COMPLIANCE LEGAL

Órgano de Control de Cumplimiento.
PROGRAMA de GESTIÓN para PYMES

RESPONSABILIDAD PENAL DE LOS ADMINISTRADORES

El Compliance está implementado en compañías anglosajonas desde hace tiempo; pero, en España la figura del Compliance Officer, o Director de cumplimiento normativo suscita aún,por su novedad, algunas dudas entre las organizaciones que lo implantan.

     La nueva Reforma del Código penal , hace referencia , a la creación de un órgano de control orientado a prevenir la comisión de delitos .

   El art 31 bis y 286 del Código Penal , describe las condiciones necesarias para la exención de la responsabilidad penal corporativa , con la creación de este órgano independiente , el cual tendrá  poder de control y supervisión de las actividades de la empresa susceptibles de generar responsabilidad penal para ella.
 
    Crear esta figura y organización puede tener unos costes para la empresa. Esta, debe estar dispuesta a asumirlos para  detectar los riesgos e incumplimientos que pueden llevarla a tener que hacer frente a una responsabilidad civil o penal.

    Para ello , hemos creado una herramienta destinada a ayudar a llevar un control exhaustivo ,facilitando la interacción entre el controller y los usuarios, preservando su confidencialidad a unos costes totalmente asumibles.  



OBJETIVOS


1. Dotar a la Dirección de la empresa de una herramienta informática que permita un control eficaz, ágil y transparente de la gestión en la implementación del Programa de Compliance, sin que ello suponga unos costes desproporcionados o inasumibles por el empresario.

   Esta herramienta le permitirá documentar con precisión y sin pérdidas de tiempo ,todas las acciones del Controller y los Usuarios orientado a detectar, prevenir y denunciar los delitos promoviendo una buena praxis entre los empleados en sus actividades internas y externas de la empresa.


2.- Prevenir,formar y controlar las actuaciones de la organización y estructura de la empresa , persiguiendo que los empleados guíen sus actos asentados en un comportamiento ético y ajustado a la legalidad.


3.- Dotar a la empresa de los canales adecuados para la transmisión de las normas, leyes, consecuencias, y prácticas a sus empleados, implementando un canal de “ida y vuelta” en el que queden reflejados todos los aspectos de la seguridad  y sean resueltos tanto los incumplimientos como las negligencias posibles por medio del programa.

4.- El  “responsable de compliance” será una persona física, que puede ser tanto interna como externa a la empresa, pero “distinta” a la dirección.

5.- En el programa quedarán registradas todas las comunicaciones a los usuarios del mismo, sus respuestas en caso de incidencia, y todas las resoluciones que se vayan tomando.

6.- Se hará una comunicación periódica (el plazo recomendado es de una vez cada 30 días ), cuando no haya incidencias notables. En estas se incluirá, para informar a los trabajadores, cualquier cambio o modificación legal que sea susceptible de ser conocida para la buena realización de cada labor..

7.- La realización de toda esta labor, será guardada en el programa para documentar el empeño de los administradores en evitar cualquier tipo de negligencia o delito por parte de sus trabajadores.

8.- Las comunicaciones entre el responsable y los usuarios se hará de forma privada, si el asunto lo requiere, o de forma general, cuando es de interés para toda la organización.

9.- Será de cumplimiento obligatorio responder, informar y documentar cualquier incidencia, o en su caso la inexistencia de ella, en los plazos que la empresa decida.

10.- Nuestro programa ofrece la implementación de todas estas acciones de una forma clara, sencilla y transparente, a fin de dejar reflejado en él todos los acontecimientos posibles, así como su conocimiento y sobre todo prevención para evitarlos.


DOCUMENTACION

La LO 1/2015 de reforma del CP, vigente a partir del 1 de julio de 2015, trae consigo dos grandes cambios en esta materia:
1.- Prevé que la adopción de un plan de prevención de delitos puede ser una causa de exención de responsabilidad penal para la persona jurídica.
2.- Regula de una manera más detallada los requisitos que deben cumplir estos programas.
La LO 5/2010, de reforma del CP, se refería ya a estos programas, previendo que su existencia fuera una circunstancia atenuante si, después de la comisión del delito, pero antes del comienzo de las sesiones del juicio oral, la entidad adoptaba medidas eficaces para prevenir y descubrir futuros delitos.


CONCEPTO

Son muchas las acepciones que se usan para denominar a estos programas: planes de compliance, compliance programa, planes de prevención de riesgos penales, manuales de corporate defense, corporate compliance, programas de cumplimiento normativo, etc. El CP se refiere a ellos como: “modelos de organización y gestión”.
Es conveniente diferenciar entre el plan de prevención de riesgos penales propiamente dicho y el programa de cumplimiento normativo o corporate compliance. Este último contiene al primero. Así, el programa de cumplimiento normativo recoge el plan de prevención y, además, los principios generales y las políticas de la sociedad ante los riesgos penales, el ámbito y los responsables de su aplicación y las actividades de control y supervisión para su correcta aplicación.
A falta de una definición legal, se puede conceptuar el plan de prevención de riesgos penales como un modelo de actuación implantado en una persona jurídica para la prevención y gestión de los riesgos penales, de acuerdo a las necesidades de cada una de ellas.

A) Causa de exención de responsabilidad de la persona jurídica.
1.- Si el delito se comete por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma, el Art. 31 bis 2 CP prevé para que la persona jurídica quede exenta de responsabilidad penal:

“1.ª El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión”

“2ª  Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención.”

2.- Si el delito se comete por quienes estén sometidos a la autoridad de las personas físicas mencionadas en el punto 1, la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.

B) Causa de atenuación de la responsabilidad de la persona jurídica.
En dos supuestos:
• En caso de que, antes de la comisión del delito, la implementación de un modelo de organización y gestión sólo se pueda acreditar parcialmente, se valorará a los efectos de atenuación de la pena. (Art. 31 bis 2 in fine y 31 bis 4 CP)
La FGEº, en su Circular 1/2016, interpreta que “la acreditación parcial no implica una rebaja de las exigencias probatorias sino sustantivas, esto es, que el modelo presenta algunos defectos o que solo se ha acreditado que hubo cierta preocupación por el control, un control algo menos intenso del exigido para la exención plena de responsabilidad penal, pero suficiente para atenuar la pena.”
• Si se han establecido, después de la comisión del delito, y antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica. (Art. 31 bis quater d CP)

MODELOS DE ORGANIZACIÓN Y GESTIÓN

Los modelos de organización y gestión deberán reunir las siguientes condiciones legales mínimas, según el Art. 31 bis 5 CP:

1. ª Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos

La Circular 1/2016 dice al respecto:

«La persona jurídica deberá establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo específico establecidos. Para ello el análisis identificará y evaluará el riesgo por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones, etc., tomando en consideración variables como el propósito de la relación de negocio, su duración o el volumen de las operaciones. En las empresas de cierto tamaño, es importante la existencia de aplicaciones informáticas que controlen con la máxima exhaustividad los procesos internos de negocio de la empresa. En general, pues depende del tamaño de la empresa, ningún programa de compliance puede considerarse efectivo si la aplicación central de la compañía no es mínimamente robusta y ha sido debidamente auditada.»

2. ª Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

La Circular 1/2016, de la FGEº interpreta:

«Tales procedimientos deben garantizar altos estándares éticos, de manera singular en la contratación y promoción de directivos y en el nombramiento de los miembros de los órganos de administración. Además de la obligación de atender a los criterios de idoneidad fijados por la normativa sectorial y, en defecto de tales criterios, la persona jurídica debe tener muy en consideración la trayectoria profesional del aspirante y rechazar a quienes, por sus antecedentes carezcan de la idoneidad exigible».
Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
«La existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención. Ahora bien, para que la obligación impuesta pueda ser exigida a los empleados resulta imprescindible que la entidad cuente con una regulación protectora específica del denunciante (whistleblower), que permita informar sobre incumplimientos varios, facilitando la confidencialidad mediante sistemas que la garanticen en las comunicaciones (llamadas telefónicas, correos electrónicos…) sin riesgo a sufrir represalias».

3. ª Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

La Circular 1/2016, de la FGEº concreta:
«Presupone la existencia de un código de conducta en el que se establezcan claramente las obligaciones de directivos y empleados. Las infracciones más graves, lógicamente, serán las constitutivas de delito, debiendo contemplarse también aquellas conductas que contribuyan a impedir o dificultar su descubrimiento así como la infracción del deber específico de poner en conocimiento del órgano de control los incumplimientos detectados a que se refiere el requisito cuarto».

4. ª Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

La Circular 1/2016, de la FGEº especifica:

«Aunque el texto no establece plazo ni procedimiento alguno de revisión, un adecuado modelo de organización debe contemplarlos expresamente. Además, el modelo deberá será revisado inmediatamente si concurren determinadas circunstancias que puedan influir en el análisis de riesgo, que habrán de detallarse y que incluirán, además de las indicadas en este requisito, otras situaciones que alteren significativamente el perfil de riesgo de la persona jurídica (por Ej., modificaciones en el Código Penal que afecten a la actividad de la corporación)».

El TS aún no ha entrado a interpretar estos requisitos, pero sí ha sido contundente en la primera sentencia condenatoria a personas jurídicas, STS 154/2016, de 29 de febrero, dejando claro que  la presencia de “adecuados mecanismos de control” suponen la existencia de una causa de justificación que le exime de responsabilidad,  porque este requisito forma parte de los elementos objetivos del tipo. Entiende que el sistema de responsabilidad penal de la persona jurídica se basa en “la exigencia del establecimiento y correcta aplicación de medidas de control eficaces que prevengan e intenten evitar, en lo posible, la comisión de infracciones delictivas por quienes integran la organización”. Así, la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal (incluido el supuesto del anterior Art. 31 bis.1 parr. 1º CP y hoy de forma definitiva a tenor del nuevo Art. 31 bis. 1 a) y 2 CP, tras la reforma operada por la LO 1/2015), ha de partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una “cultura de respeto al Derecho”, como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran, que habría de manifestarse en alguna clase deformas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos, tendentes a la evitación de la comisión por éstos de delitos, como posibles antecedentes de esa responsabilidad de la persona jurídica. Y ello más allá de la eventual existencia de modelos de organización y gestión que, cumpliendo las exigencias concretamente enumeradas en el actual Art. 31 bis2 y 5 CP, podrían dar lugar a la concurrencia de la eximente en ese precepto expresamente prevista.


CONTENIDO DE UN PROGRAMA DE CUMPLIMIENTO NORMATIVO PENAL

Conforme a las exigencias legales anteriores, veamos cuál debe ser el contenido de un programa de cumplimiento normativo.Una estructura tipo es la siguiente:
• Introducción: la sociedad definirá los objetivos del programa, y la normativa aplicable para la definición del modelo.
• Ámbito de aplicación: se deberán indicar las sociedades que están sujetas al cumplimiento del programa.
• Antecedentes: recogerá aquellas acciones que se han llevado a cabo con anterioridad a la aprobación y difusión del programa para el control interno o en materia de riesgos penales, como podría ser la distribución del código ético entre los trabajadores o de las políticas relacionadas con procedimientos de la sociedad.
• Plan de prevención de riesgos penales, con el siguiente contenido, que se desarrollarán más adelante:
    – Mapa de riesgos. (requisito legal 1º del art. 31 bis 5 CP)
    – Mapa de procesos.
    – Plan de acción. (requisito legal 3º del art. 31 bis 5 CP)
• Comunicación y Difusión del programa (formación e información): Es fundamental que tanto los responsables del modelo como el resto de la organización conozcan la normativa aplicable. Por ello en este apartado se definirá la vía de difusión del programa entre los trabajadores de la sociedad.
• Canal de denuncias: para asegurar el correcto cumplimiento del modelo, se deberán establecer vías de denuncia en caso de que un miembro de la sociedad detecte incumplimiento de dicho modelo por parte de otra persona de la organización. (requisito legal 4ºdel Art. 31 bis 5)
• Modelo de respuesta (requisitos legales 2º y 5º del art. 31 bis 5 CP): tiene como finalidad la correcta formación de la voluntad de la empresa respecto a las acciones a emprender en caso de posible comisión de un delito o riesgo de que se cometa, o incumplimiento del programa de cumplimiento, para la defensa de sus intereses teniendo en cuenta la normativa legal y su situación procesal.
• Revisiones periódicas y actualización del programa (requisito legal 6º del Art. 31 bis 5 CP): tras las revisiones periódicas que se realicen sobre el modelo, como resultado de cambios en la organización o actividad de la sociedad, así como por cambios en la normativa legal aplicable, cabe la posibilidad de que el modelo deba ser actualizado. En este caso deberán quedar definidos los órganos encargados de establecer y aprobar dichas actualizaciones así como los encargados de realizar su comunicación al personal de la empresa.


FASES DEL PLAN DE PREVENCIÓN DE RIESGOS PENALES

Centrándonos en el plan de prevención de riesgos penales propiamente dicho, en términos generales, el proceso de implantación contempla las siguientes fases:

• 1ª Fase.- Elaborar un mapa de riesgos: se trata de identificar cuáles son los posibles delitos que la persona jurídica tiene riesgo de cometer, tanto los propios de la actividad concreta a la que se dedica, como los comunes, es decir, cualquier posible delito.
Una vez identificados es necesario llevar a cabo una priorización de los mismos en base a lo críticos que puedan llegar a ser esos riesgos. Para ello se analizará la probabilidad de ocurrencia y el impacto que pueda tener en la persona jurídica.
• 2ª Fase.- Elaborar un mapa de procesos: se trata de identificar los procesos en los que pueden cometerse los delitos inventariados en el mapa de riesgos.
• 3ª Fase.-Elaborar e implementar un plan de acción, que recoja, entre otros, los siguientes aspectos:
• Riesgo Penal derivado del Código Penal que potencialmente puede materializarse en la sociedad y para la mitigación del cual es necesario el seguimiento del Plan de Acción que se define.
• Observación/Debilidad detectada en la organización relacionada con los mecanismos de control establecidos para la mitigación del Riesgo Penal.
• Recomendación/Oportunidad de mejora establecido para la mitigación de la posible consecuencia asociada al riesgo penal que pueda sucederse.
• Persona responsable que va a liderar la puesta en marcha de la acción, o bien departamento/área encargado de la misma.
• Plazo previsto para la implantación de la acción definida.

Se debe disponer en todo momento de las evidencias documentales que permitan en un futuro poder demostrar la buena diligencia en materia de prevención de riesgos penales por parte de la persona jurídica.

Se deberá, además, evaluar periódicamente la eficacia de los controles y establecer planes de mejora.


CRITERIOS PARA VALORAR LA EFICACIA DE LOS PROGRAMAS DE COMPLIANCE PENALES

Los únicos criterios existentes hasta la fecha, son los derivados de la literalidad de los preceptos aplicables y los aportados por la Circular 1/2016 de la FGEº, ya que la jurisprudencia aún no ha entrado a valorarlos.

La Fiscalía admite como eficaz un programa que sólo permite reducir de forma significativa el riesgo de comisión del delito, que advierte que obligará al juez a efectuar «un difícil juicio hipotético y retrospectivo sobre la probabilidad que existía de la comisión de un delito que ya se ha producido”. Añade que “aunque la comisión del delito puede interpretarse como una inicial muestra de la ineficacia del modelo, lo cierto es que no puede descalificarse por ello automáticamente un programa por inefectivo. El delito no invalida necesariamente el programa de prevención, que puede haber sido diseñado e implementado adecuadamente sin llegar a tener una eficacia absoluta”.
Estas son las pautas que la circular enumera para que tengan en consideración los fiscales y, en definitiva, servirán de apoyo tanto a los jueces como a los abogados en la valoración y confección de los modelos de organización y gestión.

• Aplicación real y no un «seguro anti-multa».

«La regulación de los modelos de organización y gestión debe interpretarse de manera que el régimen de responsabilidad penal de la persona jurídica no quede vacío de contenido y sea de imposible apreciación en la práctica. Ha de evitarse, por lo tanto, que la mera adopción de estos modelos, que profusamente ofrece el mercado especializado, constituya un salvoconducto para la impunidad de la persona jurídica blindándola, no solo por los actos de las personas de menor responsabilidad en la empresa sino también por los de quienes la administran, representan y hasta diseñan y vigilan la observancia de tales programas».

• Fomento de una cultura ética empresarial.

«Los modelos de organización y gestión no sólo tienen por objeto evitar la sanción penal de la empresa sino promover una verdadera cultura ética empresarial. Por eso, la clave para valorar su verdadera eficacia no radica tanto en la existencia de un programa de prevención sino en la importancia que tiene en la toma de decisiones de sus dirigentes y empleados y en qué medida es una verdadera expresión de su cultura de cumplimiento».

• Las certificaciones son un elemento adicional de valoración más.

«Las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán apreciarse como un elemento adicional más de su observancia pero en modo alguno acreditan la eficacia del programa, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial

• Compromiso por parte de la dirección de la compañía.

«Cualquier programa eficaz depende del inequívoco compromiso y apoyo de la alta dirección de la compañía. El comportamiento y la implicación del Consejo de Administración y de los principales ejecutivos son claves para trasladar una cultura de cumplimiento al resto de la compañía. Por el contrario, su hostilidad hacia estos programas, la ambigüedad, los mensajes equívocos o la indiferencia ante su implementación traslada a la compañía la idea de que el incumplimiento es solo un riesgo que puede valer la pena para conseguir un mayor beneficio económico. La responsabilidad de la sociedad no puede ser la misma si el delito lo comete uno de sus administradores o un alto directivo que si lo comete un empleado. El primer supuesto revela un menor compromiso ético de la sociedad y pone en entredicho la seriedad del programa, de tal modo que los Sres. Fiscales presumirán que el programa no es eficaz si un alto responsable de la compañía participó, consintió o toleró el delito».

• Valoración de carácter primordial o secundario del beneficio.

«Aunque cabe un beneficio indirecto de la persona jurídica, la responsabilidad corporativa no debe valorarse igual en los supuestos en los que la conducta criminal redunda principalmente en beneficio de la sociedad que en aquellos otros en que dicho beneficio resulta secundario meramente tangencial al perseguido por el delincuente. En estos casos, debe tenerse en cuenta que el valor preventivo de un programa de cumplimiento, aun adecuadamente diseñado e implementado, es escaso ante la decisión de cometer un delito y que su carga intimidatoria será más baja que la representada por la propia amenaza de una sanción penal. La mejor vía de prevención de estas conductas es la adecuada selección de directivos y empleados».
• Capacidad de detección de delitos.

«Si bien la detección de delitos no está expresamente incluida en la enunciación ni en los requisitos de los modelos de organización y gestión, forma parte, junto con la prevención, de su contenido esencial. Teniendo en cuenta que cualquier programa de prevención, por eficaz que sea, soportará un cierto riesgo residual de comisión de delitos, la capacidad de detección de los incumplimientos lucirá como un elemento sustancial de la validez del modelo. En consecuencia, los Sres. Fiscales concederán especial valor a descubrimiento de los delitos por la propia corporación de tal manera que, detectada la conducta delictiva por la persona jurídica y puesta en conocimiento de la autoridad, deberán solicitar la exención de pena de la persona jurídica, al evidenciarse no solo la eficacia del modelo sino su consonancia con una cultura de cumplimiento corporativo».

• Circunstancias concretas y extensión del delito cometido.

«La comisión de un delito no invalida automáticamente el modelo de prevención, mas también es cierto que este puede quedar seriamente en entredicho a tenor de la gravedad de la conducta delictiva y su extensión en la corporación, el alto número de empleados implicados, la baja intensidad del fraude empleado para eludir el modelo o la frecuencia y duración de la actividad criminal. Todas estas circunstancias deberán ser tenidas en cuenta para valorar la eficacia del modelo».

• La reacción de la empresa ante anteriores hechos delictivos.

«El comportamiento de la corporación en relación con anteriores conductas es relevante para deducir la voluntad de cumplimiento de la persona jurídica y en qué medida el delito representa un acontecimiento puntual y ajeno a su cultura ética o, por el contrario, evidencia la ausencia de tal cultura, desnudando el modelo de organización como un mero artificio exculpatorio. La compañía podrá acreditar que, aún fallido en el caso concreto, el modelo ha funcionado eficazmente en anteriores ocasiones. La firmeza en la respuesta ante vulneraciones precedentes transmite igualmente a los empleados un mensaje claro de intolerancia ante conductas no éticas. Por el contrario, y a título de ejemplo, el mantenimiento en el cargo de un administrador o directivo que ha sido sometido a un procedimiento penal en el que la comisión del delito ha quedado acreditada, desdibuja un pretendido compromiso ético. Deberá ser igualmente objeto de valoración por los Sres. Fiscales la existencia de anteriores procedimientos penales o en trámite, aunque se refieran a conductas delictivas diferentes a la investigada. También habrá de tenerse en cuenta si la corporación ha sido sancionada en vía administrativa».

• Medidas adoptadas tras la comisión del delito.

«Las actuaciones llevadas a cabo por la persona jurídica tras la comisión del delito han de ser igualmente evaluadas. La adopción de medidas disciplinarias contra los autores o la inmediata revisión del programa para detectar sus posibles debilidades, introduciendo en su caso las necesarias modificaciones, son muestra del compromiso de los dirigentes de la corporación con el programa de cumplimiento».
«Del mismo modo, la restitución, la reparación inmediata del daño, la colaboración activa con la investigación o la aportación al procedimiento de una investigación interna, sin perjuicio de su consideración como atenuantes, revelan indiciariamente el nivel de compromiso ético de la sociedad y pueden permitir llegar a la exención de la pena. Operarán en sentido contrario el retraso en la denuncia de la conducta delictiva o su ocultación y la actitud obstructiva o no colaboradora con la justicia».