domingo, 8 de enero de 2017

Compliance: que no te engañen

Como en cualquier actividad económica, cuando se genera una demanda, en particular relacionada con nuevas obligaciones legales, en breve plazo se genera la oferta. En estos casos, la demanda suele ser desconocedora de lo que necesita, incluso, a veces, ni la oferta sabe lo que tiene que ofertar.
Por otra parte, cuando hablamos de consultoría o asesoramiento, es difícil para el comprador discernir la calidad del servicio que le están ofreciendo, el cliente no va a conocer el servicio hasta que lo ha adquirido, no puede comparar precios en un escaparate como cuando compra un producto del que puede comparar características, en realidad el cliente lo que adquiere es un futurible que, a priori, cree o le han hecho creer que es lo que necesita. En consecuencia, se le puede engañar fácilmente. Esta es la situación en la que, en mi opinión, se encuentran actualmente los servicios de compliance.
En este momento, ante las expectativas de que se va a generar una alta demanda de servicios, están apareciendo en el mercado un gran número de entidades que están ofertando consultoría o asesoramiento. Muchas de ellas generadas desde entidades que, hasta ahora, nunca han prestado dichos servicios, pero han visto un nicho de negocio. Esto está generando una serie de situaciones curiosas, por llamarlas de alguna manera y que la demanda debe conocer, por ello, quiero reflexionar sobre alguna de ellas.
La gran mentira
Un argumento de venta de los sistemas de gestión compliance es que nos van a servir para atenuarnos la pena cuando estemos delante del juez, lo cual no es cierto. Los sistemas de gestión compliance están para que nunca estemos delante del juez. Quien nos vende el sistema como un elemento de exención, o nos está engañando o no sabe lo que vende. Si el fundamento del ofertante se basa en la exención de la pena, desconfiemos de él y seamos cautelosos.
Lo que necesitamos
Cuando en consultoría no se tiene experiencia en el servicio que se presta, las entidades se empeñan en tabular los precios: por trabajadores, por facturación, etc. lo cual es imposible en el caso de compliance, el trabajo que debe ser desarrollado depende de muchos factores que no pueden ser incluidos en un algoritmo de cálculo, por ello debemos desconfiar de las ofertas tabuladas.
El precio
Las empresas están solicitando ofertas y se están encontrando con una fuerte disparidad de precios, llegando a haber diferencias superiores 20 veces entre una y otra, lo cual les desconcierta. ¿Pero cuál es el precio justo? No podemos dar un criterio para la elección, pero teniendo en cuenta que el precio de mercado por hora de consultoría de gestión es de media 50 euros o superior, dividamos el importe de la oferta por 50 y veremos las horas que nos están ofertando y valoremos si es posible hacer o no el trabajo en dichas horas.
Otro aspecto que nos permitirá valorar la oferta, es solicitar al ofertante que nos indique la metodología de evaluación de riesgos e incluso pedirles un ejemplo. La evaluación debe basarse en conceptos de probabilidad y consecuencia objetivos y, estos ser calculados mediante estimaciones objetivas. Eso sí, no nos dejemos deslumbrar por los colorines.
Que no te manden al becario
Algunas entidades utilizan su marca para captar clientes, incluso nos visita el súper consultor para presentando la oferta, sin embargo, una vez contratadas nos envían al becario, el súper consultor pasa a ser el etéreo jefe de proyecto que nuca aparece. Por ello, es fundamental antes de aceptar el presupuesto exigir el nombre y curriculum de las personas que van a participar en el proyecto y el compromiso de que va a ser ellos los que desarrollaran el trabajo, el precio hora debe estar relacionado con el curricuulm del consultor que realmente trabaja para nosotros.
La informática
Están proliferando determinadas aplicaciones para gestionar el sistema de gestión compliance, pero muchas de ellas se están comercializando como si fuera la solución. Los programas informáticos son una herramienta, que no nos engañen, alguien tiene que alimentarlos. por sí sólo, no son una solución, Pero, ¿qué programa elijo? Muy sencillo, piensa en el mando de la televisión, tiene muchos botones, pero solo utilizas un 5% de ellos, no nos dejemos engañar por programas que hacen maravillosos gráficos, muchos colores, etc. compremos el que haga, lo que necesitamos y no el más vistos.
La certificación
El cumplimiento no se puede certificar, se puede certificar la conformidad de un sistema con un estándar, es decir, el certificado es una declaración de conformidad. A su vez, la certificación implica independencia del certificador con el sistema, por ello, quien nos ofrezca implantarnos un sistema y a la vez posteriormente certificarlo, nos está engañando ya que dicho certificado no tiene ninguna validez por falta de independencia, el juez lo desestimaría a la primera. No tienen ningún valor certificados de conformidad salvo que sean emitidos por organismos de certificación.
La formación
Para ejercer la función compliance no se requiere ningún tipo de titulación universitaria específica, lo que se necesita es tener los conocimientos necesarios para ejercerla, por ello, cuando elijamos la formación no debemos analizar los programas y ver que su contenido este orientado hacia conceptos de gestión empresarial (compliance no es un tema jurídico, es un tema de gestión empresarial) y que sean fundamentalmente prácticos, después del curso debemos saber trabajar no unos teóricos de compliance. Los cursos deben ser impartidos básicamente por expertos de gestión empresarial, que hayan pisado calle, realizado evaluaciones de riesgos, y teóricos de compliance. Por otra parte, el precio no es proporcional con la calidad del curso.
El papel
No debemos confundir sistema compliance con documentación del sistema, los mejores sistemas son los menos burocratizados. No compramos papel, compramos un servicio. Cómo dicen las normas de gestión, lo importante es la información documentada no el documento.
Que no te manden al becario
Algunas entidades utilizan su marca prepotentemente para captar clientes, sin embargo, una vez contratadas nos envían al becario. Por ello, es fundamental antes de aceptar el presupuesto exigir el nombre y curriculum de las personas que van a trabajar en el proyecto, el precio hora debe estar relacionado con el curricuulm del consultor.

En resumen, vamos a ver la proliferación de entidades que pretenden entrar en el mercado no con una vocación de prestación de servicio a largo plazo, buscan negocio a corto plazo, generalmente sólo ofrecen el sistema, pero no el mantenimiento del mismo, porque lo que han vendido es difícilmente mantenible, que se certifican a sí mismo, etc. y que pueden acabar desprestigiando al sector, la utilidad de los sistemas compliance, los sistemas no fallan al día siguiente de diseñarlos y quizás cuando ocurra y les llamemos ya, ni existan. 

miércoles, 9 de noviembre de 2016

ISO 37001 LA DILIGENCIA DEBIDA

iso 370001 la diligencia debida
En términos simples, la diligencia debida se refiere al proceso de evaluar una decisión a través de una investigación extensiva y la consideración de todas las posibilidades. Aunque a menudo el término es asociado con el mundo de los negocios, también podría ser invocado en casi cualquier situación en donde la decisión es importante y las consecuencias de las malas decisiones son dramáticas.
En materia anti-sobornos es la forma en que una empresa determina qué información necesita para comprender sus riesgos específicos relacionados con la corrupción en un momento determinado y un contexto operacional dado (por ejemplo, un nuevo proyecto, cliente, proveedor, empleado), así como las medidas que necesita adoptar para prevenir y mitigar esos riesgos.

La organización, en función de los riesgos evaluados deberá definir:

a.    Las transacciones, proyectos, actividades, etc. que por su nivel de riesgo deben ser tenidos en cuenta en los controles. Por ejemplo, clientes con facturación es superior a X miles de euros.
b.    Los socios de negocios con un nivel de riesgo elevado.
c.   Las categorías del personal en determinados puestos por su relación y/o control del riesgo.

La organización debe evaluar la naturaleza y alcance del riesgo de soborno en relación a operaciones concretas, proyectos, actividades, socios y personal pertenecientes a estas categorías. Este análisis incluirá cualquier diligencia necesaria para obtener información suficiente para evaluar el riesgo de soborno. La debida diligencia se actualiza a una frecuencia definida, por lo que los cambios y los nuevos datos pueden tenerse debidamente en cuenta.

El objetivo de realizar la diligencia debida en determinadas operaciones, proyectos, actividades, socios, o la organización del personal es evaluar el alcance, la escala y la naturaleza de los riesgos de soborno no considerados como bajos identificados como parte de la evaluación de riesgos de la organización. También sirve el propósito de actuar como un adicional, control específico en la prevención y detección del riesgo de soborno, e informa a la organización sobre la conveniencia de posponer, suspender, revisar o controlar las transacciones, proyectos o las relaciones con los socios de negocios o personal, como, por ejemplo, rechazar un acuerdo con un franquiciado.

No debemos confundir la diligencia debida con los controles que el sistema implanta en forma general, la diligencia debida será aplicable de forma proporcional en función del nivel de riesgo. En general, la diligencia debida será tenida en cuenta cuando iniciemos alguna nueva actividad, acordemos con un nuevo socio de negocios, etc. para lo cual debemos establecer en función de los riesgos que información previa necesitamos para tomar decisiones de forma objetiva y documentada. Por ejemplo, que debemos conocer de un socio comercial antes de firmar un acuerdo de colaboración con él.

En relación con los proyectos, transacciones y actividades, los factores que la organización puede ser de utilidad para evaluar incluyen:

a.   la estructura, naturaleza y complejidad (por ejemplo, la venta directa o indirecta, el nivel de descuento, adjudicación del contrato y los procedimientos de licitación);
b.   la estructura financiera y de comisiones
c.   el alcance de los recursos disponibles de la organización;
d.   el nivel de control y visibilidad;
e.   los socios y otras terceras partes involucradas (incluyendo a funcionarios públicos);
f.     las relaciones entre las partes entre sí y con funcionarios públicos;
g.    competencia y las calificaciones de las partes involucradas;
h.    reputación de las partes involucradas;
i.      los riesgos del cliente;
j.      ubicación geográfica;
k.     los informes en el mercado, la prensa, organismos internacionales, etc.

En relación con la posible diligencia debida en socios de negocios, se analizará los factores que para la organización pueden ser de utilidad para evaluar en relación con un socio de negocios, entre los que podemos incluir:

1.    si el socio de negocios es una entidad legítima, como lo demuestran los indicadores tales como documentos de la empresa en registros, las cuentas anuales presentadas, número de identificación fiscal, inclusión en el listado de la bolsa de valores;
2.  si el socio de negocios tiene las calificaciones, experiencia y los recursos necesarios para llevar a cabo el negocio para el que se está contratando;
3.    si, y en qué medida, el socio de negocios tiene un sistema de gestión contra el soborno;
4.   si el socio de negocios tiene una reputación de soborno, fraude, deshonestidad o mala conducta similares, ha sido investigado, declarado culpable, sancionado o inhabilitado por corrupción o conducta criminal similares;
5.    la identidad de los accionistas y la alta dirección del socio de negocios, y si: 
  • tienen una reputación de soborno, el fraude, la deshonestidad o mala conducta similares;
  • han sido investigados, condenados, sancionado o inhabilitado por corrupción o conducta criminal similares;
  • tienen algún vínculo directo o indirecto con cliente o clientes de la organización, funcionarios públicos, que pudieran dar lugar a la corrupción (esto incluiría a personas que no sean los propios funcionarios públicos, pero que puede ser directa o indirectamente relacionados con los funcionarios públicos, los candidatos a cargos públicos, etc.), 

6.       la estructura de los acuerdos de transacción y de pago (comisiones, bonos, etc.);
7.    la naturaleza, el tipo y el alcance de la diligencia debida realizada dependerá de factores tales como la capacidad de la organización para obtener suficiente información, el costo de la obtención de información, y en la medida de lo posible el riesgo de soborno que plantea la relación;
8.       los procedimientos de diligencia debida aplicadas por la organización de sus socios de negocios deben ser consistentes a través de los niveles de riesgo de soborno similares (negocio de alto riesgo de soborno, asociados en lugares o mercados en los que existe un alto riesgo de corrupción es probable que requieran un nivel significativamente mayor de diligencia debida diligencia que socios de negocios de riesgo en lugares o mercados de bajo riesgo);
Diferentes tipos de socios de negocios es probable que requieran diferentes niveles de diligencia debida, por ejemplo:
  • desde la perspectiva de la posible responsabilidad legal y financiera de la organización, socios de negocios representan un mayor riesgo de soborno a la organización cuando actúan en nombre de la organización o en beneficio de ella que cuando se están proporcionando productos o servicios a la organización. Por ejemplo, un agente involucrado en la asistencia a una organización para obtener una adjudicación del contrato podría pagar un soborno a un gerente de atención al cliente de la organización para ayudar a la organización a ganar el contrato, por lo que podría dar lugar a la organización responsable de la conducta corrupta del agente. Por otra parte, un proveedor de venta de equipos o material a la organización y que no tiene ninguna implicación con los clientes de la organización o funcionarios públicos que son relevantes para las actividades de la organización es menos probable que sea capaz de pagar un soborno en nombre de la organización o por su beneficio, por lo que el nivel de diligencia debida en el proveedor podría ser más bajo;

  • el nivel de influencia que la organización tiene sobre sus socios de trabajo también afecta a la capacidad de la organización para obtener información directamente de los socios de negocios como parte de su diligencia debida. Puede ser relativamente fácil para una organización que requiere que sus agentes y socios de empresas conjuntas para proporcionar amplia información sobre sí mismos como parte de un examen previo antes de la organización de comprometerse a trabajar con ellos, ya que la organización tiene un grado de elección sobre con quien se contrata en esta situación. Sin embargo, puede ser más difícil para una organización que requiere un cliente o cliente para proporcionar información sobre sí mismos o para rellenar cuestionarios de diligencia debida. Esto podría deberse a que la organización no tendría suficiente influencia sobre el cliente o cliente para poder hacerlo (por ejemplo, cuando la organización está involucrada en una licitación para proveer servicios 
La diligencia debida llevada a cabo por la organización de sus socios de negocios puede incluir, por ejemplo:
  • un cuestionario enviado al socio de negocios en el que se le pide que responda a las cuestiones planteadas.;
  • una web de búsqueda de la empresa y la información de accionistas y la alta dirección para identificar cualquier información relacionada con el soborno;
  • la búsqueda de información adecuada en el gobierno, judiciales e internacionales de información relevante;
  • La verificación de listas de inhabilitación a disposición del público de las organizaciones que están restringidos o prohibidos para contratar con entidades públicas o gubernamentales en poder de nacionales o gobiernos locales o instituciones multilaterales, como el Banco Mundial;
  • hacer investigaciones de otras partes apropiadas sobre reputación ética del socio de negocios;
  • nombrar a otras personas u organizaciones con experiencia relevante para ayudar en el proceso de debida diligencia
  • No obstante, se puede solicitar más información sobre la base de los resultados de la debida diligencia inicial (por ejemplo, para explicar cualquier efecto adverso de la información)

La ausencia de información negativa no significa necesariamente que el socio de negocios no representa un riesgo de soborno. Los resultados deben ser evaluados con cuidado y un juicio racional realizado por la organización basada en los datos disponibles a la misma.

La organización debe desarrollar una investigación razonable y proporcionada sobre el socio de negocios, teniendo en cuenta las actividades que el socio de negocios y el riesgo de soborno inherente a estas actividades, a fin de formar un juicio razonable sobre el nivel de riesgo de soborno que supone el socio de negocio para la organización.

domingo, 30 de octubre de 2016

Un análisis rápido de la norma ISO 37001


iso 37001 sistemas de gestión antisobornos

A pesar de la existencia de numerosas leyes nacionales y acuerdos internacionales destinados a luchar contra el soborno, este sigue siendo un problema que erosiona y destruye la economía. Por ello, en noviembre de 2013, La Organización Internacional de Normalización (ISO), inició el proceso de elaboración de la norma que culminó con su publicación el 15 de octubre de 2016 de la ISO 37001 "Sistemas de gestión anti-soborno” cuyo objetivo es ayudar a las organizaciones a prevenir y combatir el soborno. 

ISO 37001 está diseñada para ayudar a las organizaciones a luchar contra el soborno mediante el establecimiento de una cultura de integridad, transparencia y cumplimiento. Si bien la norma no puede garantizar que ningún soborno tenga lugar en el presente o en el futuro, sí que puede ayudar a las organizaciones a implementar medidas efectivas para prevenirlo y hacerle frente o como ha dicho Neil Stansbury, Presidente del comité del proyecto ISO para el desarrollo de la norma aseguro que los beneficios de la aplicación de la norma serán muchos: "ISO 37001 ayudará a proporcionar garantías a la administración, inversores, socios, personal y otros grupos de interés, de que la organización está tomando medidas razonables para evitar el soborno." 

ISO 37001 no es un estándar que innove respecto a lo que estaban haciendo algunas organizaciones con programas desarrollados anticorrupción en base a los documentos de organismos internacionales como el Reglamento de la Cámara Internacional de Comercio o las incluidas en la Guía práctica del Programa anticorrupción de ética y cumplimiento para las empresas de la Oficina de las Naciones Unidas contra la droga y el delito de Viena. 

Pero si introduce un valor muy importante con respecto a los otros documentos, el valor de la estandarización y homogeneización con valor universal para que las transacciones entre las organizaciones se hagan en el mismo idioma en materia de sobornos y, en consecuencia, la certificación. 

Para algunos expertos del sector, esta adhesión y certificación puede ser un factor de diferenciación muy importante a la hora de competir. Y, aunque un buen sistema de gestión anti-soborno, no es la panacea frente a las acciones penales de responsabilidad para las personas jurídicas, si es un elemento muy importante de atenuación e incluso exención. 

Entre los requisitos que se encuentran en la norma están la adopción de una política anti-soborno, la designación de una persona para supervisar el cumplimiento, la formación, la evaluación del riesgo y la debida diligencia en los proyectos y con los asociados de negocios, los controles financieros, no financieros y comerciales, así como el establecimiento de procedimientos de reporte e investigación y, todo ello, encuadrado dentro de un sistema de gestión auditable. 

La norma ISO 37001 indica en varios puntos que puede integrarse con otros sistemas o incluso ser utilizada para integrar otros tipos de delitos o, por ejemplo, el blanqueo de capital o los sistemas de calidad. 

Para entender cómo puede relacionarse el sistema de gestión anti-sobornos con el resto del sistema utilizaremos el gráfico.

De las normas publicadas por ISO aplicables a sistemas de gestión tenemos unas que son transversales ya que recogen todos los posibles incumplimientos independientemente del área o actividad de que se trate; y las no transversales, como por ejemplo la ISO 37001 sobres sistemas de gestión de cumplimiento, ISO 9001 sobre sistemas de gestión de calidad, ISO 14001 sistemas de gestión de medio ambiente, etc. 

Igualmente tenemos otras normas transversales que un pudiendo ser utilizadas por si solas, generalmente se utilizan más como referencia de las normas no transversales. Por ejemplo, ISO 30300 sobre gestión de la documentación, ISO 31000 sobre sistemas de gestión de riesgos, etc. 

La integración entre estos sistemas es posible. No es mejor o peor tener los sistemas integrados completamente, integrados algunos de ellos entre sí y otros separados, o todos independientes. 

Cada organización debe definir en un determinado momento cual el nivel de integración que le puede interesar considerando el contexto externo e interno. No obstante, aunque no integremos los sistemas si pueden referenciarse entre sí, por ejemplo, referenciar en el sistema anti-soborno un procedimiento de otros sistemas, como el de calidad. 

Por último, no debemos confundir sistemas integrados con documentación integrada. Los sistemas de gestión integrados implican un pensamiento integrado, es decir se trabajen en común, es decir, es un concepto más amplio que la documentación integrada.


miércoles, 7 de septiembre de 2016

COMPLIANCE: CUMPLIMIENTO NORMATIVO

Para que la personalidad jurídica asuma una responsabilidad penal debe haberse producido previamente el delito por parte de un miembro de ésta, es decir se necesita la concurrencia de un humano, no pudiendo eximirse o atenuar su responsabilidad la empresa, si no dispone de un sistema de control de los delitos (sistema gestión compliance) adecuado a los riesgos y necesidades de la organización.

Hasta ahora, el diseño e implantación sistemas de gestión compliance, en la mayoría de los casos, se han diseñado bajo el paradigma “como alguien puede incumplir, debemos establecer controles para impedir y/o detectar los incumplimientos”. Hemos aceptado la existencia de posibles incumplidores, pero nunca nos hemos preguntado “por qué existen”, algo básico si queremos eliminar el problema, debemos saber dónde y por qué se genera. Es decir, “por qué incumplen determinadas personas”.

Todas las normas y metodologías de implantación de sistemas de gestión compliance establecen como requisito la realización de la evaluación de riesgos compliance, debiendo valorarse la probabilidad de que produzca un delito en la organización. Por otra parte, la probabilidad de que se materialice un riesgo en la organización está relacionada con la probabilidad de que uno de sus miembros incumpla una norma. En consecuencia, deberíamos tener en cuenta en el análisis de probabilidad de la evaluación de riesgos la influencia de la probabilidad de que una persona incumpla.

Pero, qué factores influyen sobre la probabilidad de que alguien incumpla. Y, desde un punto de vista de la gestión compliance, como afectan a nuestra gestión, dado que una vez conocidos estos, sabremos mejor como actuar sobre ellos de forma eficiente.

jueves, 18 de agosto de 2016

CURSO DE FORMACIÓN AUDITORES COMPLIANCE

curso formacion auditor auditorías compliance
El artículo 31 bis del Código Penal establece que las personas jurídicas “Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”
Con el fin de poder revisar el sistema, la auditoría compliance constituye una de las mejores herramientas de gestión existentes para recabar la información necesaria para la revisión.
Igualmente, las normas internacionales de gestión como la ISO 19600 “Sistemas de gestión compiance: Directrices”, establecen la obligatoriedad de realizar auditorías periódicas a los sistemas.

Las personas jurídicas van requerir la realización de auditorías compliance de forma programada y periódica, por lo que se abre un nuevo nicho de trabajo para los profesionales compliance a través de la realización de auditorías, por ello, ampell consultores basándose en la experiencia de sus consultores y auditores compliance ha diseñado el curso de “Auditor Jefe Complinace” para formar a los auditores compliance que la sociedad va a demandar.