‘Normslizaci6nEspaficla Informaci6n Publica PROYECTO DE NORMA UNE PNE 19601 Sistemas de gesti6én de compliance penal. Req orientaci6n para su uso. Management system for criminal compliance. Requirements with guidance for use. CORRESPONDENCIA: MODIFICA O REVISA A: FECHA LIMITE DE RECEPCION DE COMENTARIOS: 2017-03-20 UNE no se hace responsable de la utilizacin de este documento, ya que esté sujeto a posibles ‘modificaciones hasta su aprobacién definitiva. Las observaciones deben dirigirse a: normalizacion@une.orgona uonay ‘4ONaY. wONaY wONTY uONay womae | oad Baha she el oe PNE 19601PNE 19601 Prélogo sta Norma UNE 19601 ha sido elaborada por el Subcomité Técnico CIN 307, sct del cumplimienio y sistemas de gestion anticorrupcién. En esta norma se utilizan las siguientes formas verbales: — “debe” indica un requisito; — “deberfa” indica una recomendacién; — “puede” indica permiso, una postbilidad o una capacidad. La informacidn indicada como “NOTA se presenta larificacién del requisito correspondiente,PNE AENOR 0 Introduccién tn el contexto en el que se desarrollan las actividades de las organizaclones (3.2 complejas, pueden cometerse delitos en su beneficio, especialmente aquellos vin setividad econémica. Las organizaciones (3.20) respetuosas de la legal Sstablecimiento de una adecuada cultura (3.8) organizativa del cumplimie mente para €\ ‘o, al menos, reducir el riesgo (3.28) de comisién de d ductas. El retablecimiento de esta cultura (3.8) de cumplimiento se ha venido asocy Bez en mayor fnedida a la responsabilidad social corporativa, permitiendo distinguir jos ciudadanos corporativos” de las organizaciones de aquellos (3.20) que no respetan © La comisién de comportamientos delictivos en el desarrollo. de ividades propias de las organizaciones (3.20) no s6lo genera ventajas anticompetitivas aquellos operadores respetuosos con el cumplimiento de la legalidad, sino que erosional intos del buen gobierno corporativo y pone en riesgo (3.28) bienes juridicos especialmente p) fidos. Por todo ello, se ha corperado que consentir, posibilitar 0 incentivar el desarrollg, de conductas punibles cn el seno de Jas citadas organizaciones (3.20) constituye un delito propi organizaciones (3.20) que afecta a la actividad econdmica y perjudican al conjunto dela Spgjedat Conscientes de esta realidad, y al igual que ha sucedido, gzdenamientos, el legislador introdujo en Espafia un régimen de sanciones penales para organ 20), que desarrollé con més detalle para el caso de las personas jurfdicas. Asf, la Ley Org 4/2010 por la que se modificé la Ley Brgnica 10/1995, de 23 de noviembre, de! Cédigo Penal no s6lo establecis los delitos aplicables alas personas jurfdicas y sus requisites, sino ql ‘eferencia al establecimiento de medidas de vigilancia y control para su prevencidn y detecet Jundamento expreso de una atenuaci6n de su responsabilidad penal. A pesar de su nt ‘o}fégimen fue reformado por la Ley Orginica 1/2015, de 30 de marzo, que modificé nut 8% tada Ley Organica 10/1995 del Cédigo Penal. Este cambio legislativo vino a concretar en m: jedida el régimen de responsabilidad penal de las personas juridicas en Espafi, detalland@tgygequstitos para disponer de sistemas de gestion y control que permitan a la persona juridica Ja en el Ambito de la prevencién y deteccién penal y, consiguientemente, ser exonera €sponsabilidad criminal. Aunque el contenido de Ia nueva tygllacljn ha consolidado Ia necesidad de disponer de ssterms de gestién y control aplicados al gmbit vevencién y deteccién penal, esta regulacién constituye un marco de interpretacién ge ‘ser desarrollado para disponer de sistemas eficaces ¥ alineados con las buenas paaguicas Fvienen acordandose a nivel jnternacional. En este sentido, esta See UNE viene a establec@tmparco de referencia completo que no sélo permite disponer de sistemas de gestién de iqné#enal (3.31) alineados con las exigencias del Cédigo Penal espafiol, wicvee internacionales en materia de compliance que contribuyen a reniar su eficacia, Bajo tal premisa, esta norma UNE facilita disefiar 0 evaluar sistemas d ‘compliance penal (3.31), que permitan generar o mejorar una adecuada cultura (3.8) or Fginsible a la prevencién y deteccién penal y opuesta a las malas praxis que Sclevan o ampefat condutctas ifcitas en el seno de las personas juridicas. cincelar sus conter Dado que, fargo de esta norma UNE se hard referencia al concepto de organtzacion y 29 de re sondo af la aplicaci6n de la misma tanto a personas jurfdicas como entidades Falided juridice. Ello no sélo es relevante a los efectos de! artfculo 129 del Codigo sino alos efectos de poder incluir bajo el sistema de gesti6n de compliance penal (3.31) Spacién a varias personas jurfdicas pertenecientes a un mismo grupo de empresas. ie oc internacionales en materia de compliance se hace referencia al concepto de Seite a ee (AENOR ‘AENOR AENOR ABNOR AENPNE 19601 +4: ‘Alos efectos anteriores, una organizacion (3.20) sensibilizada con tales propésitos deber lun sistema de gestidn que le permita alcanzar sus objetivos y su compromiso de integri Ibe abjetives, los procesos (3.26) y Tos procedimientos (3.25) conforman el nficleo a gestion para la prevencin, detecci6n y gestin de riesgos penales (3.29) proyectad organizaci6n (3.20), evitando asi posibles dafios ‘econdmicos, reputacionales, Esta norma UNE facilita la implementacién de sistemas de gestién de compliance respetuiosos con las exigencias legales espafiolas, sino también dirigidos a ci las expectativas que hormalmente se depositan en las organizaciones (3.20) que operan en os! jinternacionales. En este sentido, su contenido recoge Jas exigencias de nuestro Cédigo Pe! aj estructura de alto: nivel’ desarrollada por 10 para mejorar el alineamiento entre susigrme ‘fternacionales para istemas de gesti6n e incorpora buenas practicas ya reguladas en, iti UNE-ISO 19600 Sistemas de gestién de compliance. Directrices y en la reciente ‘Norma UREISO 39001 Sistemas de gestion ‘Gntisoborno, Requisitos con orientacién para su uso. Puede utiliza ae mdnera conjunta con esas ‘normas, as{ como con la Norma UNE-ISO 31000 Gestién del riesgo. normas internacionales sobre modelos de gestién. La presente norma UNE puede aplicarse a organizagl tanto del sector privado como péblico, con o sin éninn (3.29) variara segin diferentes circunstancias, coi ubicaciones donde operen, asf como por la diversidad base, esta norma UNE define una serie de requisitos circunstancias para disefiar y evaluar sistemas para la ponales, adaptados y razonables ala realidad d ‘Alos efectos de facilitar su aplic: gran notas, ejemplos, asf como un conjunto de hn, ta anexos que proporcionan directrices ac jpara interpretar y aplicar correctamente sus contenidos. sible aplicacién y utilizacién en otros paises donde la Esta norma UNE queda abierta, ade! i istrativo-sancionadora de las personas legislacién contemple la respon: juridicas, o de otro tipo de organi: Que una organizaci6n (3.20) g 1, requisitos de esta norma UNE no asegura completamente fue no se hayan producdd@eMageno delitos, n! que no vayan a produciisy ra el futuro. Por coasigulente, esta norma URleno Bifida una garantia absoluta de climinacion del riesgo (3.28) de ‘comisi6n de delitos que afiyntstigorganizacién (3.20). Enel caso de la legis}4@ign espapola, el cumplimiento de esta norma UNE no asegura la exoneracién 0 atenuacién automagica , responsabilidad penal de la persona juridica. No obstante, esta norma ayuda a las orgar 20) a desarrollar sistemas de gestion de compliance penal (3.31) con ante a eretapies HW provenir, detectar y gestionar conductas Mcitas generando asi Ja GLU (3.8) organizailya del cumplimiento de la legalidad que pueda fundamentar, en iiltima instancia, la exoneracién aegis. De igual modo, su contenido también podrfa aspirar a servir de SF nales de justicia y demas operadores juridicos a la hora de faclitarles el criterios para valorar el cumplimiento por parte de las personas juridicas w otras j0) de las exigencias previstas en la legislacién. penal.PNE & El controt de riesgos (3.28) y la supervisién de su gestion son elementos fundamentales del 8 corporativo, El sistema de gestién propuesto en esta norma UNE se centra en la preve del riesgo penal (3.29). Asi, siguiendo el planteamiento de Ja legislacién societaria esp: ei momento de publicacién de la norma, se considera que la fijacién de la politica dg (3.24) es una competencia indelegable del érgano de gobierno (3.22), en rélag Welogables del Consejo de Administracidn ~ asf como, en general, la super gestién, Por otro lado, la supervisi6n de la efcacia del sistema de gestion es carpe aeraplimiento penal u homélogo legalmente equivalente ~ de nuevo de con(gftijdge con la Jegislacion Ja mencionada, en relaciéa con las funciones asignadas ala Comisi6n de Aucysor i AENOR rn elanexo A sé establece la correlactén de los requisites establecidosyeijel artiCufo 31 bis del Cédigo Penal vigente en el momento de la publicacién de la norma resps #SBspecificaciones contenidas en la misma. ay Ha de advertirse, sin embargo, que, segtin el ordenarnfento penal espanel ta implementacidn de un Tatoma de gestién acorde con esta norma UNE no agota las,yggjbilidades de defensa y consigwient® sare ciée de la persona jurtdica en cuyo seno se haya pigdugidoyla comisién del correspondiente delito. se Lo verdaderamente trascendente a efectos de esa res} d serd el que la persona juridica de referencia pueda acreditar debidamente un comportat Sésta materia de prevencién delictiva, que evidencie su cultura (3.8) organizativa de respeto rma que le atribuye obligaciones de aoe een cion con les Autoridades en la evitaci6n de la comist6n, en su Seno, de delitos por parte de las personas fisicas que la integran, objetivo que, ‘te, es también el que, con cardcter esencial, se persigue en el contenido de a presente norma Las declaraciones de conformidad (3.7) cobtitg norma UNE no son aceptables a menos que todos los requisitos estén incorporados en el si n de compliance penal (3.31) de la organizacién (3.20) y se cumplan sin exclusiones. 4. Objeto y campo de apli 7 Esta norma UNE establece losxgqu! facta las directrices para adoptar, implementar, mantener $y mejorar eontinuamente (3.{8ffyicas de compliance penal (3.24) y el resto de los elementos deun Sistema de gestion de complidice pengl (3.31) en las organizaciones (3.20). ener (84) puede establecerse de manera independiente o ntegrada en una politica de cx no limitada a la prevencién penal. Andlogamente, un sistema de gostién de ablecerse de manera independiente, o integrado en un modelo de compliance de NOTA Una politica de complarig ‘compliance de mayge alcate compliance peral. Cepued mayor alcance, tado.la prevenciin penal. La norma es paetiula aplicable en el contexto de sistemas de gesti6n y control sobre riesgos penales (3.29), tableciendo requisitos (3.27) y directrices para disponer de modelos alineados con lo que exige la le} penal espafiola a los sistemas de control y gestién para la prevencién y deteccion, 9S, tanito en Su forma como en su fondo. Sinpexi terior, esta norma UNE puede también ser de utilidad para establecer sistemas de SHe para la prevenciOn y deteccién de delitos cometidos en el contexto de las actividades veeetiits, sunque no comporten la responsabilidad penal de la persona juriéfea en Espatia ni SBiRtagan ef organizaciones espafiolas (3.20). a — oo aemor sae ARWOR ‘AENOR AENOR, ABNOR AENOR ABNPNE 19601 -6- Esta norma UNE es aplicable a: 4) Cualquler tipo de organizacién (3.20), con independencia de sx tipo, tamafio, natural Se proyecta sobre riesgos penales (3.29) en los siguientes contextos: sectoy Pri con o sin animo de lucro. é b) Actividades desarrolladas, tanto por los miembros de la organizacion (3.17),t0 negocio (332) que actin, tanto unos como otros, siguiendo instruc le 1 organizacién (3.20), representandola o en su beneficio. SS ©} Conductas desarrolladas de manera directa como indirecta, Esta norma UNE no se proyecta especificamente sobre ot (4.28) que hallandose relacionados con la esfera penal 0 suponiendo incumplimientos di iva, no guardan relacién aaecnvsn illcitos penales cometidos con el objetivo de beneficiar a la BeFsona juridica, ovo pueda sea riesgo (3.28) de fraude en el seno de la organizacién (3.2Q),No obstante, ta organizacién (3.20) puede decidir extender el alcance, tanto de la politica de conde onal (3.24), como del sistema de gestion de compliance penal (3.31) a estas esferas, en@ag.de’ ulte de utilidad. jonal a cada supuesto segin las Estos’ requisitos (3.27) deben aplicarse de mane ‘esta norma UNE. circunstancias que se especifican en los apartados 4.1, Si la totalidad o parte de los requisitos (3.27) establecidos en esta norma UNE entrase en conflicto 0 ‘estuviese prohibida por alguna disposici6n ley ~Y jurisprudencial, la organizacién (3.20) no ee ss estard obligada con el mismo o su parte afectad: ta? 2. Normas para consulta i) ee No se identifican normas para consul . ey yy 3 Terns y detnicone a) Para los fines de este doct ti ‘aplican los términos y- definiciones (en orden alfabético) siguientes: é 3 3.1 _accién correctivd “y Aacion para eliminar jegust Wha no conformidad (3.18) y prevenir que se reproduca- Us eI 3.2 alta direccié Persona o grupeidgP que dirigen y controlan una organizaci6n (3.20) al mas alto nivel. NOTA La alta abBRigutQe) tone et pater pars delegarautovidad y proporcionar recursos Gento de a ongpuancin G nora2 si Mater eel sistema de gettin (2.31) comprende slo una parte de ana organizactn (2.20), ertonces aa Sovenere a quienes drigen y controlan esa parte de la organizacién (320). ome " iAENOR NOTA’ tas organteacones (3.20) estn estructuradas bajo diferentes formas jurdcas dependienda de waae® Brun Snot, Adletonalmente las organtzaciones (3.20) pueden estar estructuradas de devon SEA matt, sector de actividad, ete. Algunas organizaciones (3.20) pueden disponer tanig sSeiermo’ (22), como de un drgano ejecutivo con atribuciones delegadas, 0 Incse pas Brrponsablitdades divididas sistemdticamente en diferentes érgaos. Estas variacones, Srauntzacién (3.20) y las responsabilidades, se deberfan contemplar cuando se silly ‘apartadoS de esta norma UNE. 3.3 auditoria: Proceso (3.26) sistemético, independiente y documentado para obtener Is de auditoria y evaluarlas de manera objetiva con el fin de determinar el grado en el ayy fen los criterios de auditoria. NOTA1 Una auiitoria interna larallza la propia organizacién (3.20) o una parBaggiemns esypombre 5) NOTA2 Una auditoria puede ser combinada (combinando dos o ms disciplina NOTA Laindependencia se puede demostrar por fa ausencla de respon con relacin ala actividad que se audita, 0 ‘ausencia de sesgo y conficto de intereses (3.6). 'y demds informacion pertinente a los son el conjunto de poltcas, procedimientos fompara la evidencia de auditoria. NOTA4 Ja evidencia de auditoria consiste en registros, deelarat ‘citerfos de audlitoria, que son verificables; los “oriterlos (3.23) o requisites (327) usados como referencia, frente a 3.4 competencia: Capacidad para aplicar conocimientos y habilid: el fin de lograr los resultados previstos. 3.5 compliance penal: % Cumplimiento de los requisites (3.27). 3.6 conflict de intereses: Situacién en la que intereses de nef podrian interferir en el juicto de tareas en la organizacién (3.20). Gros, financieros, familiares, politicos o personales fpges de Ia organizacién (3.17) cuando Hevan a cabo sus 3.7 conformidad: Cumplimiento de un requis; gen en una organizacién (3.20) y que interactian con las estructuras la Sfganizacién (3.20) para producir normas de comportamiento que yds (3.19) derivados de la aplicacién de esta norma UNE. les de la cultura (3.8) de compliance se encuentran referidos en el apartado 7.1. gfse puede relacionar con hallaegos cuantitativos 0 cualitativas Nora2 El oo se puede relacionar con la gesti6n de actividades, process (3.26), products (includes servicios) i, sistesphs u organizaciones (3.20). oetet conor ee ‘ARNOR [AENOR ‘AENOR ABNOR AENPNE 19601 3.10 diligencia debida: Proceso (226) operative que pretende obtener y evaluar Ia informacién para € evaluaci6n del riesgo penal (3.29). 3.11. eficacia: Medida en la que se realizan las actividades planeadas y se obtienen los resulta vis 3.12 externalizacién: sevardo mediante el cual una organizacién (3.20) externa realiza una fandtgh organizacién (8.20). Wgth Un oganzacén (20) onerea et ra alec dl sma dean Ceara a enctno prose remalado forme pare dl alance, 3.13 funcionario publico: Cualquier persona que tenga un cargo legislativo, administyatiyo © judicial, ya sea designado por cucesién o electo, 0 cualquier persona que ejerza una fonfignpbdbjica, incluso para un organismo piblico 0 para una empresa publica, 0 cualquier Spite fo apdnte de una organizacion (3.20) nacional o internacional piiblica o cualquier candidato a: @Puiblico. 3.14 informacién documentad: Informacion que una organizacién (3.20) tiene que mante contenida, NOTA1 1a informacién documentada puede estar en cual NOTA2 La informactén documentada puede hacer! la = Ia informacién generada para q = Iaevidencia de los resultado 3.15 medicién: Sy, Proceso (3.26) para determinh fi, 3.16 mejora continua y ‘Actividad 0 proveso (3,26) fe para mejorar el desempetio (3.9)- 3.47 miembros dla orgenjeacion: Los integrantes del He gobierno (3.22), directives, empleados, trabaladores 0 empleados de colaboracién, y voluntarios de una organizacién (3.20) y el resto de temporales 0 .cion jerarquica de cualquiera de los anteriores. personas bajo AGE? 9.20) pueden afecar a personas que, sit mantener una relaciin juedico labora eon la 0), desarrollan de sus actividades de manera estable en su sero.AENOR 3.19 objetivo de compliance penal: Resultado a lograr. NOTAL Los objetvos de compliance penal hacen referencia a la tolerancia cero de la organlzaclon {9-5} ‘ae los Hesgos penales (323), asi como al establecimiento de medidas tendentes a St pga Hy gestion tempranas. NOTA2 Un objetivo puede ser estratégicn, tictico u operative. NOTA Los objetivos pueden refertrse a diferentes disciplinas (tales como financieras, de {dad ambientales) y tee een plea en diferentes nivels (tales como estratégicos, para tods Ia @anlzotag) $20), para povecos productos y procesos (3.26). jrevisto, un propésito, un NOTA4 Un cbjettvo se puede expresar de diversas maneras, por ejeraplo, {iicado similar (por ejemplo, criterio operativo, un objetivo de compliance, o mediante el uso de térmipt finalldad o meta). NOTAS fn el context de sistemas de potas de compllonce penal (324) jgigemas de gestion de compance pena (41) Ja organizacién (3,20) establece sus objetivos con la finalldad r resultados especificos de manera eficaz Gan). fe 3.20 organizacién: 4 Persona 0 grupo de personas que tienen sus propias ft relaciones para el logro de sus objetivos. Won responsabilidades, autoridades y atajador Independiente, compaaa, corporactén, firma, fsetucin, o wna parte 0 combinacion de éstas, ya estén je ucro o sin él. NOTA Bl concepto de organizacién incluye, entre oty empresa, autoridad, soctedad, organizacién de mateo adecuado para la definicién, revisién y consecucién de los objetivos de aes); 1a obligaci6n de informar sobre hechos o conductas sospechosas relativas a riese98 #29), garantizando que el informante no sufriré represalias;AENOR -17- PNE 4) incluya un compromiso con la mejora continua (3.16) del sistema de gestion de complian’ q 31); |) explcte la autoridad e independencta del érgano de compliance penal (320,34 foincide con el 6rgano de gobierno (3.22); 1) exponga las consecuencias de no cumplir los propios requisitos (3.27) dee po ‘compliance penal (3.24), asf como de los derivados del sistema de gestién de compia La politica de compliance penal (3.24) debe: 41) estar disponible como informacién documentada (3.14); 2) comunicarse con un lenguaje e idioma adecuados al mo (8.20), asf como a las partes asociadas que puedan representar riesgos penales (3.29); 3) estar disponible para las partes interesadas (3.23), segtin 5.3. Roles, responsabilidades y autoridades ¢} 5.3.1 Rolesy responsabilidades La alta direccidn (3.2) debe asegurarse que la respgnsabilidad y autoridad en las funciones relevantes se asignen y comunican en todos los niveles de izacién (3.20). Los responsables de cada nivel deben 3 Jue los miembros de Ja organizacién (3.17) adscritos a sus departamentos, funciones ‘cts cumplan, observen y hagan cumplir y observar los requisitos (3.27) del sistema de gest ince penal (3.31), ‘onsables de comprender, observar y aplicar dichos Los miembros de la organizacién (34 1s organizacion (3.20). requisitos (3.27) en lo concernientga.st" 5.3.2 Delegacién de facultadé shiemo (3.22), el 6rgano de compliance penal (3.21) o la alta Wiad o autoridad para la toma de decisiones en ambitos en los Ry rganizacion (3.20) debe establecer y aplicar un procedimiento colesyque garanticen que el proceso (3.26) de decision y el nivel de mfecuados y estén libres de conflictos de interés reales o potenciales. En los casos en que ol org direccién (3.2) delegue lag que exista riesgo penal, (3.25) y un sistema de autoridad de los decigggg En la delegacién By iidad y autoridad, la alta direccién (3.2) debe identificar y actuar para (3.6) reales o potenciales. de compliance penal (3.21) 0 Ia alta direccién (3.2), el drgano de gobierno (3.22) debeugyjs: PE Modicamente dicho procedimiento (3.25). Bsa wona dedecstoncs no noord (32) ne de comple onl 020). Be a nas deers eopnsalcads on coantalnprevencin dela egos peas Tt pm eal ar osbles esponaliddes gles oe sates de supers, in de decisiones que les corresponds. oo apwoR AENOR [AENOR AENOR AENOR ABNOR AENCPNE 19601 -18- 6 Planificacién 61 Acciones para abordar riesgos y oportunidades La organizacton (3.20) debe identificar las actividades en cuyo Ambito TNs riesgos penales (3.29). Al planificar su sistema de gestién de compliance pets Bs rganizacion (3.20) debe considerar las cuestiones referidas en el apartado 4.1 y los requis) daprdteridos en el apartado 4.2 de esta norma ‘UNE, determinando los riesgos penales (3.2! nidades que es necesario abordar con el fin de: — asegurar que el sistema de gestion de compliance penal (3.31) eee lograr los objetivos de compliance penal (3.19), constituyéndose en modelo de orgatizapi6 vy gestion que incluya as medidas de vigilancia y control idéneas para remais ¢ jara reducir de forma significativa el riesgo (3.28) de su comisién; ~ prevenir oreducir efectos no deseados: — = jograr la mejora continua (3.16). 1a organizacién (3.20) debe determinar la manera de: _ integrar ¢ implementar dentro de sus propios procests | .26) de negocio los procesos (3.26), procedimientos (3.25) y demas acciones prop} del sistema de gestion de compliance penal (3.31); — evaluar la eficacia (3.11) de estas acciqnes;, % ~ generar evidencias de cumplimiento et ento de realizar los controles 0 revisiones y Su gestion propia o por terceros (3.33) dexfgrmertfterable e integra para su posible presentacién en futuros procedimientos judiciales Ja organizacién (3.20). 6.2 Identificacion, analisigg? fon de los riesgos penales 624 Generalidades x, Ws fccRBypr un proceso (3.26) de identificacion,andlisisy valoracién del La organizacién (3.20) deby riesgo penal (3.29) para: P29) que la organizacién (3.20) pueda razonablemente anticipar, a) identifica los riesggs P' relicionados en el apartado 4.1 de esta norma UNE; considerando los b) analizar. yvalgga fag penales (3.29) identificados; ) evaluar la yee del disefio y eficacia (3.11) de los controles existentes en Ja organizacién que riesgos penales (3.29) que se han valorado y contribuyan a mitigarlos.AENOR -19- 6.2.2 Analisis de los riesgos penales PNE ® La organizacién (3.20) debe analizar los riesgos penales (3.29) considerando las caus mt t de incumplimientos de compliance penal (3.5) y la gravedad probabilidad de que ocurran incumplimientos de compliance penal NOTA Las consecuenclas pueden inciulr, por ejemplo, dafo personal y ambiental, pérdidas econt responsabilidades administrativas. 623 Bvaluacién de los riesgos penales de sus consecuencids? 0 la 1 (3.5) y lag, jasasociadas. eputacional y La organizacion (3.20) debe establecer criterios para evaluar su gfe! de Heseo penal (3.29), La siderando sus abjetivos de compliance penal (3.19) y, por la,tant®Xl@agompromisos asumidos 2 través de su politica de compliance penal (3.24) y demés relacionadas con ella. NOTA La evaluaclén de os riesgos (3.28) deberia inclutr Ia consideracton el ‘ctl dispuosta a aceptar, de manera que st el riesgo resultante d rganizacion (3.20) deberta implementar controles adicigpaes p directrices. 6.24 — Revisién de la evaluacién de riesgos penales La evaluacién del riesgo penal (3.29) deber revi fticasWerhstrucciones Internas umbral de riesgo que la organtzactén (3.20) sis realizado es superior a dicho umbral, la a) de manera regular, de modo que los egmbi leva informacién puedan ser adecuadamente consideradas segiin la frecuencia definiipgr [a Ofgenizacion (3.20); b) en caso de cambios significativos en igf@gigucttro actividades de la organizacién (3.20); 6) encaso de incumplimientos de co peal (3.5); 4) en caso de que aparezca soi icine %o produzcan cambios legislativos relevantes. 62.5 Informacion docunféiitada Sobre riesgos penales nF informacién documentada ntée gon lo establecido en la politica de compliance fitasién y evaluacién de riesgos penales (3.29); les (sies posible); (3.14) de la identificacién, andlisis y fy de la metodologfa y criterios utilizados. de penal (3.24) y con los resultados Pett oo aparon. ee (AENOR ABNOR. ‘ABNOR ABNOR AanPNE 19601 -20- 6) tener en cuenta los requisites (3.27) cose: ae "ee, €) ser objeto de seguimiento (3:30); 6 2 ©) comunicarse; | 1) actualizarse, segiin corresponda. | La organizacién (3.20) debe conservar sani documentada (3.14 1s objetivos de compliance penal (3.19). ' Al planificar e6mo lograr sus objetivos de epmpliance penal (2.19) anizacién (3.20) debe determinar: : 4) qué se vaa hacer y quién seré responsable; | 2) qué recursos se requeriran, debiendo disponer de model ‘gastion de los recursos financieros adecuados para impedir la materializaci6n ee los iff S 29); 43) evando se finalizarés j 4) como se evaluaran los resultados. | | 7 Elementos de apoyo i 7.4 Cultura de compliance ke una organizacién (3.20) cumpla con sus objetivos de “lento de los requisitos (3. 27) que se derivan de su i ‘del sistema de gestién de compliance penal (3.31), y se Hoa) dele ‘organizacién (3.20) y en el comportamiento y con ella. El compliance penal (3.5) es el result compliance penal (3.19), a través politica de compliance penal (3:24) hace sostenible introduciéndola e| en la actitud de las personas que s compliance exige que el érgano de gobierno (3.22) y la alta g rsible, consistente y sostenido en el tiempo con un esténdar Hiriento que se requiera en todas y cada una de las areas de la ’socios de negocio (3.32). sh de comportamlento exigido, tanto alos miembros dela organtzaci6n (317), come @ oe ania pale de compliance penal (24), aunque también pueden encontrar vr eigo de conducts, cbign Gc, cbaio de valores documento aregy ema El desarrollo de una cult direccién (3.2) tengan w comin y publicado de, organizacién (3.20), asf 01 HBhiieura (3.8) de complignce: state el respeto y la implementacién activa por parte de la direccién de la politica deAENOR -21- PNE ¢) consistencia en el tratamiento de acciones similares, con independencia de la posicién, 4) guiar, entrenar y predicar con el ejemplo; @) realizar evaluaciones adecuadas a los potenciales empleados antes de su 4) un programa de inictacin u ortentacién adecuado que enfatice el compere SAR (35) y los valores de la organizacién (3.20); 4) formactén continua de compliance penal (3.5), inclayendo actualizacigs de Rygrmacién: h) comunicacién continua, abierta y adecuada sobre compliance peng j) sistemas de remuneracién que valoren el logro de objetiv fpliance penal (3.19) y parémetros dlave de sistema de gestién de compliance penal (3.31); J) reconocimiento visible de los logros en Ia gestion de compligng# y gn sus resultados: fctas penales o no conformidades Q) medidas disciplinarias répidas y proporcionadas en € el resto del sistema de gestion de (2.18) respecto de Ia politica de compliance pena compliance penal (3.31). Laexistencia de una cultura (3.8) de compliance se mide por el grado en que se cumplan los requisites (3.27) sefialados arriba: 4) las partes interesadas, (3.23) y especial .bros de la organizacién (3.17), creen que se han implementado dichos requisitos; vrenden a relevancia de Jas obligaciones de compliance 29, en su caso, a las de sus unidades de negocio; 2) tos miembros de la organizacién (3,458 penal (3.5) relativas a sus propias, 29), y las no conformidades (3.18) se asumen y se 3) se logran remediar los ri (én (3.20) cuando sea necesario; gestionan en todos los niveles 5) se permite y se ani gl'a que comunique sus preocupaciones de compliance penal (3.5) adecuadamen 6) se conoce, respa} ‘con el rol del 6rgano de compliance penal (3.21). 7.2 Recurs La organizacis icbe determinar y proporcionar los recursos necesarios para la adopcion, impleme SF orimiento y mejora continua del sistema de gestién de compliance penal (3.31) ae ucrdgscoms pardmetros que se indican en el apartado 4.1 de esta norma UNE. Los recursos e Fimo, los financieros, tecnolégicos y humanos, as{ como el acceso, en su caso, a Fegto externo. ing eet ee owen Poe oe (AENOR AENOR ABNOR ARNOR AENCPNE 19601 -22- 7.3 Competencia 73 — Requisitos en relacién con la competencia del personal de compliance *% Se (3.20) debe: La organizaci 2) determinar la competencia (3.4) necesaria de las personas que realizan tareas’ ‘compliance penal (3.5), bajo el control de Ia organizacién (3:20); b) asegurarse de que estas personas sean competentes, baséndase engynequsg sion, formacién 0 experiencia adecuadas; a ©) cuando sea aplicable, tomar acciones para que esas perso ftqui Ja competencia (3.4) necesaria, y evaluar la eficacia (3.11) de las acciones tomadas; ¥ 3 4) conservar la informacién dacumentada (3.14) apropiade, cpmo evidencia de la competencia G4) existente o adquirida, NOTA Las acclones aplicables pueden induir, por ejempl fia o la reasignacién de las personas ‘empleadas actualmente ola contratacién de nuevo personal: 73.2 Diligencia debida con los miembros dela Sn jon 7.3.2.4 _ Diligencia debida comin a todos losgujembros de la organizacion En relacién con los miembros de la organiza gy .¢ deben establecer, implementar y mantener ‘actualizados procedimientos (3.25) tende! > a) se entregue a los miembros de la or 17), en el proceso de incorporacién, una copia de la politica de compliance: (3.24) 0 se. gjjite el acceso a la misma; b) se facilite el acceso a la polftica,de- dnce vigente a todos los miembros de la organizacién (3.17); pro@aiiia organizacion (3.17) cumplan con Ja politica de compliance ©) se requiera que todos los mi gestion de compliance penal (3.31); penal (3.24) y el resto del §i jas proporcionales contra aquellos miembros de la organizacion quiisitos (3.27) derivados de la politica de compliance penal (3.24) 0 del UY compliance penal (3.31); 4) se adopten acciones (8.47) que incumplat ‘represalia contra los miembros de Ja organizacién (3.17): ipar o rechazar cualquier actividad en la que puede considerarse razona- lesgo penal (3.29), siempre que lo haya comunicado por la via oportuna, de buena fe a través de los canales establecidos al efecto por la organtzacién (3.20). cians Pynes, aesones dscipinarias, wasades, despos y acoso lborales consttuyen ejemplos de las-23- PNE ® 73.2.2 Diligencia deblda relativa a personas que ocupan posiciones pes expuestas tpn relaci6n con personas que ocupan posiciones especialmente expuestas a riesgoe 3.2 nayores que bajo, de conformidad (3.7) con el apartado 6.2 de esta norma Vi 1 (3.20) debe cumplir, ademés de con los requisites (3.27) establecidos en 7.3.2.1, c0 rrequisitos (27): AENOR 2) Se realiza un procedimiento de diligencia debida (3.10) (véase anexo 5) y con candidatos 4} empleados antes de que éstos suscriban el contrato de trabajo, sean por la organizacion (3:20), con ol objetivo de verificar, de un modg jueva posicién de ompleo es apropiado/a y que resulta légicg cree Gxtensién y cumplirén con la politica de compliance penal (3.24}yg@l res compliance penal (3.31) en todo aquello que les afecte. S.condile! que su empleo 0 .comprenderdn en toda su Ger sistema de gestion de by Se revisan periédicamente los abjetivos de rendimiento, las primas por rendimiento y otros ‘elementos de remuneraci6n para asegurarse de que ext Ivaguardas razonables para evitar ue incentiven la asuncién de riesgos penales (20) tysbimubyan conductas inapropiadas en relaci6n con el compliance penal (3.5). A ©) Dicho personal formaliza una dectaracién, a inte identificado, confirmando su cumplimiento de la polf 7.4 Formaciény concienciacién en confplid La organizacién (3.20) debe fomentar qi *) de la organizacién (3.17) se conciencien y se Formen adecuada, eficaz y proporcionalmelge.respucto de los riesgos penales (3.29), con Ja finalidad de evitarlos, detectarlos o saberlos gestional me al sistema de gestion de compliance penal 31). 4 ‘Asimismo, 1a organizacién (3:20) devepggpercionar formacién a su personal en las siguientes materias: bapiiifaos en proporcién al riesgo (3.28) Re guepmpliance penal (3.24) q resto del sistema de gestion de compliance penal (3.31) y Paigdos con 61, y de su obligaciOn de cumplir con los requisites G27) a a) la politica de compliance pgp los procedimientos (3.25) asociados con todo ello b) el riesgo penal (3.29) 1, tanto para el personal como para la organizacién (3.20), en el supuesto de su mat d) c6mo ove a prevenir y detectar riesgos penales (3.29), evitando su materializacién y Fores de riesgo (3.28) principales; la eficacta (3.11) del sistema de gestion de compliance penal (3:31); incluyendo Herivados de una mejora del compliance penal (3.5) y de reportar posibles delitos 0 Pee oe owee. fee aaa AENOR ABNOR AENOR ABNOR AENCPNE 19601 -24- sy a ed ay oR 1} las implicaciones y consecuencias potenciales de no conformi lades (3.14) relativas Re s Prat estblecides, tanto por ia politica de compliance penal (324), como por et ETI SS-8) do gesti6n de compliance penal (3.31); ‘et ) como y aquién deben reportar sus dudas y preocupaciones en esta matet sablecido en elapartado 8.8 de esta norma UNE. La organizacion (3.20) debe proporcionar informactén documentada (3-4 fa formacién y tros recursos disponibles para mejorar su conocimiento en el ambito del jenal (3.5). NOTA La conctencan y formactn de fos miembros de i oranizactén (317g pera CHE’ conidoncs Haasttedos de la evaliaci6n del riesgo penal (8.29) referida en el apartado 6: ‘norma UNE y, en caso de ser rosa ultados del proceso decligencia debia (3.10) referiddy 1 aps de esta norma UNE. a onganivaci6n (3.20) deberta fomentar de manera continua (a interval ibs) entre los miembros de fa taaacancén (247) la ceneienclacion respect del compliance penal (3.5) 2 PavT=N® commen de sensibilizacion y orgaizacién, (97 ha labor debora realzase consierando sus gus, [08 resgos penales (325) 31 2 estén fxpuestos, y otras crcanstanclas coyunturdles. La conctenciac wogramas de formaciin deberfan ser srrsuados peribdicamente sobre la base de ls auevainfoggnacion'Giapft Frizacibn (2.20) segtin se establece en el bién establecer, implementar y mantener fonclacién y formacidn sobre el compliance Sobre la base de los riesgos (2.28) identificados en las activi apartado 62 de esta norma UNE, la organtzactéin (3.20) etualizados procedimientos (3.25) que trasladen Ta necedifag de penal (8.5) de los socios de negocio (3.32) que pudieran r Bee ah ‘riesgo penal (3.29) mayor que bajo para la Pena en (2.20), stos procedlalentos (2.25) debertan idles los soios de negose CoA roe las cuales rgantzacn (.20) Sfprmacion son necesarias, el gta mimo del formacén, los medos através dees cuales se debe proporeionar y actualizar dicka fort 7.5 Comunicacion Le) 7.51 Requisitos para las comunit Ss eccsidad de realizar comunicaciones internas y externas Yestién de compliance penal (3.31), que incluyan: La organizacién (3.20) debe determ! relevantes para la eficacia (3.11) dels E ? a) el contenido dela contac) ) cuando comunicar; ey, ee. V¥ (eo ©) aquién comunicar; 5 “aay 4) cémo comunicar; ey €) quién debe reat ofptinicacién; & 4) los idiomas % fenguaje en e] que deberd realizarse la comunicaci6n. in de la politica Hance penal (3:24) debe hacerse accesible a todos los miembros de la organizaci6n Hg socios de negocio (3.32) que supongan riesgo penal (3.29) mayor que bajo, ¥ ee adecuadamente a través de los canales de comunicaci6n internos y externos delaAENOR -25- PNE 7.6 Informacion documentada 7.61 Generalidades & El sistema de gestién de compliance penal (3.31) de la organizacién (3.20) dea gs 42) la informacién documentada (3.14) requerida por esta norma UNE; eS ») la informacion documentada (3.14 que la organizacién (3.20) ha determ necesaria para laeficacia (3.11) del sistema de gestién de compliance penal (3.31). 7.62 Creaciény actualizacion A Al crear y actualizar informaci6n documentada (3:14), la wool febe asegurarse de que lo siguiente sea apropiado: a) la identificacién y descripcién (por ejemplo, titulo, fecha, ntimero de referencia); y sus medios de soporte (por b) el formato (por ejemplo, idioma, version del s 7 ejemplo, papel, electrénico); @) la revisién y aprobacién con respecto ala idoneidad fon. 7.63 Control dela informacién documentag La informacion documentada (3.14) requerida sma de gestién de compliance penal (3.31) se debe controlar para asegurarse de que: a) esté disponible y sea iddnea para su ee se necesite; b) esté protegida adecuadamente (: ‘intra pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad). Para el contro! de la informacién hep (3.14), la organizacién (3.20) debe tratar las siguientes actividades, segiin correspon de la legibilidad; ar una decistn en relaci6n al permizo solamente para consultar Ta informacion documentada Fig autoridad para consultar y modificar la informactén documentada (3.14). umentada (3.14) de origen externo que la organizacién (3.20) determina como ‘anifcaci6n y operaci6n del sistema de gestién de compliance penal (3.31) s¢ debe sea adecuado, y controlar. a7 oe enor saenG! SE [AENOR: AENOR AENOR ABNOR AENOR ABNPNE 19601 -26- El anexo C relaciona la informacién documentada (3.14) minima necesaria en un sistem inte compliance penal. Gee “he & puede estar sometida a secreto profesional , Xr un andlisis con el fin de identificar aquellas actividades en cuyo La organizacién (3.20 B¥égos penales (3.29) que deban ser prevenidos, y hacerlo de acuerdo ‘Ambito puedan mate) con el apartado 6.24¢ € Donde el anilisisgde ri 28) realizado por la organizacién (3.20) arroje un riesgo penal (3.29) superior a bajo’en relacién con: = transaggiéi¥g.prevectos o actividades especificas, +, cio actuales o planificadas con determinados socios de negocio (3.32); de personal en posiciones especificas;AENOR -27- PNE 6 Ja organization (3.20) debe valorar la naturaleza y el aleance de dicho riesgo, conterspion tonsilera necesario, la realizacidn de procedimientos de diligencta debida (3.10), los ben actualizados convenientemente. % NOTA Para mas Informaciéa, véase el anexo B. é 8.3 Controles financieros La onganizacién (3.20) debe disponer de modelos de gestién de sus financieros que contribuyan a prevenir, detectar o gestionar riesgos penales (3.29) de eeppyan. wn adecuados para impedir 1a NOTA La orgenizacén (3.20) deberfa implementar aquellos controles financigros 16n (3.20), estos controles orden de deltos en el sean de au actividad Dependtendo del tama pueden inde —exstoneia de ma adecuaa polftca desegregactsn de funcones, = rcutos de aprebaciénneceserios parla gstin de os recurs gps, ~ ipluenacn dstom dacooly estn — (6.26) de emisin deinformactén nancler, — realizacion de auditor‘as (3.3) financiers. 8.4 Controles no financieros La organizacién (3.20) debe contar con sobre las compras, las operaciones, la comercializacién y otros procesos (3.26) ig fnai Jue resuiten adecuados para evitar, detectar 0 gestionar riesgos penales (3.29) de manbigaegmpyina y que aseguren que dichos procesos estén siendo gestionados adecuadamente. La organizaci6n (3.20) debe implemeilar attgyios controles no financieros que resulten adecuados para impedir la comisién de delitos en su actividad. fidih dependiendo de la naturaleza de ta actividad desarrollada por la og que se encuentre expuesta, asf como del tamafio dea tnisma. NOTA? Coalguler actividad, waysliidtelgtin de negoclo puede estar suetaaconroeslnanceresy ao fnanceros NOTA1 Los controles variarén en corganizacién (3.20) y de los re ? control, la organizacién (3.20) debe implantar procedimientos (3.25) tidades: gestiGn de compliance penal (3.31) de la entidad matriz; 0 pias sistemas de gestion de compliance penal (3.31), adaptados a su actividad y AENOR, ‘ABNOR ABNOR AENC AENOR x 5 & & oo _—7 Sak it eePNE 19601 -28- ® a, a cualquier caso, dichos procedimientos (3.25) deben adoptarse siempé™ cuando vege aye y proporeionado en relacién con el riesgo penal (3.29) al que la entidad control cue! 7 Pesta de acuerdo con la evaluaciéa del riesgo (3:26) indlada en el apartado 6.2tde estonia UNE. r Ps A 85.2 Entidades no controladas por la organizacion En relacién con las entidades sobre las que la organizacién (3.20) no tien tiene agin tipo de vinculacién y para las que se haya identificado algiin riesgo penal r que bajo, la organizacién (3.20) debe considerar: — evaluar si los controles implantados por aquellas son suficientes jtar, detectar o gestionar ‘adecuadamente la exposici6n al riesgo penal (3.29); % Sie Vln = sino existen controles previamente implantados por aquellas, la orgaigt n (3.20) debe: 10s penales (3.29), requerir la implementacin de controles que mitiguen tings aquellas, considerar este hecho = en caso de no resultar posible la implementa ‘operaciones con ellas, analizando las ‘en la evaluaci6n del riesgo (3.28) que conlleva d distintas opciones para evitarlo o gestlonarlo. NOTA Se entenderd por vinclalén mantener alg tpo do presencia los Grganos de goblerno dela centidad sin que sigaifique control oTA2 Una organiaci6n (4.20) tiene control sobre otra gece adirectamentecontola ss gestion 8.6 Condiciones contractuales te oreeones contractuales con GG dq negocio (3.32) que supongan un riesgo penal (3.29) mayor que bajo para la misma. ; La organizacién (3.20) debe requerip cl. Y ectcameste oriontadas a reducir el riesgo penal en Precminedos casos inchulr cdusulas que contemplen el derecho a realizar auditorfas NOTA1 Puede resultar convenient NAVE BoO). en caso de no resultar posible la inclusién de dicha cldusula, este hecho (33) por parte de la ong deberia considerarse 8.7 Gestion. fias de los controles Ante deficiencig@ftentintetdas en el sistema de control, ta organizaci6n (3.20) debe tomar mu para remedia ‘or§ejemplo, implantando planes de accién que mitiguen los riesgos (3.28) asociados Geficientes, conforme al apartado 6.2 de esta norma UNE. Jiciencias del sistema en transacciones, procesos (326), actividades 0 cualquier sh con socios de negocio (3.32), donde la organizaci6n no pueda o no esté dispuesta a MSeontroles adicionales, la organizacion (3.20) debe tomar las medidas necesarias para la fl riesgo penal (3.29).AENOR -29- PNE ®@ NOTA Se entiende por medidas de mitigacion las encaminadas a termina, discontinuar, suspendor 9 Roch fransaccién, proceso (3.26), actividad o relacién de nogocio lo antes posible. 8.8 Comunicacién de incumplimientos e irregularidades La organizaci6n (3.20) debe implantar procedimientos (3.25) adecuados pat — faciltar canales de comunicacién para que tanto los miembros de la gf@pizacien (3.17) como ferceros (333) comuniquen de buena fe y, sobre la base de inditjgss Fayapables, aquellas eeerotanciag que puedan suponer a materializacién de un rigsdO Hegel’ (3.29) para la organizacion (3.20), ast como incumplimientos o debllidades del siggeffa de Bebtion de compliance penal (3.31); - garantizar Ja confidencialidad 0 el anonimato de Ja venti ost nas que hagan uso de dichos canales de comunicacién; — permitir la realizacién de comunicaciones de manera “oe ~ prohibir cualquier tipo de represalia, tomando Ia ‘carias para proteger a aquellos miembros de la organizacién (3.17) 0 terceros GB. H@iealicen comunicaciones de buena fe y, sobre la base de indicios razonables, a través de dicitg = garantizar que los miembros de la existentes y los procedimientos (3.25) i funcionamiento; — fomentar el uso de los canales de.confftiijuacio smbros de la organizacién (3.17). NOTA1 Bl procedimtento (3.25) de comunfe Implimlentos e trregularidades reladonados con el sistema de gestion de compliance penal (3.38zpued r parte de otros procedimentos (3.25) de la organizacién (320) Fee orn de incurplfleffos ofrr@gulariades rencionadas con otras materias (por ejemplo, seguridad, NOTA 2 La organlact6n (3.20) po Tizar (3.12) la tramitacion de las comunicactones mediante la contratacign de tna firma externa eindgg establecerse de forma clara en la politica de compliance penal dos del sistema de gestion de compliance penal (3.31) de la por otros medios, tales como refuerzos informales de la direccion con el personal. Las obligaciones de infé (8.24) y procedimientgs (3: organizacién (3.20 durante su trabajo as 8.9 Investigaciénide incumplimientos e irregularidades La organizaeign,(320) debe implementar procedimientos (3.25) que: tigacién de todas las comunicaciones recibidas; to adopeién de medidas adecuadas y proporcionadas en caso de verificacién de dichas a Ce neNOR ee ae ‘AENOR |AENOR ABNOR ABNOR ABNOR AENCPNE 19% -30- ¢ 19601 ¢%, = garanticon que se dispone de recursos con capacidad, autonome independenc Poss reali rarveerones pertinentes, ¥ que todas éreas 0 funciones de la organizaciny| i requeridas, colaboran con ellos; garanticen que el érgano de compliance penal (3:21) esta oportuname! resultados de cada investigacion; = garanticen los derechos del denunclante y del denunciado. NOTA Las medidas a edoptar en easo de no conformidad (3.18) 0 trregularidad variant putlendo incur la adopeldn de medidas discipinaries (desde Ia amones Proporsionar retroalimentacién al personal jnveluerade; comunieacén = ee tualizar os controles del modelo para prevenir que se produzcan stun Mespido dlsciplinario); ridades; ast como mejorar y 9 Evaluacién del desempefio 9.4 Seguimiento, medicién, andlisis y eval 9.4.4 Generalidades La organizacién (3.20) debe determinar: a) a qué es necesario hacer seguimionto (3.3 (3.11) del sistema de gestion de compliance b) quign es el responsable de realizar el se ©) los métodos de seguimiento (3.30), nfgigién (3 asegurar resultados validos; . 4) cudndo se deben llevar a cabo ge (3.30) yla medicién (3.15); e) cuando se deben analizar y eva sultados del seguimiento (3.30) y la medicién (3.15); ajén del seguimiento (3.30) y la medicién (3.15). var Ja evidencia de los resultados del seguimiento (3.30) y medicién (3.15), asf camo lostitife ‘nes de prevencién como informacién documentada (3.14). La organizaci6n ( sluar el desempefio (3.9) del compliance penal (3.5) y la eficacia (3.11) del sistema de gag agyrionce penal (3.31). 9.1.2 Seguil gue se aleugan Tohobjetivos de compliance penal (3.19))- Para ello, a organizacion debe establecer un é fo (8.30) continuo, definiendo los procesos (8:26), programas y recursos del Pp, (3.30) y la informacién que se debe recoger. Se debe hgée a Fento (3.30) del sistema de gestién de compliance penal (3:31) a fin de asegurarAENOR -31- “eS NOTA Et seyuimiento (230) del compliance penal (35) es el proceso (3:26) consistent en recog NOTAZ NOTA 913 La organizacién (3.20) debe estableat para solicitar y recabar opiniones, (3.31) recurriendo a distintas fuer Las opiniones deben servir compliance penal (3.24), NOTA La informacion puede y objetiv el eee ar a efiecta 3-11) del sistema de gestin de compliance penal (334) y, por 10 eset (89) ée compliance penal (3.5) de la organizacin (3.20), tt segutmiento (230) del sfstema de gestin de compliance penal (3:31 iptcamente igs = eficacia (21) dela formacién, — eneada (311) de Tos controes, por empl, a través de las resuliaes degguaisis Safe uns muestra Siguteaivaenfuncin del adsis de riesgo (3.28) realzado, = aaignactén fc (3.21) de responsabdades para cpl con as obigalogGoecoypnce nena (3), —actalizacidn de las obligaciones de compifance penal (3.5), — eteaeta (4:1) en a gestién de falls de compliance poral (3.5) previ entiaencos, = casos en os que nose leven a cabo, seine previto, nspeciones interna ebvadas det ssema degen de Somplionce penal (331). bl oguimiento (3.30) del desempefio (39) de complanggperal ( e ncaye: 309), = casos en los que no se cumplen los requisites (3.27) Ha potttica de compllance penal (3.24) y del co del sistema de gestion de compliance penal (3.31), 5 = casos enlos que no se alcanzan los objetivos degpmgltance penal (3:19), = estado de Ia cultura (3.8) de compliance, = jndtcadores predictives y reactivos establpidos eirapartado 9.1.6 de esta norma UNE. Fuentes de opinion sobre el d je prevencién penal Petar y mantener actualizados procedimientos (3.25) 0 (3.9) de su sistema de gestién de compliance penal te clave de mefora continua (3.16), tanto de la politica de a sistema de gestién de compliance penal (3.31). lpersonal, = los clientes i rosy os ontrol de procesos (3.26) y Tos registro de actividad (Inchuyendo tanto electrGnicos como en ss owep. ae AEWOR ‘AENOR |AENOR ‘ABNOR AENOR ABNOR AENPNE 19601 -32- 9.14 Métodos de recogida de informacion 2 cada organizacién (3.20) debe seleccionar el método de recogida de informaci rages relevante, segiin las circunstancias, teniendo en cuenta los factores que se relacionan ert dos 4.Ly 6.2 deesta norma UNE. NOTA Bjemplos de recogida de informacién incluyen: = observaciones directas,entrevstas formales, visitas alas instalggtiigge Inspecclones: = anditorfas (2.3) y revisiones: = consultas a las partes interesadas (3.23), peticones d ‘piniones recogidas durante la formaciéa, fespectalmentelas de! personal. 9.1.5 Analisis dela informacion La informacién recogida debe analizarse y e' 1¢ forma critica para identificar ol origen y las Le formas alas que se necesitan tomar. Flgpalsigdebe considerar, entre otros, los problemas sistémicos y recurrentes para procedera ejora. 94.6 Desarrollo de indicadores Las organizaciones (3.20) deben desagll mnjunto de indicadores medibles (3.15) que ayuden a cada organizacién (3.20) a medir el I ~SVobjetivos de compliance penal (3.19) y a cuantificar el Gesempetio (39) de su sistema de,ttspign fexgompliance penal (3-31). ¢ resultados de la evaluaciOn de los riesgos penales (3.29) Este proceso (3.26) debe tenezen ‘relacionados con los riesgos penales (3.29) que afronta la para asegurar que los indicd#iRgye organizacién (3.20). “ ia medir y cémo para conocer el desempeto (3.9) del sistema de gestin de rn aaunto complejo en ocasiones, pero, sin embargo, es un factor clave para FRSUEE cicto sistema, Adomds, los indicadores necesarios variardn a medida que lx Blignsde goston de complince penal (331) evolucionen- NOTA1 La determinacién 4 compliance penal (3.3 demostrar 1a of Di 3 nal al que se haya impartido formactén de forma eficaz (3.11), F do mecanismos para obtener opiniones (Incluyendo comentarios sobre el valor de dichos antag por parte de sus usuarios), |o deacciones correctivas (3:1) que se tomaron frente a cada no coaformidad (3.48),AENOR -33- PNE & NOTA3 Rjemplos de indicadores predictivos del riesgo incluyen: = ieggos (2:28) de no conformidades (3.18), a través de la meilelén de la pérdida potoncisp gs 008, falud y seguridad, reputacidn, etc) alo largo del tiempo, = tendencias de no conformidades (3.18) basadas en datos historicos, comparativo lias NOTA4 Bjemplos de indicadores sobre la efectividad: = problemas y no conformidades (2.18) ientificados y comunteados, par tipo Sr , mn ine|figghaloracién del impacto — consecuencias que se han derivado de las no conformidades (3.18), que Pt us efectos, pérdida de he resulte de compensactones monetarias, multas y otras sanciones,cosigy rome ‘epatacién o coste del tempo del personal; 9.4.7 Informes de compliance penal Bl organo de gobierno (3.22), la alta dineccién (3.2) y el dfgaB8 dg, compliance penal (3.21) deben asegurarse de estar correcta y puntualmente inforngages SBQM,eesempero (3.9) del sistema de gestion de compliance penal (331) y de su meéjo ct 16), incluyendo todas las no conformidades (3.18) relevantes, promoviendo 2 na cultura (3.8) de informacién completa y transparente, b) se establecen programas de informes pi NOTA Seria recomendable la realizacion eB epcioasles que facliten informaciin ad hoc sobre las no conformidades (3.16) especialmente’ lucién répida. ry feta a las funciones 0 freas de la organizacién (3.20) pttn Acctones preventivas, correctivas (3.1) y remediadoras; 6) se facilita una informacién e apropiadas, para permitir que pperiodicidad de los informes internos de compliance penal circunstancias de la organizacién (3.20) y @ los factores que se norma UNE. ) se decide el formato, el cg G5) para que sean adeg relacionan en el apart NOTA Lasinformes de compuarseBa} (5) pueden incorperarse en ots informes dela organizacén (3:20) e) todas las no meg relevantes se informan adecuadamente. NOTA Mientras ofS8Bs INGER de problemas sistémicos y recurrentss com parislarmente importantes, Wt ST Micra Hees pul er iguimentspreocupante sles rave odelbeado, Induso wn fle pemuss puese oS uns gran di 1 esos (B28) extents yen el astema do gestion de compliance penal (332), Si no se infor Se rare jedetuetrse que el alo no es elevate para la organizacion aun pudtendo darse a cho fallo se convierta en un problema sistémco. gecontehido de los informes de compliance penal & ce compliance penal (3.5) deben incluir: eet eae, SEEne ae ‘ABNOR: (ABNOR AENOR ABNOR AENOR ARNGPNE 19601 -34- 8 4) cualquier materia relacionada con riesgos penales (3.29) sobre la que Ja organizaciéa, Sido requerida por cualquier regulador o autoridad, incluida la judicial 'b) cambios en las obligaciones de compliance penal (3.5), en su impacto en la orga propuestas para cumplir con las nuevas obligaciones; «) mediciones (3.15) det desempefio (39) de compliance penal (35), incluyende a (3.18) y la mejora continua (3.16); ¢ 4) raimero y detalle de posible(s) no conformidad(es) (3.18) y su andlisi9g poe lgfte: ¢) acciones correctivas (3.1) adoptadas; {) informacién sobre la eficacta (3.11) del sistema de gestién de co Henal (3.31), sus logros y tendencias; {) contactos y desarrollo de las relaciones con Tos reguladords hh) resultados de las auditorias (3.3), asf como de las ac La politica de compliance penal (3.24) debe for 1 evalmente signifeativas que surjan fuera de los periouegvevistos para el informe periddico. 9.2 Auditorfa interna La organizacién (3.20) debe llevar a cabo'yditol a intervalos planificados, para proporcionar informacién acerca de si el sistema de gest pliance penal (3.31): sepmpliance penal (3.5) establecidos por la organizacion PZ penal (3.24) y el propio sistema de gestion de (3.27) de esta norma UNE; = es conforme con los requisitos (3.2% (3.20) a través de su politica compliance penal (3.31) y con log,ggat — se implementa y mantiene efic: ewe encase qusea ncn Pe sieas de esto do aor (2) 2018019012 7 coznora (3:3) neyade orgstact (220) putes var depended hs tent 2 a eats aan de oralenn NOTA Se puoden realizar auditor NOTA2 Se pueden obtener ) scmplementar y mantener uno o varios programas de auditorfa (3.3) que ME os métodos, las responsabilidades, los requisitos (3:27) de planificaciOn y la ‘nfoemes, teniendo en consideracién la importancia de los procesos (3.26) resultados de auditorias (3.3) previas; SFE criterios de la auditoria (3.3),y el alcance para cada auditoria (3.3);AENOR -35- PNE 6) seleccionar los auditores y Hevar a cabo auditorias (3.3) para asegurarse de la objetivi imparcialidad del proceso (3.26) de auditorfa (3.3); pe €) asegurarse de que los resultados de las auditorfas (3:3) se ponen en conocimi gobierno (3.22) y de la alta direccidn (3.2), asi como de otras areas 0 fu efectos de mejorar la prevencién penal; y ¢) conservar informacién documentada (3.14) como evidencia de la imp auditoria y de los resultados de las auditorias (3.3), ‘ foque basado en el Pazocosos (3.26) de revision diciodE Estas auditorias (3.3) deben ser razonables, proporcionadas y realizadagg riesgo (3.28), siguiendoprocesos (3.26) de auditoria (3.3) intern de procedimientos (3.25), controlesy sistemas destinados a detec 1) materializacién de riesgos penales (3.29); 2) no conformidades (2.18) relacionadas con la politica o€ cipplignce ponal (3:28) y el resto acl sistema de gestién de compliance penal (3.31); jliance penal (3.5) susceptibles de 3) fallos en el cumplimiento de los requisites (3.2 wr las conductas desarrolladas tanto constituir riesgos penales (3.29) para la organizacid por el personal como por las partes asociadas; y 4) debilidades 0 postbilidades de mejora en a de compliance penal (3.24) 0 el resto del sistema de gestién de compliance penal (3.3 Para asegurar la objetividad y Ta imparcialfaaade estos programas de auditoria (3:3), la organizaci6n (3.20) se dobe asegurar de que estas audjggrias taigyise llevan a cabo por: = una funcién independiente o una péjs ‘organizaci6n (3.20) especificamente designada para realizar este proceso (3.26); a = el rgano de compliance reed, excepto si el alcance de la auditorfa (83) incluye procedimientos (3.25) © gontrolediie cuya ejecucién directa se ocupe el propio érgano de compliance penal (3.21); bap zrtamento 0 funci6n distinta del que esta siendo auditado; = ungrupo que BY-aiquiera de los definidos en los cuatro puntos anteriores. 1 proceso (2:46) debejasegurar que ningin auditor esté auditando su propia Area de trabalo © al trabajo desarrollatiggpgy él previamente. 6 or el 6rgano de compliance penal tas actividades de supervistén, el 6rgano de compliance penal (3.21) debe evaluar a Oe ouaR. ee ie ‘AENOR ABNOR ABNOR ABNOR AENOR AENOPNE 19601 -36- a) es adecuado para gestionar eficazmente los riesgos penales (3.29) de la organizacién (3: b) esté siendo eficazmente implementado. 1 brgano de compliance penal (3.21) debe informar al drgano de gobierne, i ireccioa (32), 0 a una comision o comité delegado de éstos, a intervalos planiffcadégpg, sietifire que sea en. vio, sobre la adecuaci6n e implementacién del sistema de gestion de can? fenal (3.31), incluyendo los resultados de las investigaciones y las auditorias (3:3)- La organizacién (320) debe conservar informacién documentada (3418) ¢ evidencia de los resultados de las revisiones realizadas por el 6rgano de compliance pe NOTA ta frecuenda de os informes dependerd de los requisites (3.27) dela Giyshizaci ), pero se recomicnda que ea, al menos, anual ¥ oth Usa organlecn (2:20) pue sorvrse de otra organtacn (3:20) para assem larevisin, siempre que 3s crssevecones sean comunicadas deforma apropiada al érgate we penal (324) ‘ 9.4 Revision por la alta direccion e Bay penal (3.21) sobre la adecuacién e Con base en informacién remitida por el érgano de implementacién del sistema de gestién de compliance 1), ineluyendo los resultados de las rastigaciones y las auditorfas (3.3), la alta direccién (3.2) deve realizar. a interya\os planificados, una eer angel sistema de gestion de compliance peggliia.31) dela organizacién (3.20). Esta revisién debe considerar: a) elestado de las acciones de las nll ») los cambios en las cuestiones extegias*e texas que afecten al sistema de gestion de compliance penal (3:31); 4 sccidn previas; 6) la informacion sobre el desely tendencias rrelativas a: no conformidades (3, 1 cs é a é cy denunci ~ anatiis gym ay ‘de compliance penal, 4 =< ¥ os relacionadas con las partes interesadas (3.28), incluyendo las reclamaciones, L se 1a natittaleza y la extension del riesgo penal de la organizacién,AENOR -37- PNE @ 4) las oportunidades de mejora continua (3.16), tanto de la politica de compliance pen: (3.2! del resto del sistema de gestién de compliance penals 6) la adecuaci6n de los protacolos 0 procedimientos (3.25) de compliance pena} (3) {) elgrado en el que se han cumplidoos objetivos de compliance penal (3.19), ¢) la adecuacién de los recursos asignados al compliance penal (3.5); 1) la eficacia (3.11) de las acciones adoptadas para gestionar los sgseos'gysles (329) y las oportunidades. El resultado de la revisién realizada por la direccidn debe incluililga,de relacionadas con las oportunidades de mejora continua (3.16) y cualquier necesidad) ‘tanto en la politica de compliance penal (3.24) como en el resto del sistema de gestién de comple penal @3n. Debe incluir también decisiones acerca de: 1) la necesidad de cambios en las politicas, procedirhi Zontroles asociados al sistema de gestion de compliance penal (3.31 2) cambios de los procesos (3:26) y procedimientos (3.2e}igglgeionados con el compliance penal (3.5) para asegurar su integracin eficaz.con las practicas operacionales y sistemas de la organizacion (8.20); 3) dreas sobre las que hacer segi ormidades (3.18) futuras potenciales; 4) acciones correctivas (3.1) respecto alas "idades (3.18) detectadas; Frenal (3.24), en el resto del sistema de gestion de 5) lagunas o carencias en la politica def@t continua (3,16), tanto a corto como a medio y largo compliance penal (3:31) e iniciatiygsie plazo; ie 6) reconocimiento de comporta jerhplares relacionados con la politica de compliance penal (3.24) y el resto del sistema de te compliance penal (3.31) de la organizacién (3.20) ar informacién documentada (3.14) como evidencia de los izadas por la direccién, debiéndose facilitar una copia al 6rgano de gobierno (3.22). NOTA La revision det side cotfBiance penal (3:31) realizado por la alta dieccin (32) ba de entenderss Soe a proceso (3.26) pb bpibase en et resultado de Inrevisién del sistema de compliance penal (3.31) realizado por ‘ol érgane de cd GAN (G.21) la alta direccidn (3.2) analiza la informacién disponible y adapta las decsiones ‘portunas BAEGL impiontacin y ejnciciéa de los controles y medidas necesarfos para el adeciade Fencionam(eetel sistema de compliance penal (3.31) en la organizaclén (3.20), 9.5 Revi8ign por'el 6rgano de gobierno ey (822) se debe encargar de examinar periédicamente el sistema de gestién de 3. 13 1) con base en la informacién proporcionada por el drgano de compliance penal idireecién (8.2) y cualquier otra informacion que el érgano de gobierno (3.22) pueda et Poh Baku ae ae ‘AENOR -AENOR AENOR ABNOR AENOPNE 19601 -38- La organizactén (320) debe conservar el resumen de la informacién documenta‘ reideneta delos resultados de las revisiones del érgano de gobierno (3.22) 10 Mejora 40.1 No conformidades y acciones correctivas Cuando se detecte una no conformidad (3.18), la organizaci6n (3.20) debe: 2) Reaccionar de manera répida y transparente. Asimismo, en la med soe — adloptar las acclones oportunas para tomar el control dela siQig|GS ffeil y = gestionar las consecuencias, tratando de reducir sus efectos adverso% cay >) Valorar la necesidad de acciones de mejora paragelimiay [AS equses que han ocasionado 1a no conformidad (3.18), de modo que no se reproduzgsi ara ellge! = analizar la no conformidad (3.18), = determinar sus causas, — averiguar si pueden estar produciéndosiftatdg conformidades (3.18) similares o si podrfan llegar a producirse. ©) Implementar las acciones que sean ins ) Realizar el seguimiento (3.30) de I: .doptadas, de forma que se conozca su eficacia (3.11) ola necesidad de acciones adicio @) Realizar los cambios que sea{prptisos dh la politica de compliance penal (3.24) 0 el resto del sistema de gestién de complian '3.31),en caso de que sea necesario. apropiadas para evitar 0 mitigar las no conformidades (3.18) relacién con ella 2) Los resultadiigde laacciones correctivas (3.1) adoptadas. Fro) debe mejorar de forma continua (3.16) la sostenibilidad, adecuacién y eficacia ‘de sa politica de compliance penal (3.24), como del resto del sistema de gestion deAENOR -39- 11 Bibliografia UNE-EN 180 9001, Sistemas de gestién de la calidad. Requisitos. UNE-EN ISO 14001, Sistemas de gestidn ambiental. Requisitos con orfentaciony UNE+ISO 31000, Gestidn del riesgo. Principios y directrices. UNE-1S0 19600, Sistemas de gestién de compliance. Directrices. oy PNE =o — ceuoR ae ee ‘AENOR: ‘AEKOR [ABNOR ‘ABNOR ABNOR AENOPNE 19601 +40- Anexo A (Informativo) Relacién de Ia Norma UNE 19601 con el Cédigo Penal espe Fl siguiente cuadro sefiala los apartados de la Norma UNE 19601 que se, hg 10 Penal espafiol re atbgnados con los requisites que establece el numeral § del articulo 34 bi vigente en el momento de publicacién dela norma ‘ ‘Articuto det Codigo mie i a Texto ‘Apartado dela norm i, | Effentarios informativos 7 c ss x | e¥pecialmente en lo referentea a consideractén de los resultados dela evaiuacién de riesgas penales (3.29) 4,3, Determinacién del alcance del sistema de gest ‘Relative ala identificacton de las actividades en cuyo ambito puedan ser cometidos los delitas a provenir Idensficardn las actividades en ceayo dmbito puedan ser fcometidos os delitos que sdeben ser prevenidos Elapartado, en su conjunto y de manera general, guarda relacton con Identifiar los riesgos penales que afectan ala w Jorganizacién = prganizactén Relative al desarrollo de un andlisis con el finde identificar [aquellas actividades en coyo “mbfto pueden materialigarse riesgos penales (3.29), de acuerdo con al apartado 6.2 31 bis S numeral 1° 2. Diligencia debida v Relativo al establecimiento de los Establecerda los ol procedimientos qu procedimnientos (3.25) que el proceso de 5.1.1 Organo de gobierno ‘concreten el proceso (3.26) de 34 bis § numeral 2° |voluntad de: uriica, formaciéa de la voluntad de ia ‘yde [Parade 8) organizacién (3.20),de tomade Gisionesyejecucténdelas | mismasPNE 1 AENOR Sate ® mages] ee | ee ange Dispondrin de modelos de gestién de los recursos inancleros adecuados pera {mpedir la comisiéa delos delitos que deben ser prevenidos ‘34 bis § numeral 3° 5.1.4, Organo de gobierno ‘Apartado c) penal itera, malbeges y humane suficientes 5.2.3, Alta direccién [Apartado o) gyjados y suficientes Sfilin eficaz (3.11) del sac neg lograrlos ? % ee 63. Objetivas de prevencién de jos a considerar qué retdpios se precisarén, en el nento de planificar emo rar los objetivos de compliance penal (3.19). ‘También en relaciéa con ia disposicion de modelos de pestién de recursos financieros fadecuadas para impedir la Imaterializacion de los riesgos penales (3.29) Relativo ala disposicién de modelos de gesti6n de recursos finencieros que contefbuyan a prevenir, detactar o gestionar Fiesgos penales (329) nmpondrén Ia obligaci informar de posibles rif Incumplimtentos alg encargado de vit funcionamiento y' chy del modelo de prev 31 bis S numeral 4* Relativo a fomentar el uso de procedimtenios (3:25) para la puesta en conocimiento de ‘conductas potenciaimente delictivas [Apartado h) Relativoa la obligacion de PY. paticade compliance penal {nformar sobre hechos 0 conductas sospechosas relatives a rieagos perales (3.29) (88. Comunicacién de Incumplimientos © Irregularidades Relativoa canales de ‘comunicacién y procedimientos [asociados con ellos ¢ Aig reesei stabieeeigh un sistema *Wisciplinario que sancione 31 bis S numeral Ry|adecuadamente el limlento delas medidas 5.1.3. Alta direccién Apartado d) Apartado) Relativoa hacer cumpli, tanto interna como externamente, Ia politica de compliance penal G2, Relativo exponer las ‘consecuencias de ne cumplir con '5.2.Politica de compliance penal. }los requisites de la politics de ‘compliance penal (3.24) y del sistema de gesti6n de compliance penal (3:31) 7.32.1. Diigencia debida com setts 7 lativo a la ado] Fe ie [Reaanoa satgpind® ronan esac cna Proper “y Pee oe BEaSe meee ‘AENOR ‘ABNOR ABNOR ABNOR AENOR ASNOPNE 19601 -42- SE ws ta) Aue de aie ‘Testo ‘Apartado delanorma UNE | Comentariog a Dh Relativo a la evalia toaita 5.1. Organo de gobierno 11) Hiegstema Apartado e) Haglan penal Rppaade 8.7.Gestién de deficoncias de los fediar controles Jos controtes, sarrollo de itoriss (3.8) sobre el sistema 9.2. Auditoria interna eo otance penal svo al resultade de las ictividades de supervision del os nesta poste [igen decomplerer eal econo onal (Sip iets prt banurin na vent, (uavlnade gesting nee aecdny de enter pea 2 cee ewig i infracctones relevantes de sus ide gestién de compliance penal ‘31 bis numeral 6 | disposiciones, o cuando se : (2.31) por parte delaalta apie on | Reson porns rec ee tig poral Peano esta crema oma ol decontrol o en la actividad bs ‘brgano de compliance penal | desarrollada que los hagan (3.21) y el resultado de las coon | RARE TS3 seeotoas Teno alemmen pried Stem de gen Seconallonce BD svoettanoga [Pris pot ated irae s.Revasonporal trode i ptero (ad) eae nla ifeemacinpropereonad or Sane ce compan peal ea Flapartado, en sa conjunto y de manera geaeral, uarda relaciin con las aeciones de mejora ante po conformidaes Ea partly suapartado ¢) se refiere ala 10. Mejora introducei6n de cambios en la politica de compliance penal (G.24) y el sistema de gestién de ‘compliance penal (3:31) en estos eseenariosAENOR B.O Generalidades Fl objetivo de llevar a cabo procedimientos de diligencia debida (3.10 izacién (3.17) es evaluar con mayor, 19) en aquellas actividades que p ralmente, estos procedimientasgpuet bles riesgos penales (3.29), in (3.32) 0 los miembros de la organ alcance de los riesgos penales (3, considerado mayor que bajo. I preventivos y detectivos de p organizacién (3.20) para la toma d La naturaleza, tipo y alcance de lo: tales como la capacidad para obte} coste de obtenci6n de dicha infor: Los procedimientos de diligencia consistentes para los mismos tip detallados para aquellos que supo! B.1. Diligencia debida sobre soci F Se requeriran diferentes tipos de = Aquellos socios de negocio (3, suponen un mayor riesgo (3.28 perspectiva de una potencial re — Bl grado de influencia de la 0 afectar al alcance de las exhaustiva de los socio: fut que de jos clientes. = biisqueda d -43- PNE o,f Anexo B (Informativo) ay Diligencia debida Ch» decisiones. 0 niveles de riesgo gan un mayor riesgo (3. ign (3.20) sobre su: Snes. Por ejemplo, 3) especializado. et ‘ios de negocio Ja naturaleza y el yetuar como controles informacion til a la Jner la informacién pecesafig,g0 procedimientos de diligent@t¥ebida (3.10) dependerin de factores sr Parte de la organizaci6n (3.20), el ) asociado, Bifia organizacién (3.20) deberian ser Sequiriendo andlisis més profundos y *para la organizacién (3.20). cl tipo de socio de negocio (3.32), por ejemplo: dad de actuar en nombre de la organizacién (3.20) #a que los proveedores de bienes o servicios desde la socios de negocio (3.32) también puede ser mds sencillo obtener informacién jgint venture o de agentes comerciales de una organizacién (3.20) VWebida (3.10) sobre socios de negocio (3.32) pueden incluir, por ‘ormein publica sobre el socio de negocio (3.32), sus accionistas y directivos: io| (3.32) en listas de. entidades sancionadas; juudiciales, nacionales o internacionales; oon eae ae ae ‘AENOR ‘AENOR ABNOR ‘ABNOR AENOR AENCPNE 19601 - 44 Pe, S as La organizacton (3.20) podria solicitar al socio de negocio (3.32) en cuestién informacion, gotten funcién de las respuestas proporcionadas. f Tne das at tergexd (3:33) Bitdo Ho exista argo y en organizacin he disponga. En Los procedimientos de diligencia debida (3.10) no son-una herrami nnta perfecta podria exponer a la organizacién (3.20) a una situacién de riesgo (3.28)sau} informacién negativa, del mismo modo que un tercero (3.33) para el que negativa podria no suponer riesgo (3.28) alguno para la organizacién (3.20). cualquier caso, los resultados obtenidos deberian ser analizados con atencidjy4 (3.20) deberia valorarlos con base en Ja informacién y hechos objetivosyde Sefnitiva, la intencidn es que la organizacién (3.20) realice consultas nes razonables ¥ proporcionadas sobre sus socios de negocio (3.32), considerando las 9g icadestfte se van a llevar a vibe y el riesgo (3.28) inherente en las mismas, de modo aug, pedigapear con uns valoracion razonable del riesgo (3.28) al que se expone si entra en dicha rela B.2 Diligencia debida sobre el personal Los procedimientos de diligencia debida (3-10) sobrgy (3.17), dependiendo de las funciones propuestas y el iado, podrian incluir: (ntrevista, procurando obtener una jortancia de la misma; ~ informar sobre la politica de compliance (3.26) d opinion sobre siel candidato parece entender y acepta = verificar la exactitud y veracidad de las cualif s del candidato; = obtener referencias de los responsabli .n puestos de trabajo anteriores; hablemente que la oferta de empleo no responde a soreiénado por el candidato en su empleo previo, o que fa a garantizar un tratamiento favorable injustificado — tomar las medidas necesarlas para asegur Ta devolucién de un favor injustifica 1a oferta de empleo al candidato ny para la organizacién (3.20); ive presente el candidato, especialmente las relactones det = identificar posibles conflicto: inarios publicos (3.13). candidato con la administraAENOR -45- Anexo C (Normativo) Informacién documentada minima necesaria en un sistema de compliance penal e a) Elalcance del sistema de gesti6n de compliance penal (3.31) (4-3) oe b) La politica de compliance penal (3.24) (5.2). ©). La fdentificacin, el andlisis y la evaluacién de rlesgos penal¥@79), promo la metodologfa y criterios utilizados (6.2.5). 4) Los objetivas de compliance penal (3.19) (6:3). = e) La evidencia de la competencia (3.4) existeng Sy) relacion con el personal de compliance (7.3.1). £) La informacién acerca de la formaci6n y otros rec Snibles para mejorar su conocimiento ‘enel ambito del compliance penal (3.5) (74). g) La informacién que la organizacién (3.20) jinado como necesaria para la eficacta (3-11) del sistema de gestiGn de compliance penal 1) h)_ La informacién documentada (3:14) dBGkiggn gxterno que la organizactén (3.20) ha considerado como necesaria para la planificact lion dol sistema de gestion de compliance penal (8.31) (7.63). {) La considerada necesaria paragdlsi fe evidencias que soporten que los procesos (3,26), procedimientos (3.25) y contgoleyse bal Hevado a cabo segiin lo planificado (8.1). j)_ Laevidencia de los resultgdgs imiento (3.30) y medicién (3.15), asi como los informes de prevencién (9.1.1). << Kk) La evidencia de la f Riacion del programa de auditorfa (3.3) y de los resultados de las auditorias (9.2). 1) La evidencia dg,lo ios de las revisiones realizadas por el érgano de compliance penal 03). %® s osyesultados de las revisiones realizadas por la alta direcctén (3.2) (3-21) (9.4). pc SY ecultados de las revisiones realizadas por el 6rgano de gobierno (3.22) (9.5). ee oe oxoe pease ae ‘AENOR AENOR AENOR AENOR AENPNE 19601 -46- Anexo D (Informativo) Implementaci6n del modelo de prevencién penal en las Aff organizacién y en socios de negocio 2 La organizacion (8.20) debe considerar y evaluar le convenient: tr extensiva la timplementacton del modelo de prevencién penal en sus filles sobre (BS St Sais €l control, asi dean gus socios de negocio (3.32), ya que sus actividades podrian qilghar Wi TiS%) (3.28) para la cotfedad, resultando en wna posible responsabilidad penal parg. aa (3.20) en caso de el co comision de delito por parte de a filial o del socio de negocio (3.32 {to de su relacién. Puede considerarse que una organizacién. (3.20) tiene el control otra cuando directa 0 Inalvectamente controla su gestion y posee la mayoria de sus,nggzicipaciones © derechos de voto. Del mismo modo, en relacién a la participacién en una joinfsyeptura o consore's, Se puede entender aque una organizacién (3.20) ejerce el control si tieneyagpay CRS GUe votos en el 6rgano de gobierno (3.22) 0 la mayorfa de las acciones. En este sentido, el Cong be ser valorado, exclusivamente, en fancin del volumen de negocio que la organizacién (3 antiene con sus socios. Es razonable ‘esperar que la organizacién (3.20) que ejerce el cor fueva la adopeién de su modelo de prevencién peral en sus sociedades controladas, 0 bien modelo propio y especifico de las aaene jempre considerando, en todo caso, la evaluacién de la exposicidn al iso (3.28) fruto del aaivue do riesgos levado a cabo por la organizg@@i"4g20), conforme al punto 62. iis de riesgos (3.28) realizado por la matriz ‘asociado es minimo, no serfa necesario tomar x riesgo (3.28) mayor que bajo, se deberfa evaluar prevencién de delitos en dichas sociedades, que operen, #das a cabo en el contexto de la relacidn con la misma. mpihuir el riesgo (3.28) que puede entrafiar para una Bs détegocio con sus socios de negocio (3.32), promoviendo quetdisminuyan su exposicion al riesgo (3.28). En cuanto a las sociedades no controla concluye que no existe riesgo (3.28), 0 el medidas adicionales. Sin embargo, si se a conveniencia de implementar controf al menos, en retacién con las transac El objetivo de este requisite (3.2 organizaciéa (3.20) mantener rel {que sus contrapartes adopten medi Gn (3.20) implantar controles que mitiguen el riesgo (3.28) de 'o socios de negocio (3.32) no controlados, deberia tener en ative en su andlisis de riesgo (3.28) o diligencia debida (3.10) de ‘nitho no implica que la organizacién (3.20) no pueda llevar a cabo BF, f deberia, sin duda, considerar que la sociedad o contraparte no dicha relacién o trai Ii probabilidad de comisién de algin delito que pudiera conllevar controlada esta om e responsabilidad ps ae El hecho de quéetulteyiable o no Ta implementacién de controles o modelos de prevencién penal en las contrapa ‘oladas depende de varias circunstancias, por ejemplo: ont tera viable si la organizacién (3.20) tiene un grado de influencta significativo sobre la MpoF ejemplo, si Ia organizacién (3.20) quiere contratar un agente pars trabajar en su eee a ransaccién en particular, o @ un subcontratista para un trabajo de alcane® Evie, probablemente pueda requerir la implementacién de controles de prevencién de Boales (3.29) como una condicién para la contratacion;AENOR -AT- PNE = podrd no resultar viable, sin embargo, cuando la organizaci6n (3.20) no cuente influencia sobre la contraparte, por ejemplo: ~ dientes, — subcontratistas 0 proveedores especificos propuestos por el cliente, _ — subcontratistas 0 proveedores que tengan un mayor poder de negoc organizacién (3.20) (un ejemplo seria cuando la organizacién compre material fveedor bajo las condiciones de compra del proveedor), = podrd no resultar viable igualmente cuando la contraparte no que} 3s recursos 0 experiencia para implantar dichos controles. El tipo de controles que la organtzacién (3.20) deberia requerir a sUs#¥ontrapartes deberfan ser Fizonables y proporeionales al iesgo (3.28), y dependerén dejgajaturaleza del socio asf como del tipo de riesgo (3.28). Por ejemplo: fe riesgo (3.28) y un aleance del ~ em el caso de socios de negocio (3.32) con una Val requerir 1a implantacién de controles trabajo amplio y complejo, la organizacton (3.205 equivalentes a los contemplados en esta norma UNI ~ en el caso de socios de negocio (3.32) de tamafio ‘media, la organizacién (3.20) podra requey contexto de su relacién de negocio, como formacién a sus empleados, la existentigge u (8.21), reporte, ete; medio y con una valoracién de riesgo (3.28) plantacién de unos controles minimos en el plo una politica de prevencién de delitos, 8 de supervisién (6rgano de compliance penal ios (por ejemplo, agentes o proveedores menores) la acién de actividades de formacién a personal en organizacién (3.20) puede reque i Gntroles sobre transacciones claves y concretas, en el puestos relevantes, y Ia mplat contexto de su relacién de neg “ia a verificar el cumplimiento total de estos requisitos (3.27) de mio, cBitrolados. Sin embargo, deberfa adoptar las medidas necesarias y Pe ol socio de negocio (3.32) cumple razonablemente (por ejemplo, ‘oncione copias de sus politicas y procedimientos (3.25) mas relevantes). (3.28) (por ejemplo, agentes) la organizacién (3.20) podria implantar (3.25) de supervisién que pueden incluir ujos de reporte y auditorfas La organizacién (3.20) sus socios de negocio ( adecuadas para as requiriéndole para En los casos de medidas y pro 33). La imple: /nedidas de prevencién penal requiere generalmente tiempo, por lo que la organizac deberia conceder el tiempo necesario a sus socios de negocio (3.32) para i fadamente, pudiendo trabajar con ellos mientras tanto, aunque considerando 1a fichas medidas durante ese periodo como un factor negativo en su anilisis de riesgo encia debida (3.10). oe _——< ewan oe “AENOR oe [AENOR ABNOR ‘AENOR ABNOR AENCPNE 19601 -48- Anexo E (Informativo) Clausulas contractuales : gocio (3.32) que i Recitte viable, esto es, jegociOt3.32) (por ejemplo, trabajo de gran alcance). Determinadas clSusulas deberfan ser requeridas en los contratos con so stipongan un riesgo (3.28) superior a bajo para la organizacién (3.20), 6a cuando la organizactén (3.20) tenga influencia suficiente sobre el socio fn la contratacién de agentes o de proveedores para realizar un, proy® Estas cldusulas podrfan incluir, entre otras, las siguientes previsiolgg = prohibir expresamente la comisi6n de delitos -tolerancia cero a los rHtSEh avenera directa comoa través de terceros (3.33), en relaciOn.ggn la actividad contratada; = exigir la existencia de un sistema de gestién de coy nal $3.31) 0 equivalente a los efectos de dar eficacia (3.11) al punto anterior; — contemplar el derecho de resolucién de la relaci6r indicado anteriormente o incumplimiento de lo est: penal (3.31). En ocasiones, la organizacién (3.20) no tendrfysufiéighte influencia para inclulr estas clausulas en contratos con socios de negocio (3.32) de negociacién. Si finalmente se firma un contrato en ausencia de tales clausulas hecho'deberia ser considerado como un factor en la ‘evaluacién del riesgo (3.28) que supone dicha acién.AENOR -49- Anexo F (Informativo) dad penal de la ion o escisién, ‘0 absorbida y se Elapartado 2 del articulo 130 del Cédigo Penal espafiol determina que la rfgp persona jurfdica no se extingue a causa de su transformacién, fysioar trasladdndose a la entidad o entidades en que se transforme, qued extiende a la entidad o entidades que resulten de la escisién. J Esta disposicién obliga a extremar precauciones en aquellas Hoyas ‘ocietarias que puedan suponer la traslacién de la responsabilidad penal de la persona jurfdicay lo recomendable adoptar Jas siguientes cautelas: Co. esta norma UNE a los efectos i ¢ staria pretendida, en virtud las gformacién titi a estos efectos. a) Bjercer diligencia debida andloga a la sefialada en de determinar el nivel de riesgo que entrafia ‘entidades que vayan a participar en clla, El anexo B og b) Planificar la implementaci6n de controles que se fel apartado 8.5 de esta norma UNE y evarlos a la practica tan pronto como resulte legalmente posible. ae ewon: seeent SE ABNOR (AENOR ABNOR ABNOR ABNOR AENOR AENO