Compliance y Código Penal. Preparándonos para el cambio

INTRODUCCIÓN Y MARCO NORMATIVO

El fraude y la corrupción están de actualidad. Todos hemos oído hablar de casos de fraude y de corrupción. Tal vez, los más recientes y de ámbito nacional nos resultan más conocidos, como los casos de Pescanova, SGAE, EREs, Palau o Bárcenas, por citar algunos; pero también los de ámbito internacional, como Parmalat, Oki, Siemens, Worldcom o Madoff. Como repuesta a esta generalización del fraude  y la corrupción,  los diferentes países y organismos internacionales han legislado para evitarlos.

Como estandarte  de lucha contra la corrupción, tenemos que citar a la estadounidense Foreign Corrupt Practices Act (FCPA) o la británica Bribery Act, pero también existen legislaciones similares en Italia o acuerdos internacionales a nivel OCDE. En nuestro país, la Ley Orgánica 5/2010 traía una reforma del Código Penal que introducía como novedades importantes la responsabilidad penal de las personas jurídicas ante una serie de delitos concretos, así como la calificación de la corrupción entre particulares como delito. También establecía como atenuante de esa imputación penal que la persona jurídica hubiese llevado a cabo el debido control sobre los administradores y empleados para evitar la comisión del delito, sin dejar claro en qué consistía dicho “debido control”.

Con el objeto de paliar esa debilidad, el pasado 20 de septiembre, se aprobó, por el Consejo de Ministros, el Proyecto de Ley de Reforma del Código Penal de 1995. Dicho Proyecto implica grandes cambios para nuestro sistema normativo con un objetivo claro: adecuar nuestro Código Penal a las nuevas conductas delictivas del presente siglo.

Las modificaciones aprobadas en el Proyecto de Reforma abarcan múltiples figuras delictivas, como son, entre otras: abusos y explotaciones sexuales de menores, delitos contra la propiedad intelectual e industrial, hurtos y robos, delitos por incendio forestal, asesinatos, pornografía infantil o delitos económicos.

Precisamente, en los delitos económicos mencionados en el párrafo anterior, es donde se encuentra la Reforma del Código Penal que aquí nos interesa. Nos referimos a la mejora técnica realizada al artículo 31 del Código Penal, la cual ha sido efectuada con el objetivo de ampliar la responsabilidad penal de las personas jurídicas ya introducida en nuestro ordenamiento  jurídico en 2010.

Las principales novedades pivotan sobre dos ejes:

•    La exigencia de que las empresas diseñen e implanten una política de prevención para hacer frente a todo tipo de comportamientos fraudulentos que pudieran acaecer en la empresa y poner en riesgo su devenir.

•    El nuevo ámbito subjetivo del precepto abarca a todas las empresas con independencia de su dimensión e incluyéndose ya no sólo empresas privadas, como sucedía en la reforma del pasado 2010, sino también partidos políticos, sindicatos y sociedades mercantiles estatales que ejecuten políticas públicas o presten servicios de interés económico general.

Los únicos eximentes con los que contarán las personas jurídicas en caso de responsabilidad penal, según el nuevo articulado, serán:

1. Que el órgano de administración de la persona jurídica haya adoptado y ejecutado diligentemente y con anterioridad a la comisión del delito un modelo de prevención en el que se cumplan las exigencias legales recogidas en el artículo 31.Bis.5, es decir:

a) Identificación de actividades cuya realización pueda suponer la comisión de alguna de las figuras delictivas que debe ser prevenida.

b) Establecer protocolos de actuación, políticas de empresa o códigos de comportamiento “que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas (…)”, en palabras del propio Proyecto de Reforma.

c) Disponer de una buena gestión de los recursos financieros disponibles para impedir la comisión de los delitos que deben prevenirse.

d) Deber de informar al ente encargado de los modelos de prevención de los posibles riesgos delictivos o cualquier tipo de incumplimiento de las políticas y protocolos corporativos.

e) Establecer sanciones en casos de incumplimiento del modelo de prevención.

2. Que la revisión del funcionamiento y cumplimiento del modelo de prevención se confíe a un órgano de la persona jurídica autónomo en iniciativa y control.

3. Que los autores del delito hubieran actuado con omisión fraudulenta del modelo de prevención implantado.

4. Que la supervisión del funcionamiento y cumplimiento del modelo sea efectiva y suficiente.

Además de todo lo anterior, el texto va más allá y no sólo exige el diseño y la implantación del modelo sino que también será necesaria la revisión periódica del mismo con las consecuentes modificaciones en caso de que fueran necesarias como sucedería en el caso de que se infrinjan sus disposiciones.

A pesar de la claridad de los preceptos legales, en su puesta en práctica por las empresas pueden surgir cuestiones como: ¿Cómo diseñar e implantar ese modelo de prevención? ¿Quién realizará esa función? ¿Una sola persona, un departamento o una empresa externa especializada? ¿Qué características deberá tener? A continuación, vamos a intentar dar algunas respuestas a estas preguntas.

DISEÑO DE UN PROGRAMA DE COMPLIANCE
Aunque la Reforma ya deja claro que será necesaria la implantación de un modelo de prevención de delitos (MPD), la pregunta que nos surge es: ¿cómo diseñar e implantar un modelo de prevención? Los estándares tomados en otros países como consecuencia de la aplicación de las leyes al principio mencionadas, como la FCPA o la Bribery Act, así como nuestra experiencia implantando modelos de prevención de fraude, nos llevan a establecer los aspectos principales que en la implantación de un MPD se deberán tomar en cuenta.

1. Cultura de la organización

La cultura de las empresas frente a los actos delictivos, el fraude y la corrupción, es el eje fundamental sobre el que pivotará cualquier MPD, y tendrá recogidos sus principios en el Código Ético, que será el elemento principal y central de dicho programa. A partir de esos principios, se desarrollará todo el MPD.

El código ético debe establecer de forma clara y concisa las expectativas de la compañía, describir los comportamientos aceptables, y presentar opciones viables para hacer preguntas, presentar quejas o preocupaciones. Además, debe cubrir problemas o áreas de riesgo relevantes para la organización. Al código ético, deberían acompañarle otros documentos, tales como la política de uso del material informático y una política anti corrupción.

Por último, la organización dotará de recursos suficientes para que el desarrollo y el cumplimiento del código ético y del resto de políticas de comportamiento sean efectivos. Aunque el Compliance no es una función empresarial generadora de ingresos, sí se convierte en un elemento esencial de la gestión de riesgos y de una exitosa ejecución de la estrategia establecida por la organización.

2. Análisis de riesgos

Inicialmente, se realizará un análisis de riesgos que sirva a la organización para identificar las áreas donde podría cometerse un hecho delictivo y, además, quién podría cometerlo.

Después de analizar e identificar los riesgos, hay que asignarles una probabilidad de ocurrencia (en función del histórico de fraudes de la organización, de lo habitual en el sector o complejidad), así como determinar el posible impacto (no sólo el financiero, sino también el operacional o el reputacional) que producirían en la organización, obteniendo el mapa de riesgos. A partir de este mapa o matriz de riesgos, se priorizará en la elaboración de los controles de prevención y detección para protegerse de aquellas áreas de riesgo con mayor probabilidad y mayor impacto. Este análisis debe llevarse a cabo de forma periódica y servirá para modificar el MPD en función de los resultados obtenidos.

3. Prevención y detección

Aunque la prevención y la detección son dos conceptos estrechamente ligados, no son lo mismo. Mientras que la prime-
ra está relacionada con las políticas, procedimientos, formación y comunicación que se llevan a cabo en la organización, la detección se fundamenta en las técnicas y actividades que están destinadas a reconocer y detectar la comisión de un hecho fraudulento o delictivo.

Como principales elementos de prevención, debemos citar a la formación, la cual debe ser un elemento fundamental de cualquier MPD, y tiene que tener por objeto que todos y cada uno de los empleados de la organización conozcan y entiendan los riesgos, las consecuencias y qué hacer en caso de sospechas. Además, servirá para hacer ver a los empleados que el compliance es algo próximo a ellos y no sólo una invención de la cúpula de la organización.

Otras herramientas utilizadas y muy útiles son el análisis del background del personal a contratar, en especial del equipo directivo o de funciones críticas -como, por ejemplo, la financierajunto con las correctas evaluaciones de rendimiento y compensación salarial o entrevistas de salida, en las que los empleados ya no tienen miedo a posibles represalias y se expresarán más sinceramente.

Finalmente, las due diligence reputacionales de nuestros socios en otras partes del mundo se antojan imprescindibles, pues debemos saber en todo momento con quién estamos trabajando y quiénes actúan en nuestro nombre.

En cuanto a los elementos de detección, tenemos que decir que tener un MPD visible y conocido por todos los miembros de la organización, es una de las mejores herramientas de disuasión para los comportamientos no deseados. Todos los controles de detección se diseñarán en función de los riesgos detectados y de la matriz de riesgo obtenida, aunque hay que ser conscientes de que nunca se pueden eliminar todos los riesgos de fraude, por lo que los controles que se establezcan tendrán que ser flexibles y adaptables a los continuos cambios de la organización y de su entorno.

Aunque se podría elaborar una larga lista de controles relacionados con todas las áreas de la empresa y otros basados en la revisión continua ayudados por la tecnología, sí queremos hacer una mención especial al control de detección de fraude más efectivo: whistleblower hotline o canal de denuncias. Aunque en España no terminan de desarrollarse, bien por no implantarse correctamente o bien por el arraigo cultural de no “chivarnos” del vecino, el caso es que un canal de denuncias se antoja como el medio más efectivo de detección de fraude o de incumplimiento normativo en las empresas. Para su buen funcionamiento, es necesario que se garantice el anonimato del denunciante, así como que se realice una investigación rápida y concluyente sobre los hechos denunciados.

Por último, es necesario que todos los controles establecidos, tanto de prevención como de detección, sean revisados y auditados periódicamente con el fin de conocer su efectividad y nivel de cumplimiento.

4. Investigación y acciones correctivas

Por último, para un correcto funcionamiento de un MPD, es necesario que cualquier ruptura del código ético sea tratado e investigado por la organización, con la imposición de la correspondiente sanción, multa o incluso acción judicial si fuese necesario, así como que el trato recibido por todos los miembros de la organización sea el mismo, cualquiera que sea el nivel jerárquico que tengan.

RESPONSABLE DEL COMPLIANCE

Por último, como decíamos al principio, la Reforma establece que la revisión del funcionamiento y cumplimiento del MPD se confíe a un órgano autónomo, lo que

podemos conocer como Responsable de Compliance, si bien para las empresas de pequeño tamaño esta figura podrá recaer en la figura del Administrador. La función principal de esta figura será establecer, mantener y vigilar que el MPD es efectivo y consistente con la normativa vigente. No creemos que exista un perfil concreto para este puesto, por lo que cada empresa tendrá que optar por el que mejor se adapte a su perfil. Lo que sí tenemos claro es que tendrá que tener los recursos necesarios para hacer su trabajo, y tendrá que ser dinámico y propenso a los cambios, pues aparecerán nuevos delitos y nuevos riesgos.

En resumen, las modificaciones aprobadas en el Proyecto de Reforma del Código Penal obligarán a todas las empresas a implantar un MPD con el que se protejan de posibles delitos cometidos en el seno de su organización. Este MPD se regirá por los protocolos y códigos de comportamiento  establecidos en el Código de Conducta o Código Ético, habrá realizado un análisis de los principales riesgos, así como habrá implantado los mecanismos necesarios para prevenir y detectar el fraude o los hechos delictivos, así como un protocolo de actuación en caso de que existan sospechas de comisión de algún delito. Además, la empresa dotará los recursos necesarios para que un órgano independiente pueda garantizar el funcionamiento y cumplimiento del programa, que tendrá que ser revisado de forma periódica para adaptarse a los posibles cambios.

De esta forma, las personas jurídicas cumplirán con los requisitos que la Reforma establece como eximentes de responsabilidad penal ante la comisión de un delito en el seno de la organización.

Eduardo Gómez García y Antonio Gómez López

GPartners

Cursos y Libros Relacionados