para quedarse.
A partir de aquí se ha abierto un abanico de nuevas profesiones, o profesiones que ya existían pero que no tenían la repercusión que hoy tienen, como la de Compliance Officer, la del consultor que implementa sistema de prevención de delitos en las empresas, la de Auditor de Compliance, etc.

La Responsabilidad Penal de las Personas Jurídicas ha tenido influencia en varios sectores como se puede comprobar y uno, donde la influencia ha sido significativa es el mundo tecnológico, el mundo informático u ofimático, las TICS, de tal manera que hoy día existen varias herramientas que ayudan y digo ayudan, nunca sustituyen, la labor de la persona que se dedica al Compliance.

A finales del año 2.015 y principios del año 2.016, fueron pocas las empresas que desarrollaron herramientas de Compliance, o aplicaciones para el Compliance, pero como no podía ser de otra manera, hoy día existen una multitud de ofertas de estas herramientas.

Las herramientas de Compliance básicamente se dividen en dos planos o sectores, aquellas que ayudan a implantar un Sistema de Prevención de Delitos, también llamados de diversas maneras, Sistema de Gestión de Compliance, Programas de Compliance Penal, Programas de Cumplimiento Normativo o Compliance, Modelo de Prevención de Riesgos Penales, Corporate Compliance, etc. y que, una vez implantados ayudan a gestionar y mejorar este sistema; y por otro lado, nos encontramos los canales de denuncia, integrados en estos soportes informáticos o individualizados como herramienta propia o autónoma.

La existencia de aplicaciones o herramientas informáticas viene siendo no una recomendación, sino una exigencia para determinados tipos de empresa, según la propia Fiscalía General de Estado, pues en su Circular 1/2016 de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Pena efectuada por la Ley Orgánica 1/2015, nos dice:

“En las empresas de cierto tamaño, es importante la existencia de aplicaciones informáticas que controlen con la máxima exhaustividad los procesos internos de negocio de la empresa. En general, pues depende del tamaño de la empresa, ningún programa de compliance puede considerarse efectivo si la aplicación central de la compañía no es mínimamente robusta y ha sido debidamente auditada.”

En mi opinión la utilización de aplicaciones informáticas es esencial para el buen desarrollo de un Sistema de Prevención de Delitos, máxime si quieres conseguir una certificación de la UNE 19.601.

Y esto es así porque las aplicaciones informáticas cuentan con una serie de características que las hacen óptimas, pues son asépticas, es decir, no entienden de subjetividades y, por tanto, facilitan la identificación de situaciones de riesgo, siempre al margen las interpretaciones de los actores, pero añadiría, con el necesario punto de vista subjetivo del experto en Compliance que la está utilizando. Por otro lado nos ayuda enormemente al almacenar la información de forma normalizada, permitiendo la integridad y la trazabilidad del modelo de gestión; también permite facilitar la explotación de los datos, identificar la información de forma precisa y facilita el reporte a los órganos de gobierno; permite garantizar que cada uno de los actores en el programa Compliance actúe acorde al rol que se le ha asignado en el mismo; y, por último, permiten la ejecución de forma automática o semiautomática de algunas de las tareas de control, como evaluaciones periódicas, actualizaciones de los modelos, seguimiento, etc. Siendo para mi uno de los puntos más importantes y que no existe en todas las aplicaciones informáticas de Compliance, que éstas permitan el sellado del tiempo, pieza fundamental sobre todo a la hora de aportar evidencias en un juico.

Algunas aplicaciones informáticas permiten integrar en la misma el preceptivo canal de denuncias, asegurando tanto la universalidad del acceso como el anonimato del denunciante. Particularmente, en este punto discrepo, yo soy partidario de la creación o externalización del canal de denuncias, incluyendo la investigación, creando así una objetivación, tanto de la propia denuncia como del proceso de investigación necesaria que a su vez consigue crear más confianza en el denunciante y, por tanto, creando también más posibilidad de la necesaria utilización de este canal.

Algunos ejemplos de Herramientas de Compliance: de aplicaciones informáticas a plataformas de canales de denuncia

Muchas son las aplicaciones informáticas que te permiten implementar y gestionar un Sistema de Prevención de Delitos, aquí, sin ánimo de ser exhaustivo, indicaremos unas cuantas que hemos tenido la oportunidad de analizar, destacando, con leves pinceladas, sus características, algunas obtenidas de su propia web, esperando que, después cada uno pueda y sepa elegir, con un análisis más profundo, la que más se adapte a la manera que cada persona tiene de trabajar y desarrollar el Compliance:

• E-Cas: es una plataforma iCloud que está desarrollada por un conjunto de soluciones que permite la implementación, automatización, gestión continua, monitorización de Análisis y Gestión de Riesgos penales y generales. Una aplicación en la nube basada en la norma UNE 19601, construida para ayudar a los sus clientes a cumplir el «debido control» sobre sus directivos, empleados y colaboradores, de forma que se pueda establecer un programa de prevención de delitos.

• Compass: para la gestión del cumplimiento normativo en los ámbitos tanto de privacidad y protección de datos como en la prevención de la responsabilidad penal de la persona jurídica. Es escalable y multiempresa. Además, se adapta a las características, sector y actividades de cada organización, permitiendo conocer en todo momento a través de su cuadro de mando el nivel de riesgo y el grado de cumplimiento de la empresa.

• Sandas GRC (Gobierno, Riesgos y Cumplimiento): permite a las organizaciones soportar su estrategia de negocio, mejorar el desempeño operativo, mitigar los riegos operacionales y asegurar el cumplimiento regulatorio. Es el complemento perfecto con el que podrás crear un programa de gobierno, gestión de riesgos y cumplimiento efectivo de la seguridad de la información de tu organización.

• Checkpoint Compliance: un servicio de diagnóstico y documentación que facilita al Compliance Officer, gestión y supervisión de los potenciales riesgos a los que pueda estar expuesta la empresa. Permite conocer el grado de asunción de la cultura Compliance de las diferentes empresas.

• Krio: es una herramienta GRC que permite evaluar, analizar, tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales, medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización. Destinada a gestionar por completo un proceso de identificación, evaluación y tratamiento del riesgo según la metodología establecida en la norma internacional ISO 31000, permite además realizar el seguimiento de objetivos y niveles de Compliance de los diversos sistemas de gestión implantados en una entidad.

• Compliance Penal: una aplicación online práctica para la implantación, vigilancia y control de un programa de Compliance, sigue las directrices de la Fiscalía General del Estado y que se basa en la UNE 19601 como modelo. En esta aplicación podrás encontrar funciones como cuestionarios de riesgos, valoración de riesgos detectados, automatización de tareas y procesos, generación automática de informes, etc.

• Innova CMS: es una solución para gestionar de manera integral la implantación y el mantenimiento del programa de cumplimiento de una organización. Identifica y controla las obligaciones legales y compromisos éticos que las empresas deben cumplir y los riesgos que estos llevan asociados, estableciendo propietarios y responsables del cumplimiento de cada requerimiento, así como un sistema matricial de asignación de niveles de riesgos asociados, en términos de probabilidad e impacto. Desarrollado siguiendo el estándar internacional de guía para los sistemas de gestión del cumplimiento (Compliance Management Systems, CMS. Guidelines, ISO 19600:2014).

• Global Suite Compliance: Es una herramienta para la gestión del cumplimiento legal, contractual y normativo. Es utilizada para establecer planes de adecuación a los requisitos establecidos automáticamente, realizar GAP Analysis contra cualquier marco normativos, etc.

• Complylaw: es la herramienta web que permite de forma sencilla identificar los riesgos asociados al incumplimiento de la normativa penal y su gestión, minimizando el impacto de los riesgos penales derivados del incumplimiento ante inspecciones o denuncias, sirviendo como prueba atenuante o, incluso, eximente. Adaptada a UNE 19601 por la que se establecen los requisitos para implantar, mantener y mejorar continuamente un sistema de gestión de Compliance penal en las organizaciones. Dispondrás de un sistema de gestión de las evidencias en las fases de identificación y gestión de riesgos, y en los controles de seguridad o tareas que implementes para mitigar el riesgo. De esta forma quedará constancia de las acciones realizadas y la trazabilidad de estas (Metodología P|D|C|A).

• Compliancers: está diseñado como herramienta de ayuda para abogados y consultores que deseen implementar un modelo de Compliance a la PYME española. Gestiona un administrador de flujos que opera sobre 33 tipos delictivos a partir de cada uno de los departamentos en que esté configurado el organigrama de la empresa. Aporta método y procedimientos de trabajo alineados con las directrices de la UNE-ISO 19600 y 19601.

Como ya dije anteriormente, la elección ha de ser individualizada y personal de cada uno, sólo me atrevería a dar un consejo: mirad y comprobad que la aplicación conste de sellado del tiempo de los documentos que genera la aplicación, que hará que éstos no puedan ser manipulados y será una prueba fundamental si se ha de ir a juicio, corroborando, además, el grado de cultura de Compliance de la empresa.

Existen otras aplicaciones informáticas, que no englobando todo el Sistema de Prevención de Delitos, sí ayudan a la implementación de los mismos de manera separada, pero muy útil también, como son, por ejemplo:

• Los Check-list digitalizados en la evaluación de riesgos penales, o a través de medios informáticos, supone una importante ayuda a la hora de elaborar el mapa de riesgos penales. A través de determinados programas de software especializado, los profesionales de la empresa contestan una serie de cuestionarios que arrojan los resultados de dicha evaluación. La metodología es sencilla, primero se contesta un check-list general que contiene el listado numerus clausus del CP proveniente del art 31 bis del CP y, en función de las respuestas, se abren cuestionarios particulares de cada uno de los delitos para proceder a la cuantificación del riesgo penal en cada empresa.

• Formación on-line de los profesionales de la empresa. La formación de los profesionales (tanto empleados como directivos) resulta un elemento fundamental de los programas de cumplimiento penal, nos da un gran indicador de la cultura de la empresa, de nada sirve contar con un código ético si no es conocido por sus destinatarios. Tradicionalmente, la formación se ha realizado de modo presencial, particularmente en empresas con una sola sede o PYMES. Sin embargo, debido al perfil deslocalizado e incluso transnacional de las empresas deviene que el sistema presencial hoy día quede obsoleto. Así, se puede conseguir, vía online, una formación tanto teórica como práctica, en materia de cumplimiento normativo y así proceder a la cuantificación del riesgo penal. Habrá que añadirse también la formación vía aplicaciones y vídeos explicativos que cada día ayudan a formar a más personas en el conocimiento del cumplimiento normativo.

• La digitalización del canal de denuncias. Hoy día, es claro que los buzones de quejas tradicionales custodiados bajo llave por el empresario se han convertido en herramientas completamente inútiles o como poco inadecuadas. Un buen Sistema de Gestión de Prevención de Delitos necesita canales seguros en los que los trabajadores puedan reportar denuncias internas sin miedo a sufrir ningún tipo de represalias. Por ello, hoy en día se recomienda utilizar canales de denuncias digitalizados y externalizados, que puedan suponer una mayor garantía de confidencialidad, tal y como incluso reconoce la Fiscalía en la Circular 1/2016.

En este punto me gustaría mencionar un par de Webs que gestionan canales de denuncia:

• Canal de denuncias IDBO: es un canal de denuncias externalizado, es un servicio externo a la empresa de recepción y gestión de las denuncias realizadas por los empleados, proveedores, clientes, y cualquier otra persona que tenga alguna relación con su empresa. Se dispone de una dirección Web Pública con certificado de seguridad extendido EV-SSL para la recepción de las denuncias. El Canal de Denuncias se encuentran alojados en nuestros servidores de Alemania, cumpliendo los más estrictos controles de seguridad física y lógica. Una vez comprobada la veracidad de la denuncia será tramitada de forma totalmente anónima, imposibilitando la identificación del denunciante.

• CANAL DENUNCIAS a través de M2 Compliance: ofrece un servicio de gestión externa de canal de denuncias que puede incorporarse al programa de cumplimiento adoptado por la empresa, ayudando a crear una cultura ética en el seno de la organización y facilitando la vigilancia y control en materia de lucha contra la corrupción y prevención de delitos. Dispone de una completa plataforma de gestión, basada en la aplicación informática M2 COMPLIANCE, que permite la comunicación de irregularidades, incumplimientos del código ético e infracciones legales, y establece un adecuado tratamiento de la información de una forma legal y segura, contribuyendo de forma eficiente a la exención o atenuación de la Responsabilidad Penal de la Persona Jurídica. Actúa en sintonía con las obligaciones, recomendaciones y directrices anticorrupción emitidas por organismos internacionales, como la OCDE, ONU, Transparencia Internacional, NORMA ISO 19600, etc.

• Los sistemas de Investigación-“forensic”. En caso de que la empresa deba realizar una investigación interna para la neutralización o descubrimiento del autor material de un hecho delictivo, es necesario el examen de abundante información. Para ello, especialmente aquella almacenada en equipos informáticos o en servidores externos (incluso en las denominadas “nubes”) a día de hoy es imprescindible contar con software y personas especializadas en esta materia. Ante esta nueva necesidad, han surgido departamentos de “forensic” en grandes despachos o incluso empresas especializadas en esta actividad. *1 Información basada en el artículo “El uso de las TICS en los programas de cumplimiento penal (compliance). Jordi Gimeno Beviá, Prof. Dr. Derecho Procesal UCLM

Como punto final y conclusión, se ha de decir que se hace imprescindible, hoy en día, la utilización de las nuevas tecnologías en Compliance, tanto para lograr un control e implementación realmente efectivos de los Sistemas de Gestión de Prevención de Delitos, como para lograr una adecuada defensa penal preventiva, pero no vale cualquier aplicación, y jamás ésta podrá sustituir el conocimiento y la experiencia de un profesional en Compliance.