Este documento presenta una metodología para implementar un sistema de autoevaluación del control interno que permita supervisar de manera más efectiva la función de cumplimiento normativo en las organizaciones. Explica el papel del oficial de cumplimiento corporativo y cómo articular el sistema de control interno para que las responsabilidades lleguen hasta la función operativa a través de la autoevaluación. También enumera los delitos por los cuales las personas jurídicas pueden ser responsables penalmente.
2. Introducción
• Ley
Orgánica
5/2010,
de
22
de
junio,
por
la
que
se
modifica
la
Ley
Orgánica
10/1995,
de
23
de
noviembre,
del
Código
Penal.
Uno
de
los
principales
cambios
legisla6vos
en
materia
de
responsabilidad
de
las
organizaciones,
ha
sido
la
introducción
de
la
responsabilidad
penal
de
las
personas
jurídicas.
Se
ins6tucionaliza
en
nuestro
país
el
concepto
de
“Legal
Compliance”
como
mecanismo
de
respuesta
al
“Riesgo
Penal”.
• En
la
presente
sesión,
se
pretende
exponer
la
suma
de
experiencias
de
NUTRECO
en
la
elaboración
de
un
Programa
de
Legal
Compliance
basado
en
los
riesgos
penales
del
negocio,
y
de
MAZARS
aportando
la
metodología
para
implantar
un
Sistema
de
Autoevaluación
del
Control
Interno
que
permita
una
supervisión
más
efec6va
de
la
función
de
Compliance
en
la
organización.
2
3. Índice
1. El
papel
del
Corporate
Compliance
Officer
(CCO):
su
evolución
2. Funciones
y
Responsabilidades
del
Corporate
Compliance
Officer
3. Ar6culando
el
Sistema
de
Control
Interno
4. Cómo
hacer
que
las
responsabilidades
lleguen
hasta
la
función
opera6va:
la
Autoevaluación
del
Control
Interno
5. Modelo
conceptual
de
Buen
Gobierno
Corpora6vo
6. Nuevos
retos
para
la
Auditoria
Interna
y
para
la
Asesoría
Jurídica
3
5. • An6gua
división
de
nutrición
de
BP:
Management
Buy-‐Out
(MBO)
en
1994
• Co6zada
en
la
Bolsa
de
Ámsterdam
desde
1999
• Cinco
divisiones
de
negocios
en
la
Península:
piensos
compuestos,
avicultura
y
procesamiento
avícola,
integración
porcina,
agroespecialidades
y
alimento
para
peces
• 19
sociedades
en
España
con
más
de
70
centros
de
trabajo,
de
los
que
40
corresponden
a
grandes
plantas
de
producción,
un
laboratorio
de
bioquímica,
patología
e
inmunología
y
dos
centros
de
I+D+i
• Facturación
anual
superior
a
los
1.000
millones
de
euros
• 4.000
empleados
5
6. Los
inicios
• Antes
del
23
de
diciembre
de
2010:
“societas
deliquere
non
potest”
• Desde
el
23
de
diciembre
de
2010:
art.
31
Bis
Ley
Orgánica
5/2010
Responsabilidad
penal
de
la
en6dad
jurídica
por
ser
en
su
nombre
o
por
su
cuenta,
y
en
su
provecho,
por
personas
con
poder
de
representación,
por
personas
dependientes
de
los
anteriores
al
no
haber
ejercido
la
persona
jurídica
el
debido
control
sobre
ellos
6
7. Los
sujetos
suscep6bles
de
imputación
-‐ Persona
jurídica:
según
la
legislación
civil
y
mercan6l.
-‐ Representantes
legales
y
administradores
de
derecho:
según
la
legislación
mercan6l.
-‐ Administrador
de
hecho:
según
la
jurisprudencia.
-‐ Empleados:
aquellos
con
relación
laboral
así
como
terceros
que
trabajen
para
la
empresa
y
ello
dentro
de
su
ac6vidad
y
dominio
sociales
(trabajadores
autónomos).
-‐ Sin
necesidad
de
la
individualización
de
la
responsabilidad
penal
de
la
persona
fsica.
7
8. Los
delitos
(I)
-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
Delitos
contra
la
ordenación
del
territorio
y
el
urbanismo
(art.
319
CP)
Delitos
contra
los
recursos
naturales
y
el
medio
ambiente
(art.
325
CP)
Delito
de
establecimiento
de
depósitos
o
vertederos
tóxicos
(art.
328
CP)
Delito
rela6vo
a
las
radiaciones
ionizantes
(art.
343
CP)
Delito
de
estragos
(art.
348
CP)
Delito
de
falsificación
de
tarjetas
de
crédito
y
débito
y
cheques
de
viaje
(art.
399
bis
CP)
Delitos
de
cohecho
(arts.
419
a
427
CP)
Delitos
de
tráfico
de
influencias
(arts.
428
a
430
CP)
Delito
de
corrupción
en
las
transacciones
comerciales
internacionales
(art.
445
CP)
Delito
de
descubrimiento
y
revelación
de
secretos
(art.
197
CP)
Delitos
de
estafa
(arts.
248
a
251
CP)
Delitos
de
insolvencia
punible
(arts.
257
a
261
CP)
8
9. Los
delitos
(II)
-‐ Delito
de
daños
informá6cos
(art.
264
CP)
-‐ Delitos
rela6vos
a
la
propiedad
intelectual
e
industrial,
al
mercado
y
a
los
consumidores
(arts.
270
a
288
CP)
-‐ Delito
de
blanqueo
de
capitales
(art.
302
CP)
-‐ Delitos
contra
la
Hacienda
Pública
y
contra
la
Seguridad
Social
(arts.
305
a
310
CP)
-‐ Delito
de
captación
de
fondos
para
el
terrorismo
(art.
576
bis
CP)
-‐ Delito
de
tráfico
y
trasplante
ilegal
de
órganos
humanos
(art.
156
bis
CP)
-‐ Delito
de
trata
de
seres
humanos
(art.
177
bis
CP)
-‐ Delitos
de
tráfico
de
drogas
(arts.
368
y
369
CP)
-‐ Delitos
de
tráfico
ilegal
o
inmigración
clandes6na
de
personas
(art.
318
bis
CP)
-‐ Delitos
rela6vos
a
la
pros6tución
y
la
corrupción
de
menores
(arts.
187
a
189
CP)
9
10. Los
responsables
• La
totalidad
de
la
organización
• Los
órganos
de
administración
y
cuerpo
direc6vo
• Las
Asesorías
Jurídicas
• Los
Departamentos
de
Recursos
Humanos
• Los
Departamentos
de
Auditoría
¿es
necesaria
la
creación
de
una
nueva
posición?
¿el
Compliance
Officer?
¿el
Chief
Compliance
Officer?
¿el
Chief
Ethic
and
Compliance
Officer?
¿el
Compliance
Comminee?
10
11. El
papel
del
Corporate
Compliance
Officer
•
Responsable
del
Sistema
de
Ges6ón
de
Compliance
-‐ Diseño
y
desarrollo
(acciones,
contenido
y
estructura)
-‐ Implantación
(comunicación),
monitorización
y
supervisión
(asesoramiento
y
resolución
de
conflictos)
-‐ Auditoría
(a
nivel
de
interno
y
de
terceras
partes)
-‐ Evolución
(revisión
periódica,
incidentes,
planes
estratégicos)
•
Garante
de
su
adecuación
y
cumplimiento
•
Catalizador
en
la
evolución
de
la
cultura
y
del
compromiso
11
12. El
perfil
del
Corporate
Compliance
Officer
Autonomía
e
independencia
Recursos
y
medios
adecuados
Apoyo
con6nuado
y
público
Sensibilidad
por
otras
áreas
(RSC,
RC,
GC)
Conocimiento
del
negocio
Competencias
de
comunicación
y
coordinación
Libertad
de
movimiento
Conocimiento
del
marco
norma6vo
Competencias
de
organización
y
liderazgo
Involucración
directa
en
la
toma
de
decisiones
Conocimientos
mul6disciplinares
É6ca,
Integridad,
Hones6dad,
Neutralidad,
Independencia
12
14. Responsable
del
Sistema
de
Ges6ón
(I)
Diseño
del
Sistema
de
Ges6ón
de
Compliance
basado
en:
Los
valores
de
la
compañía:
la
cultura
del
cumplimiento
El
nivel
de
madurez:
el
compromiso
de
la
organización
El
negocio,
sus
mercados
y
el
marco
norma6vo
Las
estructuras
organiza6vas
y
legales
Risk
Assesment
Desarrollo
del
Sistema
de
Ges6ón
14
15. Responsable
del
Sistema
de
Ges6ón
(II)
-‐ Instrumentos
de
prevención
(polí6cas,
procedimientos
y
manuales):
el
conjunto
de
norma6va
interna
que
deberá
englobar
la
ley
y
la
é6ca
así
como
la
valoración
de
los
riesgos
derivados
de
su
incumplimiento.
Comunicación
y
difusión
Formación
-‐ Instrumentos
de
control
y
monitorización:
los
controles
adecuados,
internos
y/o
externos,
que
de
manera
con6nuada
y
permanente,
aseguren
el
cumplimiento
de
la
norma6va
interna.
-‐ Instrumentos
de
auditoría:
supervisión
a
fin
de
asegurar
que
la
corrección
y
adecuación
de
los
instrumentos
de
prevención
a
los
riesgos
existentes
así
como
el
conocimiento
y
cumplimiento
de
los
medidas
de
control
implantadas
por
parte
de
la
organización.
15
16. Garante
de
su
adecuación
y
cumplimiento
-‐ Instrumentos
de
prevención
(polí6cas,
procedimientos
y
manuales):
Comunicación
y
difusión
Formación
-‐ Instrumentos
de
control
y
monitorización:
Autoevaluación
del
Control
Interno
-‐ Instrumentos
de
auditoría:
Supervisión
y
evaluación
externa
del
Control
Interno
-‐ Instrumentos
de
adecuación,
adaptación
y
evolución:
Revisión
con6nuada
Conclusiones
de
los
anteriores
instrumentos
16
17. Catalizador
de
la
cultura
y
del
conocimiento
-‐
La
mejor
medida
es
la
prevención.
No
hay
un
Sistema
de
Ges6ón
infalible.
-‐ Avivar
y
dar
empuje,
atrayendo
y
agrupando
fuerzas,
ideas
o
sen6mientos
en
torno
a
la
cultura
y
al
conocimiento
en
materia
de
Compliance
Administradores
y
Alta
Dirección
Empleados
-‐ El
grado
de
cumplimiento
y
de
madurez
será
el
punto
de
par6da
-‐ Comunicación,
difusión
y
formación:
labor
diaria
-‐ La
é6ca
como
valor
fundamental
17
18. Responsabilidad
del
Corporate
Compliance
Officer
-‐
-‐
-‐
-‐
Responsabilidad
interna
frente
a
la
organización
Responsabilidad
externa
frente
a
terceros
Atribución
de
responsabilidades
Falta
de
diligencia
-‐ Comportamiento
no
censurable
ni
generador
de
responsabilidad
18
19. Ar4culando
el
Sistema
de
Control
Plan
Estratégico
Procesos,
Riesgos
y
Controles
Autoevaluación
del
Control
Interno
y
retroalimentación
20. Ges6onar
la
incer6dumbre
para
crear
valor
de
manera
sostenible
Ésta
es
la
premisa
con
la
que
trabajamos
las
empresas,
pero
formalizar
esa
ges6ón
de
la
incer6dumbre
a
través
de
la
implantación
de
un
sistema
de
ges6ón
de
riesgos
es
un
gran
paso
adelante
que
mejora
no
sólo
la
ges6ón
de
las
compañías
sino
la
ac6tud
de
toda
la
organización
hacia
los
riesgos,
reforzando
la
cultura
corpora6va
con
la
fijación
de
limites
que
formen
un
vínculo
dinámico
entre
la
estrategia,
los
obje6vos
de
la
organización,
y
la
ges6ón
de
riesgos.
Antonio
Huertas
Controles
Riesgos
Procesos
gia
trate
Es
s
je6vo
,
ob
Presidente
de
MAPFRE
Definición
e
implantación
de
Ape6to
al
Riesgo
(IAI)
gocio
de
ne
20
21. El
Sistema
de
Control
Interno
El
Control
Interno
es
una
ac6vidad
integrada
en
los
procesos
propios
de
cada
Organización,
diseñada
con
el
objeto
de
proporcionar
una
garanra
razonable
para
el
logro
de
los
obje6vos.
ü Perseguir
la
excelencia
opera6va
:
Eficacia
y
eficiencia
en
las
operaciones
ü Asegurar
la
fiabilidad
de
la
información
financiera
Función
de
Ges4ón
de
Riesgos
y
Control
Interno
ü Cumplir
con
las
normas
internas
y
externas
(legislación)
ü Salvaguardar
sus
ac6vos
ü Proteger
su
reputación
ü Minimizar
el
riesgo
de
fraude
(interno
o
externo)
Sistema
Ges4ón
Riesgos
Sistema
Control
Interno
• Iden6ficación
• Jerarquización
• Evaluación
• Tratamiento
• Documentación
• Control
• Supervisión
Proceso
Los
procesos
los
podemos
definir
a
par6r
de
las
ac4vidades
que
se
realizan
por
las
diferentes
Áreas
de
la
Organización.
Control
Cualquier
ac6vidad
encaminada
a
mejorar
la
ges4ón
de
los
riesgos,
disminuyendo
la
probabilidad
de
que
se
materialicen,
o
bien
el
impacto
en
tal
caso.
Las
ac6vidades
de
control
se
llevan
a
cabo
en
cualquier
parte
de
la
organización,
en
todos
sus
niveles
y
en
todas
sus
funciones.
21
22. Claves
para
afrontar
en
Modelo
de
Procesos,
Riesgos
y
Controles
TOP
DOWN
BOTTOM
UP
Puesta
en
marcha
más
rápida:
menor
número
de
entrevistas
y
no
se
requiere
un
análisis
demasiado
detallado
Requiere
mucho
6empo
en
su
ejecución
por
el
número
de
par6cipantes
y
entrevistas
Examen
de
riesgos
de
primer
nivel,
que
va
alineado
con
los
requerimientos
de
la
Dirección
General
El
enfoque
por
procesos
permite
obtener
un
buen
conocimiento
de
las
ac6vidades
de
la
en6dad
y
los
resultados
pueden
ser
u6lizados
para
otros
fines
(p.e.
reorganización,
modelos
funcionales,…)
Es
menos
precisa
tanto
en
la
iden6ficación
de
los
riesgos
como
en
su
valoración
El
análisis
detallado
de
las
ac6vidades
permite
una
relación
exhaus6va
de
riesgos
El
personal
operacional
está
menos
implicado
en
el
proyecto
Alta
par6cipación
de
los
responsables
operacionales
en
su
realización
Mayor
coste
económico
por
la
ges6ón
de
mayor
detalle,
y
uso
de
ERM
(Enterprise
Risk
Management)
22
23. Ape6to
al
Riesgo
Op4mización
del
riesgo
Conocimiento
Entender
los
riesgos
límites
Ges6ón
El
ape4to
de
riesgo
debe
ser
distribuido
de
modo
que
los
límites
administrados
separadamente
no
excedan
el
ape4to
de
riesgo
de
la
en4dad
completamente
Integrar
el
concepto
del
ape6to
al
riesgo
en
su
planificación
estratégica
à
se
establece
una
límite
alrededor
de
la
can6dad
de
riesgo
que
la
empresa
está
dispuesta
a
aceptar
23
24. Cómo
hacer
que
el
Sistema
de
Control
llegue
hasta
la
función
opera4va:
la
Autoevaluación
del
Control
Interno
25. La
Autoevaluación
del
Control
Interno
El
CSA
(Control
Self-‐Assessment)
es
un
proceso
a
través
del
cual
la
efec4vidad
del
control
es
examinada
y
evaluada.
El
obje4vo
es
proporcionar
seguridad
razonable
de
que
todos
los
obje4vos
de
negocios
serán
alcanzados.
(definición
IIA)
Las
autoevaluaciones
o
CSAs,
son
ac6vidades
de
autocontrol
que
se
asignan
al
responsable
de
un
control,
o
a
la
persona
en
que
éste
delegue,
y
que
esté
más
involucrado
en
la
realización
de
las
tareas
relacionadas
con
este
control.
Se
realizan
por
el
personal
que
conoce
el
proceso,
permi6endo
evaluar
con
mayor
exac6tud
el
grado
de
implantación
y
adecuación
de
cada
uno
de
los
controles.
Ayudan
a
los
empleados,
a
todos
los
niveles,
a
involucrarse
en
la
ges4ón
de
los
riesgos,
ejecutando
ac6vidades
relacionadas
con
el
desempeño
de
su
trabajo.
Son
un
elemento
clave
en
el
sistema
de
ges4ón
de
control
interno.
25
26. Beneficios
del
empleo
de
los
CSAs
para
la
organización
Ayuda
a
todos
los
empleados
a
entender
y
asumir
su
responsabilidad
y
cumplimiento
del
efec6vo
control
y
riesgo
gerencial
Productos
de
mejor
calidad,
reducción
de
retrasos
en
producción
o
incremento
de
la
sa6sfacción
de
los
clientes
Las
acciones
correc4vas
pueden
ser
más
efec4vas,
debido
a
que
los
par6cipantes
“son
dueños”
de
los
resultados
Provee
una
cobertura
amplia
de
áreas
importantes,
debido
a
que
los
expertos,
pueden
rápidamente
enfocar
los
riesgos
y
controles
claves
Procesos
de
negocio
más
eficientes
y
efec4vos
Mejora
en
los
controles
internos
Mejora
la
comunicación
en
todos
los
niveles,
debido
a
que
los
talleres
pueden
incluir
múl6ples
ubicaciones,
departamentos,
funciones
y
niveles
de
personal
Enseña
a
los
par6cipantes
a
cómo
analizar
y
reportar
sobre
el
control
interno,
ayudando
a
incrementar
la
conciencia
de
control
en
toda
la
organización
Mejor
evaluación
y
administración
del
riesgo
Incrementa
la
preocupación
por
los
obje4vos
organizacionales
y
el
rol
del
personal
en
el
logro
de
las
metas
y
obje6vos
Los
empleados
estarán
más
mo4vados
al
ver
que
sus
opiniones
y
sugerencias
son
valorizadas.
Mejora
la
moral
de
los
empleados
26
27. Beneficios
del
empleo
de
los
CSAs
para
los
auditores
internos
El
CSA
es
una
forma
efec6va
para
probar
los
controles
informales
o
suaves
que
son
difciles
de
evaluar
por
la
auditoría
tradicional
Auditoría
Interna
puede
centrarse
en
áreas
fundamentales
para
el
éxito
de
la
organización
Mejora
la
aportación
de
valor
del
personal
de
Auditoría
Interna
Su
naturaleza
colaboradora
puede
crear
una
percepción
más
posi4va
de
la
Auditoría
interna
entre
gerentes
y
empleados
Puede
ayudar
a
la
auditoría
a
focalizar
solamente
los
puntos
de
alto
riesgo
y
concentrar
los
esfuerzos
de
auditoría
en
éstos
Resistencias
à
Mejora
la
habilidad
de
probar
los
controles
Uso
más
eficiente
de
los
recursos
Mejora
el
rol
del
departamento
de
Auditoría
Interna
Mejora
la
habilidad
de
enfocar
las
áreas
de
alto
riesgo
• Impacto
organizacional:
Cambio
cultural
• Impacto
funcional:
Relación
entre
departamentos
• Impacto
individual:
Nuevas
habilidades,
ac6tudes,
conocimientos
27
28. Control
Interno
Compliance
Officer
Auditoría
Interna
Modelo
de
Buen
Gobierno
Corpora4vo
29. Modelo
Conceptual
de
Buen
Gobierno
Corpora6vo
Identifican elementos que
permiten re-evaluar
Su ejecución
conlleva
Procesos
Notificación de
Materialización del
Riesgo / Denuncias
Riesgos
Permiten validar la
idoneidad y el grado de
realización de
Mitigan el
impacto de
Actualizan
la valoración
Controles
Alertas
Documentos e
Indicadores
Permiten evaluar por el
personal más adecuado
Autoevaluaciones o CSAs
Identifican acciones que
mejoren la efectividad de
Supervisiones
Identifican la
necesidad de
Planes de acción
29
30. NUEVOS
RETOS
PARA
AUDITORÍA
INTERNA
Y
ASESORÍA
JURÍDICA
• Los
recientes
cambios
legisla6vos
nos
han
llevado
al
nacimiento
de
la
figura
del
Corporate
Compliance
Officer
(CCO),
cuya
función
empieza
a
ar6cularse
en
las
diferentes
organizaciones.
• Ha
llegado
el
momento
que
tanto
el
CCO,
Auditoría
Interna
y
Control
Interno
deban:
• Compar6r
una
misma
visión
de
la
organización
y
el
Sistema
de
Control
Interno
• Complementarse
para
garan6zar
un
Buen
Gobierno
Corpora6vo
• Comunicar
una
nueva
cultura
del
Cumplimiento
y
la
Autoevaluación
del
Control
Interno
• Hay
que
visualizar
este
cambio
como
una
oportunidad
de
generar
valor
y
ges6onar
la
incer6dumbre.
30