Bernard Cortijo

Compliance y seguridad

195
Bernard Cortijo, primero por la derecha.

            ¿Qué es Compliance? No estamos hablando de ninguna moda entre las actividades de las empresas, esto es una realidad que no solo está vinculada al mero cumplimiento normativo, a fin de evitar una sanción o multa, sino que puede llevarnos a la pérdida de confianza de clientes, pérdida de reputación, a una crisis económica, al decrecimiento exponencial de las ventas, pérdida de proveedores adecuados, salida de cotización, responsabilidades millonarias o, a nivel personal, salida del consejo de administración, responsabilidades personales o la cárcel.

Compliance es cumplimiento, actividades relacionadas con este cumplimiento, procesos internos para verificarlo, procedimientos que nos permiten identificar claramente los riesgos, tanto desde un punto de vista operativo como desde un punto de vista legal o normativo. También incluye las acciones y mecanismos para anticiparnos a esos riesgos identificados y realizar prevención, gestionarlos, limitarlos y reaccionar ante ellos.

Por lo tanto, tenemos obligaciones de cumplimiento. Podemos pensar que esto no es una novedad, siempre las ha habido. Y tendríamos razón, si bien es cierto que la propia norma nos cuestiona las medidas preventivas y sobre todo si no las hubiera.

El cumplimiento normativo incluye las leyes, las normativas que podemos denominar de carácter oficial e incluso las políticas internas, e incluso las autorregulaciones.

Estas normas pueden ser de carácter penal, las leyes criminales de los respectivos países, delitos y ciberdelitos, económico-financieras y blanqueo de capitales, protección de datos, personales y propietarios, de funcionamiento operativo, científicas o de funcionamiento, entre otras.

En una parte importante de los casos, la seguridad está muy relacionada con el cumplimiento, bien de manera directa como normativa, o como medidas para conseguir el cumplimiento o para controlar y verificar el mismo. Veremos la importancia de las medidas tecnológicas en este proceso y también veremos el propio Compliance tecnológico.

Compliance criminal penal

Vamos a profundizar más en el cumplimiento de las normas penales. Son muchas las acciones delictivas y los tipos penales que pueden cometerse en el entorno de una empresa, pero lo primero es considerar que además una persona jurídica puede cometer esas actividades delictivas, si bien es cierto que serán además personas de la sociedad las que tengan que sufrir directamente las consecuencias de esas infracciones penales cometidas por la compañía o por algún empleado.

Lo importante para evitarlo consiste en hacer todo lo posible para que esto no suceda. Lo que pase después en este caso ya tiene unas consecuencias muy diferentes.

Bernard Cortijo, CEO Dacor Intelligence

Medidas: Modelo de Prevención y Control

Es necesario pues establecer modelos de cumplimento, y ya el código penal de 2015 establece contenidos de estos. Los modelos de organización y control con medidas de vigilancia pueden eximir de responsabilidad. Posteriomente, se incluye el concepto ya tan manido de “Cultura de Cumplimiento”.

La metodología utilizada para un modelo de cumplimiento penal es totalmente utilizable para el modelo de cumplimiento de carácter más general.

Este modelo de prevención debe incluir al menos:

Un Mapa de Riesgos, valorando las actividades en las que la empresa tiene un alto/medio/bajo riesgo de que se cometan determinadas acciones delictivas.

Establecimiento de un Protocolo de Decisiones, considerando lo que la jurídica quiere hacer, qué se decide hacer y qué se hace.

Utilizar presupuesto y recursos de la empresa para evitar los delitos.

Disponer de un canal adecuado y libre de denuncias y vigilancia, con las correspondientes medidas de seguimiento y libertad.

Un sistema disciplinario que acredite el control del incumplimiento y castigue el delito.

Una revisión y verificación del modelo existente.

Además, deberemos disponer de un mapa de riesgos y un mapa de controles, así como un repositorio de evidencias.

Finalmente, pero en un punto de gran importancia, se deberá acreditar un proceso de formación y concienciación adecuado para todos los empleados, y en su caso, para clientes y proveedores, con un apartado importante de sensibilización. 

En la estructura de la compañía deberá disponerse de un responsable de cumplimiento (generalmente un Compliance Officer u Oficial de Cumplimiento), aunque puede considerarse disponer de un Compliance Team o un Compliance Committe, dependiendo del volumen, número de empleados, las actividades o la complejidad de estas.

Este órgano o persona responsable del cumplimiento deberá incluir, entre sus actividades:

Realizar análisis de las estructuras de control, valorar lo que la empresa realiza para evitar los delitos, ver qué falta en la estructura o en el modelo para evitarlo, contrastar con el mapa de riesgos y asegurar el apoyo directo de la más alta dirección de la compañía y consejo de administración.

Cultura de cumplimiento

La Fiscalía General del Estado consideran de máxima importancia la exigencia de una cultura de cumplimiento y un programa que sea eficaz para una exención de la responsabilidad penal. También es considerado por el Alto Tribunal en sus sentencias.

La cultura de cumplimiento debe partir de los órganos de dirección demostrando una verdadera voluntad clara de cumplimiento, valorando: Políticas y normas, Procesos y procedimientos, Estructuras, Concienciacion y formación, Canal ético y Sistema disciplinario.

Esta cultura tiene que ser eficaz y clara, dirigida a todos los empleados y también al conjunto directivo o alta dirección, con sistemas sencillos y que puedan disponer de trazabilidad o verificación. Los contenidos deberían ser verificados por el órgano de cumplimiento, así como los resultados. La actividad debe ser periódica.

Introducción al compliance tecnológico

En este proceso la tecnología es una parte clave. Por un lado, las empresas disponen de operativas técnicas y tecnológicas que deberán verificarse: accesos a Internet, robótica, domótica, Smart cities, son algunos de los nuevos ejemplos a controlar y verificar. Pero vayamos a una primera fase.

Algunos de los aspectos de seguridad y tecnología deben ser:

Control de accesos e identificación en la entrada a los sistemas y los recintos físicos y virtuales, control de las fugas de información, protección de los datos personales de clientes o proveedores, políticas y normativas de seguridad, código ético y su control tecnológico, auditorias y controles, control de la navegación web, control de ataques internos y externos, monitorización y desarrollos seguros.

Algunos de los procesos aparejados son: sabotajes, accesos no autorizados y robo de información sensible.

  • Bernard Cortijo es CEO de Dacor Intelligence, excomisario del Cuerpo Nacional de Policía y exdirector de Seguridad Corporativa de Telefónica