En este artículo explicaremos qué son los procedimientos de compliance y qué beneficios pueden aportar a las empresas.
El 23 de diciembre de 2010, al entrar en vigor la Ley Orgánica 5/2010, de 22 de junio, de reforma del Código Penal, se introdujo la responsabilidad penal de las personas jurídicas en su artículo 31 bis. El establecimiento de esta nueva categoría de los autores de delitos quedó finalmente perfilada a través de la Ley 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal que profundizó en el desarrollo de la figura de la responsabilidad penal de la persona jurídica. Hasta esa fecha, la responsabilidad penal de las personas jurídicas se anclaba en un principio ineludible: “societas delinquere non potest”, brocardo latino inventado por el penalista alemán Franz von Liszt, por el que se concluía que solo las personas físicas podían ser sujetos activos de un delito y, en consecuencia, únicamente podrían sufrir penas, esto es, “societas puniri potest”.
La normativa anteriormente citada introdujo, a fin de que en la empresa la responsabilidad se pudiera exonerar o cuanto menos reducir el riesgo de su comisión, la necesidad de implantar en las compañías los oportunos modelos de organización y gestión que introdujeran en la realidad societaria medidas de vigilancia y control idóneos. Dicha supervisión, según la norma, se deberá llevar a cabo por un órgano de control con poderes de autonomía e iniciativa además de contar, tal y como también señala la Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015, mediante los oportunos medios materiales y humanos a fin de poder cumplir fielmente con el cometido.
Prevención de riesgos penales de la empresa
Además, los sistemas de prevención de riesgos penales pueden generar los siguientes beneficios: el establecimiento de una metodología sistemática y probada que permite optimizar la capacidad de prevenir, detectar y corregir cualquier riesgo penal, ayudando, en cualquier caso, a la toma de decisiones, la gestión de grupos de interés mediante el ofrecimiento a los órganos de gobierno y accionistas una tranquilidad ante el riesgo penal y, obviamente, y con carácter principal, la minimización de responsabilidades, a través de la posible acreditación de haber ejercido el debido control ante hipotéticos procesos penales.
Se recoge en el artículo 31 bis.2 del CP la posible exención de la responsabilidad si se han llevado a cabo los oportunos procedimientos, los cuales deben tener como características esenciales a fin de ser programas válidos y relevantes, las notas de idoneidad y ejecución eficaz.
Para que el modelo de organización y gestión pueda ser eficaz, deben cumplirse con los requisitos previstos en el artículo 31. Bis 5 CP así como las aclaraciones añadidas por la Circular de la Fiscalía y la jurisprudencia del Tribunal Supremo a raíz de su primera Sentencia dictada el 29 de febrero de 2016, esto es, la Sentencia de la Sala de lo Penal número de recurso 10011/2015.
Esto es, el programa debe identificar correctamente las actividades que lleva a cabo la empresa (evaluando, incluso, riesgos por clientes, productos o servicios, etc), establecer los oportunos protocolos y procedimientos que concreten la formación de la voluntad en base a estándares éticos interiorizados por la compañía, cuidando especialmente el nombramiento de sus empleados, establecer los oportunos modelos financieros con su oportuna partida presupuestaria, la imposición de la obligación de informar sobre los posibles riesgos e incumplimientos (procedimientos de información integrados, y entre ellos, cobra especial importancia, el canal de denuncias), el establecimiento de un sistema disciplinario y se lleve a cabo una verificación periódica de dicho modelo a fin de adaptarlos a realidad cambiante de la compañía a lo largo de los años. Añade, además, la Fiscalía a través de la Circular 1/2016 citada anteriormente la necesaria existencia de un código de conducta o código ético (principios a seguir implantados por la propia compañía) de sus directivos y empleados.
¿En qué consisten los programas de gestión de compliance?
Gracias al proceso de normalización llevado a cabo por la Organización Internacional de normalización (ISO) disponemos de un marco de referencia en España adaptado a los requisitos legales del código penal: el estándar UNE 19601, como estándar internacional por excelencia. Dicha normativa será el marco de referencia, con directrices y requisitos mínimos, para diseñar un programa de compliance eficaz.
Cabe decir que dichos sistemas solo serán realmente eficaces si su diseño es acorde con el perfil de la organización, mediante la optimización de los recursos o el aprovechamiento de los que ya existen.
Podríamos definir los siete pilares de cualquier sistema de compliance en los siguientes:
- Tone from the top: implicación desde la cúpula implica la necesidad de liderazgo que haga efectivo cualquier sistema de gestión de compliance y el oportuno proceso de transformación de la cultura de la compañía. Por parte del órgano de administración o la alta dirección tiene que haber un apoyo explicito y absoluto compromiso en la implementación eficaz de las oportunas políticas y sistemas de gestión a fin de ser ejemplarizante respecto al resto de intervinientes en la compañía.
- Objetivo y política del Sistema de Gestión de Control: código ético o código de conducta a fin de definir las pautas de comportamiento adecuadas de la estructura organizativa (funciones, riesgos, roles de sus miembros).
- Identificación y gestión de riesgos: partiendo de que la idea del riesgo cero no existe, tal y como la propia UNE 19601 admite, debe llevarse a cabo una gestión del riesgo a fin de evaluar, clasificar y definir cuáles son los riesgos que tendremos que gestionar mediante una estrategia de planificación organizada, las colaboraciones precisas y una metodología acorde con la idiosincrasia de la compañía. Será importante identificar aquellos entornos donde el riesgo resultaría inaceptable y, en el resto, dar el oportuno tratamiento a fin de mitigar todo lo posible el mismo. En este punto, la norma ISO 31000 estipula la posibilidad de adoptar siete respuestas diferentes frente al riesgo.
- Controles de compliance: implementación de las políticas, procedimientos y controles de la organización a fin de detectar o mitigar el riesgo. Dichos controles deben encontrarse integrados en la organización y nos permitirán llevar a cabo los cambios que resulten oportunos.
- Comunicación y reporte en compliance: se tendrá que reportar a la alta dirección cualquier cambio que se vaya produciendo en la implantación del sistema así como la propia dirección tendrá que ir implementándolos en base a la información tanto interna de la compañía como externa.
- Vigilancia y acciones correctivas: El sistema de compliance va más allá de ser un puro sistema de prevención de delitos sino que también debe poder recoger la posibilidad de implantar un sistema de acciones correctoras dentro la organización. En este punto, es interesante que se lleven la implantación de canales para que los empleados o terceros puedan comunicar cualquier circunstancia relativa a cualquier anomalía de la función del sistema (reporte ordinario o canales de denuncia anónimos).
- Monitorización y auditoría: Es fundamental que el sistema, una vez nacido e implantado, cuente con supervisiones y monitorizaciones periódicas a fin de hacerlo eficaz a largo plazo.
En Futur Legal somos expertos en compliance y podremos orientarte sobre la necesidad de implantar este sistema en tu empresa.