Revisiones, Auditorías Y Actualizaciones

UD017840_V(01) MD.PlantillaTexto(04)Esp.
dot
Y ACTUALIZACIONES
REVISIONES, AUDITORÍAS
REVISIONES, AUDITORÍAS Y ACTUALIZACIONES
ÍNDICE
TU RETO EN ESTA UNIDAD ........................................................................ 3

1. REVISIÓN ............................................................................................... 5
1.1. CONSIDERACIONES GENERALES .................................................................. 5
1.2. EVALUATION OF CORPORATE COMPLIANCE PROGRAMS ........................ 7
1.2.1. IS THE CORPORATION’S COMPLIANCE PROGRAM WELL DESIGNED? ................ 8
1.2.2. IS THE CORPORATION’S COMPLIANCE PROGRAM ADEQUATELY
RESOURCED AND EMPOWERED TO FUNCTION EFFECTIVELY? ......................... 13
1.2.3. DOES THE CORPORATION’S COMPLIANCE PROGRAM WORK
IN PRACTICE? ......................................................................................... 16
1.3. UNE-ISO 19600:2015. SISTEMAS DE GESTIÓN DE COMPLIANCE............ 17
2. AUDITORÍA........................................................................................... 20
3. ACTUALIZACIÓN ................................................................................. 22
¿QUÉ HAS APRENDIDO? .......................................................................... 23
AUTOCOMPROBACIÓN............................................................................ 25
SOLUCIONARIO ....................................................................................... 31
BIBLIOGRAFÍA ......................................................................................... 33
1
TU RETO EN ESTA UNIDAD
El compliance es un sistema vinculado a una concreta organización y, como tal,

se ve afectado, no solo por las continuas modificaciones legislativas, sino tam-
bién por la naturaleza esencialmente cambiante de toda empresa: empleados,
modelo de negocio, etc. Todo ello hace que la revisión y actualización periódica
del sistema de compliance sea esencial para que el mismo sea efectivo.
¿Sabes cómo se llevan a cabo estas tareas de revisión y actualización? ¿Conoces

la relevancia de las auditorías? ¡Adelante!
3
1. REVISIÓN
1.1. CONSIDERACIONES GENERALES
El objetivo de realizar una revisión del sistema de gestión de compliance es

comprobar que el modelo se ha implantado en su totalidad y que el desarrollo
del mismo es acorde a lo establecido y exigido. Es decir, la revisión implica una
evaluación del sistema, que se llevará a cabo por el órgano de cumplimiento o
de compliance.
Como hemos anticipado en unidades didácticas anteriores, el órgano de cum-

plimiento monitorizará todas las actividades que realicen los miembros de una
organización que puedan tener incidencia sobre el sistema de compliance (los
objetivos conseguidos, a través de los KPIs (Key Performance Indicators) o los
riesgos de cada operación concreta con los KRIs: Key Risk Indicators). No obstan-
te, esta evaluación “diaria” no es suficiente, por lo que periódicamente será pre-
ciso realizar una revisión integral del sistema: la normativa vigente, la implanta-
ción del mismo, la eficacia de los controles, cambios en la organización de la
empresa, formación, etc. Esta revisión puede ser de dos tipos en función de
cuándo se realiza:
 Evaluación reactiva: es aquella que se realiza una vez se ha producido

una no conformidad, es decir, cuando se ha materializado alguno de los
riesgos (incumplimiento normativo) previsto o no en el sistema de ges-
tión de compliance. La materialización de un riesgo indica que algo no
está funcionando correctamente dentro del sistema, por lo que su revi-
sión es obligatoria.
5
 Evaluación proactiva: a diferencia de la anterior, la evaluación proacti-

va se da antes de que se produzca un incumplimiento normativo, anti-
cipándose al mismo. La evaluación proactiva está basada en el día a día
de la organización y pretende una mejora continua. Esta es, sin duda, la
forma de revisión/evaluación más recomendable y, para llevarla a cabo,
será necesario que el órgano de cumplimiento o compliance realice una
exhaustiva labor de monitorización que le permita anticiparse a la co-
misión de infracciones normativas. Por ejemplo, a través de los key per-
formance indicators (KPIs), el órgano de cumplimiento puede comprobar
cuál es el porcentaje de cumplimiento y desarrollo de los objetivos y, en
caso de que el desarrollo de alguno sea más bajo de lo normal o no sea
satisfactorio, el órgano de cumplimiento deberá revisar el sistema.
1. Revisión reactiva. El órgano de cumplimiento

realizará una revisión del sistema de gestión
del compliance cuando se produzca una no
conformidad. En estos casos, el órgano de
compliance o cumplimiento debería:
 Investigar cuáles han sido las causas de la
no conformidad, es decir, identificar el ori-
gen del problema. Por ejemplo: falta de
formación en el empleado, ineficacia de los
controles establecidos, etc.
 Determinar qué acciones debe realizar la
organización para evitar que se repita esa
no conformidad en un futuro.
 Aplicar esas acciones o mejoras.
 Revisar la efectividad de las acciones toma-
das.
2. Revisión proactiva.
2.1. Revisión diaria. Es la que se lleva a cabo a
través de la monitorización diaria de todas las
operaciones realizadas en relación con el com-
pliance. Esta revisión no puede ser global, sino
que ha de ceñirse a aspectos concretos.
2.2. Revisión periódica. La organización fijará
cada cuánto tiempo ha de ser revisado el sis-
tema de gestión de compliance. Lo ideal es que
sea cada año o dos años.
6
En cualquier, como hemos mencionado con anterioridad, en la revisión del sis-

tema de gestión de compliance será preciso tener en cuenta los siguientes ele-
mentos:
 El diseño del mismo.
 El nivel de implantación en la organización.
 La eficacia y la idoneidad.
Pero, ¿cómo se realizará esta revisión/evaluación en la práctica? Muchas empre-

sas multinacionales realizan esta función siguiendo los parámetros establecidos
en la Evaluation of Corporate Compliance Programs del Departamento de Justicia
de EE. UU., que pasamos a analizar a continuación.
1.2. EVALUATION OF CORPORATE COMPLIANCE

PROGRAMS
Este documento fue publicado por primera vez en el año 2017, siendo la última
versión de junio de 2020.
El Departamento de Justicia propone una evaluación basada en una serie de

preguntas:
 Is the corporation’s compliance program well designed? (¿Está bien di-

señado el programa de compliance de la organización?)
 Is the program adequately resourced and empowered to function effec-

tively? (¿Cuenta el programa con los recursos y las facultades/poderes
suficientes para desarrollar su función correctamente?)
 Does the corporation’s compliance program work in practice? (¿Fun-

ciona el programa de compliance en la práctica?)
7
1.2.1. IS THE CORPORATION’S COMPLIANCE PROGRAM

WELL DESIGNED?
Para poder responder a esta pregunta, es preciso analizar los siguientes ele-
mentos:
 Risk Assesment. En este apartado el órgano de compliance se centrará

en si la identificación, análisis y evaluación de los riesgos es correcta,
teniendo en cuenta la naturaleza, tamaño y la actividad que realiza la
organización. Para ello, será preciso tener en cuenta:
 Risk management process. El Departamento de Justicia establece

que en este apartado el órgano de cumplimiento deberá pregun-
tarse: ¿Qué metodología utiliza la compañía para identificar, anali-
zar y gestionar los riesgos a los que tiene que hacer frente? ¿Qué
información utiliza la empresa para detectar infracciones norma-
tivas?
 Risk-Tailored Resource Allocation. El órgano de cumplimiento ha de

preguntarse: ¿Pierde mucho tiempo la compañía en controlar
áreas de bajo riesgo dejando de lado o menos atendidas la de
mayor riesgo? ¿Realiza la empresa un examen más profundo en
aquellas operaciones que presentan un mayor riesgo para la or-
ganización? o ¿Realizan el mismo examen que el previsto para los
riesgos bajos y moderados?
 Updates and Revisions. Las preguntas a responder son las siguien-

te: ¿Está sujeta la evaluación de riesgos a alguna revisión periódi-
ca? ¿La revisión periódica se realiza únicamente por el transcurso
del tiempo o se tienen en cuenta otras circunstancias? Con esta
pregunta el Departamento de Justicia quiere saber si se realiza
una revisión cada vez que se produce un cambio significativo en
la organización. ¿Se tienen en cuenta para las revisiones los pro-
blemas o las no conformidades?
 Lessons Learned. Para la monitorización e incorporación de riesgos,

¿utiliza o incorpora la compañía ideas o mecanismos de otras
compañías que operan en la misma industria y el mismo territorio?
8
 Policies and procedures. Este apartado tiene que ver con los mecanis-
mos de control, los procedimientos, así como los códigos éticos o de
conducta. En este apartado habrá que tener en cuenta:
 Design. ¿Cuál es el procedimiento de la compañía para implemen-

tar nuevos controles o procedimiento y mejoras de los mismos?
¿Quién ha diseñado los controles y los procedimientos de la com-
pañía? ¿Se ha consultado con los distintos departamentos de la
compañía antes de implantar estos controles o procedimientos?
 Comprehensiveness. ¿Qué esfuerzos ha hecho la compañía para

monitorizar e implementar los controles y los procedimientos en
relación con los riesgos a los que se enfrenta la misma?
 Accessibility. ¿Ha comunicado la organización a todos sus miem-

bros y terceros interesados estos controles y procedimientos?
¿Existe algún tipo de barrera que pueda impedir la correcta difu-
sión? Con esta pregunta se pretende conocer si existe alguna ba-
rrera lingüística que impida el acceso de esos terceros interesa-
dos o empleados. ¿Hace un esfuerzo la compañía por transmitir
esta información a aquellos empleados o departamentos que tie-
nen más riesgo de cometer estas infracciones?
 Responsibility for Operational Integration. ¿Quién ha sido el encar-

gado de incorporar o implementar estos controles y procedimien-
tos? ¿Se ha asegurado que los empleados entienden cómo fun-
cionan estos controles? ¿De qué manera ha reforzado el com-
pliance los mecanismos de control interno existentes en la orga-
nización?
 Gatekeepers. ¿Qué preparación tiene el compliance officer o los

miembros del órgano de cumplimiento?
 Training and Communications. Como ya se expuso en unidades ante-

riores, una de las piezas fundamentales a la hora de determinar la efi-
cacia del sistema de compliance es la comunicación y la formación. En
relación con ello, el Departamento de Justicia de EE. UU. establece que
es preciso tener en cuenta las siguientes cuestiones:
 Risk-Based Training. En este apartado nos debemos preguntar:

¿Qué información han recibido los órganos con funciones de con-
trol relevantes? ¿Ha dado la compañía una especial formación a
aquellos trabajadores que son susceptibles de cometer riesgos
más altos? ¿Los empleados que supervisan han recibido forma-
ción complementaria? ¿Qué criterios ha utilizado la compañía pa-
ra determinar qué empleado debía recibir formación adicional?
9
 Form/Content/Effectiveness of Training. ¿Se ha ofrecido la formación

teniendo en cuenta las diferentes barreras (lengua, falta de equi-
pos informáticos, etc.) ? ¿La formación se ha ofrecido online o de
forma presencial? ¿El motivo de esa decisión? Independientemen-
te del tipo de formación escogida, ¿permite a los empleados pre-
guntar? ¿Cómo mide la empresa la efectividad de la formación?
¿Se examina a los empleados? ¿Cómo gestiona la compañía los
suspensos de los empleados?
 Communications about Misconduct. ¿Cómo se transmite la posición

de la empresa respecto a la tolerancia cero con el incumplimiento
normativo? ¿Qué comunicaciones se realizan cuando un emplea-
do es sancionado por incumplir el sistema de gestión de com-
pliance?
 Availability of Guidance. ¿Qué recursos se proporcionan a los em-

pleados para orientarlos sobre el compliance, sus procedimientos
y controles?
 Confidential Reporting Structure and Investigation Process. Como seña-

la este documento del Departamento de Justicia de EE. UU., para que
exista un buen sistema de compliance es necesario que se implemente
un mecanismo que permita a los empleados, anónima o confidencial-
mente, reportar todas aquellas actuaciones contrarias al mismo y que
puedan ser constitutivas de una infracción administrativa. Apunta en el
mismo sentido que el legislador comunitario con la Directiva 2019/1937.
Para ello, habrá que tener en cuenta los siguientes elementos:
 Effectiveness of the Reporting Mechanism. En relación con la efecti-

vidad del canal de denuncias, el Departamento de Justicia de EE.
UU. establece que el órgano de cumplimiento ha de cuestionarse
lo siguiente: ¿Tiene la compañía un mecanismo que permita hacer
denuncias de forma anónima? Si no tiene, ha de plantearse el
porqué. ¿Se ha publicitado el uso de este mecanismo a los em-
pleados y a interesados? ¿Se ha utilizado el canal interno de de-
nuncias? ¿Ha tomado la compañía alguna medida para compro-
bar que los empleados son conscientes y se sienten cómodos
usando los canales de denuncia? ¿Cómo evalúa la compañía la se-
riedad de las denuncias recibidas? ¿Tiene el órgano de compliance
acceso completo a las denuncias?
10
 Properly Scoped Investigations by Qualified Personnel. ¿Cómo de-

termina la compañía qué denuncias merecen una investigación?
¿Cómo se asegura la empresa de que las investigaciones tienen el
alcance correcto? ¿Qué medidas ha tomado la compañía para
asegurar que las investigaciones que se llevan a cabo son inde-
pendientes, objetivas y que están debidamente documentadas?
¿Cómo determina la empresa quién debe llevar la investigación?
¿Quién toma esa decisión?
 Investigation Response. ¿Tiene la empresa un proceso para monito-

rizar el resultado de las investigaciones y garantizar la rendición
de cuentas ante cualquier hallazgo?
 Resources and Tracking of Results. En relación con la monitorización

y la documentación del canal de denuncias e investigación, el De-
partamento de Justicia de EE. UU. establece que el órgano de
cumplimiento ha de cuestionarse lo siguiente: ¿Están los mecanis-
mos de información e investigación suficientemente financiados?
¿Cómo ha recogido, rastreado, analizado y utilizado la empresa la
información obtenida de las investigaciones? ¿Analiza periódica-
mente la empresa los informes o hallazgos de la investigación para
patrones de mala conducta? ¿La empresa prueba periódicamente
la eficacia del canal interno de denuncias, por ejemplo, mediante el
seguimiento de un informe de principio a fin?
 Third party managment. El Departamento de Justicia de EE. UU. en-

tiende que, para que un compliance funcione correctamente, es nece-
sario que exista un programa basado en una due diligence que valore el
riesgo en las relaciones con terceras personas. Para ello, es necesario
tener en cuenta:
 Risk-Based and Integrated Processes. ¿Cuál es el procedimiento de

la compañía para identificar la naturaleza y el nivel de riesgo en
las operaciones con otros agentes? ¿Cómo se ha integrado este
proceso en las relaciones con los proveedores?
 Appropriate Controls. ¿Cómo se asegura la empresa que el fin de la

operación comercial con esa tercera persona es apropiado? ¿Qué
mecanismos existen para garantizar que los términos del contrato
describan específicamente los servicios a realizar, que las condicio-
nes de pago son apropiadas, que el trabajo contractual se realiza, y
que la retribución es proporcional a los servicios prestados?
11
 Management of Relationships. ¿Ha establecido la empresa algún

mecanismo de compensación o incentivos para que estos terce-
ros cumpla con la política de compliance? ¿Cómo supervisa la em-
presa a sus terceros? ¿Tiene la empresa derechos de auditoría
para analizar los libros y cuentas de terceros? ¿Ha ejercido la em-
presa esos derechos en el pasado? ¿Cómo entrena la empresa a
sus miembros en relación con el cumplimiento del compliance en
las relaciones con terceros? ¿La empresa participar en la gestión
de riesgos de terceros a lo largo de la vida útil de la relación, o
principalmente durante el proceso de incorporación?
 Real Actions and Consequences. ¿La empresa rastrea las posibles

no conformidades de esos terceros? ¿Realiza la empresa un se-
guimiento de aquellos terceros que no pasan la due diligence de la
empresa? ¿Se toman medidas para asegurar que esos terceros
no son contratados en una fecha posterior?
 Mergers and Acquisitions (M&A). La empresa ha de implantar progra-

ma de due diligence en las fusiones y en las adquisiciones de empresas
para poder hacer una integración correcta y ordenada de la entidad
adquirida en la estructura del compliance de la empresa adquiriente.
 Due diligence process. ¿Pudo la empresa realizar un proceso de

due diligence antes de la adquisición de la compañía? ¿Se identifi-
có algún tipo de no conformidad durante la misma? ¿Quién llevó
a cabo la revisión de riesgos para las entidades adquiri-
das/fusionadas y cómo se hizo? ¿Cuál es el procedimiento de due
diligence que sigue la empresa en las operaciones de M&A?
 Integration in the M&A process. ¿Cómo se ha integrado la función

de cumplimiento en el proceso de M&A?
 Process connecting due diligence to implementation. ¿Cuál ha sido el

proceso de la empresa para rastrear y corregir riesgos de malas
conductas identificados durante el proceso de due diligence? ¿Cuál
ha sido el proceso de la empresa para la implementación de polí-
ticas y procedimientos de cumplimiento, y la realización de audi-
torías posteriores a la adquisición, en la entidad recién adquirida?
12
1.2.2. IS THE CORPORATION’S COMPLIANCE PROGRAM ADEQUATELY

RESOURCED AND EMPOWERED TO FUNCTION EFFECTIVELY?
Un programa de compliance, aunque esté bien diseñado, inevitablemente va a

resultar insatisfactorio si la implementación del mismo es laxa, con pocos recur-
sos o ineficaz.
Para determinar si nuestro programa de cumplimiento no responde a las nece-

sidades de la organización, el órgano de cumplimiento habrá de reflexionar so-
bre las siguientes cuestiones:
 Commitment by Senior and Middle Management. Para que exista una

cultura de compliance en el seno de una organización es necesario que
estén comprometidos con el sistema de gestión todos los niveles de la
compañía. En relación con el compromiso de los niveles altos y medios
de dirección de la organización, el Departamento de Justicia establece
que será preciso revisar los siguientes elementos:
 Conduct at the top. ¿Los altos cargos de la empresa han alentado o

desalentado el cumplimiento del compliance con sus palabras o ac-
tos? ¿Qué acciones concretas ha tomado la dirección de la empre-
sa para demostrar sus esfuerzos por el cumplimiento del com-
pliance? ¿Cómo han ayudado para que los miembros de la organi-
zación se comporten como deben? ¿Han tolerado los altos cargos
mayores riesgos de cumplimiento en busca de nuevos negocios o
mayores ingresos? ¿Han alentado los altos cargos a los empleados
para actuar sin ética para lograr un objetivo de negocio, o han obs-
taculizado las funciones del personal de cumplimiento (Compliance
officer o los miembros del órgano de cumplimiento)?
 Shared Commitment. ¿Qué acciones han realizado los altos y me-

dios cargos de la compañía para demostrar su compromiso con
el cumplimiento o personal de cumplimiento? ¿Ha persistido ese
comportamiento?
 Oversight. ¿Qué experiencia en cumplimiento tiene el consejo de

administración? ¿Tiene el consejo de administración y/o los audi-
tores externos sesiones con el órgano de compliance? ¿Qué tipos
de información han examinado el consejo de administración y la
alta dirección en su ejercicio de supervisión?
13
 Autonomy and Resources. En relación con la autonomía o independen-

cia y los recursos, el Departamento de Justicia de EE. UU. ha estableci-
do que hay que fijarse en: 1) antigüedad suficiente dentro de la organi-
zación; 2) recursos suficientes, a saber, personal para llevar a cabo efi-
cazmente la auditoría, documentación y análisis; y 3) suficiente auto-
nomía de la gestión, como acceso directo al consejo de administración
o al comité de auditoría de la junta. Para comprobar estos aspectos
habrá que analizar los siguientes elementos:
 Structure. ¿Dónde se encuentra el órgano de cumplimiento en el

organigrama de la organización? ¿A quién informa el órgano de
cumplimiento? ¿La función de cumplimiento está encomendada a
un directivo únicamente con esas funciones o a un directivo con
otras funciones? En caso de que tenga otras funciones, ¿cuáles
son? ¿Por qué la empresa eligió la estructura de cumplimiento que
tiene? ¿Cuáles son las razones de esas decisiones estructurales?
 Seniority and Stature. ¿Qué diferencia existe entre el órgano de

cumplimiento y otros órganos estratégicos de la empresa en tér-
minos de estatus, niveles de compensación, rango/título, línea de
informes, recursos y acceso a los principales responsables de la
toma de decisiones? ¿Qué tasa de rotación han tenido los miem-
bros del órgano de cumplimiento? ¿Qué papel desempeña el ór-
gano de cumplimiento en la toma de decisiones? ¿Cómo ha res-
pondido la empresa a casos específicos en los que se infringía el
sistema de compliance? ¿Ha habido transacciones que fueron de-
tenidas, modificadas o más examinadas como resultado de las
preocupaciones de cumplimiento normativo?
 Experience and Qualifications. ¿Tiene el personal de cumplimiento y

control la experiencia y cualificaciones apropiadas para sus fun-
ciones y responsabilidades? ¿Han cambiado los niveles de expe-
riencia y cualificaciones a lo largo del tiempo? ¿Cómo invierte la
empresa en formación? ¿Quién revisa el desempeño del órgano
de cumplimiento? ¿Cuál es el proceso de revisión?
 Funding and Resources. ¿Cuenta el órgano de cumplimiento con el

personal necesario para auditar, documentar, analizar y actuar?
¿Ha asignado la empresa fondos suficientes? ¿Se ha negado algu-
na vez recursos al órgano de cumplimiento? ¿Por qué motivo?
14
 Data Resources and Access. ¿El personal de cumplimiento y control

tiene acceso directo o indirecto a las fuentes de datos, pruebas
de políticas, controles y transacciones pertinentes para permitir
poder realizar sus funciones de supervisión? ¿Existe algún tipo de
impedimento?
 Autonomy. ¿Tiene acceso a los miembros del consejo de adminis-

tración o el comité de auditoría? ¿Cómo garantiza la empresa la
independencia del órgano de cumplimiento?
 Outsourced compliance functions. ¿Ha externalizado la empresa la

totalidad o parte de sus funciones de cumplimiento a una empre-
sa externa o consultor? Si es así, ¿por qué, y quién es el respon-
sable de supervisar o establecer vínculos con la empresa externa
o consultor? ¿Qué nivel de acceso tiene la empresa externa o
consultor a la información de la empresa? ¿Cómo se ha evaluado
la eficacia del proceso de externalización?
 Incentives and Disciplinary Measures. Otro sello distintivo de la imple-

mentación efectiva de un programa de cumplimiento es el estableci-
miento de incentivos para el cumplimiento y sanciones para el incum-
plimiento. En relación con la política de incentivos y el régimen sancio-
nador, debemos examinar:
 Human Resources Process. ¿Quién participa en la toma de decisio-

nes disciplinarias? ¿Se sigue el mismo proceso sancionador en
cada incumplimiento? ¿Por qué no? ¿Se comunican las razones
por las que se ha impuesto una sanción al trabajador? ¿Hay razo-
nes para no darle toda la información?
 Consistent Application. ¿Son proporcionales los incentivos y las

sanciones? ¿Supervisa el órgano de cumplimiento las investiga-
ciones y la sanciones para que sean coherentes? ¿Hay casos de
mala conducta que fueron tratados de manera dispar? ¿Por qué?
 Incentive system. ¿Ha considerado la empresa establecer incenti-

vos y recompensas por el cumplimiento? ¿Cómo incentiva la em-
presa el cumplimiento y la ética? ¿Ha habido ejemplos específicos
de acciones tomadas (por ejemplo, promociones o premios ne-
gados) como resultado de consideraciones de cumplimiento y
ética? ¿Quién determina la compensación, incluidas las bonifica-
ciones, así como la promoción?
15
1.2.3. DOES THE CORPORATION’S COMPLIANCE PROGRAM WORK

IN PRACTICE?
¿Funciona el programa de compliance en la práctica? Para contestar a esta pre-

gunta no podemos limitarnos a valorar la concurrencia de una no conformidad,
sino que habrá que tener en cuenta el grado de eficacia del sistema en general,
y los esfuerzos de la compañía para su implementación y cumplimiento. Para
ello, resulta esencial analizar los siguientes elementos:
 Continuous Improvement, Periodic Testing, and Review. Una de las se-

ñas de identidad de un programa de cumplimiento eficaz es su capaci-
dad para mejorar y evolucionar. La aplicación real de los controles en la
práctica revelará necesariamente que deben ajustarse constantemen-
te, puesto que el negocio de una empresa cambia con el tiempo, al
igual que los entornos en los que opera, la naturaleza de sus clientes,
las leyes que rigen sus acciones, y los estándares de la industria.
En consecuencia, en este apartado, es preciso analizar si la empresa ha

invertido esfuerzos significativos en revisar su programa de cumpli-
miento y asegurarse de que no es obsoleto:
 Internal Audit. ¿Cuál es el proceso para determinar dónde y con

qué frecuencia se llevará una auditoría interna? ¿Cuál es la razón
detrás de ese proceso? ¿Cómo se llevan a cabo las auditorías?
¿Han detectado alguna mala conducta estas auditorías? ¿Cuáles
son las conclusiones de esas auditorías? ¿Con qué frecuencia rea-
liza evaluaciones de auditoría interna? ¿En qué áreas?
 Control Testing. ¿Ha revisado y auditado la empresa su programa

de cumplimiento? ¿Ha revisado cómo se notifican los incumpli-
mientos?
 Evolving Updates. ¿Con qué frecuencia la empresa ha actualizado

sus evaluaciones de riesgos y revisaron sus políticas, procedi-
mientos y prácticas de cumplimiento? ¿Qué medidas ha tomado
la empresa para determinar si las políticas/procedimientos/ prác-
ticas tienen sentido? ¿Revisa la empresa y adapta su programa de
cumplimiento sobre la base de las lecciones aprendidas de sus
no conformidades?
 Culture of Compliance. ¿Con qué frecuencia y cómo mide la em-

presa su cultura de cumplimiento? ¿Qué medidas ha tomado la
empresa en respuesta a su medición de la cultura del cumpli-
miento?
16
 Investigation of Misconduct. Es necesario que en la organización exista

una estructura eficaz de investigación, pero también un mecanismo pa-
ra documentar las investigaciones y las decisiones que se tomen. Para
ello, habrá que tener en cuenta:
 Properly Scoped Investigation by Qualified Personnel. ¿Cómo se ase-

gura la empresa de que las investigaciones han tenido el alcance
adecuado, han sido independientes, objetivas, apropiadas y co-
rrectamente documentadas?
 Response to Investigations. ¿Se han utilizado las investigaciones de

la empresa para identificar vulnerabilidades del sistema y fallos
de rendición de cuentas, ¿Cuál ha sido el proceso para responder
o las respuestas que ha dado la empresa a los hallazgos de la in-
vestigación? ¿A quién se comunican los hallazgos?
 Analysis and Remediation of Any Underlying Misconduct. Un aspecto

básico de un programa de cumplimiento eficaz es que dentro de la or-
ganización se lleve un análisis profundo de todas las no conformidades
que se produzcan:
 Root Cause Analysis. ¿Qué análisis se ha realizado sobre el origen

de la mala conducta? ¿Se identificaron problemas sistémicos?,
¿Quién estuvo involucrado en el análisis?
 Prior Weaknesses. ¿Qué controles fallaron?
 Payment Systems. ¿Cómo se encontró la no conformidad? ¿Qué

procesos podrían haber impedido o detectado ese incumplimien-
to? ¿Se han implantado o mejorado procesos?
1.3. UNE-ISO 19600:2015. SISTEMAS DE GESTIÓN

DE COMPLIANCE
La UNE-ISO 19600:2015 recoge que la organización deberá determinar:
 Las actividades o departamentos respecto de los que es preciso

hacer un especial seguimiento. Por ejemplo, en los servicios de caja
de un casino sería recomendable hacer un especial seguimiento en el
grado de cumplimiento de los controles establecidos, por el alto riesgo
que hay en infringir la normativa sobre blanqueo de capitales.
17
 Los métodos de seguimiento, medición y evaluación. Para ello ten-

dremos que utilizar los KPIs “Key Performance Indicators”, ya que nos
permitirán determinar cuál es el grado de cumplimiento de los objeti-
vos. Como ya vimos en unidades anteriores, estos indicadores podrán
basarse, por ejemplo, en el número de horas de formación, los resulta-
dos en exámenes de conocimiento a los miembros de la organización,
el número de campañas para fomentar la cultura de compliance, etc.
 Cada cuanto tiempo se deberá realizar este seguimiento. Lo ideal

es realizar un seguimiento/evaluación diaria y otra periódica (cada año
o cada dos años).
 La evaluación del sistema de compliance. Para ello, habrá que tener

en cuenta el sistema y su desempeño.
 En lo relativo al sistema, habrá que tener en cuenta: (i) la eficacia

de la formación, (ii) la eficacia de los controles, (iii) la asignación de
responsabilidad para cumplir con las obligaciones de compliance,
(iv) las actualizaciones de las obligaciones y (v) la eficacia en la ges-
tión de fallos.
 En lo relativo al desempeño del sistema, será preciso evaluar: (i) las

nos conformidades, (ii) los casos en los que no se cumple el siste-
ma de compliance, (iii) los casos en los que no se alcancen los obje-
tivos, (iv) el estado de la cultura de compliance, (v) los indicadores
reactivos (incumplimientos detectados y comunicados, consecuen-
cias de los incumplimientos, tiempo utilizado para informar y adop-
tar acciones coercitivas, etc.), y (vi) los indicadores predictivos (ries-
go de incumplimiento, tendencias de cumplimiento, etc.)
 La forma en que la organización va a recopilar la información: soli-

citar informes de incumplimiento, información obtenida del canal de
denuncias, reclamaciones, discusiones informales, talleres de trabajo,
grupos temáticos, pruebas integrales (como el mistery shopping), resul-
tado de encuestas, observaciones directas, entrevistas formales, visitas
a las instalaciones e inspecciones, auditorías, revisiones, consultas a las
partes interesadas, peticiones de formación u opiniones recogidas, etc.
18
Por otro lado, la UNE-ISO 19600:2015 establece que la alta dirección y el ór-
gano de compliance deberán revisar el sistema de gestión de compliance de la
organización a intervalos planificados, para asegurarse de su idoneidad, ade-
cuación y eficacia continuas. Para ello, se examinará:
a) El estado de las acciones desde anteriores revisiones por la dirección.

b) La adecuación de la política de compliance.
c) El grado en el que se han cumplido los objetivos de compliance.
d) La adecuación de los recursos.
e) Los cambios en las cuestiones externas e internas que sean pertinen-
tes al sistema de gestión de compliance.
f) La información sobre el desempeño del sistema de compliance, inclui-
das las tendencias relativas a:
 No conformidades, acciones correctivas y tiempos para su resolu-
ción.
 Seguimiento y resultados de las mediciones.
 Comunicación de las partes interesadas, incluyendo las reclama-
ciones.
 Resultados de la auditoria.
g) Las oportunidades de mejora continua.
Por último, la alta dirección y el órgano de compliance realizarán informes perió-

dicos que contendrán los siguientes extremos:
1. Cualquier materia sobre la que la organización deba notificar a cual-

quier regulador o autoridad.
2. Cambios en las obligaciones de compliance, en su impacto en la organi-
zación y las propuestas para cumplir con las nuevas obligaciones.
3. Medidas del desempeño de compliance, incluyendo los incumplimientos
y la mejora continua.
4. Número y detalles de posible(s) incumplimiento(s) y su análisis subsi-
guiente.
5. Acciones correctivas adoptadas.
6. Información sobre la eficacia del sistema de gestión de compliance, sus
logros y tendencias.
7. Contactos, y desarrollo de las relaciones, con los reguladores.
8. Resultados de las auditorías, así como de las actividades de seguimiento.
19
2. AUDITORÍA
Como hemos expuesto con anterioridad, en el do-
cumento del Departamento de Justicia de EE. UU.
(Evaluation corporates compliance programes), la
auditoría del sistema de compliance resulta esencial
para la efectividad del mismo. Estas auditorías no
solo permitirán detectar deficiencias del sistema, lo
que permitirá su posterior mejora, sino que denota-
rán el compromiso de la organización con su política
de cumplimiento normativo.
Del mismo modo, la Circular 1/2016, de 22 de enero, sobre la responsabili-

dad penal de las personas jurídicas conforme a la reforma del Código Pe-
nal efectuada por Ley Orgánica 1/2015, se pronuncia al respecto de las audi-
torías de la siguiente manera:
“Las certificaciones sobre la idoneidad del modelo expedidas por empresas o asocia-
ciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las
que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán
apreciarse como un elemento adicional más de la adecuación del modelo pero en
modo alguno acreditan su eficacia, ni sustituyen la valoración que de manera exclu-
siva compete al órgano judicial. En general, pues depende del tamaño de la empresa,
ningún programa de compliance puede considerarse efectivo si la aplicación central
de la compañía no es mínimamente robusta y ha sido debidamente auditada”.
20
La auditoría puede ser de dos tipos, interna o externa:
 Auditoría interna. La norma UNE-ISO 19600:2015 establece que la or-

ganización llevará a cabo auditorías internas de forma periódica para
obtener la siguiente información sobre el compliance:
 Si el sistema de cumplimiento normativo cumple:
 Con los requisitos establecidos por la propia organización

en relación con el sistema compliance.
 Con los requisitos establecidos en la normativa UNE/ISO: UNE-

ISO 19600 y/o UNE 19601 y/o UNE 19602 y/o ISO 31000.
 Si se ha implementado el sistema de compliance.
 Si se mantiene eficaz el sistema de compliance.
 Potestativamente, la organización podrá también pedir que se

auditen las materias que estime oportunas.
 Auditoría externa. La auditoría del sistema de compliance también

puede ser realizada por un agente externo. Esta parece la opción más
acertada por la mayor imparcialidad del órgano auditor. Además, esta
opción será esencial cuando el personal de la organización no tenga
amplios conocimientos en compliance.
21
3. ACTUALIZACIÓN
Aunque las fases relativas a la actualización y revisión o evaluación del sistema
de compliance están íntimamente relacionadas, lo cierto es que la revisión va
enfocada fundamentalmente a comprobar la eficacia del sistema, mientras que
la actualización va encaminada a no tener un sistema de compliance obsoleto.
En este sentido, el órgano de cumplimiento deberá asegurarse de que el siste-

ma de compliance recoge e identifica todos los riesgos a los que se puede ver
expuesta la compañía por razón de su actividad, atendiendo a la legislación o
criterio jurisprudencial vigente en cada momento. Independientemente de que
el modelo se revise periódicamente, la actualización de los riesgos deberá ser
diaria.
Del mismo modo, la actualización deberá extenderse a los mecanismos de con-

trol. Y es que es posible que la revisión no permita detectar que un mecanismo
de control está obsoleto, por cumplir este con los objetivos establecidos interna
y legalmente, y, sin embargo, por el desarrollo tecnológico exista otra herra-
mienta que permita realizar ese control de riesgo de una forma más eficaz. En
estos casos, convendrá actualizar este mecanismo de control con el fin de evitar
tener un sistema obsoleto.
22
¿QUÉ HAS APRENDIDO?
En esta unidad didáctica has aprendido que una de las señas de identidad de
un programa de cumplimiento normativo o compliance eficaz es su capacidad
para mejorar y evolucionar.
La aplicación real de los controles en la práctica revelará necesariamente que

los mismos han de ser ajustados constantemente, ya que el negocio de una
empresa cambia con el tiempo, al igual que los entornos en los que opera, la
naturaleza de sus clientes, las leyes que rigen sus acciones, y los estándares de
la industria.
Estos ajustes se realizarán previa evaluación o revisión y auditoría del siste-

ma. Estos procedimientos nos van a permitir identificar aquellos elementos que
deben modificarse para que el sistema pueda adaptarse a los cambios aconte-
cidos en la organización y, por ende, ser acorde a la realidad de la compañía.
Adicionalmente, permitirán que el sistema mejore y que las deficiencias entron-
cadas puedas ser corregidas.
Por último, mediante la actualización del sistema, el mismo se adaptará a la

normativa y jurisprudencia vigentes en cada momento, tanto en lo relativo a la
identificación de los riesgos como en los mecanismos de control.
23
AUTOCOMPROBACIÓN
1. ¿Quién tiene que realizar la revisión del sistema de compliance?
a) Las autoridades.
b) El órgano de administración.
c) Los clientes.
d) El órgano de cumplimiento.
2. ¿Qué tipos de evaluación existen?
a) Reactiva o proactiva.
b) Central o descentralizada.
c) Vertical o horizontal.
d) Legal o paralegal.
3. La revisión que se realiza una vez se ha producido una no conformidad,

¿qué tipo de evaluación es?
a) Evaluación reactiva.
b) Evaluación central.
c) Evaluación legal.
d) Evaluación proactiva.
25
4. La revisión que se anticipa a la producción de una no conformidad,

¿qué tipo de evaluación es?
a) Evaluación proactiva.
b) Evaluación reactiva.
c) Evaluación legal.
d) Evaluación descentralizada.
5. ¿Cuál es la finalidad de la revisión de un sistema de compliance?
a) El diseño del mismo.
b) El nivel de implantación en la organización.
c) La eficacia y la idoneidad.
d) Todas las respuestas son correctas.
6. ¿Qué es la Evaluation of Corporate Compliance Programs?
a) Documento elaborado por el Departamento de Justicia de EE. UU. para

la evaluación de sistemas de gestión de compliance.
b) Es una circular elaborada por la fiscalía sobre la responsabilidad de las

personas jurídicas.
c) Una Directiva de la Unión Europea sobre compliance.
d) Ninguna de las respuestas anteriores es correcta.
7. ¿Cuál es el procedimiento que sigue la Evaluation of Corporate Com-

pliance Programs para realizar la evaluación?
a) Realiza una serie de preguntas.
b) Un sistema de revisión down to top.
c) Un sistema de revisión top to down.
d) Ninguno.
26
8. ¿Qué hay que analizar con el Risk Assesment?
a) Si la identificación, análisis y evaluación de los riesgos son correctos.
b) Si son correctos los mecanismos establecidos para controlar el riesgo.
c) Cuál es el riesgo de un canal de denuncias.
d) Las respuestas b) y c) son correctas.
9. ¿A qué se refiere el apartado Policies and procedures?
a) La eficacia de los mecanismos de control, los procedimientos, así como

los códigos éticos o de conducta.
b) La independencia del órgano de compliance.
c) La identificación de los riesgos.
10. ¿A qué nos referimos con el apartado Training and Communications?
a) Se evalúan los sistemas de identificación de riesgos.

b) Se evalúa la comunicación y la formación.
c) Se evalúan los controles existentes.
d) Se evalúan las funciones del órgano de administración en la organiza-
ción.
11. Según el Departamento de EE. UU., ¿qué requisitos ha de reunir el ca-

nal de interno de denuncias en el apartado Confidential Reporting
Structure and Investigation Process?
a) Debe poder permitir a los empleados anónima o confidencialmente re-

portar todas aquellas actuaciones contrarias al mismo y que puedan ser
constitutivas de una infracción administrativa.
b) Debe poder permitir a los empleados reportar confidencialmente todas
aquellas actuaciones contrarias al mismo y que puedan ser constitutivas de
una infracción administrativa. No se permite la denuncia anónima puesto
que ello implica mayores dificultades a la hora de iniciar una investigación.
c) Las denuncias que se realicen por el canal interno para reportar aquellas
no conformidades e infracciones deben de ser públicas, a diferencia de
lo que recoge el legislador europeo en la Directiva 2019/1937.
27
12. Para controlar los riesgos con terceras personas, ¿qué debe hacer una
empresa según el Departamento de Justicia de EE. UU.?
a) No es necesario realizar ningún proceso puesto que los terceros no

pueden generar responsabilidad contra la compañía.
b) Realizar un procedimiento de due diligence.
c) Resulta intrascendente para el compliance.
13. Para que exista una cultura de compliance en la compañía, ¿qué debe
hacerse según el Commitment by Senior and Middle Management?
a) Que estén comprometidos con el sistema de gestión todos los niveles de

la compañía.
b) Que se haga un proceso de due diligence en las operaciones de M&A.
c) Que haya una comunicación efectiva con las autoridades.
d) Que solo estén comprometidos los empleados de la organización el

cumplimiento del sistema de compliance.
14. Para saber si el compliance tiene la autonomía o independencia y los

recursos necesarios para que sea eficaz, ¿en qué hay que fijarse, según
el Departamento de Justicia de EE. UU.?
a) En la antigüedad suficiente dentro de la organización.
b) En si los recursos son suficientes, a saber, personal para llevar a cabo

eficazmente el auditoría, documentación y análisis, etc.
c) Si existe suficiente autonomía en la gestión, como acceso directo al con-

sejo de administración o al comité de auditoría de la junta.
15. ¿Qué son los KPIs “Key Performance Indicators”?
a) Permiten medir el grado de cumplimiento de los objetivos.
b) Indican el riesgo de cada operación.
c) Indican la necesidad de realizar un proceso de due diligence.
28
16. Según la norma UNE/ISO 19600:2015, ¿qué no habrá que tenerse en

cuenta a la hora de revisar el sistema?
a) La eficacia de la formación.
b) La eficacia de los controles.
c) La asignación de responsabilidad para cumplir con las obligaciones de

compliance.
d) El estado de la cultura de compliance.
17. Según la norma UNE/ISO 19600:2015, ¿qué no habrá que tenerse en

cuenta a la hora de revisar el desempeño del sistema de cumplimiento
normativo?
a) La eficacia en la gestión de fallos.
b) Las nos conformidades.
c) Los casos en los que no se cumple el sistema de compliace.
d) Los casos en los que no se alcancen los objetivos.
18. Según la Circular de la Fiscalía 1/2016, tener una auditoría favorable a

la hora de evaluar la eficacia del compliance:
a) Es determinante, ya que, si la auditoría no ha detectado fallos, el sistema

necesariamente debe ser considerado eficaz e idóneo.
b) Es un indicio más a valorar, pero no determina si el sistema es eficaz e

idóneo.
c) Si el sistema cuenta con una certificación no es necesario realizar una

auditoría, ya que la certificación demuestra que el sistema es idóneo y
eficaz.
d) Las respuestas a) y b) son correctas.
19. ¿Qué tipos de auditoría reconoce la UNE/ISO 19600:2015?
a) Dos: interna y externa.
b) Dos: general y específica.
c) Cuatro: general, específica, interna y externa.
d) Dos: de información financiera y de información no financiera.
29
20. La actualización del sistema de compliance debe alcanzar a:
a) La identificación de riesgos.
b) Los controles riesgos.
c) Las respuestas a) y b) son correctas.
30
SOLUCIONARIO
1. d 2. a 3. a 4. a 5. d
6. a 7. a 8. a 9. a 10. b
11. a 12. b 13. a 14. d 15. a
16. d 17. a 18. b 19. a 20. c
31
BIBLIOGRAFÍA
 Norma UNE-ISO 19600. Sistemas de gestión de compliance. Directrices.
 Norma UNE 19601:2017. Sistemas de gestión de compliance penal. Re-

quisitos con orientación para su uso.
 Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las

personas jurídicas conforme a la reforma del Código Penal efectuada
por Ley Orgánica 1/2015.
 Evaluation of Corporate Compliance Programs del Departamento de Jus-

ticia de EE. UU. de junio de 2020.
33

Revisiones, Auditorías Y Actualizaciones

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Revisiones, Auditorías Y Actualizaciones

Cargado por

Copyright:

Formatos disponibles

UD017840_V(01) MD.PlantillaTexto(04)Esp.

TU RETO EN ESTA UNIDAD ........................................................................ 3

TU RETO EN ESTA UNIDAD

El compliance es un sistema vinculado a una concreta organización y, como tal,

¿Sabes cómo se llevan a cabo estas tareas de revisión y actualización? ¿Conoces

El objetivo de realizar una revisión del sistema de gestión de compliance es

Como hemos anticipado en unidades didácticas anteriores, el órgano de cum-

 Evaluación reactiva: es aquella que se realiza una vez se ha producido

 Evaluación proactiva: a diferencia de la anterior, la evaluación proacti-

1. Revisión reactiva. El órgano de cumplimiento

En cualquier, como hemos mencionado con anterioridad, en la revisión del sis-

 El diseño del mismo.

 El nivel de implantación en la organización.

Pero, ¿cómo se realizará esta revisión/evaluación en la práctica? Muchas empre-

1.2. EVALUATION OF CORPORATE COMPLIANCE

El Departamento de Justicia propone una evaluación basada en una serie de

 Is the corporation’s compliance program well designed? (¿Está bien di-

 Is the program adequately resourced and empowered to function effec-

 Does the corporation’s compliance program work in practice? (¿Fun-

1.2.1. IS THE CORPORATION’S COMPLIANCE PROGRAM

 Risk Assesment. En este apartado el órgano de compliance se centrará

 Risk management process. El Departamento de Justicia establece

 Risk-Tailored Resource Allocation. El órgano de cumplimiento ha de

 Updates and Revisions. Las preguntas a responder son las siguien-

 Lessons Learned. Para la monitorización e incorporación de riesgos,

 Design. ¿Cuál es el procedimiento de la compañía para implemen-

 Comprehensiveness. ¿Qué esfuerzos ha hecho la compañía para

 Accessibility. ¿Ha comunicado la organización a todos sus miem-

 Responsibility for Operational Integration. ¿Quién ha sido el encar-

 Gatekeepers. ¿Qué preparación tiene el compliance officer o los

 Training and Communications. Como ya se expuso en unidades ante-

 Risk-Based Training. En este apartado nos debemos preguntar:

 Form/Content/Effectiveness of Training. ¿Se ha ofrecido la formación

 Communications about Misconduct. ¿Cómo se transmite la posición

 Availability of Guidance. ¿Qué recursos se proporcionan a los em-

 Confidential Reporting Structure and Investigation Process. Como seña-

 Effectiveness of the Reporting Mechanism. En relación con la efecti-

 Properly Scoped Investigations by Qualified Personnel. ¿Cómo de-

 Investigation Response. ¿Tiene la empresa un proceso para monito-

 Resources and Tracking of Results. En relación con la monitorización

 Third party managment. El Departamento de Justicia de EE. UU. en-

 Risk-Based and Integrated Processes. ¿Cuál es el procedimiento de

 Appropriate Controls. ¿Cómo se asegura la empresa que el fin de la

 Management of Relationships. ¿Ha establecido la empresa algún

 Real Actions and Consequences. ¿La empresa rastrea las posibles

 Mergers and Acquisitions (M&A). La empresa ha de implantar progra-

 Due diligence process. ¿Pudo la empresa realizar un proceso de

 Integration in the M&A process. ¿Cómo se ha integrado la función

 Process connecting due diligence to implementation. ¿Cuál ha sido el

1.2.2. IS THE CORPORATION’S COMPLIANCE PROGRAM ADEQUATELY

Un programa de compliance, aunque esté bien diseñado, inevitablemente va a

Para determinar si nuestro programa de cumplimiento no responde a las nece-

 Commitment by Senior and Middle Management. Para que exista una

 Conduct at the top. ¿Los altos cargos de la empresa han alentado o

 Shared Commitment. ¿Qué acciones han realizado los altos y me-

 Oversight. ¿Qué experiencia en cumplimiento tiene el consejo de

 Autonomy and Resources. En relación con la autonomía o independen-

 Structure. ¿Dónde se encuentra el órgano de cumplimiento en el

 Seniority and Stature. ¿Qué diferencia existe entre el órgano de

 Experience and Qualifications. ¿Tiene el personal de cumplimiento y

 Funding and Resources. ¿Cuenta el órgano de cumplimiento con el

 Data Resources and Access. ¿El personal de cumplimiento y control

 Autonomy. ¿Tiene acceso a los miembros del consejo de adminis-