Antes de implantar un modelo prevención penal o quizá cuando éste
ya se ha planificado e implantado, una de las primeras cuestiones que surgen
dentro de la empresa es ¿Qué ocurre después de la implantación?; ¿se requiere
algún tipo de mantenimiento o verificación?
Según el Código Penal este tipo de verificaciones son
requisito necesario a la hora de valorar la idoneidad del modelo, con lo cual,
efectivamente se hace necesaria esa revisión, así como la revisión de los riesgos penales de la
empresa. La conveniencia de medir la eficacia de los modelos de Compliance
adquiere en España un protagonismo notable.
El auditor y el compliance.... |
Cualquier empresa querrá demostrar que no sólo dispone de un modelo de Compliance,
sino que, además, este es eficaz.
Esto significa que sus componentes no sólo están adecuadamente representados
sobre el papel, sino que han sido aplicados adecuadamente. Por lo general, se
desarrollan pruebas sustantivas
(testeos) y se procesa la información resultante para soportar conclusiones
fiables. Suele recurrirse a la técnica
del muestro de controles, que será adecuada siempre que esa muestra
sea lo bastante extensa y bien seleccionada como para representar al conjunto
de controles que conforman el modelo de Compliance evaluado.
Cuando se manejan volúmenes de datos para sustentar conclusiones
generales, la cautela básica
consiste en asegurarse de que se toman muestras representativas. De ahí la importancia de
comprender bien la metodología y técnicas de testeo que se van a utilizar, o
recurrir directamente a estándares donde todo ello viene predefinido y goza de aceptación general.Por lo tanto, medir la efectividad de los modelos de Compliance constituye una buena
práctica a la que ya recurren empresas sensibilizadas con una gestión responsable, y
que incluso muestran
orgullo publicitando la opinión del auditor. Este tipo de trabajos denotan la
sensibilidad del equipo directivo con las buenas prácticas de gestión, al
tiempo que dejan evidencia de su diligencia debida.La revisión o
chequeo de la adecuación del diseño de modelo elaborado, pasaría por
revisar que el modelo de prevención reúne todos los requisitos exigidos por el
Código Penal (artículo 31 bis. 5) el cual establece que: Los
modelos de organización y gestión a que se refieren la condición 1.ª
del apartado 2 y el apartado anterior deberán cumplir los siguientes
requisitos:
“(…) 6. Realizarán una verificación periódica del modelo
y de su eventual modificación cuando se pongan de manifiesto
infracciones relevantes de sus disposiciones, o cuando se produzcan
cambios en la organización, en la estructura de control o en la
actividad desarrollada que los hagan necesarios.”
La función de
cumplimiento normativo está orientada a prevenir los riesgos futuros, a
detectarlos y a conducir al sistema de prevención de delitos a la mejora
continua y hacer todo lo posible para que "funcione"
el sistema. La función de auditoría, se centra sobre todo en controlar si
se están gestionando los riesgos conforme a lo dispuesto en el propio sistema.
La auditoría constituye una línea adicional de defensa, de gran ayuda para el
área de cumplimiento normativo penal.
El Código Penal no establece plazo para realizar la verificación ni indica procedimiento de revisión, no obstante, la Circular de
la Fiscalía 1/2016, considera que un adecuado modelo debe contemplar
estos dos aspectos.En principio, en cuanto al aspecto temporal, podríamos hablar de dos tipos de verificación:
- Verificación ordinaria o programada: Es aquella que la organización y el comité de compliance deciden establecer de forma periódica sin que ocurra ningún evento extraordinario. En principio, este tipo de verificaciones, dependiendo de la zona de confort en la que quiera moverse la empresa, podrá hacerse de forma mensual, trimestral, o anualmente.
- Verificación extraordinaria: Se haría necesaria esta modificación cuando ocurrieran circunstancias internas o externas que afecten el nivel de riesgo de la empresa. Para la Fiscalía (Circular 1/2016, el modelo deberá ser revisado inmediatamente si concurren determinadas circunstancias que puedan influir en el análisis de riesgo, alterándose las circunstancias iniciales o alterando significativamente el riesgo de la persona jurídica.