DISEÑO E IMPLANTACIÓN DE UN MODELO DE ORGANIZACIÓN Y GESTIÓN DE COMPLIANCE EN EL AMBITO SANITARIO
INFORMACIÓN CORPORATIVA Especialistas en Consultoría y Auditoría, cuya actividad se centra en la prestación de servicios integrales encaminados al Cumplimiento Normativo, y especialmente en: Prevención del Delito. Responsabilidad penal de la persona jurídica. Protección de Datos de Carácter Personal y la Ley deserviciosdelasociedaddelainformaciónyde Comercio Electrónico. Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo. Seguridad de la Información y Derecho TIC. Esquema Nacional de Seguridad. d 032
EL COMPLIANCE (I) El Compliance o cumplimiento i normativo consiste it en establecer las políticas y procedimientos i adecuados y suficientes para garantizar que una empresa desarrolle sus actividades y negocios conforme a la normativa vigente y a los procedimientos internos, promoviendo una cultura de cumplimiento entre sus empleados, directivos y agentes vinculados. La reforma del Código Penal del año 2010, introdujo en nuestro Derecho la responsabilidad penal de la persona jurídica. Adicionalmente, la posterior modificación en el año 2015, exige que las organizaciones cuenten con planes de prevención de riesgos penales, así como con un órgano ad hoc responsable de su control y verificación. Se incluye por vez primera en España la responsabilidad penal de las personas jurídicas por los delitos cometidos por; Sus representantes legales o aquellas personas con poder de decisión o que ostenten facultades de organización y control Sus empleados, que hayan podido realizar los hechos por haberse incumplido gravemente los deberes de supervisión, vigilancia y control de la actividad. Los hechos se deberían haber tenido que realizar por cuenta y en nombre de la empresa y en beneficio directo o indirecto de la misma. 043
EL COMPLIANCE (II) Qué significa ifi para una persona jurídica ser responsable penal? Que si resulta condenada, se le puedan imponer distintos tipos de penas: (i) (ii) (iii) (iv) (v) (vi) Multas económicas; Disolución de la sociedad; Suspensión de sus actividades o clausura de locales o sedes, hasta 5 años; Prohibición definitiva o temporal de realizar actividades; Inhabilitación para obtener subvenciones o beneficios fiscales o de la Seguridad Social; Intervención judicial de la empresa. 04
EL COMPLIANCE EN EL ÁMBITO SANITARIO En el sector sanitario, por sus especiales características, cabría preguntarse si los centros sanitarios, médicos y hospitalarios deberían implementar programas de cumplimiento normativo o de Compliance para quedar así exentas de responsabilidad, según lo dispuesto por el Código Penal. Al respecto hay que decir que si el centro sanitario, médico u hospitalario está gestionado por una persona jurídica y por tanto, se trata de un centro privado, la respuesta, sin lugar a dudas, es afirmativa. Debe disponer de un sistema de gestión y organización de Compliance. En relación a los centros de naturaleza pública al ejecutar políticas públicas o prestar servicios de interés económico general, la responsabilidad penal de la persona jurídica se extiende a cualquier centro sanitario, médico u hospitalario independientemente que su naturaleza sea pública o privada, todo ello a la espera de la interpretación que desarrollen nuestros Tribunales. Mientras tanto es útil y exigible su implantación también en los centros públicos. Además, y dado el contacto que las empresas del sector tienen de forma continuada con profesionales sanitarios que son funcionarios, también están expuestas al riesgo de incurrir en potenciales casos de cohecho o tráfico de influencias. 045
EL COMPLIANCE EN EL ÁMBITO SANITARIO (II) En esta situación, es razonable que las empresas que operan en el mundo de la sanidad se preocupen por disponer de programas de Compliance sólidos. La mayoría de compañías farmacéuticas, biotecnológicas, o fabricantes de productos sanitarios, llevan ya mucho tiempo operando bajo estrictas normas legales; y han decidido voluntariamente adoptar códigos de autorregulación que son expresión de su firme compromiso de respetar los más altos estándares éticos en todas sus actuaciones. Antes de desarrollar cualquier programa de cumplimiento normativo, es clave conocer muy bien lo que es cada centro sanitario, su gestión y su mapa de riesgos, a fin de que el modelo de Compliance de desarrollar, en un sentido integral, sea efectivo. Siempre hay áreas de mejora, y es bueno retar a los sistemas para detectarlas, valorarlas y proponer medidas correctoras. Por tanto, en el caso del sector sanitario se parte en muchos casos de un buen punto de partida. Buena parte del trabajo de prevención se ha ido haciendo en los últimos años, y es posible afrontar esta nueva etapa sabiendo que no se trata de crear desde cero, sino de revisar y en su caso adaptar y profundizar en los modelos de prevención de posibles conductas irregulares. 046
EL COMPLIANCE EN EL ÁMBITO SANITARIO (III) Qué tipos penales son más específicos en el Sector Sanitario? Tráfico de órganos Trata de seres humanos Concesión de ayudas y subvenciones Delito contable Prostitución y explotación sexual y corrupción de menores Derechos de los trabajadores Descubrimiento y revelación de secretos Estafa Derechos de los ciudadanos extranjeros Ordenación del territorio y urbanismo Recursos naturales y medio ambiente Frustración de la ejecución Insolvencias punibles Energía nuclear y radiaciones ionizantes Propiedad intelectual Propiedad industrial Salud Pública (medicamentos y alimentos) Salud Pública (drogas) Falsificación de moneda y efectos timbrados Falsificación de tarjetas de crédito y débito y cheques de viaje Mercado y consumidores Corrupción en los negocios Receptación y blanqueo de capitales Cohecho Trafico de influencias Financiación ilegal de partidos Hacienda pública Seguridad social Ejercicio de los derechos fundamentales y libertades Explosivos y otros agentes Daños informáticos Financiación del Terrorismo 047
EL COMPLIANCE EN EL ÁMBITO SANITARIO (IV) Como podrá la empresa quedar exenta de la responsabilidad penal? Adoptando un Modelo de Organización y Gestión de Compliance, que incluya las medidas de vigilancia y control de los riesgos. Creando un Órgano independiente con funciones de supervisión de los controles internos. Demostrando que los autores materiales del delito lo hubieran cometido eludiendo fraudulentamente el modelo de gestión implantado. Acreditando que no se hubiera producido una omisión o ejercicio insuficiente de las funciones de supervisión, vigilancia y control de los órganos de dirección. 048
EL COMPLIANCE EN EL ÁMBITO SANITARIO (V) Todo este nuevo escenario está provocando que todas las empresas, de cualquier sector de actividad, tenga que desarrollar proyectos y acciones de Compliance para protegerse tanto de la posible responsabilidad de la persona jurídica porlacomisiónensusenodedeterminados delitos, como del consiguiente riesgo reputacional alquesepodríanenfrentar. La función y actividad relacionada con el Compliance está irrumpiendo en las empresas de todos los tamaños, desarrollando un importante papel tanto a nivel competitivocomodegeneración de una cultura empresarial sólida. Las necesidades de asesoramiento en materia de Compliance por parte de las empresas se está incrementando de forma muy relevante durante los últimos años. Esta tendencia al alza se mantendrá en el futuro, lo que determinará que surjan nuevas necesidades que deberán ser atendidas por los distintos t actores del mercado. En respuesta a esta demanda, DAS COMPLIANCE pone a disposición de las empresas un asesoramiento integrando, servicios jurídicos y de consultoría, y ofreciendo soluciones orientadas a reforzar los sistemas it y procedimientos i de buen gobierno, control interno y cumplimiento regulatorio, con garantía de profesionalidad e independencia y adaptadas a las realidad de cada organización de cualquier tamaño, sector y actividad pública y privada. 049
OBJETIVOS El objetivo principal es implantar un Modelo de Organización y Gestión de Compliance que favorezca la consecución de las siguientes metas por parte de las empresas que incluye: Elaborar un Mapa de Riesgos que permita una visión global de los riesgos reales y potenciales en el seno de la organización con el fin de identificarlos y gestionarlos. Establecer los oportunos procedimientos sólidos de control que supervisen y refuercen el cumplimiento de los sistemas de buen gobierno, control interno y regulatorio. Definir las herramientas necesarias en función de la actividad de la compañía, así como su metodología de seguimiento y reporte a la dirección y al consejo de administración. Facilitar, en su caso, la eximente de responsabilidad de las empresas al implantar modelos y sistemas adecuados e idóneos de supervisión, vigilancia y control. Mejorar la imagen corporativa y reputación de la organización presentándola como una organización comprometida con la prevención y detección del delito en su seno. Promover una política de información y formación a todo el personal de la organización sensibilizando sobre esta materia. 10
SERVICIOS DE DAS COMPLIANCE Consultoría y Asesoramiento, especializados en la prestación de servicios integrales de GRC; Gobernanza, Gestión de Riesgos y Cumplimiento Normativo, y en concreto en: Códigos éticos y de conducta. Manuales de Buenas Prácticas de negocio. Canal de Denuncias. Análisis y gestión de Riesgos Análisis e implantación de procedimientos internos Prevención del Delito. Responsabilidad penal de la persona jurídica. Plan de acción. Mantenimiento, seguimiento y actualización. Auditoría Soporte y asistencia a la función de Compliance en las empresas Formación y concienciación en materias de prevención y cumplimiento (presencial y on-line) Protección de Datos de Carácter Personal y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo. Seguridad de la Información y Derecho TIC. Esquema Nacional de Seguridad. 11
SECTORES DE ACTIVIDAD Experiencia en proyectos desarrollados en un amplio abanico de sectores de actividad, lo que proporciona un conocimiento de los mismos: Sanitario Farmacéutico Industrial Servicios Distribución. Infraestructuras Inmobiliario Energía y Comunicación Sector Público Educación Servicios de restauración Tecnología y Medios Alimentación Seguridad Privada Gestión de deuda Call Center Ocio 12
METODOLOGÍA Lametodologíadetrabajoaplicadasebasaenlanorma UNE-ISO 19600:2014 ( Directrices para Sistemas de Gestión de Compliance ) así como otras normas de sistemas de gestión tales como la ISO 31000:2009 ( Gestión de Riesgos - Principios y Directrices ); ISO Guía 73:2009; ISO 31010:2009 y la propia experiencia de DAS COMPLIANCE. 06 13
DESCRIPCIÓN DE ACTUACIONES 1. GOBERNANZA G R C Las actuaciones o productos que DAS COMPLIANCE ofrece son los siguientes: CODIGOS DE CONDUCTA. El objetivo de elaborar y aprobar un Código de Conducta es orientar a todos los miembros de la organización ió enel desempeño desu trabajo diario. i Debe ofrecer pautas de comportamiento para que, con la diligencia e integridad debidas, los interesados sean capaces de evitar o minimizar la posibilidad de que se den malas prácticas tantot en loqueafecta a los recursos utilizados como a lapropia actividad id d desarrollada. d El Código debe ser realista, útil y eficaz. Fuente Memorias AEPD 0814
DESCRIPCIÓN DE ACTUACIONES (I) G R C 1. GOBERNANZA FORMACIÓN Y CONCIENCIACIÓN Diseño de acciones de Formación Interna de Compliance, en modo presencial u on-line, destinadas a Consejos, Comités, Compliance Officers, unidades de control, directivos y empleados en general de la Organización. Acciones de concienciación, mediante la elaboración de compromisos éticos de los directivos y empleados, así como la realización de acciones puntuales de impacto inmediato (quick wins) que hagan que el personal tome conciencia de la importancia de la materia. El objetivo es que las personas implicadas sean capaces de detectar las operaciones que puedan estar tipificadas como delitos y realizar las actuaciones necesarias para su neutralización. El diseño de los cursos deben ser aprobados por el órgano de control independiente de la organización y posteriormente será impartido por el personal de DAS COMPLIANCE que certificará el aprovechamiento. Fuente Memorias AEPD 0815
DESCRIPCIÓN DE ACTUACIONES (II) 1. GOBERNANZA G R C CANAL DE DENUNCIAS Establecimiento de un canal de denuncia, independiente y seguro, de incumplimientos internos o de actividades ilícitas de la empresa (clientes, colaboradores, proveedores, etc ) que ayuden a minimizar los riesgos y las posibles situaciones de fraude. Debe contar con una regulación protectora específica del denunciante, facilitando la confidencialidad y no represalias. Además, todas las denuncias y el resultado de las subsiguientes investigaciones, sin lugar a dudas, deben plasmarse en los correspondientes informes que se reportarán periódicamente al Consejo de Administración de la compañía. Fuente Memorias AEPD 0816
DESCRIPCIÓN DE ACTUACIONES (III) 2. GESTION DE RIESGOS G R C Las actuaciones o productos que DAS COMPLIANCE ofrece son los siguientes: ANÁLISIS DE RIESGOS. MAPA DE RIESGOS. Análisis de los tipos delictivos susceptibles de comisión teniendo en cuenta el objeto social de la empresa, las líneas de negocio y las actividades o servicios prestados por la organización. Se evaluarán tres variables principales; la probabilidad, lavulnerabilidad yelimpacto. 1. La Probabilidad real de que el riesgo o amenaza se materialice, valorando, entre otros, los siguientes criterios: Líneas de negocio afectadas por el posible riesgo. Existencia de antecedentes. Periodicidad de la actividad de riesgo. Número de empleados implicados en la actividad de riesgo. Facilidad para la materialización del riesgo. Probabilidad Código Valor MUY ALTA MA 5 ALTA A 4 MEDIA M 3 BAJA B 2 MUY BAJA MB 1 Fuente Memorias AEPD 0817
DESCRIPCIÓN DE ACTUACIONES (IV) G R C 2. GESTION DE RIESGOS ANÁLISIS DE RIESGOS. MAPA DE RIESGOS 2. La Vulnerabilidad o grado de exposición de la Organización a la materialización de la amenaza, teniendo en cuenta los puntos de control ya existentes en su seno, y evaluando otros criterios tales como: Existencia de controles que rebajen el riesgo. El carácter preventivo o detectivo de los controles existentes. Si se trata de un control manual o automático. La periodicidad del control establecido. La eficacia del control establecido. Vulnerabilidad Código Valor MUY ALTA MA 5 ALTA A 4 MEDIA M 3 BAJA B 2 MUY BAJA MB 1 Fuente Memorias AEPD 0818
DESCRIPCIÓN DE ACTUACIONES (V) G R C 2. GESTION DE RIESGOS ANÁLISIS DE RIESGOS. MAPA DE RIESGOS 3. El Impacto oefectoquepuedaproducirse en la Organización en caso de que se materialice una amenaza ya sea a nivel de su reputación, o las pérdidas económicas que pueda sufrir por pérdida de confianza de clientes y/o proveedores y por la imposición de importantes penas económicas. Se valoran, entre otros, los siguientes criterios: Que el daño sea reversible o irreversible. Que el efecto negativo sea temporal o se prolongue de forma indefinida. Que afecte a la actividad en su conjunto o a una línea de negocio concreta. La cuantía o gravedad de las penas que se podrían imponer. Impacto Código Valor MUY ALTO MA 5 ALTO A 4 MEDIO M 3 BAJO B 2 MUY BAJO MB 1 Fuente Memorias AEPD 0819
DESCRIPCIÓN DE ACTUACIONES (VI) G R C 2. GESTION DE RIESGOS ANÁLISIS DE RIESGOS. MAPA DE RIESGOS (iv) RESULTADOS Una vez evaluadas todas las variables y obtenido un resultado en Probabilidad, Vulnerabilidad e Impacto, se combinan entre sí dando como resultado el Nivel de Riesgo en el que se sitúa la Organización en el momento del Análisis de Riesgos. Se definirán entonces distintos grados de aceptación del riesgo identificando las siguientes categorías del cuadro. Los resultados y conclusiones se recogen en un Informe de Análisis de Riesgos que facilite la obtención de una visión global de los riesgos y amenazas en la Organización, los puntos de control que ya se han establecido así como las subsanaciones o mejoras en caso de detectarse. TABLA DE RIESGOS % DEFINICION RIESGO 0 RIESGO ASUMIBLE 1 1,1 RIESGO ASUMIBLE 2 2,1 RIESGO ASUMIBLE 3 3,1 RIESGO A TRATAR 4 4,1 RIESGO A TRATAR 5 5,1 RIESGO A TRATAR 6 6,1 RIESGO A TRATAR 7 7,1 RIESGO INASUMIBLE 8 8,1 RIESGO INASUMIBLE 9 9,1 RIESGO INASUMIBLE 10 Fuente Memorias AEPD 0820
DESCRIPCIÓN DE ACTUACIONES (VII) G R C 2. GESTION DE RIESGOS PLAN DE ACCIÓN. Al recabar la información necesaria para detectar las posibles amenazas, se habrán puesto de manifiesto situaciones i de riesgo frente a las que laorganización ió no dispone de procedimientos i o controles, o, si existen, resultan insuficientes. Con el objetivo de desarrollar e implementar esos controles que se hayan estimado necesarios, se elaborará un PLAN DE ACCIÓN que recoja las acciones a implementar. Se deberá indicar para cada Acción identificada una valoración de su importancia y urgencia que se traducirá en un cuadro de Priorización de las Acciones: Prioridad Alta. Medida importante y urgente que habrá de ser implementada cuanto antes. Prioridad Media. Medida importante pero no urgente por lo que el plazo puede ampliarse. Prioridad Baja. Medida no urgente y cuya importancia tampoco afecta de forma sustancial. Fuente Memorias AEPD 0821
DESCRIPCIÓN DE ACTUACIONES (VIII) 3. COMPLIANCE G R C ELABORACIÓN DEL MODELO DE ORGANIZACIÓN Y GESTION De acuerdo a la ISO 19600 Directrices para Sistemas de Compliance, se elaborará un documento o programa denominado MODELO DE ORGANIZACIÓN Y GESTIÓN que tendrá el siguiente contenido: Identificación de conductas de riesgo y tipos penales aplicables (basado en el Mapa de Riesgos). Identificación de protocolos, procedimientos, etc. que concreten la formación de la voluntad de la organización, adopción de decisiones, etc. Creación de un órgano de administración y control del modelo: Comité de Cumplimiento u Oficial de Cumplimiento ( Compliance Officer ), con poderes autónomos Funciones de los empleados, directivos, y demás interesados. Procedimientos y mecanismos de control implementados. Establecimiento de un proceso de evaluación, revisión y actualización periódica del modelo Definición i ió de un Sistema Disciplinarioi i interno. Creación de un Código de Conducta o Código Ético. Creación de un Canal de Denuncias. Los modelos o programas deben estar redactadas por escrito y ser claros, precisos y eficaces, y lo más importante adaptado a las características de la empresa. Las copias sin adaptar de otras organizaciones no cumplirán su objetivo. Fuente Memorias AEPD 0822
DESCRIPCIÓN DE ACTUACIONES (IX) 3. COMPLIANCE G R C MANTENIMIENTO Y ACTUALIZACIÓN DEL MODELO DE ORGANIZACIÓN Y DE GESTIÓN La normativa exige una verificación periódica del Modelo de Organización y Gestión y su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los haga necesarios. Los planes se basan en elementos que cambian continuamente lo que hace necesaria su revisión y mejora continua a fin de evitar que caigan en la obsolescencia. DAS COMPLIANCE facilitará el soporte necesario a los órganos de control internos para garantizar el mantenimiento del Modelo y, en particular, en todo lo relativo al requerimiento de supervisión del funcionamiento y cumplimiento del mismo. Fuente Memorias AEPD 0823
DESCRIPCIÓN DE ACTUACIONES (X) G R C 3. COMPLIANCE AUDITORÍA Anualmente, la organizaciones deben someterse a una auditoría a fin de evaluar el modelo y el grado de eficacia del mismo y adoptar las medidas correctoras que se deriven del análisis. En las Auditorías de Compliance, con absoluto respeto a los principios de objetividad e independencia, DAS COMPLIANCE realiza evaluaciones sobre el nivel de implantación de los Modelos de Compliance existentes en la organización, y sobre la efectividad y funcionamiento del mismo, así como de la situación actual de su organización en Compliance y su cultura de cumplimiento. Fuente Memorias AEPD 0824
DESCRIPCIÓN DE ACTUACIONES (XI) 3. COMPLIANCE G R C SOPORTEO Y ASISTENCIA SS ALAFUNCIÓN CÓ DE COMPLIANCEC La supervisión del Modelo de Organización y Gestión se atribuye a un órgano específico de la persona jurídica con poderes autónomos de iniciativa y control. E La normativa permite, e incluso la Circular de la Fiscalía del Tribunal Supremo la incentiva, la posibilidad de contratación externa de actividades de apoyo al órgano de administración y control DAS COMPLIANCE ofrece la posibilidad de apoyar y dar soporte a dicho órgano, incluyendo asesoramiento permanente, jurídico y técnico en todas las cuestiones que se planteen en la ejecución del Modelo de organización y gestión de Compliance. Fuente Memorias AEPD 0825
CULTURA DEL COMPLIANCE: LOS SIETE PILARES DE UN SISTEMA DE COMPLIANCE 1. APOYO AL MAS ALTO NIVEL (LIDERAZGO) 2. DETERMINACIÓN DE OBJETIVOS, ESTRUCTURAS Y POLITICAS 3. DETECCIÓN DE LOS FOCOS DE RIESGO 4. ESTABLECIMIENTO DE CONTROLES DE COMPLIANCE 5. REPORTE DE COMPLIANCE 6. ACCIONES CORRECTORAS 7. MONITORIZACIÓN - AUDITORÍA El Compliance tiene por objeto el promover una verdadera cultura ética empresarial y no evitar únicamente la sanción penal de la empresa. De lo contrario, existe el riesgo de que la empresa los perciba como un seguro frente a la acción penal. En definitiva, la mejora continua del sistema ha de ser el objetivo de toda organización en materia de gestión de riesgos y cumplimiento normativo, creando así la necesaria y verdadera CULTURA DE COMPLIANCE en las organizaciones. 26
REFERENCIAS DE CLIENTES. Proyectos de Compliance 27
REFERENCIAS DE CLIENTES. Proyectos de Consultoría y Auditoría 28
CERTIFICACIÓN DE CALIDAD EN COMPLIANCE 29
30