Close

La prevención del delito: los sistemas de gestión compliance

Juan Carlos Bajo Albarracín,
Presidente del Consejo General de Profesionales Complianc

Javier Cassini Gómez de Cadiz
Auditor Jefe y Director en Prevycontrol, Auditora de SGPRL

Medio: www.legaltoday.com

 

El 1 de julio del 2015 entro en vigor la reforma del Código Penal aprobada por la Ley Orgánica 1/2015 que, entre otros cambios, modifica el artículo 31 bis relativo a la responsabilidad penal de las personas jurídicas.

Con este cambio se regula el régimen de exención o y/o atenuación de la responsabilidad penal de las personas jurídicas a través de la disposición por parte de éstas de sistemas de control del cumplimiento conocidos como “corporate compliance”, si bien el artículo 31 bis da simplemente unas indicaciones de cómo deben ser las metodologías a implantar.

Por ello, dada la transcendencia que para las organizaciones tiene el cumplimiento y la dificultad de interpretar como deben ser estas metodologías, el 22 de enero de este año ha sido publicada por la Circular 1/2016 Fiscalía General del Estado aclarando diferentes aspectos relacionados con la responsabilidad penal de las personas jurídicas.

Si tenemos en cuenta lo indicado en el Código Penal reformado y la Circular de la Fiscalía los sistemas compliance deben:

1.      Ser claros, precisos y eficaces.

2.      Estar documentados por escrito.

3.      Incluir una evaluación de los riesgos y ésta ser realizada por clientes, países o áreas geográficas, productos, servicios, etc.

4.      Controlar los procesos internos, siendo recomendable para las empresas de gran tamaño el uso de aplicaciones informáticas.

5.      Implementar protocolos y procedimientos para implementar la cultura del cumplimiento en las organizaciones.

6.      Disponer de códigos de ética.

7.      Disponer de sistemas disciplinarios contra el incumplimiento.

8.      Disponer de canales de denuncia.

9.      Revisarse periódicamente.

No obstante, como consecuencia de todo esto, las empresas se encuentran en este momento preguntándose cómo realmente deben implementar un “corporative compliance” en sus organizaciones,  hasta dónde deben llegar con sus sistemas y cómo hacer que estos sean operativos.

Para ello, se deben tener en cuenta los siguientes pasos para la implementación de un sistema de cumplimiento:

1.      Lo primero es definir cómo se va a organizar para gestionar el cumplimiento normativo, es decir que persona o personas de la organización van a desarrollar la función compliance, los denominados compliance officers. Para lo cual debemos tener en cuenta lo indicado en el artículo 31 bis que nos indica que las empresas deben desarrollar dicha función por medios internos a través de “órgano de la persona jurídica con poderes autónomos de iniciativa y de control”, si bien cómo indica la Circular de la Fiscalía dada la especialización de algunos temas podrá recurrir a otras entidades externas con conocimientos especializados. No obstante, el Código Penal permite a las “personas jurídicas de pequeñas dimensiones (aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada), las funciones de supervisión sean desarrolladas por el órgano de administración”.

2.      Una vez definida la organización, debemos proceder a realizar la evaluación del riesgo de las diferentes actividades de la organización, teniendo en cuenta que los riesgos para una misma actividad, van a depender de las características de ésta, las áreas geográficas o países donde se desarrollan, las personas que lo desarrollan, etc. Evaluación que nos permite conocer el nivel de riesgo de la empresa y sus necesidades.

3.      Una vez clasificados los riesgos, debemos establecer, para cada uno de ellos los controles necesarios para evitar o reducir la materialización de los mismos e implantarlos en la gestión del día a día de la organización.

4.      Establecer un código de conducta o ético para definir y transmitir a la organización cual es la conducta que se espera de ellos y los criterios a tener en cuenta en sus actuaciones (conflictos de interés, gastos de facilitación, etc.).

5.      Por último y consecuencia de las actuaciones éticas definidas en el código de conducta, establecer un sistema sancionador para los incumplidores que puedan existir dentro de la organización.

A partir de aquí, dispondremos de un sistema de compliance corporativo, pero que requerirá dos elementos importantes para que su implantación sea efectiva:

  • Informar a los componentes de la organización de la existencia del sistema de gestión compliance y formarles para su implantación, así como, para actuar en situaciones que les puedan poner en la tesitura de incumplir, por ejemplo, antes los pagos de facilitación.
  • Revisar periódicamente el sistema, para lo cual una herramienta de gestión adecuada es la auditoría que si bien puede ser interna, el realizarla a través de entidades externas refuerza, en caso de tener que demostrarlo, la calidad e independencia del sistema.

Nos encontramos, por tanto, ante una materia totalmente relacionada con la gestión empresarial, por lo que nos puede ser muy útil basar nuestro sistema compliance en lo indicado en la norma internacional ISO 19600: “Sistemas de gestión Compliance, Directrices” que se basa en los principios de mejora continua (ciclo PDCA) así como en lo indicado en la norma ISO 3100: “Sistemas de gestión del riesgo” como un elemento básico de un sistema compliance, la gestión del riesgo.

Como podemos ver, el hecho de que el incumplimiento en las personas jurídicas esté sancionado penalmente no implica que la función compliance sea una función que requiera experiencia jurídica, sino que requiere experiencia de gestión empresarial como la desarrollada por los gestores de calidad, medio ambiente o prevención y, desde el punto de vista de control la de auditores de sistemas de gestión. No debemos caer en la presuposición de que hablar de cumplimiento, código penal, responsabilidades penales, etc.  estamos ante un sistema jurídico, sino un sistema de gestión empresarial,  no olvidemos que cualquier parte de la gestión empresarial tiene una base jurídica.