6. Planes de acción o remediación
Los planes de acción relacionan los incidentes de cumplimiento y las acciones asociadas para tratarlos (incluyendo hitos, responsables y plazos). Deben contemplar las medidas para gestionar el riesgo y las consecuencias que se aplicarán a quienes hayan generado los riesgos.
7. Monitoring
La monitorización del modelo de cumplimiento legal permitirá mantener su vigencia y utilidad. Se trata de vigilar que las capacidades del modelo de cumplimiento no mermen por el transcurso del tiempo o el cambio de las circunstancias de la organización, tratando de conseguir que el modelo mejore conforme a la experiencia acumulada.
El proceso de monitoring debe realizarse de forma periódica, una buena ocasión para llevarlo a cabo podría ser en la elaboración del reporte de cumplimiento (en el sentido de valorar si los incidentes o riesgos detectados obedecen a debilidades del modelo y reflexionar sobre cómo mitigarlas).
8. Documentación del modelo
El soporte documental del modelo de cumplimiento es necesario para evitar que se degrade, demostrar su adecuación y poder llegar a certificarlo o auditarlo.
Asimismo, debe documentarse también las diferentes decisiones y acciones que derivan del modelo, pues documentar el modelo y el resultado de su aplicación práctica permite constatar su existencia y utilidad.
9. Certificación o auditoría del modelo
La opinión de un tercero independiente sobre la razonabilidad del modelo ayudará a defender a la organización y sus responsables ante incidentes de cumplimiento.
Dado que la inexistencia, la inadecuación o la defectuosa ejecución de un sistema para la gestión del cumplimiento puede reportar responsabilidad personal tanto de los administradores como de las personas que lo gestionan, la revisión de un tercero independiente contribuye a la adecuación del modelo a las exigencias legales o sectoriales y, en consecuencia, a evitar responsabilidades a causa del mismo.
10. Canal de denuncias
Es fundamental que la organización establezca uno o varios canales a través de los cuales los empleados y eventualmente terceros puedan realizar comunicaciones confidenciales relacionadas con el Código Ético, Código de conducta o norma equivalente.
La normativa actual exige además la existencia de estos canales para asuntos relacionados con la prevención de abuso de mercado, protección de datos de carácter personal y la prevención del blanqueo de capitales.
Las funciones de compliance en este ámbito serán dos:
– Intervenir en la supervisión de la tramitación de reclamaciones o denuncias.
– Velar para que los canales de denuncias sean fácilmente accesibles, conocidos, confidenciales y garanticen los derechos de que sean titulares las personas cuyos datos sean tratados, garantizando la no adopción de represalias frente a comunicaciones realizadas de buena fe.