Rafael Olaso, responsable Técnico de Compliance y Protección de Datos en Bureau Veritas Certificación: “El Código Penal es demoledor al exigir un modelo eficaz, para lo que es necesario su verificación y su revisión”
La norma UNE 19601 se ha convertido en el eje central del sistema de gestión de ‘compliance’ para prevenir y detectar la comisión de conductas contrarias al Código Penal en las empresas. Sobre esta norma y sus efectos hablamos con un especialista en la auditoría de cumplimiento normativo, como es Rafael Olaso
¿No es exagerada la cantidad de certificaciones que se están creando, sobre todo en formación?
Depende del tipo de certificación a que nos estemos refiriendo. Cada certificación tiene la validez que cada uno le quiera dar. Yo puedo certificar que tengo los ojos negros, pero los tengo azules. Las que tienen valor son las que están acreditadas por la Entidad Nacional de Acreditación (Enac). Ya es un tercero quien decide que el proceso acreditado es técnicamente competente. En un principio, incluso los propios despachos que ejercían el compliance eran los que emitían sus propios certificados. Se certificaban a sí mismos. Ya con la aprobación de la UNE 19601, tenemos una norma que regula los sistemas de gestión del compliance penal. Si las entidades de certificación estamos acreditadas se asegura que este proceso de auditoría se va a realizar bajo unos parámetros que están ya establecidos.
¿Qué supone la UNE19601 para los profesionales del ‘compliance’?
En el momento en que el artículo 31 bis del Código Penal habla de modelo de organización y gestión ya está delimitado el área a desarrollar. En el Anexo de la norma ya se ve con claridad que es lo que va a suponer, puesto que hace una especie de tabla cruzada entre el 31 bis y la norma aprobada. Así, si una empresa sigue lo establecido en la norma y su sistema es eficaz, estará cumpliendo con la exigencia del Código Penal.
Los jueces lo que buscan no es una certificación sino que el plan sea eficaz y, sobre todo, que se cumpla. ¿No es cierto?
El propio Código Penal es demoledor al exigir un modelo eficaz, para lo que es necesario que pase un sistema de etapas. Y una de ellas es su verificación y su revisión. Aquí es donde entramos las entidades de certificación, que no solo revisamos el modelo, sino que además lo certificamos si está de acuerdo con los estipulado con esta norma.
¿Muchas empresas se hacen con un plan de otra empresa, le cambian el logotipo y se dan por satisfechas?
La auditoría es el pilar fundamental en la elaboración y revisión de un sistema de prevención de delitos. Se deben revisar todos y cada uno de los tipos por los que una personas jurídica puede ser imputada. La valoración de un mapa de riesgos es fundamental, como que establezcamos una serie de controles. Si no se han valorado los riesgos de la organización el sistema de gestión cae por su propio peso. Es preciso acometer la función preventiva del sistema, que es la más importante, pero también que por su eficacia pueda servir de eximente ante el juez. Así, lo van a ver tanto los jueces como los peritos del nuevo cuerpo creado al efecto.
¿Ha calado entre las empresas la necesidad de llevar a efecto estas medidas?
Las normas han ayudado mucho desde que se inició la regulación en el Código Penal y las empresas empezaron a implantar sistemas de compliance. Muchas de ellas descubrieron que ya tenían implantada una parte del sistema en su organización, como los controles financieros. Además, cuando una organización certifica un sistema de prevención de delitos con una certificación acreditada, va a pedir a sus proveedores y clientes que ellos también se certifiquen para asegurar la validez de su propio sistema. Las empresas lo están cogiendo con ilusión, Cada vez salen más normas, ahora está a punto de salir la del canal de denuncias y la de gestión de compliance en general. Y se acaba de aprobar la de gestión de riesgos legales. Vamos a velocidad de crucero,
Los magistrados de lo Penal se quejan de que la norma es demasiado escueta ¿Cómo están reaccionando?
Recientemente estuve en una jornada en la que participaban un magistrado y un fiscal y ambos se quejaban de que les faltaba formación sobre los modelos de organización y gestión. El juez sabe mucho sobre Derecho Penal. Está claro. Hay que tener en cuenta que este Derecho siempre ha ido con plazos y siempre que el delito se ha cometido. Sin embargo ahora afrontan una materia preventiva. Los magistrados de lo Penal reconocen que les falta formación sobre esta materia, que es nueva para ellos y que nadie se lo ha explicado. El compliance no es una materia fácil, porque está en constante movimiento, porque los delitos cada vez son más diversos, como los que se cometen a través de las redes tecnológicas, que hace tan solo unos años ni siquiera existían.