Autor/a: Fernando Casas Gallego, Marisa Gómez Crespo, Rocío López Escorial y María Astigarraga Aguirre
Nº Breve: 06/2019

HIREKIN y el OBSERVATORIO DEL TERCER SECTOR DE BIZKAIA comparten el objetivo de actualización y mejora de las organizaciones del Tercer Sector Social y la función de ofrecer información a las organizaciones sobre la evolución de la normativa de obligado cumplimiento y orientada a la mejora de la gestión [1].

De hecho, son varias las propuestas que hemos ido realizando, en diferentes ámbitos, en relación a la adecuación y cumplimiento de la normativa y alguna de ellas, como la relativa al reglamento general de protección de datos o la investigación sobre riesgos psicosociales, en colaboración. En este marco se encuadra la jornada que realizamos conjuntamente el día 16 de mayo de 2019 y en la que también contamos con la colaboración de la WORLD COMPLIANCE ASSOCIATION (WCA), una Asociación Internacional sin ánimo de lucro formada por profesionales y organizaciones interesadas en el mundo del “compliance”.

En la jornada, realizada en Bolunta, y a la que acudieron más de 50 personas, tratamos responder a los siguientes objetivos:

  • Conocer qué es la función de compliance y valorar la importancia de su impulso en las organizaciones del Tercer Sector Social.
  • Identificar algunos riesgos de compliance en general, y en el Tercer Sector Social en particular, y evaluar las necesidades de las organizaciones en esta materia.
  • Conocer referencias, sistemas y herramientas vinculadas al desempeño de la función de compliance, y compliance penal, por las organizaciones.

Contó con una ponencia principal, “La función de compliance en las organizaciones del tercer sector social: objetivos, proceso, agentes,…, y referencias prácticas para su desarrollo”, elaborada por  Fernando Casas Gallego, abogado y gerente de la red de centros La Salle, que nos ayudó a comprender las nociones fundamentales de lo que significan y suponen los sistemas de compliance (o cumplimiento) penal. También escuchamos la aportación de una mesa de experiencias en la que tratamos de acercar el mundo del compliance a la perspectiva y realidades del sector, además de profundizar en algunas herramientas y posibilidades para comenzar como organizaciones y como sector en el desarrollo de esta función. En esta mesa participaron, Rocío López Escorial, responsable de nuevas ONG y analista de la Fundación Lealtad, en representación del  comité técnico y de estudio de compliance en el Tercer Sector en la WCA y Marisa Gómez Crespo, Directora de la Plataforma de ONG de Acción Social, POAS, quien nos presentó el Mapa de riesgos penales de las organizaciones y la Guía práctica de autodiagnóstico y compliance para entidades sociales. Finalmente, pudimos contar con una breve presentación de la figura del monitor independiente de compliance, a cargo de María Astigarraga Aguirre, socia de Affiliated Monitors Spain.

En este breve de gestión os acercamos algunos de estos contenidos, que podréis escuchar en la voz de sus protagonistas en los vídeos que os compartimos a lo largo del texto. También os invitamos a profundizar en sus presentaciones y en los diversos materiales y referencias que os iremos enlazando, recogidas de manera más organizada al final de este breve.

 

Punto de partida. ¿De dónde viene el interés actual por el compliance penal y por la función de compliance en las organizaciones del sector?

En los últimos años, las organizaciones del tercer sector social, y de un modo particular aquellas que han diversificado sus funciones e interacciones con otros agentes y sectores, han visto cómo se incrementaban sus responsabilidades y también las exigencias o requerimientos legales que les son de aplicación.

La mayor complejidad de la sociedad y de la intervención social, así como su profesionalización creciente y la asunción progresiva de la responsabilidad pública sobre muchos de los servicios que venían impulsando implican un aumento de los requerimientos normativos relacionados con la gestión de las organizaciones o con la intervención social, y una definición, también normativa, de las consecuencias derivadas de su incumplimiento.

Se trata de requerimientos que obligan a las organizaciones como personas jurídicas y de consecuencias que les afectan como tales y que las organizaciones no siempre gestionan, desde una perspectiva legal y ética, e incluso, en ocasiones, desconocen.

Por poner solo un ejemplo muy específico, la ley 12/2016, de 12 de mayo, del Tercer Sector Social de Euskadi, ha introducido, en su artículo 16, nuevas obligaciones para las organizaciones del Tercer Sector Social de Euskadi que colaboren o cooperen en la provisión de servicios de responsabilidad pública.

Y alude, expresamente, a las posibles consecuencias de su incumplimiento: “El incumplimiento de las citadas obligaciones podrá dar lugar a la rescisión de la cooperación y colaboración con las administraciones públicas vascas”. No se trata de una consecuencia menor pero, en otros casos, el incumplimiento de los requerimientos legales por la entidad implica consecuencias penales para la misma.

En este sentido, la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, entre otros aspectos: concreta, en su artículo único, veinte [2]:

  • Los supuestos en que las personas jurídicas son penalmente responsables, de manera plena, respecto a los delitos cometidos en su nombre o por su cuenta así como en el ejercicio de actividades sociales, y en su beneficio directo o indirecto.
  • Los supuestos y condiciones en que la persona jurídica quedará exenta de responsabilidad, o podrá ver atenuada la pena, incluyendo entre dichas condiciones la adopción y ejecución con eficacia, antes de la comisión del delito, de modelos de organización y gestión que resulten adecuados – incluyan las medidas de vigilancia y control idóneas – para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.

Si los delitos fueran cometidos por sus representantes legales, o por quienes actuando individualmente o como integrantes de un órgano de la persona jurídica, estén autorizados para tomar decisiones en nombre de la persona jurídica u ostenten facultades de organización y control dentro de la misma, se requiere también que el funcionamiento y cumplimiento del modelo de prevención implantado haya sido supervisado por un órgano de la persona jurídica con poderes autónomos de iniciativa y control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica [3].

Y, complementariamente, que: a) no se haya producido una omisión o un ejercicio insuficiente de las funciones de supervisión, vigilancia y control de dicho órgano; b) la comisión del delito por los autores individuales haya eludido fraudulentamente dichos modelos de organización y prevención.

Además, la norma establece que los modelos de organización y gestión deberán cumplir los siguientes requisitos:

  • Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
  • Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
  • Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
  • Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  • Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
  • Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

En definitiva, las últimas reformas del código penal han supuesto cambios trascendentales en esta materia para las entidades jurídicas de todo tipo y condición.

Así, la reforma de 2010 (L.O. 5/2010) introduce la responsabilidad penal corporativa y permite la condena de personas jurídicas responsables de un delito conforme a un catálogo o lista de delitos, mientras que la reforma de 2015 (L.O. 1/2015) incorpora la implantación de los modelos de prevención de delitos en las organizaciones como forma de exención o atenuación de la responsabilidad penal.

A partir de esa fecha, aunque con un gran desarrollo anterior en el ámbito anglosajón, es cada vez más común la existencia de propuestas, iniciativas y servicios vinculados a la función de compliance (cumplimiento) y al compliance penal.

La Función de Compliance desde una perspectiva amplia

Desde la propuesta de la jornada que celebramos hemos querido poner el foco en la función de compliance desde una perspectiva amplia. El desempeño de esta función supone para la organización una labor de autoconocimiento y conocimiento del marco ético y legal, implementar mecanismos para la detección, prevención y gestión de los posibles riesgos en relación con el cumplimiento de las obligaciones y el fortalecimiento de la estructura organizativa (gobierno corporativo, responsable o responsables específicos, implicación de toda la organización) vinculada al proceso que se desarrolle.

Así, como señala el Libro Blanco sobre la función de Compliance, editado por la Asociación española de Compliance y elaborado por un grupo de trabajo coordinado por Alain Casanovas: “La función de Compliance asume las tareas de prevención, detección y gestión [4] de riesgos de Compliance [1.(2)] mediante la operación de uno o varios Programas de Compliance [1.(3)], contribuyendo a promover y desarrollar una cultura de cumplimiento en el seno de la organización” [5].

La función de compliance en las organizaciones desborda la detección, prevención y gestión de los riesgos de compliance (cumplimiento de las obligaciones) y de las consecuencias, penales o no, de su incumplimiento y también se orienta, desde una perspectiva ética, a la búsqueda de la coherencia en la gestión y la intervención con los valores y códigos éticos de las organizaciones.

De este modo, este tipo de propuestas deben incorporar mecanismos más allá de la prevención de los riesgos penales fomentando la construcción de organizaciones responsables desde la perspectiva ética en sus diferentes dimensiones.

Por otro lado, las organizaciones del Tercer Sector Social compartimos características y situaciones específicas que se traducen en riesgos concretos, con posibles consecuencias en materia penal, que hacen necesario disponer de mecanismos de prevención, detección y gestión específicamente pensados para nuestra realidad. La búsqueda de la coherencia y el aumento de las expectativas y requerimientos sociales respecto a la ética de las organizaciones e instituciones de la sociedad hace también necesario impulsar la función de compliance y comunicar su desempeño, generando confianza en los diferentes grupos de interés de la organización, internos y externos.

 

Algunas preguntas y respuestas sobre el tema en la voz de las personas que participaron en la jornada.

En todos estos contenidos que venimos relatando hemos tratando de profundizar a través de los vídeos que os presentamos a continuación y que elaboramos en el marco de la pasada jornada. Lo haremos a partir de las siguientes preguntas:

 

¿Qué es la función de compliance? 

Fernando Casas Gallego (abogado y gerente de la red de centros La Salle).

La función de compliance se basa en un sistema de gestión de indicadores que permite a las entidades gestionar los riesgos del incumplimiento normativo. En primer lugar, está pensado sobre todo desde esta perspectiva de cumpliendo legal, fundamentalmente penal, pero, cada vez más, los diferentes modelos están incorporando una dimensión ética, yendo más allá del cumplimiento, hacia la identificación de los valores que deben regir la conducta de la organización.

Por tanto, se trata de identificar formas de comportamiento y normas de conducta que posibiliten, no sólo la reducción de riesgos de incumplimiento normativo, sino que favorezcan la realización efectiva de los valores éticos con los que se identifica la organización.

 

¿Qué especificidades tiene la función de compliance para las organizaciones del tercer sector?

Marisa Gómez Crespo (Directora de la Plataforma de ONG de Acción Social, POAS)

Desde la perspectiva de las organizaciones del tercer sector la figura del cumplimiento normativo (o del Compliance) debería servir para cubrir tres funciones:

  1. La principal es que no se cometan delitos dentro de la organización, ni por personas vinculadas a la misma, que puedan afectarla.
  2. La segunda sería eximir de responsabilidad a la organización y a las personas que forman parte de las juntas de estas organizaciones, que en su mayoría son personas voluntarias, si se dieran este tipo de conductas.
  3. La tercera tiene que ver con la construcción o el mantenimiento de la reputación del tercer sector en su conjunto.

Poniendo el foco en la especificidad de los riesgos vinculados a nuestro ámbito o tipo de organizaciones podríamos dividirlos en tres categorías. Los delitos que más nos afectan como organizaciones del sector serían los relativos:

  • a las personas a las que atendemos (delitos de fraude de subvenciones, de protección de datos…);
  • a la relación con los agentes clave (estafas y fraudes, cohecho, tráfico de influencias, fraude de ayudas y subvenciones…);
  • a la organización interna (derechos de las personas trabajadoras y voluntarias, delitos contra la intimidad, daños informáticos, propiedad intelectual…).

 

¿Qué puede hacer una organización que quiere dar sus primeros pasos en compliance?

Fernando Casas Gallego y Marisa Gómez Crespo

En primer lugar, habría que valorar los pasos realizados por las organizaciones en todo lo referido al cumplimiento normativo. En este sentido, como organizaciones y como sector, podemos decir que hay un conocimiento generalizado de la legalidad vigente que nos incumbe (legislación laboral, de voluntariado, de contratación pública,…) y un cumplimiento de la misma.

Una vez destacado este punto, lo primero que podría hacer una organización sería clarificar el mapa de los diferentes elementos dentro del Compliance, pudiendo así hablar de compliance legal, penal y ético. A partir de esta diferenciación habría que identificar las diferentes normas legales en cada uno de estos ámbitos y los diferentes riesgos de incumplimiento para la organización. Una vez avanzado este recorrido se trataría de incorporar normas de cumplimiento y normas de control, vigilancia y supervisión.

En estos primeros pasos quizás puede servir de ayuda la “Guía práctica de autodiagnóstico y Compliance para entidades Sociales”, elaborada por el colegio de abogados de Madrid en colaboración con la Plataforma del Tercer Sector de la Comunidad de Madrid, en la que se diferencian los delitos posibles y las conductas asociadas desde la perspectiva de las organizaciones del sector. A partir de esta categorización se pueden identificar diferentes conductas que pueden generar riesgos partiendo de la realidad de la propia organización.

 

¿Qué es el comité técnico y de estudio de compliance en el tercer sector en la World Compliance Association?

Rocío López Escorial  (Responsable de ONG y analista de la Fundación Lealtad) en representación del  comité técnico y de estudio de compliance en el Tercer Sector en la WCA.

La WORLD COMPLIANCE ASSOCIATION (WCA) es, una asociación internacional sin ánimo de lucro que se dedica a la promoción de actividades en temas de cumplimiento y a desarrollar herramientas para su desarrollo. Desde la organización se ha creado un comité técnico y de estudio de compliance en el Tercer Sector motivado por la cada vez mayor incidencia de una gran diversidad de normativas vinculadas a la gestión corriente de las organizaciones. Esta cada vez mayor incidencia se presenta combinada con una escasez de recursos para acceder a fondos para el desarrollo de actividades de estudio y adaptación a estas normativas en el sector. Desde este comité se trata de reducir esta brecha entre las necesidades de cumplimiento y la capacidad de las organizaciones para dar respuesta a esta necesidad. Así, se trata de divulgar la cultura del cumplimiento en el sector, adaptar esta cultura a las experiencias propias del sector, compartir experiencias y, finalmente, elaborar una guía que pueda servir como herramienta para las organizaciones y para sector.

 

¿Qué es la figura del monitor independiente y qué puede ofrecer a una organización del sector?

María Astigarraga Aguirre, socia de Affiliated Monitors Spain.

La figura del monitor independiente surge en el mundo anglosajón, sobre todo relacionada con situaciones vinculadas a la comisión de determinados delitos en organizaciones de cierto tamaño y en las que se propone incorporar una figura independiente para que ayude a la organización reforzando su programa de compliance y evitando que ese delito se vuelva a cometer. Con el objetivo de evitar excluir a esa organización de la financiación pública, se llega un acuerdo para monitorizar su sistema de cumplimiento mientras se reporta a la administración en relación con la toma de medidas que se están llevando a cabo para solucionar el problema detectado. En la actualidad se está comenzando a utilizar de manera preventiva en proyectos complejos y de alto riesgo sobre todo vinculados a fondos internacionales.

 

Algunos enlaces y referencias

Asociación española de Compliance

https://www.asociacioncompliance.com/

Casanovas Ysla, A (coord.) (2017). Libro Blanco sobre la función de Compliance. Madrid: Ed. Ascom, 51 páginas.

12 Cuadernos de Compliance [6]

 

World Compliance Association

http://www.worldcomplianceassociation.com/

Comité de Compliance en el Tercer Sector: http://www.worldcomplianceassociation.com/35/comite-trabajo-compliance-en-el-tercer-sector.html

Marco normativo internacional: http://www.worldcomplianceassociation.com/marco-normativo-internacional.php

 

NORMAS UNE-ISO sobre compliance y relacionadas (tomado de AENOR y Lloyd´s Register)

Asociación Española de Normalización y Certificación (2017). Sistemas de gestión de compliance penal. Requisitos con orientación para su uso (UNE 19601:2017).

Estado: Vigente / 2017-05-17

Es una herramienta para detectar y gestionar los riesgos a los que se enfrentan las organizaciones por posibles incumplimientos de sus obligaciones. Referencia Nacional (Lloyd´s)

 

Asociación Española de Normalización y Certificación (2015). Sistemas de gestión de compliance. Directrices (UNE-ISO 19600:2015).

Estado: Vigente / 2015-04-15

Es la referencia internacional que establece las buenas prácticas en materia de gestión de cumplimiento y facilita la gestión del riesgo penal (Lloyd´s).

 

Asociación Española de Normalización y Certificación (2018). Gestión del riesgo. Directrices (UNE-ISO 31000:2018).

Principios y directrices de gestión de riesgos: una norma de gestión de riesgos diseñada para ayudar a organizaciones de todo tamaño, públicas y privadas, a gestionar eficazmente los riesgos asociados a sus operaciones.

 

Asociación Española de Normalización y Certificación (2017). Sistemas de gestión antisoborno. Requisitos con orientación para su uso. (UNE-ISO 37001:2017).

Es la nueva Norma internacional para Sistemas de Gestión contra el soborno, que tiene como objetivo ayudar a las organizaciones a implantar controles que ayudarán a prevenir, detectar y abordar el soborno.(Lloyd´s).

 

Plataforma de ONG de Acción Social:

Ilustre Colegio de Abogados de Madrid:

Transparency International España

 

 

[1] El Observatorio ofrece información, actualizada periódicamente, sobre la normativa de obligado cumplimiento que afecta al sector y puede consultarse en:  http://www.3sbizkaia.org/Menu.aspx?s=126
[2] Artículo 31 bis en la redacción resultante de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal modificada por la Ley Orgánica 1/2015, de 30 de marzo.
[3] En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones las que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada.
[4] Entendiendo por gestión, su control, reacción, reducción, etc.
[5] Casanovas Ysla, A (coord.) (2016). Libro Blanco sobre la función de Compliance. Madrid: Ed. Ascom, 51 páginas.
[6] Se presentaron en Madrid en enero de este año: https://www.asociacioncompliance.com/presentacion-de-los-cuadernos-de-compliance/  Al igual que el Libro Blanco, se pueden descargar en la web de la asociación: https://www.asociacioncompliance.com/iecom/cuadernos-de-compliance/