Un programa de compliance analiza el riesgo para evitar que ocurran irregularidades en la empresa y para que, si se dan, sean descubiertas, investigadas y sancionadas, exonerando así a la organización diligente.

Hago mención a los aspectos generales que suponen la irrupción del nuevo sistema legal de responsabilidad penal de las empresas, el cual no establece una regulación concreta sobre el contenido del programa de cumplimiento o auditoria penal. El modelo optado por el legislador español se ha inspirado en gran medida en el derecho norteamericano, el cual lleva instaurándose en diversos países europeos siendo habitual que los informes oficiales y doctrinales españoles, como los emitidos por la Fiscalía General del Estado y el Consejo General del Poder Judicial, se funden exclusivamente en estándares de cumplimiento normativo como las “Sentencing Guidelines” de los Estados Unidos, país al que debemos acudir para describir los códigos de autorregulación, también llamados “compliance program”, término que en España entendemos que vendría a denominarse “auditoría penal”.

La ausencia de dicha auditoría penal por parte de la empresa supone el primer incumplimiento del deber de control que le exige el legislador en el nuevo artículo 31 bis del código penal, habida cuenta que no existirá el control debido en la actividad empresarial. Dicho programa de cumplimiento efectivo tiene una función principal, aunque no única: eximir o atenuar la responsabilidad penal de la persona jurídica ante un eventual juicio. Dicha exención o atenuación puede manifestarse en tres estadios procesales distintos:

Con anterioridad al inicio del proceso penal: El Juez observará si la persona jurídica tenía implantado un programa de cumplimiento efectivo, valorando la calidad de dicho programa así como otros factores que condicionaran la eventual imputación de la persona jurídica.

Antes de dictar sentencia: El Juez Penal, puede valorar el programa de compliance como una prueba más en el proceso penal ya sea para evitar que la persona jurídica sea declarada penalmente responsable o bien atenuar su responsabilidad penal.

Una vez dictada la sentencia: Según está previsto en el derecho norteamericano, una vez la persona jurídica ya ha sido condenada, si ha resarcido el daño causado y, consecuentemente, ha tomado las medidas necesarias para impedir que se vuelva a cometer la conducta delictiva, se pueden mitigar los efectos de la pena.

Al empresario y a su empresa, se le suman actualmente los incumplimientos penales, además de los ya tradicionalmente regulados incumplimientos derivados del derecho civil, el derecho administrativo, el derecho mercantil, el derecho tributario, el derecho al trabajo y a la Seguridad Social y el derecho al medioambiente. Con ello, ya no sólo se expone a la imposición de sanciones sino a la pérdida de prestigio y reputación.

El Programa de Cumplimiento tiene como función establecer los mecanismos de prevención de cualquier actividad ilícito-penal en el marco de la persona jurídica. Por otra parte es un mecanismo de control efectivo sobre la acciones individuales de los empleados y en consecuencia el programa de compliance puede ahorrar mucho dinero a la empresa:

1. Si la persona jurídica resulta condenada, se expone, por un lado, a lo que la doctrina estadounidense llama “hard costs”, que incluyen desde la multa impuesta por el órgano jurisdiccional, hasta la responsabilidad civil, el pago de honorarios del abogado y del procurador, costas del proceso…
2. Losllamados“softcosts”,consistentesenlapérdidadeproductividadporpartede los empleados, el descenso de la moral o la interrupción en las operaciones comerciales mientras dure el proceso.

3. Laexistenciadeunaauditoriapenalsuponeladifusióndeunaéticaempresarial corporativa positiva, ya que el programa actúa como un potente disuasorio de conductas ilícitas por parte de los empleados.

Como estaba previsto, nuevamente, la última reforma del Código Penal51 concreto y pulió los conceptos y términos que hasta el momento no estaban claros, así como estableció nuevos preceptos. De entre las novedades que incluye la reforma, las más destacables son las siguientes:

1. Concreción de los requisitos,52 en cuanto a contenidos y ejecución que deben contener los protocolos de prevención de riesgos penales de las empresas (compliance), a fin de quedar exentas de responsabilidad penal. Es decir, que aquellas empresas que aún no hayan adoptado una compliance deberán hacerla con adecuación a dichos requisitos; y aquellas empresas que ya hayan adoptado un programa de este tipo deberán verificar que el mismo se adecua a los futuros requisitos.

Dichos requisitos en cuanto al contenido son:

• Identificar las actividades de riesgo.
• Establecer los protocolos de adopción de decisiones y de ejecución.
• Disponer de recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
• Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
• Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
• Verificar de forma periódica dicho contenido, así como su eventual modificación, cuando se detecten infracciones relevantes o se produzcan cambios importantes en la organización, en la estructura del control o en la actividad de la sociedad.Además, la supervisión del funcionamiento y del cumplimiento del programa de prevención debe estar confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control, distinto al órgano de administración. En la práctica, dicho órgano sea posiblemente el de prevención de riesgos laborales, que pasará a serlo también de riesgos penales. Se hace una excepción para las personas jurídicas de pequeñas dimensiones, donde dichas funciones podrán ser asumidas por el propio órgano de administración.

  2. Configuración de un nuevo tipo penal que castigará53 con pena de prisión o multa a los órganos de administración que, ya sea con dolo o por imprudencia, omitan la adopción de dicho protocolo, luego de que se haya cometido un delito en su empresa que habría sido evitado o, al menos, seriamente dificultado, si se hubiera empleado la diligencia debida. Es decir, la compliance deja de ser una opción libre a manos del administrador que quiera atenuar la responsabilidad de su empresa, y pasa a ser obligatoria, del mismo modo que lo son los programas preventivos de riesgos laborales.

  53 Art. 31 ter del Código Penal, introducido por el número veintiuno del artículo único de la L.O. 1/2015, de 30 de marzo, por la que se modifica la L.O. 10/1995, de 23 de noviembre, del Código Penal.

En conclusión la compliance no sólo introduce la ética en la empresa sino que debe en cierta forma intimidar o prevenir la comisión de delitos al establecer fórmulas que eleven las posibilidades de descubrimiento de las conductas irregulares. Ante la comisión del delito el programa de cumplimiento servirá de elemento de defensa, ya que acreditado el delito de la persona física en las condiciones del artículo 31 bis del Código Penal, será la empresa quién tendrá que probar su diligencia para resultar exonerada de responsabilidad penal.

Hace algunos años el término “Compliance” era poco conocido, y solía asociarse al cumplimiento de aspectos más bien formales de las leyes. Pero el incremento en volumen, complejidad y variabilidad de las normas que rigen la vida económica ha producido una evolución del concepto hacía una acepción mucho más amplia y radicalmente distinta. De hecho, se habla de la “función de Compliance”, como área de la empresa especializada en prevenir y detectar incumplimientos de las normas que vienen impuestas obligatoriamente, así como también de las asumidas voluntariamente. Del incumplimiento de ambas se derivan daños económicos y de reputación cada vez más significativos y, por eso, Compliance adquiere una vinculación directa con el desarrollo sostenible de las actividades. Cada vez se toleran menos los modelos de negocio poco respetuosos con las normas o las legítimas expectativas de los grupos de interés y, por eso, los proxy advisors prestan especial atención a las estructuras de Compliance como factor clave de buen gobierno corporativo. El Compliance forma ya parte de la realidad económica y jurídica española, habiendo progresado rápidamente en su curva de madurez.

Iniciativas de esta magnitud corroboran la difusión que está teniendo en España la función de Compliance, más allá de la mera prevención penal, que constituye un capítulo importante de cumplimiento pero no el único a considerar. De hecho, España ha sido uno de los primeros países en traducir e incorporar el estándar ISO 19600 sobre Compliance Management Systems (CMS)54 en calidad de norma nacional (UNE), brindando a cualquier organización directrices reconocidas internacionalmente para estructurar una función de Compliance transversal (superestructura de Compliance), o mejorar un modelo sobre un área específica de cumplimiento. De un tiempo a esta parte, además, Compliance ha irrumpido en el ámbito de la especialización universitaria de la mano de Programas de Postgrado que no sólo enseñan su vertiente más conocida –la prevención penal-, sino también los diferentes ámbitos de cumplimiento que afectan a las organizaciones. Las personas que se dediquen o quieran asumir retos de Compliance disponen actualmente de muchos recursos para alcanzar ese objetivo, incluidas asociaciones profesionales para mantenerse en contacto con compañeros con intereses análogos y compartir conocimiento. Todo eso no existía hace sólo unos años y, por eso, contemplamos la puesta de largo de Compliance en España, sin ningún género de dudas.

Queda, sin embargo, un importante camino por recorrer: el que se vislumbra al amparo de lo recogido en los principales marcos de referencia sobre Compliance. Uno de los cometidos de esta función radica en mantenerse en contacto continuo con las autoridades. Esa relación constante es la que brindará a las administraciones públicas una percepción directa sobre la sensibilidad de cumplimiento de las empresas administradas para, sobre esa base, actuar según su respectivo nivel de riesgo, priorizando sus recursos hacia organizaciones opacas o con niveles de gestión/control aparentemente deficientes. Esta aproximación selectiva, más apalancada en la colaboración que en la confrontación, permite desarrollar una gestión eficiente de los recursos públicos y no despilfarrarlos frente a organizaciones cuidadosas con el cumplimiento de las normas.

En el fondo, es la misma lógica que aplica en la empresa privada cuando, en un entorno de recursos limitado, cabe esperar que desarrolle un risk assessment que le ayude a aplicarlos de manera razonable. De ahí que la función de Compliance esté llamada a desempeñar un rol importante no sólo como interlocutor con el regulador, sino también con las administraciones públicas en general, en línea con el proceso de acercamiento entre administración y administrado que preconiza la OCDE.