Evaluación de los Programas de Compliance en el proceso penal. Criterios contra el «paper compliance»

Justice_league_war_art

Este artículo está basado en el documento Evaluation of Corporate Compliance Programs del Departamento de Justicia de los Estados Unidos.

Este documento tiene como finalidad establecer unos criterios altamente prácticos que permitan a la Fiscalía evaluar si un programa de compliance implementado en la empresa investigada era eficaz para prevenir el tipo de delito investigado. Aunque los fundamentos del delito penal corporativo en el ordenamiento norteamericano y el Español son diferentes, no cabe duda que en la cuestión de la eficacia de los programas de cumplimiento respecto al hecho investigado se ha producido una serie de similitudes que hacen que los criterios de eficacia que se aplican allí, en mi opinión, sean trasladables al proceso penal contra persona jurídica en nuestro sistema. No debe olvidarse que el 31 bis del CP exige para la exoneración de la responsabilidad (otra cosa es si debe formar parte del hecho típico o si es un requisito de exoneración) en cualquiera de los dos supuestos, que las medidas adoptadas en materia de prevención sean eficaces para prevenir delitos de la naturaleza del que está siendo investigado.

Se trata de afrontar el problema delpaper compliance”. Programas, cuya estructura de gestión están o han sido implementados dentro de parámetros aparentemente correctos  pero que en la investigación del procedimiento penal se pueden generar dudas razonables de si realmente el programa se estaba ejecutando eficazmente en el día a día.

No tardaremos mucho en ver como los programas de compliance que hoy se están implementado, o se han implementado ya, deban ser evaluados con regularidad en los procesos contra personas jurídicas con el objeto de medir su eficacia como elemento de exoneración..

La correcta evaluación de la eficacia debería realizarse desde una triple perspectiva sobre la que los tribunales debería realizar una ponderada valoración. Esta examen debería afectar al modelo de gestión de compliance (al manual de compliance) que sea homologable con los principios conocidos de compliance o con los estándares ISO o UNE. A que el modelo se haya ejecutado eficazmente en el día a día de la empresa y no sea un montón de documentación guardada en un cajón o un continuo de burocracia que nadie se mira y a la que nadie hace caso. Y, por supuesto, no puede olvidarse que el proceso se centra en un delito concreto, por lo que va a ser inevitable que se investigue si respecto al delito investigado los controles se dejaron de aplicar deliberadamente, aunque en todo lo demás funcionaran eficientemente.

Por eso creo que este documento, cuyo original puedes leer en este enlace, es una herramienta extremadamente útil para medir la eficacia de las medidas de prevención y su eficacia en el entorno del hecho investigado. Tanto para las defensas que pueden con esta guía acreditar la eficacia y madurez de sus programas de cumplimiento como para las acusaciones que pueden encontrar en su detallado cuestionario una forma de desplazar la carga de la prueba hacia el investigado.

Sólo un comentario que si es de mi propia cosecha. El documento es altamente detallado e implica la mayoría de los aspectos que inciden en la eficacia de un programa de compliance y, además, con un alto nivel de exigencia. Sería un error, no obstante, aplicar mecánicamente un test de eficacia tan exigente sin tener en cuenta el contexto de la persona jurídica y, especialmente, su nivel de madurez en materia de cumplimiento. Que la cultura de cumplimiento sea un elemento del hecho típico del delito corporativo no significa que la implantación de esta cultura pueda realizarse de la noche a la mañana. En ocasiones, alcanzar el nivel óptimo de madurez en cultura de cumplimiento lleva años. No puede ser evaluada con la misma exigencia una multinacional que lleva años aplicando modelos de cumplimiento que una empresa doméstica que está adaptando su modelo de gestión tras las reformas operadas en nuestro ordenamiento penal. La cultura de cumplimento debe ser evaluada bajo un criterio de madurez, salvo que lo que se pretenda sea crear un sistema puramente punitivo y desincentivar los esfuerzos que muchas organizaciones están realizando, partiendo de modelos de gestión reactivos al cumplimiento que habían sido tradicionalmente aceptados.

Me limito aquí a seguir el guión propuesto por el Departamento de Justicia de Estados Unidos, con algunas variaciones, más por razones de comprensión propia que otra cosa, y consciente de que en ocasiones las diferencias de conceptos y la traducción han dado lugar a interpretaciones que pueden ser cuestionadas. 

Evaluación de la eficacia de un programa de compliance ante un proceso penal

 

1.-  Análisis y soluciones de las malas prácticas que causaron el delito.

  • Análisis de causa raíz:

Los análisis de causa raíz (RCA) son métodos de auditar procesos cuya finalidad es detectar las causas que originan un problema. En compliance, se ha comprobado que los modelos eficientes son aquellos que inciden en el origen o elemento causante de las malas prácticas que dieron lugar a la comisión del delito.

La evaluación del programa deberá analizar:

  • Si se realizan auditorías para detectar la causas de las malas prácticas.

 

  • Si se detectaron problema sistémicos dentro de la organización que pudieran ser origen del delito investigado.

 

  • Indicios Previos:

 

La evaluación del programa deberá tener en cuenta si la organización tuvo la oportunidad de detectar el problema a través de informaciones o hechos previos a la comisión del delito. Por ejemplo:

  • ¿Constan Informes de auditoría? ¿Se hacían y, en su caso, si identificaron fallos de control?

 

  • ¿Denuncias recibidas a través de los canales?

 

  • ¿Quejas detectadas en las formaciones impartidas en materia de prevención?

 

  • ¿Demandas previas? ¿Civiles? ¿Laborales? ¿Expedientes administrativos? Indiciarios de malas prácticas previas el delito.

 

  • Acciones Correctoras:

 

Finalmente, se deberá ver si la organización ha realizado cambios específicos para atajar las malas prácticas detectada en los análisis de origen del problema o de indicios previos.

  1. Alta y Media Dirección

El concepto de Alta Dirección es variable en función de la estructura, tamaño o forma jurídica de la organización.  La UNE 19601 define como Alta Dirección a la persona o grupo de personas que dirigen o controlan una organización. En cada caso concreto deberá establecerse quién controla la organización y si está función estaba delegado como suele ocurrir en muchos casos.

En cuanto al resto del personal de dirección (Mandos intermedios), en este caso debemos regirnos por el concepto penal que nos viene dado en el 31 bis 1 a) para quienes están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la  misma.

  • Conducta de la Alta y Media Dirección:

Las acciones de liderazgo deben poder constatarse en forma de acciones concretas por parte de la Alta Dirección. Estas acciones, cuya misión es prevenir y desincentivar las malas prácticas causantes del delito, pueden ser:

      • ¿Constan acciones de la AD de comunicación interna o externa animando/desalentando las malas prácticas asociadas al delito investigado?

 

      • ¿Constan acciones de corrección de políticas y protocolos que se han detectado ineficientes?

 

      • ¿De qué manera se controlaba el comportamiento del personal directivo?

 

      • Y a su vez ¿Cómo se transmitía por parte de los mandos intermedios el apropiado comportamiento al resto de empleados? ¿Hay constancia de estas acciones respecto al delito investigado?

 

      • ¿La Dirección incumplían las políticas de cumplimiento de la empresa?

 

      • ¿Se daban órdenes contradictorias?

 

      • ¿Se daba instrucciones subrepticias contrarias a las políticas oficiales de cumplimiento?

 

  • Implicación compartida:

El concepto “shared commitment” alude al compromiso de todos los implicados en una organización  en la obtención de un objetivo común. Se parte de la base que el proyecto de compliance concebido como compartimentos estancos en los que la información no fluye

Aunque el incumplimiento afecte a un área específica de la organización en la que se focaliza el hecho investigado, la investigación debe analizar la implicación de otras áreas, especialmente relevantes en materia de control, tales  como el departamento legal, de auditoría o Recursos Humanos.

  • ¿Cómo se compartía la información entre los responsables de las diferentes áreas?

 

  • ¿Existen acciones concretas que acrediten que la información se compartía y se trataba entre las diferentes áreas?

 

  • Supervisión:

 

El Código Penal deposita en el órgano de administración de la sociedad la misión de adoptar y ejecutar con eficacia el modelo de prevención. La Alta dirección debe poder acreditar que ejerció su función de supervisión del programa.

  • En relación al hecho investigado ¿Qué información (malas prácticas, infracciones administrativas, indicios previos… ) tuvo el órgano de administración y cuál fue su tratamiento?

 

  • ¿Constan actas de las reuniones o documentación con intercambio de información entre el órgano de compliance y el órgano de administración?

 

  • ¿El órgano de administración recibió asesoramiento y formación en materia de compliance?

 

  • El algún momento ¿La Alta Dirección supervisó las áreas que acabaron implicadas en los hechos investigados?

 

3.- Autonomía y Recursos del órgano de compliance.

Se trata de determinar la efectiva capacidad de iniciativa y control que el Código Penal exige para el órgano de supervisión y control de la empresa. Acciones del órgano de compliance respecto al hecho investigado:

  • ¿Qué acciones adoptó el órgano de compliance y cuál fue su papel respecto a la mala práctica investigada.

 

  • El órgano de control y otros responsables en materia de control ¿ incrementaron su nivel de preocupación en el área donde la mala práctica se detectó. ¿Existe constancia de esta preocupación?

 

  • Estatus del órgano de compliance en la organización

El órgano de compliance debe tener una posición de relevancia en relación con otras áreas estratégicas de la organización. La importancia que la empresa da al órgano de compliance puede determinarse recabando:

      • La remuneración del personal de compliance.

 

      • Las condiciones de contratación.

 

      • Posición real en el organigrama de la empresa.

 

      • Los recursos que la empresa pone a disposición del órgano de compliance.

 

      • La experiencia, formación y cualificación del personal contratado para ejercer sus funciones.

 

      • ¿Qué rol juega el órgano de compliance en las decisiones estratégicas y operacionales de la compañía? ¿Su opinión se tiene en cuenta?

 

  • Autonomía del órgano de cumplimiento:

 

      • ¿Asistían a las reuniones el personal directivo o responsables de áreas o afectados por los temas que se trataban?
  •  
      • ¿Cada cuanto tiempo se reunían los responsables de compliance con el órgano de administración? ¿Constan las actas?
  •  
      • Si está determinado quién (persona responsable, comité o consultor externo) es el responsable, dentro del órgano de administración, encargado de chequear, analizar y revisar la función de compliance.
      • ¿Quién era el responsable de la contratación, remuneración, ascenso o despido de los compliance officers?
      • ¿El órgano  de compliance tenían acceso directo al más alto nivel de la dirección? Y si no era así, ¿cómo garantiza la empresa la independencia del órgano de compliance?

 

  • Poder de iniciativa:

 

  • ¿Desde la función de cumplimiento se planteó en alguna ocasión algún tipo de objeción, advertencia o preocupación respecto al área donde sucedió el hecho investigado?

 

  • ¿Se tomó alguna medida, se paró, modificó o supervisó específicamente algún tipo de acción, transacción o acuerdo como resultado de las advertencias manifestadas desde la función de cumplimiento?

 

  • ¿La compañía asignaba recursos económicos, asignación de personal en función del mayor o menor riesgo establecido por la evaluación de riesgos?

 

  • ¿En alguna ocasión se han denegado recursos al cumplimiento o funciones de control? Y si se han denegado, la empresa deberá determinar la razón.

En el caso de que se hayan externalizado funciones de compliance:

  • Se deberá determinar qué funciones de compliance se han externalizado a consultores externos. Si la externalización es muy amplia, la empresa deberá explicar la razón de la externalización.

 

  • El consultor externo debe tenía acceso adecuado a la información de la empresa (equivalente al que tendría un interno)

 

  • Las funciones del consultor externo deben estar supervisadas y evaluadas con parámetros similares a las internas: Debe constar que había una persona u órgano que se coordina con el consultor externo ¿Cómo se coordinaban?

 

4.- Políticas y procedimientos.

La estructura normativa es la columna vertebral del modelo de compliance, deben establecerse en función del riesgo evaluado para la empresa, a través del mapa de riesgos, deben estar correctamente comunicadas, implementadas eficazmente y deben revisarse periódicamente.  Los aspectos relevantes son:

4.1.-  Diseño y accesibilidad.

 

  • Diseño de las políticas y procedimientos:

Deberá acreditarse el adecuado proceso de elaboración de las normas de cumplimiento. Debe determinarse:

  • Cuál ha sido el proceso de elaboración e implementación de las políticas de la empresa.

 

  • Qué órganos y responsables se han implicado en la elaboración de las políticas y procedimientos.

 

  • Si se consultó a los responsables/áreas implicadas antes de publicarlas.

 

 

  • Políticas y procedimientos de relevancia respecto al hecho investigado.

 

 

  • Si la empresa contaba con políticas y procedimientos que prohibía las conductas o malas prácticas asociadas o causantes del hecho investigado.

 

  • ¿Hay constancia de que estas normas se evaluaban periódicamente para saber si estaban siendo aplicadas de forma eficaz?

 

  • ¿Los responsables de control en las diferentes áreas tenían claras sus funciones en la aplicación de las políticas?

 

  • ¿Cómo se supervisa que los responsables de control cumplían sus funciones correctamente?

 

  • ¿Hay políticas específicas para puestos de relevantes de control?

Se trata de puestos especialmente sensibles desde el punto de vista de control (quienes autorizan pago o los responsables de dar el visto a bueno a transacciones sensibles desde el punto de vista del riesgo).

En este caso, además, se deberá verificar:

  • Si estas personas disponían de guías claras de actuación y formación específica para las funciones de control que tenían encomendadas.

 

  • Y, en el caso de que de alguna forma el delito investigado afecte de alguna manera a puestos de control relevante, ¿Hubo un incremento de la preocupación sobre ellos por parte de la compañía?

 

  • Accesibilidad:

 

  • ¿Cómo se comunicaban las políticas y procedimientos, especialmente a los empleados relevantes y a terceros?

 

  • ¿Se evaluaba la utilidad de las políticas y procedimientos establecidas? ¿Cómo se hacía la evaluación?

4.2.- Implementación de las políticas y procedimientos

 

  • Responsabilidad de la implementación:

 

  • ¿Quién ha sido el responsable de la incorporarlas políticas y procedimientos?

 

  • ¿A quién se ha consultado para la implementación?

 

  • ¿Se han dado a conocer adecuadamente las políticas y procedimientos entre los empleados?

 

  • ¿Se evaluaba el grado de comprensión de las políticas y procedimientos por parte de los empleados?

 

  • Controles.

En este punto debe hacerse un trabajo similar al que haría un consultor de compliance. La investigación debe considerar cuales hubieran sido los procedimientos de prevención idóneos atendiendo al riesgo inherente.

  • ¿Qué controles fallaron o no existían y hubieran podido detectar o prevenir la mala práctica que derivó en el delito investigado?

 

  • Sistema de pagos:

El departamento financiero o de pagos está considerado como uno de los puestos clave de riesgo ya que en un alto porcentaje es el que financia buena parte de las malas prácticas con contenido delictivo.

Interesa averiguar:

  • ¿Qué procedimientos hubieran evitado el acceso indebido a fondos de la empresa?

 

  • ¿Existían realmente esos controles?

 

  • Procedimientos de autorización.

Determinados procesos relevantes por su elevado riesgo (como pagos a terceros, donaciones o contratos públicos de importancia) deben tener controles específicos que impliquen la autorización previa de la transacción por parte de una persona u órgano superior.

En estos casos:

  • ¿Se cumplían los procedimientos de autorización previa?

 

  • ¿Existían procedimientos para que los responsables de autorizar operaciones relevantes pudieran conocer el grado de riesgo de estas operaciones?

 

  • Área comercial:

Es una de las áreas especialmente sensibles de riesgo por su especial transcendencia en los delitos relacionados con la corrupción. Por ello, cualquier compañía debe tener una especial diligencia en la selección del personal.

En el caso de que el departamento comercial estuviera involucrado de alguna manera en el delito investigado, deberá verificarse:

  • ¿Cuál fue el proceso de selección de estas personas?

 

  • ¿Se tuvo en cuenta su reputación?

 

  • ¿Sus intereses o relaciones personales con terceros de riesgo?

 

  • ¿Su participación en otras empresas?

 

  • ¿Sus empleos anteriores?

5.- Evaluación de riesgos.

Otro de los requisitos expresamente recogidos como uno de los elementos del modelo de supervisión y control según el artículo 31 bis 5 del Código Penal. Esta circunstancia hace que este aspecto sea especialmente relevante.

 

  • Proceso de evaluación del riesgo:

 

  • ¿Qué metodología utiliza la compañía para identificar, analizar y abordar el riesgo del delito investigado?

 

  • Recopilación de información y análisis:

 

El análisis de riesgos debe poder identificar qué información se recogió para detectar el riesgo de la empresa y, en particular, el de la mala práctica que derivó en el delito investigado.

  • ¿Qué información se ha recopilado y usado para detectar el tipo de malas prácticas que derivaron el delito investigado?

 

  • ¿De qué manera se ha integrado esta información en el programa de compliance de la compañía?

 

  • Evidencia del Riesgo:

 

Se trata de identificar si los procesos de evaluación de riesgo de la empresa detectaron el riesgo específico de ese delito.

  • ¿De qué manera la evaluación de riesgos de la compañía incidió sobre las la evidencia del riesgo?

6.- Formación y Comunicación.

  • Formación respecto al riesgo investigado:

 

  • ¿Qué formación recibieron los empleados con posición relevante de control respecto al delito investigado?

 

  • ¿Hay constancia de que la compañía realizaba formación específica para los empleados con mayor riesgo respecto al delito investigado o con funciones de control en aquellas áreas donde el delito se cometió?

 

  • Forma, contenido y efectividad de la formación:

 

  • ¿ La formación se realizó de forma comprensible para la audiencia que iba dirigida?

 

  • ¿Se hizo en el idioma apropiado?

 

  • ¿La empresa evaluaba si los empleados habían entendido la formación?

 

  • ¿Se midió la efectividad de la formación?

 

  • Comunicación sobre malas prácticas.

La compañía debería poder detallar las acciones de comunicación procedentes desde el órgano de administración y la dirección ejecutiva fijando la posición de la empresa respecto a las malas prácticas que dieron lugar al delito investigado. También las advertencias sobre malas prácticas detectadas o la información sobre medidas disciplinarias adoptadas, preservando los derechos de las personas afectadas, son indicios del liderazgo y de la tolerancia cero de la compañía con el incumplimiento.

En el caso de que se tuviera información de la existencia de malas prácticas,

  • ¿se advirtió a los empleados?

 

  • ¿Se realizaban comunicaciones (preservando el anonimato, si era preciso) de las medidas disciplinarias adoptadas por la empresa respecto a malas prácticas?

 

  • Disponibilidad de asesoramiento respecto a malas prácticas.

 

  • ¿De qué recursos dispone la empresa para que los empleados puedan tener asesoramiento respecto a las políticas y procedimientos de prevención?

 

  • Los empleados ¿Tenía la posibilidad de recibir consejo?

7.- Denuncias e Investigación:

  • Efectividad de los mecanismos de denuncia:

La compañía tiene la obligación de disponer de mecanismos para recoger las denuncias de las malas práctica. En sí misma, la captación de denuncias no tiene sentido si no es como elemento de detección de quienes realizan las malas prácticas y, en segundo lugar, de corrección de malas prácticas y de vulnerabilidad del sistema mediante un proceso de investigación de la información recibida a través de los canales de denuncia.

En este aspecto, la investigación, además de comprobar la existencia y conocimiento por parte de los empleados del canal de denuncias, deberá evaluarse:

  • ¿Qué ha hecho la empresa con las denuncias?

 

  • ¿La empresa evaluaba la gravedad de las denuncias recibidas?

 

  • ¿La función de compliance tenía pleno acceso a las denuncias y a los resultados de la investigación?

 

  • Investigación de las denuncias:

 

  • ¿Realizó la empresa alguna investigación sobre malas prácticas?

 

  • ¿Ha realizado alguna investigación relacionada con malas prácticas relacionadas con el delito investigado?

Respecto a la idoneidad de las investigaciones:

  • ¿Eran objetivas?

 

  • ¿Están adecuadamente documentadas?

 

  • ¿Fueron realizadas por personas independientes?

 

  • Reacción a las Investigaciones.

De nada sirve que la compañía disponga de canales de denuncias abiertos a los empleados e, incluso que formalmente se realicen investigaciones sobre los hechos. Tanto la denuncia como la investigación son procesos de gestión para la obtención de un resultado de detección de malas prácticas o de mejora del programa de compliance:

La investigación debe averiguar cuál fue la reacción a los resultados de la investigación:

  • ¿Se Identificaron las causas de las malas prácticas?

 

  • ¿La vulnerabilidad del sistema?

 

  • ¿Los fallos en la determinación de responsabilidades de directivos?

 

  • ¿Se detectaron fallos o responsabilidades atribuibles a los responsables del control?

 

  • ¿Se comunicaron los resultados al órgano de administración o a la dirección ejecutiva?

 

  • ¿Se requirieron acciones correctoras? ¿Se ejecutaron de alguna forma?

 

  • La información y recomendaciones de las investigaciones ¿Se elevaron a la Dirección de la empresa. ¿Al Órgano de Administración?

8.- Incentivos y Medidas Disciplinarias

 

  • Registro.

 

  • ¿La empresa cuenta con registros de las medidas disciplinarias?

 

  • ¿Existen expedientes de medidas disciplinarias por malas prácticas relacionadas con el hecho investigado?

 

  • ¿Las medidas disciplinarias adoptadas afectaron en algún caso al personal directivo o a supervisores de los controles o se limitaron a los empleados?

 

  • Consta si en relación a malas prácticas relacionadas con el delito investigado ¿Se han impuesto medidas disciplinarias o se ha cerrado el expediente de alguna de otra manera (reducción de bonus, perdidas de incentivos, carta de advertencia…)?

 

  • Proceso en Recursos Humanos

 

  • ¿Se involucró al área de recursos humanos en los expedientes de medidas disciplinarias?

 

  • Aplicación de las medidas:

 

  • Las medidas disciplinarias ¿Se han adoptado por igual a todos los niveles de la empresa?

 

  • ¿Existe proporción entre las medidas disciplinarias adoptadas con los empleados de nivel bajo y las adoptadas con los puestos directivos?

 

  • Incentivos:

 

  • ¿Consta si la empresa dispone de una política de incentivos (real, no teórica) en favor del cumplimiento de la ley y el comportamiento ético?

 

  • ¿Constan acciones específicas o ejemplos de incentivos en materia de cumplimiento?

9.- Mejora continua:

 

  • Auditorías Internas:

 

  • ¿Consta si la empresa realiza auditorías periódicas en las áreas establecidas como de alto riesgo por la evaluación de riesgos?

 

  • En el caso del delito investigado, ¿Éstas auditorías detectaron elementos significativos de malas prácticas o fallos de control?

 

  • ¿Se reportó esta información al órgano de administración o a la dirección ejecutiva?

 

  • ¿Qué seguimiento se hizo de las auditorías por parte del órgano de administración o la dirección ejecutiva?

 

 

  • Auditoria del Programa de Compliance:

 

 

  • ¿Hay constancia de que la empresa revisara y auditara su programa de compliance?

 

  • ¿Se habían realizado controles del programa en el área donde el ocurrió el delito investigado?

 

  • ¿Qué pruebas de control se realizaron?

 

  • Se registraron los resultados de las pruebas de auditoría? ¿Y de las acciones de corrección adoptadas?

 

  • Actualización del programa:

 

  • ¿Con qué frecuencia se han actualizado sus mapas de riesgos, las políticas y procedimientos de cumplimiento?

 

  • ¿Se revisaron las políticas y procedimientos para determinar si las mismas estaban siendo eficaces?

10.- Relaciones con terceras partes.

En un artículo publicado en abril de 2018 por Hui Chen, autora del documento del DOJ Evaluation of Corporate Compliance Program, habla del error que supone centrar la gestión de riesgos de terceros exclusivamente desde la perspectiva de la debida diligencia. La debida diligencia es en realidad un perceptor del riesgo inicial.  Sin embargo, el verdadero riesgo se encuentra en la actividad conjunta que se va a realizar. Por eso, en términos de eficacia no solo interesa si se realizó o no la due diligence, sino la forma en que los procesos del tercero se integraron dentro de la gestión del riesgo de la empresa propia.

La investigación debe prestar atención a:

  • Identificación de riesgos y Procesos integrados:

 

  • ¿Consta si la empresa evaluó el riesgo específico de su relación con terceras partes?

 

  • ¿De qué manera los procesos de gestión de riesgos frente a terceros se han ajustado al nivel y naturaleza de riesgo de identificados?

 

  • De qué manera esos procesos se han integrado en los procesos de adquisiciones relevantes, de obtención de contratos y en los de ventas (comerciales).

 

  • Controles específicos para operaciones de alto riesgo:

 

En operaciones de elevado riesgo, especialmente en ámbito de grandes operaciones de contratación pública nacional o internacional, existe el riesgo de utilización de socios de negocios que en realidad son intermediarios facilitadores del cohecho. Especialmente en el mercado internacional, las empresas deben aprender a detectar las banderas rojas que indican que el tercero no es un socio de negocio fiable.

  • ¿Cómo y por qué se adoptó la decisión de contratar con un tercero?

 

  • La empresa aplicaba o tenía mecanismos para garantizar que:

 

      • La actividad social del tercero ¿Se correspondía con el servido para el que había sido contratado.

 

      • ¿El precio pagado se correspondía con los servicios prestados?

 

  • Gestión de las relaciones con terceros:

 

  • ¿La empresa tuvo en cuenta al contratar con un tercero si éste disponía de programas de control adecuados al riesgo evaluado?

 

  • Tras la contratación ¿Se  monitorizó al tercero en materia de cumplimiento por el tiempo que duró la relación?

 

  • ¿La empresa dispone o realiza formación específica al personal responsable de las relaciones con terceros relativos al riesgo específico identificado en esos terceros?