¿Cómo implementar un plan anticorrupción en las PyMES?

octubre 12, 2016

Alex Garberí Mascaró y José Alejandro Cuevas Sarmiento

La peor enfermedad del mundo hoy en día es la corrupción. Y tenemos una cura: Transparencia. Bono, TedTalks 2013

La corrupción es un cáncer dentro de la sociedad que puede afectar tanto a grandes empresas como a PyMES. Se manifiesta a través de distintas vías, incluyendo sobornos, regalos y atenciones, pagos de facilitación, comisiones o contribuciones políticas.

Organizaciones internacionales como las Naciones Unidas, la Organización para la Cooperación y el Desarrollo Económico (OCDE), Transparencia Internacional, y gobiernos a todos los niveles están haciendo un esfuerzo titánico para reducir la corrupción. No obstante, es necesario que los empresarios sean conscientes del daño que genera este tipo de conducta y las prevengan.

Con la publicación de la  Norma 37001 la ISO, un estándar certificable que recoge las principales medidas para la prevención de la corrupción, es muy probablemente que comience a ser exigido por gobiernos y empresas multinacionales para contratar con sus proveedores, así como por bancos y aseguradoras a efectos de financiamiento o emisión de pólizas.

A continuación 8 medidas que deben incorporarse en cualquier Plan Anticorrupción dentro de empresas medianas y PyMES:

1. Identificar las áreas de riesgo.

Dependiendo del sector en el que opera la compañía, el tipo de actividad, los países con los cuales se mantiene relaciones y cualquier otra particularidad, las empresas pueden estar más o menos expuestas al riesgo. Es natural que exista un cierto grado de riesgo, y las empresas deben contar con los mecanismos para conocer los suyos.

2. Implementar un Programa Antisoborno.

Una vez identificados los riesgos, el siguiente paso es su gestión adecuada, a través de un plan de acción que establezca las acciones, procesos y mecanismos de control. La Norma ISO 37001 es precisamente un estándar certificable que permitirá a la empresa validar hasta qué grado está cumpliendo con un Programa Antisoborno adecuado.

3. Establecer una política de obsequios.

Uno de los elementos que deben tratarse dentro del Programa Anticorrupción es la política de obsequios de la compañía, en la cual se tienen que establecer los supuestos, modo y forma en que se realizarán los obsequios corporativos, prohibiendo expresamente cualquier tipo de pago de regalos, ofrendas y entretenimientos que excedan lo aceptable según los usos y costumbre locales (y mientras más estricta, mejor).

4. Prohibir los pagos de facilitación.

Aunque son habituales en algunos países y propios de ciertas actividades comerciales, los pagos de facilitación son una forma de soborno y por tanto deben ser tratados en el Programa Anticorrupción de la empresa.

5. Mantener una política transparente de donaciones y contribuciones.

Es perfectamente lícito y aceptable realizar donaciones y contribuciones a fundaciones, organizaciones no gubernamentales o cualquier otra causa no prohibida por la legislación. Se recomienda, en todo caso, mantener un control para evitar que tales aportes se conviertan en un medio para obtener beneficios no justificados para la empresa, sus socios o miembros.

6. Capacitación al personal.

Debe existir una formación desde la dirección hasta el personal operativo, y muy especialmente a la fuerza de ventas y áreas de compra o procurement, de manera que estén en capacidad de identificar las conductas ilícitas, reaccionar ante cualquier situación a que puedan enfrentarse y realizar las denuncias en los casos pertinentes.

7. Evitar negocios con quienes no acepten los valores de la empresa o puedan perjudicar la reputación.

Cada día más las empresas se ven más afectadas por su entorno y sus stakeholders. Las acciones de un proveedor no necesariamente generarán responsabilidad penal a una empresa (en algunos casos puede que sí), pero siempre se estará expuesto al riesgo reputacional por las acciones de terceros con quien se mantiene relación comercial.

8. Tone at the top.

Ninguna acción será efectiva si las altas esferas del negocio no se comprometen con la ejecución de un Programa de Compliance eficaz y un completo sistema Anticorrupción. Los administradores, directores y todos aquellos que ostenten posiciones de mando deben convertirse en líderes ejemplares en todo momento.

 Anticorrupción empresarial Garberi Penal Barcelona 

Alex Garberí Mascaró es Socio Fundador y Director de Garberí Penal.  José Alejandro Cuevas Sarmiento es Legal & Compliance Project Manager en Garberí Penal.

También te puede interesar: 

 

7 soluciones para mejorar la seguridad de datos en las PyMES

agosto 9, 2016

 

La seguridad de datos es una de las mayores preocupaciones de los empresarios y ejecutivos hoy en día. Según un artículo publicado por Forbes a principios de 2016, las amenazas cibernéticas constituyen una de las más severas para los CEO a nivel mundial.

Por otro lado, el Informe Cibersecurity Index elaborado por IBM indica que el 45% de los ataques informáticos durante 2015, fueron accesos no autorizados. Esto quiere decir que casi la mitad de las amenazas, fueron en búsqueda de información almacenada por las empresas.

Las grandes empresas no son las únicas que se ven afectadas por las amenazas cibernéticas. Las PyMES también pueden convertirse en víctimas de los hackers y delincuentes que van en búsqueda de la información que almacenan, tanto en servidores propios, como aquella que le confían a sus proveedores. Y a diferencia de las multinacionales y gran empresa que poseen recursos para blindar su seguridad informática, las PyMES suelen quedar más expuestos.

Por ello os compartimos 7 soluciones para mejorar la seguridad de los datos en la pequeña y mediana empresa:

1. Uso de contraseñas seguras en los ordenadores y dispositivos corporativos.

Gran parte de las brechas de información ocurre por la debilidad en las contraseñas. Anualmente la empresa SplashData publica un estudio de las contraseñas más utilizadas. En el estudio de 2015, la lista estuvo encabezada por “123456” y “password”. Si bien los empleados tienden a utilizar contraseñas cortas y fáciles de recordar, éstas pueden ser descifradas por hackers a través de algoritmos en cuestión de minutos. Es por ello que se recomienda como una medida efectiva en la seguridad de datos, utilizar contraseñas de al menos 12 caracteres y que combinen mayúsculas, minúsculas, números y caracteres especiales.

2. Un usuario por sesión contribuye a la seguridad de datos.

Es común que en algunas PyMES y especialmente en comercios los empleados compartan ordenador, sobretodo en aquellos locales en que trabajan por turnos. Si bien no siempre se puede asignar un ordenador a cada persona, cuando sea necesario compartir equipos se debe procurar que cada usuario tenga una sesión propia y personal. De esta manera, se puede saber quién tiene acceso a la información.

Asimismo, los accesos deben ser restringidos según la necesidad. Otorgar facultades de Administrador a todos los usuarios es una de las maneras más sencillas de hacer vulnerable a la empresa. Según datos del ya citado Cibersecurity Index, el 60% de los accesos no autorizados fue con participación de personal interno o proveedores.

3. Clasificar datos sensibles.

No todos los datos tienen el mismo grado de sensibilidad. Puede haber información confidencial o extremadamente delicada en un ordenador, archivada junto a datos personales como información comercial del día a día. Se debe establecer un mecanismo de clasificación y establecer medidas de seguridad de datos adecuadas según la sensibilidad de la información.

4. Utilizar antivirus y Firewall.

Virtualmente todos los ordenadores de una compañía se encuentran conectados a Internet hoy en día, por lo tanto se encuentran expuestos a ataques maliciosos vía virus o intentos de acceso no autorizados. El uso de un antivirus y un Firewall confiable, si bien implica una inversión para la empresa, el monto a desembolsar será siempre mucho menor al daño económico que puede sufrir si sus datos caen en manos de un tercero.

5. No utilizar Whatsapp como canal para transmitir información confidencial.

Si bien WhatsApp logró encriptar las conversaciones de sus usuarios y con ello disminuir el riesgo de una fuga de la información en tránsito, la premisa se mantiene: El uso de redes sociales o un canal de comunicación como Whatsapp expone las empresas no sólo por la facilidad de interceptar los datos, sino porque deja información sensible al alcance de cualquiera que tenga acceso al dispositivo.

6. Evitar el acceso a redes públicas desde dispositivos corporativos.

En la era del trabajo remoto, es común que el personal e incluso los directores de las compañías tenga información asociada a sus dispositivos portátiles y que accedan a ella desde distintas locaciones. Sin embargo hacerlo desde lugares públicos puede implicar riesgos, ya que deja expuesta la información del dispositivo ante personas que se encuentren en la misma red y puedan, malintencionadamente, intentar acceder al mismo.

7. Formatear el equipo antes de asignarlo a un nuevo empleado.

Es común -sobretodo en PyMES y microempresas- que los empleados utilicen equipos que anteriormente pertenecían a otra persona y reciban el ordenador tal y como lo dejó el usuario anterior. Esto no representa mayor problema en los casos en que el nuevo usuario continuará efectuando la labor de su antecesor; sin embargo, cuando se asigna un mismo equipo a otra persona de otra área o función, habrá mucha información que no es necesaria para su cargo a la cual tendrá acceso yque puede comprometer la seguridad de la empresa. Por lo tanto, siempre es recomendable formatear los equipos antes de asignarlos a un nuevo miembro de la compañía y así prevenir una brecha en la seguridad de datos.

¿Deben las PyMES evaluar sus Riesgos Penales?

mayo 1, 2016

 

Asumir la implementación de un programa de Compliance representa un reto importante para las PyMES, que tienen que conciliar la rentabilidad del negocio, la eficiencia y el costo de la gestión administrativa. La evaluación de Riesgos Penales, si bien surge como un requisito para hacer valer la eximente en el caso de responsabilidad penal de la empresa, es una herramienta que dota a la Dirección de información relevante para la toma de decisiones.

 

  1. ¿Qué es la evaluación de Riesgos Penales?

 

Los riesgos penales en España derivan de un catálogo cerrado de delitos que está definido en el Código Penal. Por lo tanto, en la medida en que la empresa –bien sea por su actividad, por su gestión o incluso factores externos– asuma conductas que la aproximen a los ilícitos previstos por la ley, tendrá un mayor nivel de riesgo. El catálogo se describe a continuación:

 

Delitos

Tráfico ilegal de órganos
Trata de seres humanos
Prostitución/explotación sexual/corrupción de menores
Descubrimiento y revelación de secretos y allanamiento informático
Estafas
Frustración de la ejecución
Insolvencias punibles
Daños informáticos
Contra propiedad intelectual e industrial, al mercado, los consumidores y corrupción en los negocios
Blanqueo de capitales
Financiación ilegal de partidos políticos
Contra la Hacienda Pública y contra la Seguridad Social
Contra los derechos de los ciudadanos extranjeros
Urbanización, construcción o edificación no autorizables
Contra los recursos naturales y el medio ambiente
Relativos a las radiaciones ionizantes
Riesgos provocados por explosivos y otros agentes
Contra la salud pública
Tráfico de drogas
Falsificación de moneda y efectos timbrados
Falsificación de tarjetas de crédito y débito y cheques de viaje
Cohecho
Tráfico de influencias
Delitos cometidos con ocasión del ejercicio de Derechos Fundamentales
Financiación del terrorismo
Contrabando

 

Generalmente cuando las empresas incurren en alguna de estas conductas no lo hacen de manera deliberada ni como consecuencia de una decisión consciente de los órganos deliberativos o altos responsables; los ilícitos en estos casos se presentan cuando las empresas no mantienen control adecuado sobre su actividad y sus procesos, o cuando alguna persona o grupo de personas se aprovecha de una situación para obtener un beneficio propio que a su vez repercuta en la empresa directa o indirectamente, a través de un incremento de ventas, reducción de costes, adquisición de activos o favorecimiento para obtener alguna contratación.

 

Es por ello que la Evaluación de Riesgos Penales permite identificar adecuadamente las áreas más vulnerables y poder enfrentarlas estratégicamente.

 

  1. ¿Por qué se recomienda a las PyMES llevar a cabo una Evaluación de Riesgos Penales?

 

La Evaluación de Riesgos Penales no sólo contribuye al establecimiento de un modelo de prevención de delitos, sino que permite a la empresa:

 

  1. Concatenar los objetivos del negocio con el cumplimiento normativo.
  2. Optimizar el proceso de toma de decisiones.
  3. Mantener un balance entre oportunidades de negocio y el apetito del riesgo.
  4. Valorar el efecto o impacto que puede tener cada actividad dentro del negocio.

 

En este sentido, se trata de una herramienta fundamental en la estrategia, que genera un valor agregado a la empresa en términos de prevención, eficacia y optimización de los recursos.

 

En términos de prevención, por cuanto contribuye a la identificación de los riesgos e implementación de medidas adecuadas para gestionarlos.

 

En eficacia, puesto que al conocer los riesgos y las áreas donde la empresa está más expuesta, se pueden tomar decisiones para reforzar los puntos más débiles y conocer las fortalezas.

 

Todo ello atado a la optimización de recursos, pues las empresas tienen que ser sostenibles en el tiempo y generar una rentabilidad acorde a los objetivos fijados. En la medida en que se generen contingencias o se destinen recursos económicos al pago de multas o sanciones, aunado al costo asociado a cada procedimiento, la empresa se aleja de sus objetivos y por tanto desaprovecha sus recursos.

 

  1. ¿Cómo deben hacer las PyMES las Evaluaciones de Riesgos Penales?

 

Las empresas se enfrentan al reto de desarrollar mecanismos eficaces que le permitan demostrar su apego al cumplimiento normativo, a fin de evitar la responsabilidad penal de las personas jurídicas en el caso de que se cometa un delito en el seno de la empresa.

 

Los componentes técnicos de una Evaluación de Riesgos Penales obliga a que en la gran mayoría de los casos las empresas deban acudir a asesores externos, especializados en análisis de riesgos, en Derecho Penal y Compliance, que puedan brindar una herramienta precisa a la empresa.

 

Si bien nada impide desde el punto de vista legal que la empresa realice la evaluación internamente, esto le resta fiabilidad por cuanto quien la ejecuta es parte de la misma empresa, por tanto su visión puede estar parcializada.

 

Al menos mientras los sistemas de Compliance se encuentren en fase inicial, es recomendable que esta evaluación se realice con soporte externo, y posteriormente se vaya nutriendo con los insights y aportes del Compliance Officer.

 

Si deseas más información o asesoría en materia de Compliance o Responsabilidad Penal de la Persona Jurídica, puedes consultar nuestra sección de Compliance Penal o contactarnos a través de info@garberipenal.com.