reading

Presentación

Cuando se empezó a hablar de compliance penal y de los modelos de prevención de delitos, todos pensábamos que estábamos ante algo reservado a las grandes empresas.

Sin embargo, cualquier empresa, por pequeña que sea, queda afectada por lo que estipula el artículo 31 bis del Código Penal. Y en el seno de cualquier empresa, por pequeña que sea, hay personas susceptibles de cometer delitos. Que eso conlleve la responsabilidad penal de la persona jurídica, no tiene nada que ver con el tamaño de la empresa.

El propio artículo 31 bis, cuando trata de la existencia de un órgano que se ocupe de la supervisión, vigilancia y control de las medidas para prevenir delitos, ya hace referencia a las pequeñas empresas, indicando que considera como tales a las que pueden presentar cuenta de pérdidas y ganancias abreviada. Es decir, el propio Código Penal ya plantea que estos modelos no son patrimonio exclusivo de las grandes corporaciones.

Desde que el compliance penal adquirió un mayor protagonismo, tras la segunda reforma del Código Penal en 2015, se ha producido una constante vinculación entre lo relacionado con la prevención de delitos y la ética, el buen gobierno y la transparencia en la gestión empresarial.

El Código Ético o Código de Conducta se ha convertido, en muchas ocasiones, en el punto de partida del modelo de prevención de delitos; y en estos códigos se sustentan los principales compromisos que las organizaciones adquieren en materias como la lucha contra la corrupción, la transparencia de la información que aportan, la ética en los negocios…

La Norma UNE 19601, que partió de lo expuesto en el artículo 31 bis del Código Penal, ofrece un modelo para el diseño del sistema de gestión de compliance penal. Fue redactada por el subcomité de normalización CTN 307/SC 1 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, que hoy en día es el subcomité CTN 165/SC 3, para poder ofrecer una herramienta de gestión en esa materia a organizaciones de todos los sectores y de todos los tamaños.

La norma sigue la estructura de alto nivel creada por ISO para todas aquellas normas de sistemas de gestión (ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 37001, ISO 19600, etc.), cuyo fin es que compartan una estructura común basada en una misma redacción de los requisitos genéricos con el objeto de facilitar la integración de distintos sistemas de gestión.

Asimismo, esta norma está orientada a la mejora continua a través del ciclo PHVA (Planificar-Hacer-Verificar-Actuar), también conocido por sus siglas en ingles PDCA (plan-do-check-act), o como ciclo Deming:

• Planificar (Plan): establecer objetivos y requisitos necesarios para conseguir los resultados esperados conforme a la política de compliance penal.

• Hacer (Do): implementar requisitos, protocolos y procedimientos.

• Verificar (Check): realizar el seguimiento y la medición de los requisitos respecto a la política de compliance penal.

• Actuar (Act): llevar a cabo las acciones para mejorar continuamente el desempeño del sistema de gestión de compliance penal.

Implementar un sistema de gestión de compliance penal no garantiza que no se cometan delitos en las organizaciones, pero sí sirve para prevenirlos, y para reaccionar y actuar ante su posible comisión.

Como en otras normas de sistemas de gestión, se trata de interpretar y adecuar los requisitos a las estructuras, a los recursos y a las necesidades de las organizaciones sea cual sea su tamaño, sin que por ello el sistema de gestión pierda su sentido.

A modo de resumen, las razones para que cualquier organización puede implementar esta norma son:

• Todas las empresas, con independencia de su tamaño, son susceptibles de ser consideradas penalmente responsables de los delitos que cometan las personas que las integran o que actúan en su nombre.

• Por otra parte, todas las empresas son susceptibles de quedar exentas de esa responsabilidad penal, o como mínimo de su atenuación, mediante la implantación de un sistema de gestión de compliance penal eficaz.

• El sistema de gestión de compliance penal permite conocer el nivel de exposición al riesgo penal y ejercer la toma de decisiones sobre la base de esa información, así como desarrollar e implantar una cultura de cumplimiento en la organización, sea cual sea su tamaño.

• El sistema de gestión de compliance penal no deja de ser un sistema de control interno que ayuda a identificar las situaciones de riesgo y a verificar si se tienen elementos de control que mitiguen ese riesgo.

• Tener implantado un sistema de gestión de compliance penal puede ser una ventaja competitiva para empresas pequeñas y medianas que, en muchos casos, trabajan con empresas de mayor tamaño que lo tienen.

El objetivo de este libro es analizar y explicar de manera práctica cada requisito de la norma, de manera que las pymes puedan ver su aplicación posible a sus casos concretos.

Por lo tanto, animamos a todas las organizaciones pequeñas y medianas a que vean este libro como una herramienta para facilitar la implementación de la norma y una ayuda para afrontar el reto de aplicar un sistema de gestión de compliance penal con las garantías necesarias de estar ajustándose a lo expuesto en el Código Penal y a las mejores prácticas reconocidas a nivel internacional.

Los autores

0 Introducción

En el contexto en el que se desarrollan las actividades de las organizaciones (3.20) mínimamente complejas, pueden cometerse delitos en su beneficio, especialmente aquellos vinculados con la actividad económica. Las organizaciones (3.20) respetuosas de la legalidad pueden, mediante el establecimiento de una adecuada cultura (3.8) organizativa del cumplimiento, influir significativamente para evitar o, al menos, reducir el riesgo (3.28) de comisión de dichas conductas. El establecimiento de esta cultura (3.8) de cumplimiento se ha venido asociando cada vez en mayor medida a la responsabilidad social corporativa, permitiendo distinguir a los “buenos ciudadanos corporativos” de aquellos (3.20) que no respetan en idéntica medida la legalidad.

La comisión de comportamientos delictivos en el desarrollo de las actividades propias de las organizaciones (3.20) no sólo genera ventajas anticompetitivas en relación con aquellos operadores respetuosos con el cumplimiento de la legalidad, sino que erosiona los fundamentos del buen gobierno corporativo y pone en riesgo (3.28) bienes jurídicos especialmente protegidos. Por todo ello, se ha considerado que consentir, posibilitar o incentivar el desarrollo de conductas punibles en el seno de las citadas organizaciones (3.20) constituye un delito propio de las organizaciones (3.20) que afecta a la actividad económica y perjudican al conjunto de la Sociedad.

Conscientes de esta realidad, y al igual que ha sucedido en otros ordenamientos, el legislador introdujo en España un régimen de sanciones penales para organizaciones (3.20), que desarrolló con más detalle para el caso de las personas jurídicas. Así, la Ley Orgánica 5/2010 por la que se modificó la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal no sólo estableció los delitos aplicables a las personas jurídicas y sus requisitos, sino que hizo referencia al establecimiento de medidas de vigilancia y control para su prevención y detección como fundamento expreso de una atenuación de su responsabilidad penal. A pesar de su novedad, dicho régimen fue reformado por la Ley Orgánica 1/2015, de 30 de marzo, que modificó nuevamente la citada Ley Orgánica 10/1995 del Código Penal. Este cambio legislativo vino a concretar en mayor medida el régimen de responsabilidad penal de las personas jurídicas en España, detallando los requisitos para disponer de sistemas de gestión y control que permitan a la persona jurídica acreditar su diligencia en el ámbito de la prevención y detección penal y, consiguientemente, ser exoneradas de responsabilidad criminal.

Aunque el contenido de la nueva regulación ha consolidado la necesidad de disponer de sistemas de gestión y control aplicados al ámbito de la prevención y detección penal, esta regulación constituye un marco de interpretación susceptible de ser desarrollado para disponer de sistemas eficaces y alineados con las buenas prácticas que vienen acordándose a nivel internacional. En este sentido, esta norma UNE viene a establecer un marco de referencia completo que no sólo permite disponer de sistemas de gestión de compliance penal (3.31) alineados con las exigencias del Código Penal español, sino completarlos con los estándares internacionales en materia de compliance que contribuyen a cincelar sus contenidos e incrementar su eficacia. Bajo tal premisa, esta norma UNE facilita diseñar o evaluar sistemas de gestión de compliance penal (3.31), que permitan generar o mejorar una adecuada cultura (3.8) organizativa sensible a la prevención y detección penal y opuesta a las malas praxis que toleran o amparan conductas ilícitas en el seno de las personas jurídicas.

Dado que en los estándares internacionales en materia de compliance se hace referencia al concepto de organización, a lo largo de esta norma UNE se hará referencia al concepto de organización y no de persona jurídica permitiendo así la aplicación de la misma tanto a personas jurídicas como entidades carentes de personalidad jurídica. Ello no sólo es relevante a los efectos del artículo 129 del Código Penal español, sino a los efectos de poder incluir bajo el sistema de gestión de compliance penal (3.31) de una organización a varias personas jurídicas pertenecientes a un mismo grupo de empresas.

A los efectos anteriores, una organización (3.20) sensibilizada con tales propósitos deberá disponer de un sistema de gestión que le permita alcanzar sus objetivos y su compromiso de integridad. La política, los objetivos, los procesos (3.26) y los procedimientos (3.25) conforman el núcleo de un sistema de gestión para la prevención, detección y gestión de riesgos penales (3.29) proyectado en el ámbito de la organización (3.20), evitando así posibles daños económicos, reputacionales o de otra índole.

Esta norma UNE facilita la implementación de sistemas de gestión de compliance penal (3.31), no sólo respetuosos con las exigencias legales españolas, sino también dirigidos a cumplir las expectativas que normalmente se depositan en las organizaciones (3.20) que operan en los mercados internacionales. En este sentido, su contenido recoge las exigencias de nuestro Código Penal bajo la “estructura de alto nivel” desarrollada por ISO para mejorar el alineamiento entre sus normas internacionales para sistemas de gestión e incorpora buenas prácticas ya reguladas en la Norma UNE-ISO 19600 Sistemas de gestión de compliance. Directrices y en la reciente Norma UNE-ISO 37001 Sistemas de gestión antisoborno. Requisitos con orientación para su uso. Puede utilizarse de manera conjunta con esas normas, así como con la Norma UNE-ISO 31000 Gestión del riesgo. Principios y directrices y otras normas internacionales sobre modelos de gestión.

La presente norma UNE puede aplicarse a organizaciones (3.20) de todos los tamaños y actividades, tanto del sector privado como público, con o sin ánimo de lucro. La exposición a los riesgos penales (3.29) variará según diferentes circunstancias, como su tamaño, el sector de actividad o las ubicaciones donde operen, así como por la diversidad y complejidad de sus transacciones. Sobre esta base, esta norma UNE define una serie de requisitos a desarrollar de manera proporcional a tales circunstancias para diseñar y evaluar sistemas para la prevención, detección y gestión de riegos penales, adaptados y razonables a la realidad de cada organización (3.20).

A los efectos de facilitar su aplicación, también se incorporan notas, ejemplos, así como un conjunto de anexos que proporcionan directrices adicionales para interpretar y aplicar correctamente sus contenidos.

Esta norma UNE queda abierta, además, a su posible aplicación y utilización en otros países donde la legislación contemple la responsabilidad penal o administrativo-sancionadora de las personas jurídicas, o de otro tipo de organizaciones (3.20).

Que una organización (3.20) cumpla con los requisitos de esta norma UNE no asegura completamente que no se hayan producido en su seno delitos, ni que no vayan a producirse en el futuro. Por consiguiente, esta norma UNE no brinda una garantía absoluta de eliminación del riesgo (3.28) de comisión de delitos que afronta una organización (3.20).

En el caso de la legislación española, el cumplimiento de esta norma UNE no asegura la exoneración o atenuación automática de la responsabilidad penal de la persona jurídica. No obstante, esta norma ayuda a las organizaciones (3.20) a desarrollar sistemas de gestión de compliance penal (3.31) con contenidos razonables para prevenir, detectar y gestionar conductas ilícitas generando así la cultura (3.8) organizativa del cumplimiento de la legalidad que pueda fundamentar, en última instancia, la exoneración de su responsabilidad. De igual modo, su contenido también podría aspirar a servir de referencia para los tribunales de justicia y demás operadores jurídicos a la hora de facilitarles el establecimiento de criterios para valorar el cumplimiento por parte de las personas jurídicas u otras organizaciones (3.20) de las exigencias previstas en la legislación penal.

El control de riesgos (3.28) y la supervisión de su gestión son elementos fundamentales del gobierno corporativo. El sistema de gestión propuesto en esta norma UNE se centra en la prevención y gestión del riesgo penal (3.29). Así, siguiendo el planteamiento de la legislación societaria española vigente en el momento de publicación de la norma, se considera que la fijación de la política de compliance penal (3.24) es una competencia indelegable del órgano de gobierno (3.22), en relación con las facultades indelegables del Consejo de Administración, así como, en general, la supervisión del sistema de gestión. Por otro lado, la supervisión de la eficacia del sistema de gestión es competencia del órgano de compliance penal u homólogo legalmente equivalente.

En el anexo A se establece la correlación de los requisitos establecidos en el artículo 31 bis del Código Penal vigente en el momento de la publicación de la norma respeto de las especificaciones contenidas en la misma.

Ha de advertirse, sin embargo, que, según el ordenamiento penal español, la implementación de un sistema de gestión acorde con esta norma UNE no agota las posibilidades de defensa y consiguiente exoneración de la persona jurídica en cuyo seno se haya producido la comisión del correspondiente delito.

Lo verdaderamente trascendente a efectos de esa responsabilidad será el que la persona jurídica de referencia pueda acreditar debidamente un comportamiento, en esta materia de prevención delictiva, que evidencie su cultura (3.8) organizativa de respeto a la norma que le atribuye obligaciones de colaboración con las Autoridades en la evitación de la comisión, en su seno, de delitos por parte de las personas físicas que la integran, objetivo que, obviamente, es también el que, con carácter esencial, se persigue en el contenido de la presente norma UNE.

Partiendo de que la nueva regulación del Código Penal, con las reformas de 2010 y 2015, ha consolidado la necesidad de disponer de modelos de prevencion de delitos como forma de poder exonerar de responsabilidad penal, la Norma UNE 19601 propone un modelo de sistema de gestión de compliance penal que no solo tiene en cuenta lo que dice el Código Penal, sino que se completa con los estándares internacionales en materia de compliance, con la finalidad de mejorar su contenido e incrementar su eficacia como sistema de gestión.

Se debe tener en cuenta que la norma hace referencia a organización y no a persona jurídica, considerando que la aplicación es posible tanto en personas jurídicas como en organizaciones sin personalidad jurídica, lo que permite poder aplicar el sistema de gestión de compliance penal a grupos de empresas, englobando a todas las personas jurídicas que los integran.

Una idea importante que se recoge en esta introducción es que el cumplimiento de esta norma no asegura de forma automática la exención o la atenuación de la responsabilidad penal de la persona jurídica. Ni su cumplimiento ni el hecho de que el sistema de gestión sea certificado por un tercero.

Lo que asegura el cumplimiento de esta norma es que la organización tiene implantado un sistema de gestión de compliance penal con contenidos razonables para prevenir, detectar y gestionar conductas ilícitas, generando una cultura del cumplimiento que, llegado el caso, podría ser uno de sus elementos de defensa. La fuerza de contar con este sistema de gestión reside en poder acreditar que la organización tiene un comportamiento orientado a la prevención delictiva.

1 Objeto y campo de aplicación

Esta norma UNE establece los requisitos y facilita las directrices para adoptar, implementar, mantener y mejorar continuamente (3.16) políticas de compliance penal (3.24) y el resto de los elementos de un sistema de gestión de compliance penal (3.31) en las organizaciones (3.20).

NOTA Una política de compliance penal (3.24) puede establecerse de manera independiente, o integrada en una política de compliance de mayor alcance, esto es, no limitada al ámbito penal. Análogamente, un sistema de gestión de compliance penal (3.31) puede establecerse de manera independiente, o integrado en un modelo de compliance de mayor alcance, esto es, no limitado al ámbito penal.

La norma es particularmente aplicable en el contexto de sistemas de gestión y control sobre riesgos penales (3.29), estableciendo requisitos (3.27) y directrices para disponer de modelos alineados con lo que exige la legislación penal española a los sistemas de control y gestión para la prevención y detección de delitos, tanto en su forma como en su fondo.

Sin perjuicio de lo anterior, esta norma UNE puede también ser de utilidad para establecer sistemas de control y gestión para la prevención y detección de delitos cometidos en el contexto de las actividades empresariales, aunque no comporten la responsabilidad penal de la persona jurídica en España ni concurran en organizaciones españolas (3.20).

Esta norma UNE es aplicable a cualquier organización (3.20), con independencia de su tipo, tamaño, naturaleza o actividad en los sectores privado, público, con o sin ánimo de lucro y en las actividades desarrolladas, tanto por los miembros de la organización (3.17), como por socios de negocio (3.32) que actúen, tanto unos como otros, siguiendo instrucciones de la organización (3.20), representándola o en su beneficio.

Esta norma UNE no se proyecta específicamente sobre riesgos (3.28) que hallándose relacionados con la esfera penal o suponiendo incumplimientos de la normativa, no guardan relación directa con ilícitos penales cometidos con el objetivo de beneficiar a la persona jurídica, como pueda ser el riesgo (3.28) de fraude en perjuicio de la organización (3.20). No obstante, la organización (3.20) puede decidir extender el alcance, tanto de la política de compliance penal (3.24), como del sistema de gestión de compliance penal (3.31) a estas esferas, en caso de que le resulte de utilidad.

Estos requisitos (3.27) deben aplicarse de manera proporcional a cada supuesto según las circunstancias que se especifican en los apartados 4.1, 4.2 y 6.2 de esta norma UNE.

Si la totalidad o parte de los requisitos (3.27) establecidos en esta norma UNE entrase en conflicto o estuviese prohibida por alguna disposición legal o criterio jurisprudencial, la organización (3.20) no estará obligada con el mismo o su parte afectada.

Las declaraciones de conformidad (3.7) con esta norma UNE no son aceptables a menos que todos los requisitos estén incorporados en el sistema de gestión de compliance penal (3.31) de la organización (3.20) y se cumplan sin exclusiones.

Esta norma UNE establece los requisitos y facilita las directrices para adoptar, implementar, mantener y mejorar continuamente políticas de compliance penal y el resto de los elementos de un sistema de gestión de compliance penal en las organizaciones.

Respecto a su campo de aplicación, se deben hacer algunas consideraciones importantes:

• La norma es de aplicación a cualquier organización, con independencia de su tipo, tamaño, sectores en los que opere, y tenga o no ánimo de lucro.

• La norma es de aplicación a los miembros de la organización, pero también a los socios de negocio que actúen siguiendo sus instrucciones, representándola o en su beneficio.

• El enfoque a riesgos de esta norma no está pensado para limitarse solo a aquellos riesgos que, de materializarse, supongan un beneficio para la organización, sino que también tienen cabida los riesgos que puedan generar un perjuicio para la misma, siendo la organización la que debe decidir la extensión del alcance.

Otra cuestión que también debe tenerse en cuenta es que las declaraciones de conformidad con el cumplimiento de esta norma solo son posibles si se han incorporado todos los requisitos del sistema de gestión y se cumplen sin exclusiones.

3 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones (en orden alfabético) siguientes:

3.1 acción correctiva:

Acción para eliminar la causa de una no conformidad (3.18) y prevenir que se reproduzca.

3.2 alta dirección:

Persona o grupo de personas que dirigen y controlan una organización (3.20) al más alto nivel.

NOTA 1 La alta dirección (3.2) tiene el poder para delegar autoridad y proporcionar recursos dentro de la organización (3.20).

NOTA 2 Si el alcance del sistema de gestión (3.31) comprende sólo una parte de una organización (3.20), entonces alta dirección (3.2) se refiere a quienes dirigen y controlan esa parte de la organización (3.20).

NOTA 3 Las organizaciones (3.20) están estructuradas bajo diferentes formas jurídicas, dependiendo del marco legal al que estén sujetas. Adicionalmente, las organizaciones (3.20) pueden estar estructuradas de diferentes maneras a causa de su tamaño, sector de actividad, etc. Algunas organizaciones (3.20) pueden disponer tanto de un órgano de gobierno (3.22), como de un órgano ejecutivo con atribuciones delegadas, o incluso pueden no tener las responsabilidades divididas sistemáticamente en diferentes órganos. Estas variaciones, tanto con relación a la organización (3.20) y las responsabilidades, se deberían contemplar cuando se apliquen los requerimientos del apartado 5 de esta norma UNE.

3.3 auditoría:

Proceso (3.26) sistemático, independiente y documentado para obtener las evidencias de auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría.

NOTA 1 Una auditoría interna la realiza la propia organización (3.20) o una parte externa en su nombre.

NOTA 2 Una auditoría puede ser combinada (combinando dos o más disciplinas).

NOTA 3 La independencia se puede demostrar por la ausencia de responsabilidad con relación a la actividad que se audita, o ausencia de sesgo y conflicto de intereses (3.6).

NOTA 4 La evidencia de auditoría consiste en registros, declaraciones de hechos, y demás información pertinente a los criterios de auditoría, que son verificables; los “criterios de auditoría” son el conjunto de políticas, procedimientos (3.25) o requisitos (3.27) usados como referencia, frente a los cuales se compara la evidencia de auditoría.

3.4 competencia:

Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos.

3.5 compliance penal:

Cumplimiento de los requisitos (3.27).

3.6 conflicto de intereses:

Situación en la que intereses de negocios externos, financieros, familiares, políticos o personales podrían interferir en el juicio de los miembros de la organización (3.17) cuando llevan a cabo sus tareas en la organización (3.20).

3.7 conformidad:

Cumplimiento de un requisito (3.27).

3.8 cultura:

Valores, ética y creencias que existen en una organización (3.20) y que interactúan con las estructuras y sistemas de control de la organización (3.20) para producir normas de comportamiento que conducen a obtener los objetivos (3.19) derivados de la aplicación de esta norma UNE.

NOTA Los elementos fundamentales de la cultura (3.8) de compliance se encuentran referidos en el apartado 7.1.

3.9 desempeño:

Resultado medible.

NOTA 1 El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.

NOTA 2 El desempeño se puede relacionar con la gestión de actividades, procesos (3.26), productos (incluidos servicios), sistemas u organizaciones (3.20).

3.10 diligencia debida:

Proceso (3.26) operativo que pretende obtener y evaluar la información para contribuir a la evaluación del riesgo penal (3.29).

3.11 eficacia:

Medida en la que se realizan las actividades planeadas y se obtienen los resultados previstos.

3.12 externalización:

Acuerdo mediante el cual una organización (3.20) externa realiza una función o proceso (3.26) de la organización (3.20).

NOTA Una organización (3.20) externa está fuera del alcance del sistema de gestión (3.31) aunque la función o proceso externalizado forme parte del alcance.

3.13 funcionario público:

Cualquier persona que tenga un cargo legislativo, administrativo o judicial, ya sea designado por sucesión o electo, o cualquier persona que ejerza una función pública, incluso para un organismo público o para una empresa pública, o cualquier funcionario o agente de una organización (3.20) nacional o internacional pública o cualquier candidato a funcionario público.

3.14 información documentada:

Información que una organización (3.20) tiene que mantener y controlar, y el medio en el que está contenida.

NOTA 1 La información documentada puede estar en cualquier formato y medio, y puede provenir de cualquier fuente.

NOTA 2 La información documentada puede hacer referencia a:

– el sistema de gestión de compliance penal (3.31), incluidos los procesos (3.26) relacionados,

– la información generada para que la organización (3.20) opere (documentación),

– la evidencia de los resultados alcanzados (registros).

3.15 medición:

Proceso (3.26) para determinar un valor.

3.16 mejora continua:

Actividad o proceso (3.26) recurrente para mejorar el desempeño (3.9).

3.17 miembros de la organización:

Los integrantes del órgano de gobierno (3.22), directivos, empleados, trabajadores o empleados temporales o bajo convenio de colaboración, y voluntarios de una organización (3.20) y el resto de personas bajo subordinación jerárquica de cualquiera de los anteriores.

NOTA Los riesgos penales (3.29) pueden afectar a personas que, sin mantener una relación jurídico laboral con la organización (3.20), desarrollan de sus actividades de manera estable en su seno.

3.18 no conformidad:

Incumplimiento de un requisito (3.27).

3.19 objetivo de compliance penal:

Resultado a lograr.

NOTA 1 Los objetivos de compliance penal hacen referencia a la tolerancia cero de la organización (3.20) respecto de los riesgos penales (3.29), así como al establecimiento de medidas tendentes a su prevención, detección y gestión tempranas.

NOTA 2 Un objetivo puede ser estratégico, táctico u operativo.

NOTA 3 Los objetivos pueden referirse a diferentes disciplinas (tales como financieras, de salud y seguridad ambientales) y se pueden aplicar en diferentes niveles (tales como estratégicos, para toda la organización (3.20), para proyectos, productos y procesos (3.26).

NOTA 4 Un objetivo se puede expresar de diversas maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, un objetivo de compliance, o mediante el uso de términos con un significado similar (por ejemplo, finalidad o meta).

NOTA 5 En el contexto de sistemas de políticas de compliance penal (3.24) y sistemas de gestión de compliance penal (3.31) la organización (3.20) establece sus objetivos con la finalidad de lograr resultados específicos de manera eficaz (3.11).

3.20 organización:

Persona o grupo de personas que tienen sus propias funciones, con responsabilidades, autoridades y relaciones para el logro de sus objetivos.

NOTA 1 El concepto de organización incluye, entre otros, un trabajador independiente, compañía, corporación, firma, empresa, autoridad, sociedad, organización de caridad o institución, o una parte o combinación de éstas que constituya una unidad operativa y de negocio, ya estén constituidas o no, tanto públicas como privadas, con ánimo de lucro o sin él.

3.21 órgano de compliance penal:

Órgano de la organización (3.20) dotado de poderes autónomos de iniciativa y control al que se confía la responsabilidad de supervisar el funcionamiento y observancia del sistema de gestión de compliance penal.

NOTA El órgano de compliance penal, de naturaleza colegiada o unipersonal, puede ser:

1) Órgano de la organización (3.20) que tenga legalmente encomendada la función de supervisar la eficacia (3.11) de los controles internos de misma. En el caso de sociedades cotizadas, sociedades emisoras de valores y sociedades de interés público, es requisito (3.27) legal la creación de una Comisión de Auditoría con la función de supervisar los controles internos.

2) Órgano o unidad de la organización (3.20) ad hoc al que el órgano de administración le otorga poderes de iniciativa y control.

3) En el caso de las personas jurídicas de reducidas dimensiones el órgano de compliance penal puede ser el propio órgano de gobierno (3.22).

3.22 órgano de gobierno:

Grupo u organismo que tiene la responsabilidad y autoridad fundamental de las actividades, la gobernabilidad y las políticas una organización (3.20) y al que la alta dirección (3.2) informa y le rinde cuentas.

NOTA 1 No todas las organizaciones (3.20), especialmente las pequeñas, tendrán un órgano de gobierno independiente de la alta dirección (3.2).

NOTA 2 Un órgano de gobierno puede incluir pero no está limitado a una Junta directiva, comités de la junta, consejo de vigilancia, administradores y supervisores.

3.23 parte interesada:

Persona u organización (3.20) que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad de la organización.

NOTA 1 Se aplica el concepto de parte interesada como equivalente en español a los términos stakeholder o interested party, de uso frecuente en textos internacionales.

NOTA 2 Las partes interesadas pueden ser externas o internas en una organización (3.20).

3.24 política de compliance penal:

Voluntad de una organización (3.20), según las expresa formalmente su alta dirección (3.2) o su órgano de gobierno (3.22), en relación con sus objetivos de compliance penal (3.19).

3.25 procedimiento:

Forma específica de llevar a cabo una actividad o proceso (3.26).

3.26 proceso:

Conjunto de actividades interrelacionadas o que interactúan, que transforma elementos de entrada en elementos de salida.

3.27 requisito:

Exigencia prevista y obligatoria.

NOTA 1 A los efectos de esta norma UNE, estas exigencias hacen referencia a lo contenido en las leyes penales y normativa complementaria que afectan a la organización (3.20).

NOTA 2 También quedan incluidas las exigencias derivadas de la política de compliance penal (3.24) y del sistema que le da soporte.

NOTA 3 Un requisito especificado es el que está declarado, por ejemplo, en el Código Penal, en las normas relacionadas con él o en la información documentada (3.14).

3.28 riesgo:

Efecto de la incertidumbre en los objetivos.

NOTA 1 Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

NOTA 2 Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, la probabilidad de que acontezca o sus consecuencias.

NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a eventos potenciales y a consecuencias potenciales o a una combinación de éstos.

NOTA 4 Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la “probabilidad” asociada de que ocurra.

3.29 riesgo penal:

Riesgo (3.28) relacionado con el desarrollo de conductas que pudieran ser constitutivas de delito, según el régimen de responsabilidad penal de las personas jurídicas establecido en el Código Penal español o, en caso de entidades carentes de personalidad jurídica, con el régimen de consecuencias accesorias establecido en el mismo texto legal.

NOTA 1 Para aquellas organizaciones (3.20) que así lo hayan decidido, el riesgo (3.28) también podrá incluir otras conductas que no supongan la responsabilidad penal de las personas jurídicas, ni la imposición de consecuencias accesorias.

NOTA 2 En el supuesto de aplicación de esta norma UNE a organizaciones (3.20) extranjeras o españolas con actividad en el extranjero, el riesgo (3.28) se refiere al desarrollo de conductas que sean constitutivas de delito, según el régimen de responsabilidad penal de las personas jurídicas establecida en la legislación local en la que opera.

3.30 seguimiento:

Determinación del estado de un sistema, un proceso (3.26), procedimiento (3.25) o una actividad.

NOTA 1 Para determinar el estado puede ser necesario verificar, supervisar u observar en forma crítica.

NOTA 2 El seguimiento (3.30) no es una actividad que se realice una sola vez, sino un proceso (3.26) en el que se observa una situación de forma regular o continua.

3.31 sistema de gestión de compliance penal:

Conjunto de elementos de una organización (3.20) interrelacionados o que interactúan para concretar y medir (3.15) el nivel de consecución de objetivos (3.19) en materia de compliance penal, así como las políticas (3.24), procesos (3.26) y procedimientos (3.25) para lograr dichos objetivos (3.19).

NOTA 1 Los objetivos (3.19) en materia de compliance penal se relacionan con la tolerancia cero a los riesgos penales (3.29), desarrollando, para ello, actividades tendentes a su prevención, detección y gestión tempranas.

NOTA 2 Un sistema de gestión puede tratar una sola disciplina o varias disciplinas.

NOTA 3 Los elementos del sistema de gestión incluyen la estructura de la organización (3.20), los roles y las responsabilidades, la planificación, la operación, etc.

NOTA 4 El alcance de un sistema de gestión puede incluir la totalidad de la organización (3.20), funciones o secciones específicas e identificadas de la organización (3.20) o de un grupo de organizaciones.

3.32 socio de negocio:

Cualquier parte, salvo los miembros de la organización (3.17), con quien la organización (3.20) tiene, o prevé establecer, algún tipo de relación de negocios.

NOTA 1 Los socios de negocio incluyen, pero no están limitados a, clientes, joint ventures, socios de joint ventures, socios de consorcios, contratistas, comisionistas, consultores, subcontratistas, proveedores, vendedores, asesores, agentes, distribuidores, representantes, intermediarios e inversores. Esta definición es deliberadamente amplia y debería interpretarse considerando el perfil de riesgo (3.28) de la organización (3.20).

NOTA 2 Distintos tipos de socios de negocio plantean diferentes tipos y grados de riesgo penal (3.29), y una organización (3.20) tendrá distintos grados de capacidad para influir en ellos. Por ello, los socios de negocio pueden ser tratados de forma distinta en función de la evaluación de riesgos (3.28) de la organización (3.20) y de sus procedimientos (3.25).

NOTA 3 El término “negocio” en esta norma UNE debe interpretarse en sentido amplio, refiriéndose a aquellas actividades que son fundamentales o beneficiosas para el propósito de la existencia de la organización (3.20).

3.33 tercero:

Persona física o jurídica u órgano que es independiente de la organización (3.20).

La norma ofrece un completo conjunto de términos y definiciones necesarios para interpretar los requisitos y el contenido de la misma.

Es importante familiarizarse con estos términos y definiciones para la correcta interpretación de los requisitos de la norma.

Algunos de los términos a destacar y que son novedad frente a los incluidos en otras normas son los siguientes:

• Socio de negocio: este concepto es importante destacarlo, ya que la Circular 1/2016 de la Fiscalía General del Estado hace bastante hincapié en extender la cultura de cumplimiento (compliance) a los socios de negocio, entendidos como proveedores, colaboradores, subcontratistas, consultores, despachos de abogados, agentes comerciales, UTE, etc.

• Riesgo penal: esta norma se basa en la gestión de nuestros riesgos penales, identificándolos, evaluándolos y gestionándolos.

• Diligencia debida: se tiene que realizar un análisis previo al inicio de cualquier tipo de relación con socios de negocio o empleados, así como previo al inicio de cualquier actividad o proyecto nuevo en la organización.