En la actualidad son más las obligaciones legales que deben asumir las empresas dentro de sus procesos operativos para la prevención de riesgos de tipo jurídico y económico. Estás obligaciones ameritan una implementación al interior de las compañías para lograr un buen manejo corporativo; hacemos referencia al Sistema de Autocontrol y Gestión del Riesgo de Lavado de activos y financiación al terrorismo (LA /FT)[1]; el Programa de Ética empresarial[2]; el Programa de gestión documental[3]; la inscripción de las bases de datos en el Registro Nacional de Bases de Datos[4]; la implementación de la Política de tratamiento de datos personales[5] y el Sistema de Gestión de la Seguridad y Salud en el Trabajo, SG-SST[6].
Los anteriores procesos requieren de planeación, gestión, control y en la mayoría de los casos, se requiere personal capacitado para cada uno de los procesos a implementar. Las empresas deben adoptar medidas que garanticen su cumplimiento para poder mitigar riesgos y evitar posibles sanciones a cargo de los entes de control; convirtiéndose en un reto para las empresas lograr el manejo de las diferentes obligaciones legales que surgen con ocasión de los diferentes procesos a implementar dentro del giro ordinario de sus negocios.
Por lo anterior, destacamos la adopción de las siguientes medidas, teniendo en cuenta que previamente a la implementación de cada proceso, se debe determinar si la empresa se encuentra sujeta o no a su cumplimiento a través de un análisis previo:
a) Sistema de Autocontrol y Gestión del Riesgo LA /FT[7]:Se encuentran obligadas las empresas vigiladas por la Superintendencia de Sociedades que en cada corte anual reporten ingresos brutos iguales o superiores a 160.000 (SMMLV), aunque las demás empresas deben acoger las instrucciones como medidas de prevención.Recomendaciones:elaborar una matriz de Riesgo LA/FT para identificar los riesgos relacionados con LA/FT que permita medir y hacer un seguimiento a su evolución; actualizar los formularios de conocimiento del cliente; designar a un oficial de cumplimiento para la elaboración y control del sistema; realizar las capaciones al personal de la empresa y hacer un seguimiento continuo sobre el estado de su cumplimiento, de acuerdo al procedimiento interno que se adopte.
b) Programa de ética empresarial[8]: Son las empresas vigiladas por la Superintendencia de Sociedades que en el año inmediatamente anterior hayan realizado de manera habitual negocios o transacciones internacionales de acuerdo a las situaciones específicas que se establecen en la Resolución 100-002657 de 2016 y en la Circular 100-00003 de 2016 de la Supersociedades. Recomendaciones: los altos funcionarios de la empresa deben elaborar las políticas de cumplimiento para la identificación y prevención de los riesgos de Soborno Transnacional, para lo cual, se hace necesario elaborar un matriz de riesgos y diseñar las medidas a adoptar que deberán ser divulgadas a los empleados de la empresa; se debe nombrar a un funcionario encargado de verificar el cumplimiento de la política y de la realización de los diagnósticos periódicos, que por obligación legal se deben realizar.
c) Programa de gestión documental[9]:Todas las empresas que son objeto de inspección, control y vigilancia por parte de la Superintendencia de Industria y Comercio. Recomendaciones: contratar a una persona capacitada en materia de gestión documental y organización de archivos, quien será la persona encargada de crear el programa de gestión documental, tablas de retención documental, cuadro de clasificación documental, tablas de valoración documental y reglamento interno de archivo; designar al Comité de aprobación; es importante que durante todo el tiempo participe el área legal para verificar los tiempos de conservación de los documentos.
d) Registro Nacional de Bases de Datos[10]: Todos los responsables del tratamiento de las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él.Recomendaciones:identificar las bases de datos que tiene en la empresa; clasificar la información que se encuentra contenida; actualizar la forma de recolección y almacenamiento de los datos personales; capacitar al personal encargado en el manejo de dicha información. Mediante el Decreto 1115 de 2017, se amplió el plazo al 31 de enero de 2018.
e) Política de tratamiento de datos personales[11]:Todos los responsables del tratamiento de las bases de datos que contengan datos personales. Recomendaciones: diseñar e implementar en sus operaciones comerciales la política de tratamiento de datos personales, teniendo en cuenta los requerimientos especiales que establecen las normas; designar a un funcionario encargado para garantizar su cumplimiento; capacitar al personal de la empresa y divulgar a los clientes la política, en especial, realizar su publicación en la página web de la empresa.
f) Sistema de Gestión de la Seguridad y Salud en el Trabajo, SG-SST[12]: Debe ser aplicado por todos los empleadores públicos y privados, las organizaciones de economía solidaria y del sector cooperativo, las empresas de servicios temporales, sobre los trabajadores dependientes, contratistas, trabajadores cooperados y los trabajadores en misión. Recomendaciones: establecer los objetivos de la política; cumplir con los requisitos legales para su elaboración; elaborar una matriz de riesgo y adoptar las medidas necesarias para su prevención; divulgar la política y realizar capacitaciones de manera periódica a los empleados; designar a la persona encargada de su cumplimiento, la cual tiene que estar certificada en el curso virtual del Sistema de Gestión de la Seguridad y Salud en el Trabajo.
Las anteriores recomendaciones están dirigidas a que la empresa logre la articulación de las nuevas obligaciones legales a sus procesos operativos y realice su entrega a los entes de control antes de la fecha de vencimiento. Para lo cual, se hace indispensable la designación de un oficial de cumplimiento o responsable al interior de la empresa que garantice su implementación. Es importante advertir, que las anteriores recomendaciones son generales y dependen de las características propias de la compañía para determinar su implementación.
Luisa Jiménez M.
Abogada consultora Integra Derecho Simple.
Miembro del Centro de Estudios Integrales del Derecho.
[1]Superintendencia de Sociedades. Circular externa 100-000005 de 2014.
[2]Superintendencia de Sociedades. Resolución 100-002657 DE 2016 y Circular 100-000003 DE 2016.
[3]Superintendencia de Industria y Comercio. Resolución 8934 de 2014 modificada por la Resolución 84295 de 2015.
[4]Decreto 1074 de 2015 modificado por el Decreto 1759 del 8 de noviembre de 2016.
[5]Ley 1581 de 2012, el Decreto 1377 de 2013 y Decreto Único 1074 de 2015
[6]Decreto 1072 de 2015, Decreto 472 de 2015, Decreto 171 de 2016, Decreto 052 de 2017, Resolución 4927 de 2016.
[7]Superintendencia de Sociedades. Circular externa 100-000005 de 2014.
[8]Superintendencia de Sociedades. Resolución 100-002657 DE 2016 y Circular 100-000003 DE 2016.
[9]Superintendencia de Industria y Comercio. Resolución 8934 de 2014 modificada por la Resolución 84295 de 2015.
[10]Decreto 1074 de 2015 modificado por el Decreto 1759 del 8 de noviembre de 2016.
[11]Ley 1581 de 2012, el Decreto 1377 de 2013 y Decreto Único 1074 de 2015.
[12]Decreto 1072 de 2015, Decreto 472 de 2015, Decreto 171 de 2016, Decreto 052 de 2017, Resolución 4927 de 2016.
