Contar con un esquema de certificación acreditado implica que ENAC evalúa de forma periódica la fiabilidad de la entidad de certificación.
De la mano de Rafael Olaso, Auditor Jefe y Responsable Técnico de esquemas de Compliance en Bureau Veritas, tuvo lugar hace unos días un desayuno webinar para los socios de ASCOM que abordó un tema de máxima actualidad: La certificación acreditada, un factor diferencial para el sector financiero.
Para este experto “Contar con un esquema de certificación acreditado implica que ENAC -Entidad Nacional de Acreditación evalúa de forma periódica la competencia técnica, la independencia y la fiabilidad de la entidad de certificación, en este caso Bureau Veritas”.
Desde su punto de vista “Así es, la auditoría es el pilar fundamental en la elaboración y revisión de un sistema de prevención de delitos”.
“Para ello es “conditio sine qua non” que previamente a la certificación se revisen todos y cada uno de los tipos por los que una personas jurídicas puede ser imputada.”, advierte
A su juicio, “la valoración de un mapa de riesgos es fundamental, así como que se establecen una serie de controles destinados a minimizar el riesgo”.
¿Qué valor añadido supone la certificación acreditada para un sector tan regulado como es el financiero a nivel de compliance?
Que una entidad de certificación cuente con una certificación acreditada aporta al regulador una mayor percepción de confianza en la veracidad y el valor otorgado al certificado emitido.
La acreditación es indicativo de que no únicamente Bureau Veritas como tercero externo independiente, avala el sistema de Compliance implantado en la organización auditada.
Contar con un esquema de certificación acreditado implica que ENAC -Entidad Nacional de Acreditación evalúa de forma periódica la competencia técnica, la independencia y la fiabilidad de la entidad de certificación, en este caso Bureau Veritas.
¿Es lógico que una entidad financiera que logre dicha certificación acreditada se la pida en el futuro a sus proveedores y clientes para asegurar así la validez del sistema?
Obviamente, cualquier entidad que cuente con una certificación acreditada muestra ante el mercado y especialmente ante sus stakeholders el compromiso adquirido con la rigurosidad técnica necesaria. Da a conocer que se rige internamente por un esquema estricto en cuanto a cumplimiento normativo. Por ello, es lógico que quiera replicar dicha sistemática a toda su cadena operativa, requiriendo el mismo nivel de exigencia y fiabilidad tanto a proveedores críticos como a gran cantidad de clientes.
¿Qué supone la UNE 19601:2017 como norma que certifica los programas de compliance? ¿En que momento la empresa debe certificarse y por quién?
En el momento en que el artículo 31 bis del Código Penal habla de modelo de organización y gestión ya está delimitado el área a desarrollar. La normativa penal, no obstante, no refiere el desarrollo de sus propios preceptos.
Con el esquema 19601, y especialmente en su Anexo I, se establece con el rigor suficiente el desarrollo de los preceptos indicados en el Código penal. El estándar establece con mayor claridad y desarrollo que es lo que va a suponer, reportando una tabla cruzada entre el artículo 31 bis y la norma de referencia.
De este modo, si el sistema de gestión de compliance penal de una organización cumple con lo establecido en la norma 19601, y su sistema es eficaz, estará cumpliendo con los preceptos del Código Penal.
En cuanto al momento idóneo para la certificación, por norma general, cuando un sistema de gestión esté maduro, que se haya comprobado en su eficacia en la implantación y en especial en ámbitos tan regulados como el bancario.
Cualquier modelo de blindaje ante riesgos y especialmente los penales, se refleja como un valor añadido para la organización y su operativa. No obstante, cualquier entidad que esté dispuesta a abordar un esquema de estas características deberá contar con la solidez necesaria en cuanto a su sistema de gestión y a los elementos que de él dependen.
Bureau Veritas fue acreditada por la Entidad Nacional de Acreditación (ENAC) para certificar los Sistemas de Gestión de Compliance Penal conforme a la norma UNE 19601:2017, siendo la primera entidad de certificación en España que obtiene esta acreditación. ¿Cómo ha sido este primer año de trabajo?
La certificación acreditada aporta un valor adicional a todas aquellas compañías que cuentan con una cultura de calidad, especialmente organizaciones que tienen ya recorrido con otros sistemas de gestión y que conocen bien la sistemática de los esquemas.
En estos casos, la acreditación es un valor añadido para la organización que se somete al proceso de certificación, en tanto en cuanto, la entidad que evalúa su sistema de gestión, ha sido a su vez evaluada por una tercera parte independiente (ENAC) a la que ha demostrado su competencia técnica e imparcialidad, garantizando su fiabilidad y otorgando el rigor necesario al mercado y el valor de confianza a sus certificados.
En el último año Bureau Veritas ha visto un incremento en el interés y la demanda de certificaciones en Compliance. El año 2020 ha sido un año atípico por motivos de sobra conocidos por todos, y aun así, respecto a 2019, el volumen de compañías certificadas ha crecido en un 200%.
La explicación puede tener múltiples factores, si bien, el hecho de haber obtenido en el mes de enero de 2020 la acreditación por parte de ENAC en el esquema UNE 19601 (y ser hasta la fecha la única certificadora acreditada para este estándar), es uno de los elementos de peso que dan confianza a las organizaciones.
Durante el año 2021 las organizaciones que ya se encuentran en proceso de certificación acreditada, o que ya han planificado su certificación para finales de año, está creciendo de modo destacable.
Los jueces lo que buscan no es una certificación sino que el plan sea eficaz y, sobre todo, que se cumpla. ¿Cómo se gestiona dicha certificación?
Los jueces conocen ampliamente sobre Derecho Penal, está claro, pero hay que tener en cuenta que esta rama del derecho generalmente se ha tratado a posteriori, con plazos, prescripciones y una vez que el hecho ya se ha producido, sin embargo ahora afrontan una materia preventiva.
En alguna ocasión hemos escuchado a magistrados de lo Penal comentar que demandan formación sobre esta materia ya que todavía es novedosa para ellos. El compliance no es una materia fácil y está en constante evolución porque, además de ser una incipiente disciplina, los delitos cada vez son más diversos, como los que se cometen a través de las redes tecnológicas, que hace tan solo unos años ni siquiera existían.
El propio Código Penal exige un modelo de organización y gestión eficaz, para lo que es necesario que transcurra por una serie de etapas, siendo una de ellas su verificación y revisión. Aquí es donde nos encontramos las entidades de certificación que, no solo revisamos el modelo, sino que además damos, en su caso, validez con lo estipulado con las normas de compliance.
Por lo que una certificación de estas características, en la que la acreditación juega una importante baza, se convierte en un elemento para facilitar la comprensión de los jueces ante un escenario tan novedoso para ellos.
Se habla de la auditoria como pilar fundamental en la elaboración y revisión de un sistema de prevención de delitos. ¿Cómo se implementa para que sea efectiva antes de la certificación?
Así es, la auditoría es el pilar fundamental en la elaboración y revisión de un sistema de prevención de delitos.
Para ello es “conditio sine qua non” que previamente a la certificación se revisen todos y cada uno de los tipos por los que una personas jurídica puede ser imputada. La valoración de un mapa de riesgos es fundamental, así como que se establecen una serie de controles destinados a minimizar el riesgo.
Si no se ha realizado en profundidad el proceso de identificación, análisis y valoración de los riesgos penales de la organización, el sistema de gestión cae por su propio peso. El Código Penal indica que el modelo de organización y gestión debe ser eficaz para prevenir delitos de la misma naturaleza que el que se cometió, siendo fundamental haber tratado el riesgo de forma adecuada.
Así lo van a tratar tanto los jueces como los peritos del nuevo cuerpo creado al efecto y, por supuesto, los auditores en el proceso de certificación acreditada.
¿Cuáles son los principales obstáculos en una organización que impiden que certifique su programa compliance?
Las organizaciones que afrontan un proceso de certificación en Compliance lo hacen con vocación de mejora, como una apuesta firme por la cultura de cumplimiento, por lo que la auditoria externa debe ser como un elemento que permite dicha mejora continua del propio sistema, en tanto en cuanto que la detección de un hallazgo o no conformidad, va a permitir tomar medidas que no habían sido contempladas.
En estos poco más de quince meses que han transcurrido desde que Bureau Veritas realiza los procesos de certificación acreditado, uno de los principales puntos de desencuentro respecto de los sistemas adoptados con los estándares requeridos, hacen referencia, por ejemplo, en el requisito de las auditorías internas, principalmente en la falta de competencias del equipo que ha auditado el sistema.
Otro ejemplo, común es el análisis y la evaluación de riesgos penales detectado como otro de los elemento de controversia en el proceso de certificación, ya que no siempre se realiza con la profundidad que es debida, o también el canal de denuncias, la incorrecta articulación del proceso de denuncia y los posibles defectos e incongruencias en el propio canal.
¿Cuál es la función del compliance officer en este escenario? ¿De qué forma debe desarrollar su trabajo para que logre optimizar su programa en compliance en su organización?
Precisamente la figura del Compliance Officer se originó en los mercados financieros altamente regulados como una función encargada de vigilar el debido cumplimiento de la extensa normativa que debían cumplir las empresas en esos sectores. Poco a poco, la existencia de una figura u órgano responsable del cumplimiento normativo corporativo, se ha ido extendiendo en otros sectores. A día de hoy la existencia de este perfil de en una organización, permite observar el grado de evolución de la misma.
El Compliance Officer es un perfil con funciones propias y bien definidas. Sin embargo, en la mayor parte de las organizaciones se opta por asignar este rol como una tarea más a las que ya viene ejerciendo alguna figura interna a la compañía, pudiendo coincidir alguien del departamento jurídico, de auditoria, comités, etc.
La profesionalización de esta figura, así como la del Chief Compliance Officer, es una tarea pendiente que debería adquirir fuerza en los próximos años, a fin de erigirse como una de las figuras de mayor autoridad y responsabilidad dentro de la organización, con independencia operativa y financiera, con la capacidad para promover y ejecutar medidas específicas de prevención de riesgos legales, comunicar los planes y llevar a cabo las formaciones del personal, realizar investigaciones y recomendar sanciones.
¿Cuál cree que es la evolución de los programas de compliance en los últimos años y de qué forma pueden adaptarse las citadas estrategias de optimización a este entorno?
Las normas han ayudado mucho desde que se inició la regulación en el Código Penal y las empresas empezaron a implantar sistemas de compliance. Muchas de ellas descubrieron que ya tenían implantada una parte del sistema en su organización, como por ejemplo, los controles financieros.
Recientemente se ha publicado la norma de gestión de compliance, ISO 37301, el año pasado la de gestión de riesgos legales, ISO 31022, próximamente la de sistemas de gestión de Canal de Denuncias, ISO 37002.
La regulación en materia de Compliance avanza rápido y por ello en un futuro no muy lejano veremos un crecimiento aún más pronunciado de la solicitud de certificaciones en este ámbito, principalmente bajo ámbito acreditado, en tanto en cuanto estas ofrecen una garantía adicional al proceso.