Programa de Cumplimiento Normativo Y Repositorio

MD.PlantillaTexto(04)Esp.
dot
PROGRAMA DE CUMPLIMIENTO NORMATIVO

Y REPOSITORIO
UD017833_V(01)
PROGRAMA DE CUMPLIMIENTO NORMATIVO Y REPOSITORIO
ÍNDICE
TU RETO EN ESTA UNIDAD ........................................................................ 3

1. MODELO DEL PROGRAMA DE CUMPLIMIENTO NORMATIVO ............... 5
2. REPOSITORIO ........................................................................................ 8
2.1. ISO 19600 ........................................................................................................ 9
2.1.1. INFORMACIÓN QUE HAY QUE DOCUMENTAR ................................................. 9
2.1.2. FORMA EN LA QUE DOCUMENTAR LA INFORMACIÓN ................................... 15
2.1.3. CONTROL DE LA INFORMACIÓN DOCUMENTADA ......................................... 16
2.2. ESPECIAL CONSIDERACIÓN COMPLIANCE PENAL (UNE 19601) ............ 17
2.3. ESPECIAL CONSIDERACIÓN COMPLIANCE TRIBUTARIO (UNE
19602) ............................................................................................................ 20
¿QUÉ HAS APRENDIDO? .......................................................................... 23
AUTOCOMPROBACIÓN............................................................................ 25
SOLUCIONARIO ....................................................................................... 29
BIBLIOGRAFÍA ......................................................................................... 31
1
TU RETO EN ESTA UNIDAD
En esta unidad no solo vamos a profundizar en el contenido de un modelo de

cumplimiento normativo, sino que también conoceremos los denominados “re-
positorio” del sistema de compliance.
¿Quieres saber en qué consisten estos repositorios y el porqué de su importan-

cia en el entorno del compliance? ¡Seguimos!
3
1. MODELO DEL PROGRAMA

DE CUMPLIMIENTO NORMATIVO
Circular 1/2016 de la Fiscalía General del Estado:

“Los modelos de organización y gestión deben estar
perfectamente adaptados a la empresa y sus concre-
tos riesgos”.
El apartado quinto del artículo 31 bis del vigente Código Penal dispone que los
códigos de cumplimiento normativo deberán de contener como mínimo los
siguientes extremos:
1. Identificar los riesgos. Identificarán las actividades en cuyo ámbito

puedan ser cometidos los delitos que deben ser prevenidos.
2. Tratamiento de los riesgos. Establecerán los protocolos o procedi-

mientos que concreten el proceso de formación de la voluntad de la
persona jurídica, de adopción de decisiones y de ejecución de estas
con relación a aquellos.
3. Recursos financieros. Dispondrán de modelos de gestión de los re-

cursos financieros adecuados para impedir la comisión de los delitos
que deben ser prevenidos.
4. Canal de denuncias. Impondrán la obligación de informar de posibles

riesgos e incumplimientos al organismo encargado de vigilar el funcio-
namiento y observancia del modelo de prevención.
5
5. Sistema disciplinario. Establecerán un sistema disciplinario que san-

cione adecuadamente el incumplimiento de las medidas que establez-
ca el modelo.
6. Revisión y mejoras. Realizarán una verificación periódica del modelo y

de su eventual modificación cuando se pongan de manifiesto infraccio-
nes relevantes de sus disposiciones, o cuando se produzcan cambios
en la organización, en la estructura de control o en la actividad desarro-
llada que los hagan necesarios.
No obstante, la realidad de los modelos de cumplimiento normativo es que su

contenido es mucho más amplio, de manera que incorpore los siguientes ele-
mentos:
1. Código ético. Este código recoge un elenco de prohibiciones y obliga-

ciones, así como directrices y principios que deben de regir la actuación
de los miembros de la organización en el desempeño de sus funciones
dentro de la misma.
2. Estructura normativa. Con ello nos referimos al conjunto de normas

que debe respetar la organización a través de la implementación del
compliance.
3. Estructura de control. Delimitación del órgano de compliance, el ór-

gano de administración/gobierno y la alta dirección de la organización.
4. Protocolo de toma de decisiones de los órganos de gobierno de la

organización, a los efectos de minimizar el impacto de los riesgos pena-
les en aquella.
5. Modelo de gestión de los recursos financieros. Determinación de los

recursos que se van a destinar para luchar contra la materialización de
los riesgos.
6
6. Canal de denuncias.
7. Cultura de cumplimiento. Implantación de una cultura ética en la or-

ganización orientada a identificar y minimizar los riesgos penales a los
que está expuesta.
8. Sistema disciplinario.
9. Mapa de riesgos.
10. Mapa de controles.
11. Repositorio de evidencias. En este apartado se deberá explicar cómo

se va a almacenar o cómo se van a registrar todas las actuaciones que
se llevarán a cabo en la implantación, seguimiento, revisión y mejora del
sistema de compliance de la organización.
12. Programa de formación y sensibilización.
13. Verificación periódica.
7
2. REPOSITORIO
Antes de profundizar en el concepto de repositorio, debemos recordar que las
normas ISO sobre compliance obligan a documentar todos los pasos que se
den en la implantación de un sistema de compliance en una organización desde
su creación, así como su seguimiento, revisión y mejora. Esta labor de documen-
tar todas las actuaciones realizadas es esencial, puesto que, en caso de que se
materialice un riesgo, esta va a ser la única forma de acreditar ante las autori-
dades administrativas o judiciales competentes que en la organización existía un
procedimiento para gestionar y cumplir la normativa, y que se actuó conforme a
lo establecido en ella.
Cuando hablamos de repositorio nos referimos a aquel conjunto de informa-

ción que documenta todas las actuaciones realizadas en relación con la implan-
tación, seguimiento, revisión y mejora de un sistema de compliance en una or-
ganización.
8
2.1. ISO 19600
2.1.1. INFORMACIÓN QUE HAY QUE DOCUMENTAR
La norma ISO 19600 se publicó en 2015 como una

guía de referencia internacional para dotar a las or-
ganizaciones de un Sistema de Gestión de Complian-
ce (cumplimiento normativo) con el objetivo de evitar
los diferentes riesgos que se producen por el incum-
plimiento legal, es decir, disminuir los riesgos que
existen de sufrir sanciones, multas, contingencias,
daños, etc.
Esta norma nos propone un conjunto de directrices con la finalidad de propor-

cionar orientaciones sobre cómo establecer, desarrollar, ejecutar, evaluar, man-
tener y mejorar un sistema eficiente de gestión de compliance dentro de la em-
presa, por lo que no es una norma certificable. El alcance de los requisitos de-
pende del tamaño, la estructura, la naturaleza y la complejidad de la empresa.
En lo que interesa a esta unidad, el apartado 7.5 de la ISO 19600 delimita la in-
formación mínima documentada que debería contener un sistema de gestión
de compliance de una organización:
 La información documentada requerida por esta norma ISO:
 La determinación del alcance del sistema de gestión del com-

pliance. Consiste en fijar los límites geográficos y organizativos del
sistema de compliance.
En empresas en las que, en una misma zona geográ-

fica, tengan varios centros de trabajo o filiales, se
tendrá que delimitar con precisión cuál es el ámbito
de aplicación del compliance, es decir, si afecta a to-
dos, a uno solo o a una parte de ellos.
9
 La política de compliance. Que a su vez incluye:

 El alcance del sistema de gestión de compliance.
 La aplicación y el contexto del sistema en relación con el
tamaño, naturaleza y la complejidad de la organización.
 La medida en la que el compliance va a estar integrado con
otras funciones, tales como gobernanza, riesgos, auditoría y
asesoría jurídica.
 El grado de impregnación del compliance en las políticas,
procedimientos y procesos operacionales.
 Cuál es la independencia del órgano de compliance.
 Cuál es la autonomía del órgano de compliance.
 Quien tiene la responsabilidad de gestionar e informar so-
bre cuestiones relacionadas con el compliance.
 Los principios que van a guiar la actuación de las partes in-
teresadas.
 La normativa que resulta exigible, así como la responsabilidad.
 Las consecuencias del incumplimiento del compliance, es
decir medidas coercitivas.
 Los objetivos del compliance, así como las acciones planificadas
para conseguirlos:
 Una descripción de los mismos.
 Una relación de los recursos que se van a requerir para la
implementación del sistema.
 Una lista de las personas que van a ser responsables del
sistema de compliance.
 Qué duración va a tener el sistema.
 Cómo se van a evaluar los resultados.
 El registro de las obligaciones del compliance.
 Los registros de los riesgos de compliance y la priorización del tra-

tamiento basada en el proceso de apreciación de riesgos de
compliance:
 Los criterios del riesgo y apetito del riesgo: el riesgo que es-
tá dispuesto a soportar la sociedad.
 Identificación del riesgo: determinar cuáles son los riesgos a
los que está expuesta la organización.
10
 Análisis del riesgo: la probabilidad de que se materialicen

esos riesgos, la naturaleza y magnitud de las consecuencias,
la eficacia de los controles existentes, y los niveles de sensi-
bilización y de confianza (cultura de compliance).
Matriz de riesgos Actividades especiales (Diligencia debida)
COD. Transacciones o Socios de

Riesgos RRHH (3) Probabilidad
RIES. proyectos (1) negocio (2)
Descubrimiento y revelación de
R1 X X BAJA
secretos
R2 Defraudaciones X X MEDIA
Daños contra datos, programas

R3 X BAJA
informáticos
R4 Delito de Corrupción en los negocios X BAJA
R5 Cohecho BAJA
Delito contra el mercado y los

R6 X X X BAJA
consumidores
Delitos contra los derechos de los

R7 X MEDIA
trabajadores
R8 Blanqueo de capitales BAJA
Delitos contra la propiedad intelectual

R9 X BAJA
e industrial
R10 Frustración de la ejecución BAJA
Delitos contra la Hacienda pública y la

R11 BAJA
Seguridad Social
R12 Insolvencia punible BAJA
R13 Tráfico de influencias X BAJA
R14 Financiación de partidos políticos BAJA
R15...R31 Resto riesgos del R15 al R31 BAJA
(1)
Transacciones, proyectos o actividades especificas
(2)
Relaciones de negocio actuales o planificadas con determinados socios de negocio.
(3)
Categorías de personal en posiciones específicas.
La valoración de la probabilidad se realiza teniendo en cuenta estos valores:
 Baja: existe la posibilidad de que haya un incidente o delito en un plazo de cinco años.
 Media: existe la posibilidad de que haya un incidente o delito en un plazo de tres años.
 Alta: existe la posibilidad de que haya un incidente o delito en el plazo de un año.
* Ver Anexo: Metodología Análisis de Riesgos
11
Matriz de Riesgos por Departamentos
COD. Desarrollo Desarrollo Soporte al Call

Riesgos Gerencia Comercial Probabilidad
RIESGO corporativo de producto cliente Center
Descubrimiento y revelación
R1 X X X X ALTA
de secretos
R2 Defraudaciones X X X ALTA
Daños contra datos,

R3 X X X ALTA
programas informáticos
Delito de Corrupción en los

R4 X X ALTA
negocios
R5 Cohecho X X ALTA
Delito contra el mercado y

R6 X X X X MEDIA
los consumidores
Delitos contra los derechos

R7 X MEDIA
de los trabajadores
R8 Blanqueo de capitales X X MEDIA
Delitos contra la propiedad

R9 X X X MEDIA
intelectual e industrial
R10 Frustración de la ejecución X X MEDIA
Delitos contra la Hacienda

R11 X X MEDIA
pública y la Seguridad Social
R12 Insolvencia punible X X MEDIA
R13 Trafico de influencias X X X BAJA
Financiación de partidos
R14 X X BAJA
políticos
R15... R31 Resto riesgos del R15 al R31 BAJA
La valoración de la probabilidad se realiza teniendo en cuenta estos valores:
 Baja: existe la posibilidad de que haya un incidente o delito en un plazo de cinco años.
 Media: existe la posibilidad de que haya un incidente o delito en un plazo de tres años.
 Alta: existe la posibilidad de que haya un incidente o delito en el plazo de un año.
* Ver Anexo: Metodología Análisis de Riesgos
12
 Valoración del riesgo: atendiendo a los resultados del análi-

sis de riesgos y a los criterios de riesgo establecidos, valorar
y tomar alguna decisión sobre cómo gestionar el riesgo. Por
ejemplo: puede decirse que sobre un determinado riesgo
penal no se van a tomar medidas, puesto que las medidas
existentes son suficientes, debido a que el riesgo queda
dentro del apetito de riesgo de la organización.
Valoración del entorno de control ANTES APLICACIÓN. Tabla controles
Controles Efectividad control x riesgos
Cod. Control R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14
B.5.2 Política SGCP G G G G G G G G G G G G G G
B.5.3.2 Delegación Facultades R R R R R
B.7.1 Código de Conducta I I I I I I I I I I I I I I
B.7.3.1 Comp. Responsables G
B.7.3.2 Diligencia Debida RRHH I I I
B.7.4 Formación, Concienciación G G G G G G G G G G G G G G
B.7.6.3 Contratos Confidencialidad I I I
B.8.2 Diligencia Debida I I I I I I I I I I
B.8.3 Controles Financieros G G G G G G
B.8.5.1 Entidades Relacionadas I I I I I I I I I I
B.8.7 Canal de Denuncia- ÉTICO G G G G G G G G G G G G G G
B.9.1 Seguimiento y Medición G G G G G G G G G G G G G G
B.9.2 Auditorias G G G G G G G G G G G G G G
B.9.3 Revisiones G G G G G G G G G G G G G G
A.6.1.1 Roles y responsabilidades en SGSI G G G G G G G G
A.7.2.1 Responsabilidades gestión D D D D D D D D D D D D D D
A.8.1.3 Uso aceptable de los activos G G G
A.8.2.1 Clasificación de la información I I I I I
A.9.4.3 Sistema de Gestión de Contraseñas G G G G G
A.12.2.1 Controles contra Código Malicioso G G G G G G
A.12.6.1 Gestión de las vulnerabilidades téc. D D D D D
A.12.6.2 Restricción instalación soft. D D D D D
A.13.2.4 Acuerdos confidencialidad. G G G
A.13.2.3 Mensajería Electrónica D D D
A.16.1.5 Respuesta a incidentes Seguridad Inform. I I I I
A.18.1.3 Protección Registros Organización I I I I
Efectividad media D D D G D D D D D G D D D G
G: Gestionado I: Inicial D: Definido R: Reproducible
13
 Seleccionar las opciones para el tratamiento de riesgo.
Valoración del entorno de control DESPUÉS APLICACIÓN. Tabla controles
Controles Efectividad control x riesgos
Cod. Control R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14
B.5.2 Política SGCP G G G G G G G G G G G G G G
B.5.3.2 Delegación Facultades R R R R R
B.7.1 Código de Conducta O O O O O O O O O O O O O O
B.7.3.1 Comp. Responsables G
B.7.3.2 Diligencia Debida RRHH R R R
B.7.4 Formación, Concienciación G G G G G G G G G G G G G G
B.7.6.3 Contratos Confidencialidad R R R
B.8.2 Diligencia Debida R R R R R R R R R R
B.8.3 Controles Financieros G G G G G G
B.8.5.1 Entidades Relacionadas I I I I I I I I I I
B.8.7 Canal de Denuncia G G G G G G G G G G G G G G
B.9.1 Seguimiento y Medición O O O O O O O O O O O O O O
B.9.2 Auditorias G G G G G G G G G G G G G G
B.9.3 Revisiones G G G G G G G G G G G G G G
Roles y responsabilidades en
A.6.1.1 G G G G G G G G
SGSI
A.7.2.1 Responsabilidades gestión G G G G G G G G G G G G G G
A.8.1.3 Uso aceptable de los activos G G G
Clasificación de la
A.8.2.1 D D D D D
información
Sistema de Gestión de
A.9.4.3 G G G G G
Contraseñas
Controles contra Código

A.12.2.1 G G G G G G
Malicioso
Gestión de las
A.12.6.1 G G G G G
vulnerabilidades téc.
A.12.6.2 Restricción instalación soft. G G G G G
A.13.2.4 Acuerdos confidencialidad. G G G
A.13.2.3 Mensajería Electrónica G G G
Respuesta a incidentes
A.16.1.5 R R R R
Seguridad Inform.
Protección Registros
A.18.1.3 R R R R
Organización
EFECTIVIDAD MEDIA G G G G G G G G G G G G G G
G: Gestionado I: Inicial D: Definido R: Reproducible R: Optimizado
14
Por ejemplo, para evitar el riesgo de cometer un deli-

to de insolvencia punible, se establece un sistema
por el que se obligue a recabar una serie de consen-
timientos para efectuar movimientos bancarios des-
de las cuentas de la organización.
 El registro de los incumplimientos y de los conatos de incumpli-

mientos.
 Los planes anuales de compliance.
 Los registros personales, incluyendo los registros de formación.
 La asignación de roles y responsabilidades de compliance.
 Información que evidencia la competencia apropiada de las per-
sonas que realizan cualquier trabajo que afecte al compliance.
 Información documentada acerca de cuáles son los resultados
del compliance.
 Información acerca de la implementación de un programa de au-
ditoría y de los resultados de esta.
 Información sobre las revisiones del sistema, así como los resul-
tados.
 Información sobre las no conformidades.
 Información sobre cualquier medida coercitiva.
 La información documentada que la organización ha determinado co-
mo necesaria para la eficacia del sistema de gestión de compliance.
2.1.2. FORMA EN LA QUE DOCUMENTAR LA INFORMACIÓN
La información que se recoja durante el proceso de implementación, desarrollo,

seguimiento, revisión y mejora del sistema de compliance deberá estar detallada
del siguiente modo:
 La identificación y descripción. La ISO da los siguientes ejemplos: título,

fecha, autor o número de referencia.
 El formato. La ISO facilita los siguientes ejemplos: idioma, versión del

software, gráficos.
15
 Los medios de soporte. La ISO proporciona los siguientes ejemplos:

papel, electrónico.
 La revisión y aprobación con respecto a la idoneidad y adecuación.
Título: Comunicación anónima de incumplimiento

Fecha: 15/08/2010
Núm. Referencia: 01/2010
Idioma: español
Soporte electrónico: grabación audio (mp3) y trans-
cripción (Word).
2.1.3. CONTROL DE LA INFORMACIÓN DOCUMENTADA
La información documentada anteriormente enumerada deberá estar disponi-

ble en todo momento, además de ser adecuada. Además, tiene que estar pro-
tegida, para lo que la organización:
 Controlará la distribución, acceso, recuperación y uso.
 Controlará el almacenamiento y preservación, incluida la preservación

de la legibilidad.
 Realizará un riguroso control de cambios que se produzcan en los ar-

chivos.
 Valorará el papel o la participación de terceras partes en la creación y el

control de la información documentada.
16
2.2. ESPECIAL CONSIDERACIÓN COMPLIANCE PENAL

(UNE 19601)
Los responsables de las personas jurídicas deberán

establecer los modelos orientados a la prevención y
detección de los hechos delictivos que pudieran co-
meterse en su seno.
Es tan importante actuar éticamente como poder
acreditarlo.
La UNE 19601 establece que en el compliance penal se recomienda documentar

los siguientes extremos:
 El alcance objetivo y subjetivo del sistema de gestión de compliance pe-

nal.
 La política de compliance penal, que deberá contener como mínimo los

siguientes elementos:
 Exigir que se cumpla con la legislación penal.
 Identificar en qué actividades de las que desarrolla la organiza-

ción pueden producirse ilícitos penales.
 Prohibir que se infrinja la legislación penal.
 Establecer cuáles son los objetivos, así como definirlos y determi-

nar cada cuanto serán revisados.
 Incorporar un compromiso de cumplir esta política y el sistema

de compliance penal.
 Imponer la obligación a todos los miembros de la organización de

informar en cuanto tengan conocimiento de aquellas conductas
que podrían ser consideradas como un ilícito penal.
 Incorporar un compromiso de mejorar de forma continuada el

sistema de compliance penal.
 Fijar la autonomía e independencia del órgano de compliance.
 Exponer las consecuencias de no cumplir con esta política, así

como con las derivadas por incumplir el sistema de compliance.
17
 Procedimientos para la delegación de facultades para aquellos ámbitos

en los que exista un riesgo penal bajo.
 La identificación, análisis y evaluación de riesgos penales. Además, de-

berá detallarse con precisión cuáles han sido los criterios y metodolo-
gía utilizados.
 Los objetivos de compliance penal:
 Qué es lo que se quiere hacer.
 Quién va a ser el responsable de conseguir los objetivos.
 Qué recursos se van a necesitar para impedir que se materialicen

los riesgos penales.
 Qué tiempo se maneja para conseguir estos objetivos o durante

cuánto tiempo deben de cumplirse.
 Cómo se van a evaluar los resultados.
 Estándar común y publicado de comportamiento con el que la organi-

zación se compromete: código de conducta, ético o valores.
 La evidencia de la competencia existente o adquirida en relación con el

personal de compliance.
 Procedimientos para la diligencia debida con los miembros de la orga-

nización. Por ejemplo: la existencia de algún canal de denuncia, líneas
de ayuda.
 La información acerca de la formación y otros recursos disponibles pa-

ra mejorar su conocimiento en el ámbito del compliance penal.
18
 La información que la organización ha determinado como necesaria

para la eficacia del sistema de gestión de compliance penal.
 La información documentada de origen externo que la organización ha

considerado como necesaria para la planificación y operación del sis-
tema de gestión de compliance penal.
 La información considerada necesaria para disponer de evidencias que

soporten que los procedimientos y controles se han llevado a cabo se-
gún lo planificado.
 Procedimientos de diligencia debida realizados.
 Procedimientos para entidades bajo control.
 Procedimientos para incumplimientos e irregularidades.
 Procedimientos para la investigación de incumplimientos e irregulari-

dades.
 La evidencia de los resultados del seguimiento y medición, así como los

informes de prevención.
 La evidencia de la implementación del programa de auditoría y de los

resultados de las auditorías.
 La evidencia de los resultados de las revisiones realizadas por el órgano

de compliance penal, orientado a determinar:
 Si el sistema de compliance es adecuado para gestionar los ries-

gos penales.
 Si está siendo eficazmente implantado.
19
 La evidencia de los resultados de las revisiones realizadas por la alta di-

rección (sobre adecuación e implementación del sistema), que ha de
contener:
 El estado de las acciones de las revisiones por la dirección.
 Los cambios que puedan afectar al compliance.
 La información sobre el desempeño del compliance: no conformi-

dades, seguimiento, resultado de las mediciones, resultados de la
auditoría, investigaciones, denuncias, análisis de compliance pe-
nal, comunicaciones relacionas con las partes interesadas y la na-
turaleza y extensión del riesgo penal.
 Las oportunidades de mejora.
 La adecuación de los recursos asignados.
 La eficacia de las acciones adoptadas para gestionar los riesgos

penales y las oportunidades.

de gobierno.
2.3. ESPECIAL CONSIDERACIÓN COMPLIANCE

TRIBUTARIO (UNE 19602)
La UNE 19602:2019 regula el denominado compliance tributario. En particular,

esta norma determina que, como mínimo, un sistema de compliance tributario
ha de contar con la siguiente información:
 El alcance del sistema de gestión de compliance tributario.
 La identificación, el análisis y la valoración de riesgos tributarios, así

como a metodología y criterios utilizados.
 La política de compliance tributario.
 Los objetivos de compliance tributario.
 La evidencia de la competencia, existente o adquirida, en relación con

el personal de compliance.
 Los procedimientos para la diligencia debida con los miembros de la

organización.
20
 La información acerca de la formación y otros recursos disponibles pa-

ra mejorar su conocimiento en el ámbito del compliance.
 La información documentada, de origen externo, que la organización

ha considerado como necesaria para la planificación y operación del
sistema de gestión de compliance tributario.
 La información considerada necesaria para disponer de evidencias que

soporten que los procesos, procedimientos y controles se han llevado a
cabo según lo planificado.
 Los procedimientos de diligencia debida realizados.
 Los procedimientos para entidades bajo control.
 Los procedimientos para la comunicación de incumplimientos, o sos-

pechas fundadas de incumplimientos de un requisito.
 Los procedimientos para la investigación de incumplimientos o sospe-

chas de incumplimientos de requisitos.
 La evidencia de los resultados del seguimiento y medición.
 El contenido de los informes de compliance tributario.
 La evidencia de la implementación del programa de auditoría y de los

resultados de las auditorías.

de compliance tributario.
 La evidencia de los resultados de las revisiones realizadas por la alta di-

rección.

de gobierno.
 Las no conformidades y las respectivas acciones emprendidas.
21
¿QUÉ HAS APRENDIDO?
Nuestro programa de cumplimiento debe contar, como mínimo, con los siguien-
tes extremos:
 Mapa de riesgos inherentes y residual. Identificarán las actividades

en cuyo ámbito puedan ser cometidos los delitos que deben ser pre-
venidos.
 Tratamiento de los riesgos. Establecerán los protocolos o procedi-

mientos que concreten el proceso de formación de la voluntad de la
persona jurídica, de adopción de decisiones y de ejecución de estas
con relación a aquellos.
 Recursos financieros. Dispondrán de modelos de gestión de los re-

cursos financieros adecuados para impedir la comisión de los delitos
que deben ser prevenidos.
 Canal de denuncias. Impondrán la obligación de informar de posibles

riesgos e incumplimientos al organismo encargado de vigilar el funcio-
namiento y observancia del modelo de prevención.
 Sistema disciplinario. Establecerán un sistema disciplinario que san-

cione adecuadamente el incumplimiento de las medidas que establez-
ca el modelo.
 Revisión y mejoras. Realizarán una verificación periódica del modelo y

de su eventual modificación cuando se pongan de manifiesto infraccio-
nes relevantes de sus disposiciones, o cuando se produzcan cambios
en la organización, en la estructura de control o en la actividad desarro-
llada que los hagan necesarios.
23
Por último, resulta fundamental contar con un repositorio destinado a almace-

nar toda la información y/o documentación del proceso de implantación, se-
guimiento, revisión y mejora del sistema de compliance de la organización. Esta
labor de documentación resulta esencial, por cuanto, en caso de que se mate-
rialice un riesgo, podremos acreditar ante las autoridades administrativas o ju-
diciales competentes que en la organización existía un procedimiento para ges-
tionar y cumplir la normativa aplicable, y que se actuó conforme a lo establecido
en ella.
24
AUTOCOMPROBACIÓN
1. ¿Cuál de estos elementos no se exige el apartado quinto del artículo

31 bis del Código Penal?
a) Identificar los riesgos.
b) Establecer un sistema disciplinario.
c) Establecer un sistema de denuncias.
d) Realizar mapa de riesgos.
2. ¿Cuál de estos elementos no se exige el apartado quinto del artículo

31 bis del Código Penal?
a) Determinar los recursos financieros necesarios para el compliance.

b) Determinar la periodicidad de las revisiones y las mejoras.
c) Establecer un canal de denuncias.
d) Tener un código ético o de comportamiento.
3. ¿Qué es un código ético?
a) Identifica los riesgos de la sociedad.

b) Identifica únicamente el nivel de satisfacción en cuanto a responsabilidad
social corporativa y ética de la clientela de una sociedad.
c) Un elenco de prohibiciones y obligaciones, así como directrices y princi-
pios que deben de regir la actuación de los miembros de la organización
en el desempeño de sus funciones dentro de la organización.
d) Ninguna de las respuestas anteriores es correcta.
25
4. ¿Qué es un repositorio de evidencias?
a) El registro y documentación de todas las actuaciones que se han realiza-

do en materia de compliance.
b) Documentación relativa únicamente a la elaboración del compliance.
c) Nos referimos únicamente a los informes de las auditorías que realizan

la revisión periódica del sistema de compliance.
5. ¿Qué información debe incluir el sistema de compliance según la UNE

19600?
a) La determinación del alcance del sistema de gestión de compliance.
b) La política de compliance.
c) Los objetivos que se pretenden obtener con el sistema de compliance.
d) Todas las respuestas son correctas.
6. ¿Qué incluye la política de compliance?
a) La independencia del órgano de compliance.
b) Determinar como se van a evaluar los resultados.
c) Las respuestas a) y b) son correctas.
7. En los objetivos se detallará:
a) Qué se va a hacer.
b) Qué duración va a tener el sistema.
c) Cómo se van a medir los resultados.
26
8. ¿Qué es el análisis del riesgo?
a) La probabilidad de que se materialice esos riesgos, la naturaleza y mag-

nitud de las consecuencias, la eficacia de los controles existentes, y los
niveles de sensibilización y de confianza (cultura de compliance).
b) El número de riesgos a los que está expuesta la organización.
c) Determinar como tratas los riesgos existentes.
9. ¿Cómo se debe detallar la información documentada?
a) La identificación y descripción. La ISO da los siguientes ejemplos: título,

fecha, autor o número de referencia.
b) El formato. La ISO da los siguientes ejemplos: por ejemplo, idioma, ver-

sión del software, gráficos.
c) Los medios de soporte La ISO da los siguientes ejemplos: por ejemplo,

papel, electrónico.
10. ¿Cuál es la accesibilidad de la documentación del compliance?
a) Debe ser accesible a todo el mundo.
b) Debe ser accesible a todo aquel que la solicite.
c) Debe ser limitada, solo a las partes interesadas.
11. ¿Qué deberá constar en el informe de resultados realizado por la alta

dirección en el compliance penal?
a) Las oportunidades de mejora.
b) Los procedimientos para entidades bajo control.
c) Las medidas disciplinarias.
27
12. ¿Qué regula la norma ISO 19600?
a) Sistema de Gestión de Compliance (cumplimiento normativo).
b) Sistema de Compliance Tributario.
c) Sistema de Compliance Penal.
d) Sistema de Compliance en materia de Blanqueo de Capitales.
13. ¿Qué regula la norma UNE 19602?
14. ¿Qué regula la norma UNE 19601?
15. ¿En qué consiste el denominado Canal de Denuncias?
a) Un modelo de gestión de los recursos financieros adecuados para impe-

dir la comisión de los delitos que deben ser prevenidos.
b) Medio habilitado para que los miembros de la organización puedan in-

formar de posibles riesgos e incumplimientos al organismo encargado
de vigilar el funcionamiento y observancia del modelo de prevención.
c) Un sistema que sancione adecuadamente el incumplimiento de las me-

didas que establezca el modelo.
d) Una verificación periódica del modelo y de su eventual modificación

cuando se pongan de manifiesto infracciones relevantes de sus disposi-
ciones, o cuando se produzcan cambios.
28
SOLUCIONARIO
1. d 2. d 3. c 4. a 5. c
6. a 7. d 8. a 9. d 10. c
11. a 12. a 13. b 14. c 15. b
29
BIBLIOGRAFÍA
 ISO 31000:2018. Gestión del Riesgo. Directrices.
 UNE-ISO 19600:2015. Sistemas de gestión de compliance. Directrices.
 UNE 19601:2017. Sistemas de gestión de compliance penal. Requisitos

con orientación para su uso.
 UNE 19602:2019. Sistemas de gestión de compliance tributario. Requi-

sitos con orientación para su uso.
 Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
31

Programa de Cumplimiento Normativo Y Repositorio

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Programa de Cumplimiento Normativo Y Repositorio

Cargado por

Copyright:

Formatos disponibles

MD.PlantillaTexto(04)Esp.

PROGRAMA DE CUMPLIMIENTO NORMATIVO

TU RETO EN ESTA UNIDAD ........................................................................ 3

TU RETO EN ESTA UNIDAD

En esta unidad no solo vamos a profundizar en el contenido de un modelo de

¿Quieres saber en qué consisten estos repositorios y el porqué de su importan-

1. MODELO DEL PROGRAMA

Circular 1/2016 de la Fiscalía General del Estado:

1. Identificar los riesgos. Identificarán las actividades en cuyo ámbito

2. Tratamiento de los riesgos. Establecerán los protocolos o procedi-

3. Recursos financieros. Dispondrán de modelos de gestión de los re-

4. Canal de denuncias. Impondrán la obligación de informar de posibles

5. Sistema disciplinario. Establecerán un sistema disciplinario que san-

6. Revisión y mejoras. Realizarán una verificación periódica del modelo y

No obstante, la realidad de los modelos de cumplimiento normativo es que su

1. Código ético. Este código recoge un elenco de prohibiciones y obliga-

2. Estructura normativa. Con ello nos referimos al conjunto de normas

3. Estructura de control. Delimitación del órgano de compliance, el ór-

4. Protocolo de toma de decisiones de los órganos de gobierno de la

5. Modelo de gestión de los recursos financieros. Determinación de los

7. Cultura de cumplimiento. Implantación de una cultura ética en la or-

10. Mapa de controles.

11. Repositorio de evidencias. En este apartado se deberá explicar cómo

12. Programa de formación y sensibilización.

13. Verificación periódica.

Cuando hablamos de repositorio nos referimos a aquel conjunto de informa-

2.1. ISO 19600

2.1.1. INFORMACIÓN QUE HAY QUE DOCUMENTAR

La norma ISO 19600 se publicó en 2015 como una

Esta norma nos propone un conjunto de directrices con la finalidad de propor-

 La información documentada requerida por esta norma ISO:

 La determinación del alcance del sistema de gestión del com-

En empresas en las que, en una misma zona geográ-

 La política de compliance. Que a su vez incluye:

 Los registros de los riesgos de compliance y la priorización del tra-

 Análisis del riesgo: la probabilidad de que se materialicen

Matriz de riesgos Actividades especiales (Diligencia debida)

COD. Transacciones o Socios de

Daños contra datos, programas

R4 Delito de Corrupción en los negocios X BAJA

Delito contra el mercado y los

Delitos contra los derechos de los

R8 Blanqueo de capitales BAJA

Delitos contra la propiedad intelectual

R10 Frustración de la ejecución BAJA

Delitos contra la Hacienda pública y la

R12 Insolvencia punible BAJA

R13 Tráfico de influencias X BAJA

R14 Financiación de partidos políticos BAJA

R15...R31 Resto riesgos del R15 al R31 BAJA

La valoración de la probabilidad se realiza teniendo en cuenta estos valores:

 Alta: existe la posibilidad de que haya un incidente o delito en el plazo de un año.

* Ver Anexo: Metodología Análisis de Riesgos

Matriz de Riesgos por Departamentos

COD. Desarrollo Desarrollo Soporte al Call

Daños contra datos,

Delito de Corrupción en los

Delito contra el mercado y

Delitos contra los derechos

R8 Blanqueo de capitales X X MEDIA

Delitos contra la propiedad

R10 Frustración de la ejecución X X MEDIA

Delitos contra la Hacienda