23 JUN 2022 · Las tres líneas de defensa son un modelo de gestión de riesgo que permite entender el papel que cada participante debe jugar para enfrentar las vulnerabilidades y materialización de los riesgos. Este ha sido adoptado cada vez más por muchas empresas para entender cómo funcionar de manera más segura y eficaz, al establecer funciones y deberes relacionados entre los diferentes frentes de la gestión de riesgos a fin de asegurar que no se realicen controles o esfuerzos duplicados a cargo de los diversos actores. El modeló nación hace 10 años, y distinguía tres principales grupos que participaban activamente en la gestión de riesgos. Primera línea de defensa: la gestión Operativa. Es la gente que está directamente involucrada con generar ingresos o gestionar el giro de la organización, son los primeros que tienen contacto con clientes, proveedores, y otros terceros. Deben cuidar no incurrir en riesgos innecesarios, son los responsables de la implementación de las acciones y estrategias para hacerles frente. Segunda línea: Funciones de gestión de riesgos y cumplimiento. Los que llevan a cabo funciones de soporte en el equipo, especialistas en su ramo y quienes deben conocer bien todas las posiciones para poder apoyar. Esta línea identifica los riesgos emergentes, tiene la función de supervisión del cumplimiento y en muchos casos se trata de un comité específico de Risk Management. Tercera línea: Auditoría interna. Formada por los especialistas quienes se enfocan en parar los riesgos que se afrontan, tanto de forma preventiva como reactiva. Este rol dentro de la organización lo juega el área de auditoría interna, quien vigila a las dos anteriores para defender el logro de objetivos. Compliance, pertenece a la segunda línea. Debe apoyar al negocio sobre la marcha, escuchar sus inquietudes y con base a eso asesorarlo en elaborar las políticas adecuadas y revisar que estas se vayan cumpliendo por todos en el equipo. El nuevo modelo, tiene un enfoque basado en seis principios clave para proporcionar a las organizaciones una mayor flexibilidad. • Principio 1: Organizar el gobierno de la organización para rendir cuentas, definir acciones, asegurar y asesorar. • Principio 2: Establecer los roles dentro del órgano de gobierno para que funcione de forma eficaz. Se deben alinear los objetivos y actividades a los intereses de cada parte. • Principio 3: Definir responsabilidades para alcanzar objetivos tanto en primera como segunda línea. Las funciones de la primera línea están directamente alineadas con la entrega del producto o servicio. La segunda línea se encarga de la asistencia en la gestión de riesgos. • Principio 4: Definir los roles de tercera línea como la auditoría interna. Asesora también a los demás órganos para asegurarse del cumplimiento de los objetivos. • Principio 5: La auditoría interna es independiente de las responsabilidades de la dirección para ser totalmente objetiva y creíble. • Principio 6: Creación y protección del valor. Todas las funciones trabajan colectivamente con el objetivo de alinearse y lograr los intereses de todas las partes involucradas. Las líneas de defensa simplifican la identificación de riesgos, permite valorarlos, medirlos, priorizarlos y gestionar la respuesta ante ellos. Realizando un reporte y seguimiento periódico.

22 JUN 2022 · Las normas ISO son un conjunto de estándares con reconocimiento internacional que fueron creados con el objetivo de ayudar a las empresas a establecer parámetros unificados con relación a la gestión, prestación de servicios y desarrollo de productos en la industria. ISO es el acrónimo ingles de la Organización Internacional de Normalización, asociación que surge en 1946 cuando se unen los organismos globales que existían que regulaban y establecían estándares para la fabricación. A la reunión inicial asistieron 64 delegados en representación de 25 países. A la fecha se han creado 24,297 estándares que cubren casi la totalidad de los aspectos tecnológicos y de producción. En este organismo no gubernamental se encuentran representados 167 países, cuenta con 804 comités y subcomités técnicos implicados en el desarrollo de estándares . En la actualidad existen normas de gestión de calidad, de medio ambiente, de seguridad de la información, gestión del riesgo, entre otras, que permiten a las organizaciones certificarse en diferentes áreas de cumplimiento en función de las actividades y negocios que desarrollen. Una de las ventajas importantes que logran las organizaciones con la adopción de normas ISO, es tener un valor diferencial frente a la competencia al tratarse de estándares certificados y reconocidos a nivel internacional, que son revisados y auditados de forma periódica para garantizar su cumplimiento. Mejorando su reputación, confianza y competitividad ante clientes, accionistas, inversores o socios comerciales. Otra mejora es la optimización de procesos, facilitando la toma de decisiones por parte de la dirección al contar con información más concreta y verificable en todo momento. Se mantienen mayores niveles de calidad en el producto o servicio. Como hemos comentado, existen muchas ISO que de forma periódica se actualizan. Para una mayor clasificación e identificación se agrupan por familias o series, cada una de ellas con una nomenclatura específica. Las categorías fundamentales son: 1) Gestión de Calidad, normas enfocadas a homogeneizar los estándares de calidad de los productos o servicios de las organizaciones. 2) Gestión del medio ambiente, buscan que las actividades se den con respeto al entorno, cumpliendo con la legislación vigente y dando respuesta a un mayor concienciación y exigencia de la sociedad. 3) Gestión de riesgos y seguridad, desarrollados con la finalidad de evitar o minimizar los distintos riesgos relativos a las diferentes amenazas originadas por la actividad empresarial. 4) Gestión de responsabilidad social, su objetivo es ayudar a la empresa a tener en todo momento un comportamiento transparente y ético que forme parte de su modelo general de gestión. Estas certificaciones están creadas para implantarse en empresas de cualquier tamaño y ámbito.

21 JUN 2022 · Existen una serie de organismos que permiten certificar el plan de compliance. Para ello, podemos tomar en cuenta las normas europeas que rigen este tipo de planes. Así, tenemos la ISO 19600 que establece unas directrices universales sobre compliance, la UNE 19601 que indica los requisitos para la certificación del Plan de Compliance, y la ISO 37001, destinada a la certificación de sistemas antisoborno. Estos estándares internacionales, basados en buenas prácticas a nivel mundial, establecen requisitos mínimos que debe cumplir un programa de compliance para prevenir un delito. Siendo una guía para el desarrollo e implementación de una cultura de cumplimiento. La certificación aporta fiabilidad y permite acreditar ante: clientes, proveedores y otros terceros interesados, el compromiso de la empresa de cumplir con la normatividad vigente. Además de que, la acreditación, podría ser una salvaguarda importante para considerar por la autoridad en caso de alguna acusación. Toda empresa debe contar con el soporte de una asociación evaluadora, que certifiqué el modelo implementado, y evalué si las condiciones del plan se encuentran dentro de los parámetros exigidos por las leyes. Algunos de los beneficios de certificar el plan de compliance es que permite a la empresa competir en igualdad de oportunidades al integrar las mejores prácticas empresariales para impulsar una cultura ética en todas las operaciones del negocio. Una certificación es el proceso por el cual se demuestra, a través de un tercero independiente y acreditado, que el programa de compliance funciona y que cumple con especificaciones y requisitos del estándar de referencia, de forma objetiva e imparcial. Garantiza que el sistema funciona, que está adecuadamente implementado y que nuestra política funciona de forma efectiva. Si bien la certificación no es una garantía, asegura que el sistema se mantiene y es mejorado de forma continua, llevándolo a su madurez. Lo que fortalece la imagen de la empresa. La elección de un organismo adecuado para llevar a cabo la auditoría de certificación o de evaluación del sistema es, una importante decisión para la que deben tenerse en cuenta varios aspectos: acudir con un organismo reconocido, profesionalismo y rigor de los expertos técnicos, el proceso que seguirá para la certificación. Recordemos que una de las funciones del compliance es lograr mantener la reputación y el buen nombre de la empresa, mediante el manejo adecuado de los riesgos con el propósito de resguardar la sostenibilidad de esta.

20 JUN 2022 · Las auditorías funcionan como una especie de evaluación general de las medidas, procedimientos y protocolos implantados hasta la fecha, así como su efectividad a la hora de alcanzar los objetivos propuestos. Estas auditorías deben realizarse de forma periódica, para comprobar la eficiencia de las medidas a lo largo del tiempo. Resulta necesario que el sistema en gestión en compliance sea dinámico y esté sujeto a supervisiones y modificaciones necesarias para que siempre se encuentre actualizado y de acorde a las necesidades tanto de la empresa como del mercado. El correcto funcionamiento del programa se garantiza mediante su revisión y evaluación de forma semestral, como mínimo. Pueden ser revisiones parciales o totales, aunque resulta indispensable que a finales de cada año se ejecute una revisión completa teniendo en cuenta todas las incidencias que han sucedido, los cambios organizacionales y cambios externos, tales como nueva normatividades o legislaciones. Pueden ser auditorías internas o externas, se debe contar con una planificación de estas. En dónde se defina claramente los indicadores cuantitativos, cualitativos, y los niveles de madurez del programa, que se pretender identificar y obtener. Como resultado de estos trabajos se deben identificar los nuevos riesgos que deberán ser incorporados al programa. Asimismo, hay que revisar la eficacia de los controles implantados y la asignación eficaz de responsabilidades para cumplir con las obligaciones de compliance. Es necesario contar con un procedimiento de elaboración y comunicación de informes. El desarrollo de indicadores que ayuden a evidenciar el nivel de cumplimiento y desempeño del sistema, son parte de los objetivos que deben buscar las auditorias. A fin de mantener y controlar la efectiva implantación del programa de compliance. Algunas de las materias sujetas a revisión para garantizar una adecuada aplicación del programa, entre otras, se encuentran: el adecuado entendimiento de las obligaciones de compliance por parte de las personas a las que afecten. El cumplimiento de las políticas, procedimientos y controles establecidos por la organización para facilitar la ejecución de las obligaciones establecidas en el marco legal de aplicación. Los procesos relacionados con lo establecido en las normas y reglamentos de conducta. Los procesos relacionados con la gestión de los conflictos de interés. Los procesos relacionados a las restricciones de operaciones con clientes, proveedores o socios de negocio en general. La alta dirección debe tomar las acciones pertinentes resultantes de estas auditorías, que permitan asegurar el correcto funcionamiento de los programas de compliance.

19 JUN 2022 · El registro de incidencias contribuye a conocer cuáles son los incumplimientos que más se dan en el seno de la empresa y, por tanto, cuáles conviene vigilar más en el futuro. Este registro de incidencias debe estar contenido en una base de datos debidamente protegida y actualizada. Del registro de estas incidencias se deben derivar acciones correctivas, que busquen la eliminación de la causa que ha ocasionado la incidencia detectada, y evitar que vuelva a suceder, o que pase otra situación no deseable. Se deben adoptar de forma rápida y oportuna las medidas necesarias, una vez que se tiene el conocimiento de la incidencia. Identificar si su alcance es para toda la organización o para un área específica. Registrando estas medidas en la base correspondiente y haciendo del conocimiento de todos los miembros de la empresa los cambios o actualizaciones en los programas que en su caso se consideren necesarios realizar. El registro de incidencias permite también la reasignación de recursos, para su prevención, detección y gestión de manera eficiente. Por ello, la identificación, análisis y valoración constituye una actividad clave que debe documentarse. Es una forma de verificar el correcto desarrollo y cumplimiento de los programas de compliance. Los reportes de incidencias deben ser comunicados a los altos mando de la organización, junto con la descripción de las acciones sugeridas a seguir para su corrección. Algunas incidencias pueden derivar de cambios en la legislación o en su interpretación. Cambios a los cuales la organización debe adaptarse a fin de evitar riesgos o sanciones. Dado que algunas incidencias pueden provenir de las denuncias expresadas en los canales establecidos, es importante que la guarda de esta información sea independiente y garantice la confidencial del denunciante. Es fundamental, también, que los procesos que siguen las incidencias se encuentren claramente establecidos y se cumplan. Finalmente, es importante considerar y evaluar la mejor forma de comunicar estas incidencias a todos los miembros de la empresa ya que son una forma de capacitación y aprendizaje útil para disipar cuestionamientos que se pudieran tener dentro de la organización. Sumado a que muestran la efectividad, funcionalidad y avance del programa de compliance.

18 JUN 2022 · Antes hablamos de la necesidad de crear una cultura ética empresarial. Para ello, es imprescindible formar en materia de compliance a todos los miembros de la organización, desde empleados de cualquier departamento hasta los altos directivos. Para ello, se debe desarrollar programas de formación e iniciativas que fomenten la concienciación de los miembros de la empresa sobre la necesidad de tener un comportamiento responsable y adaptado a la legalidad vigente. El objetivo de esta formación es que los programas de compliance sean comprendidos por todos los miembros de la empresa, que los pongan en práctica, y que no solamente se los aprendan de memoria, sino que también esta cultura ética y de integridad se refleje en sus comunidades. La comunicación debe ser clara, continua y dirigida a los distintos niveles de la empresa. Todos deben ser capacitados en el código ético. Y aquellas áreas que por la naturaleza de sus funciones así lo requieren, deben recibir una capacitación adicional, con mayor frecuencia y detalle, a fin de garantizar el buen desempeño de sus funciones. Igualmente se deben dedicar algunas acciones a sensibilizar y formar a los socios comerciales y proveedores. Ya que la integridad empresarial también se vive hacia el exterior, en las relaciones comerciales. Aprender de las opiniones y reacciones de los colaboradores. Todos los miembros de la empresa deben tener la confianza y seguridad de acercarse con la persona designada y plantear sus preguntas o comentarios sobre situaciones reales que se presentan derivadas de sus actividades, los cuales pueden ser incorporadas como una mejora o actualización de los programas de compliance. El compliance es un programa vivo, que va más allá de la prohibición de determinadas acciones. Cada empresa debe identificar las técnicas que mejor le aplican, que pueden ir desde enfoques interactivos, hasta medidas tan simples como colgar en la oficina breves comunicaciones sobre el tema cumplimiento. De igual forma pueden utilizar aplicaciones tecnológicas que permitan una capacitación efectiva y simple. Para definir la más adecuada es importante tener en cuenta: 1) que llegue a todas las partes interesadas, y 2) cuál es el contenido de dicha comunicación; qué se quiere comunicar, qué se quiere transmitir. Dentro de las acciones de difusión externa, la empresa puede optar por publicar en su portal de internet su código de ética vigente; así como incluir en todos sus contratos una cláusula de conocimiento y compromiso con los programas de cumplimiento. Es fundamental asegurarse de que cada área o departamento tiene una copia impresa del código de ética, y de los programas implementados. También, todos los miembros de la empresa deben recibirlo, ya sea de forma electrónica o impresa. Para el éxito de cualquier programa es necesario que la dirección sea líder, comunique y provea los recursos necesarios. Utilice cualquier foro para transmitir el enfoque y compromiso ético de la empresa. Predicar con el ejemplo. El comportamiento de los altos directivos es uno de los factores que más influye en los colaboradores en el momento de orientar su toma de decisiones, ya que generalmente imitan el comportamiento y las acciones de sus superiores, por considerarlos la mejor o más segura línea de conducta. Al final de la sensibilización todos los miembros de la empresa deben conocer y tener claro el por qué se tiene y la forma en que debe ser utilizado, el programa de cumplimiento ético y normativo. Especialmente las sanciones deben quedar claras. La comunicación asertiva y la capacitación son las formas más efectivas para que el personal se familiarice con las políticas, procesos y procedimientos, así como la cultura misma de la empresa.

17 JUN 2022 · Aunque sea muy complicado prevenir el 100% de los delitos en la empresa, cualquier modelo de compliance penal ha de estar diseñado para ofrecer una respuesta lo más rápida y efectiva ante ellos. Estos mecanismos no solo deben estar orientados a ofrecer una respuesta rápida y eficaz ante la comisión de delitos, sino a disuadir a otros de cara al futuro.

17 JUN 2022 · Los canales de denuncia internos son fundamentales para poder notificar aquellos delitos o acciones ilícitas que se realicen dentro de la organización. En un programa de anticorrupción o antisoborno resulta esencial el canal de denuncia, existen diversas formas para denunciar y aumentar las probabilidades de obtener más y mejor información. Una primera clasificación de tipos de informes podría ser: • Informes abiertos: la información se publica sin restricción alguna, y el denunciante no tiene ninguna reserva con respecto a su identidad. • Informes confidenciales: los profesionales encargados y los investigadores conocen la identidad del informante, pero no la comunican a los afectados, sin el consentimiento del denunciante. • Informes anónimos: la información es suministrada pero nadie conoce la identidad del denunciante. En este tipo de informe, los investigadores deben ser mucho más exigentes con la recolección de evidencias que respalde los hechos informados. En los tipo de canales de denuncia por el objetivo que persiguen y su competencia generamente se identifican tres grupos: 1. canales internos, 2. los externos y 3. los públicos. Uno de los puntos más importantes para que un canal de denuncia sea exitoso, debe de cumplir con 4 elementos minimos: 1. accesibles, 2. confidenciales, 3. seguros y 4. eficientes. La manera en que se podrán acceder a estos canales de denuncia será de manera: • Escritos: a través de buzón o con una oficialia. • Orales: a través de entrevistas o línea telefónica. • Digitales: chats o cuenta de correo electrónico y plataformas digitales inteligentes. Estas actividades se deben de mantener abiertas 24x7, incluyendo el acceso para aceptar informes de contratistas, proveedores, personal ajeno a la organización, o socios y accionistas.

17 JUN 2022 · Los protocolos y procedimientos de los que te hemos hablado en el episodio anterior no deben funcionar como un conjunto de normas aisladas. Al contrario, han de formar parte de una política interna cohesionada y que abarque a toda la empresa. Esto se conoce en las corporaciones como código ético, este conjunto de pautas y normas generales que regirán el comportamiento de los miembros de la organización. El Código de Ética representa los principios que rigen a una empresa que deben de incluirse en la estrategia de la organización. El propósito y las directrices contenidas en dichos códigos son las que definen el cómo se alcanzará el objetivo y la forma en la que hace negocios, no son lo mismo los principios legales y los morales, el segundo esta relacionado con la formación de las personas, de tu equipo de trabajo, colaboradores directos e indirectos Los códigos de ética deben contener minimo lo siguiente: 1. Valores, misión y visión de la organización 2. Comunicar la importancia de apegarse a las reglas 3. Conductas prohibidas 4. Definición clara de un conflicto de interés 5. Política de regalos corporativos 6. Consecuencias por incumplir con el código 7. Canales de comunicación para reportar el incumplimiento Es vital establecer las conductas permitidas para todos los colaboradores internos y externos, con el fin de alcanzar los objetivos fijados en el plan estratégico sin incurrir en una práctica contraria a los valores y buenas costumbres reconocidas principalmente por la ley y por la institución, organización, empresa o negocio familiar.

17 JUN 2022 · El Corporate Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan, a fin de establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos. La Guía de la OCDE de Debida Diligencia para una Conducta Empresarial Responsable (CER) señala que el objetivo principal es, ante todos evitar causar o contribuir a impactos negativos sobre las personas, el medio ambiente y la sociedad, e intentar evitar los impactos negativos directamente vinculados a las actividades, productos o servicios de las relaciones comerciales. Menciona que cuando no se puede evitar la participación en impactos negativos, se debe permitir a las empresas mitigarlos, prevenir su recurrencia y, si corresponde repararlos. Por ello, establece que algunos elementos esenciales de la debida diligencia son: • Implica múltiples procesos y objetivos. Es un conjunto de procesos interrelacionados para identificar los impactos negativos, prevenirlos y mitigarlos, realizar un seguimiento de la implementación y los resultados e informar sobre cómo se abordan los impactos negativos con respecto a las actividades propias de las empresas, sus cadenas de suministro y demás relaciones comerciales. • Debe ser una parte integral de la toma de decisiones y la gestión de riesgos de la empresa. • Es proporcional al riesgo (basada en el riesgo). Las medidas deben ser acordes a la gravedad y a la probabilidad del impacto negativo. También debe adaptarse a la naturaleza del impacto negativo, es decir, adecuar las estrategias a los riesgos específicos y tener en cuenta cómo estos riesgos afectan a diferentes grupos. • Puede un proceso de priorización. Cuando no es factible abordar todos los impactos identificados a la vez, se debe priorizar el orden en que se tomaran las medidas en función de la gravedad y la probabilidad del impacto negativo. Finalmente, recomienda que se lleven a cabo evaluaciones reiterativas y cada vez más en profundidad acerca de las actividades, los proveedores y otras relaciones comerciales que se han priorizado, con el objetivo de identificar y evaluar los impactos negativos reales y potenciales en los ámbitos de la CER. Por otro lado, el manual Cómo elaborar un plan de compliance para su empresa elaborado por la Confederación Canaria de Empresarios y el Gobierno de Canarias. Señala que el plan de cumplimiento es un mecanismo utilizado por las empresas para evitar ser halladas responsables penalmente de los delitos cometidos en su seno, o por personas físicas directamente relacionadas con ella. Señala las siguientes fases de elaboración de un plan de compliance: • Creación de un equipo de compliance. • Análisis y gestión de los riesgos penales de la organización. • Definición de protocolos y procedimientos para la toma de decisiones en la organización. • Establecimiento de un Código de Ética. • Establecimiento de un canal de denuncias interno y régimen disciplinario. • Diseño de un modelo de respuesta ante el riesgo de comisión de un delito. • Desarrollo e impartición de programas de formación y sensibilización. • Establecimiento de un registro de evidencias. • Establecimiento de un programa de auditoría y verificación periódica del plan. De forma inicial la empresa deber realizar un análisis que le permita identificar y concentrar los riesgos a los que la empresa se enfrenta y su nivel de exposición a los distintos tipos de delitos que se puedan producir en su seno o en su cadena de suministro. Se deben evaluar todas las operaciones y procedimientos de la empresa.