Certificación del Compliance

Aquellas empresas que someten sus cuentas a una auditoría deberían también de someter a auditoria su comportamiento, el de sus accionistas, directivos, empleados y socios de negocio. Las cuentas claras sí, pero también claro el comportamiento de las personas, sobre todo de aquellas con más responsabilidad y con mayor exposición al fraude, la corrupción, la administración irregular, la seguridad de las personas y el empleo correcto de los recursos.

Las empresas que disponen de sistemas de gestión certificados para garantizar la calidad o la defensa del medio ambiente, o la seguridad en el trabajo, o la seguridad de sus sistemas de información (1) tienen además la oportunidad de integrar en el marco de dichos sistemas de gestión los relacionados con el compliance y anticorrupción (2).

Del buenismo al buen hacer

Define el diccionario de la RAE el buenismo como la actitud de quien ante los conflictos rebaja su gravedad, cede con benevolencia o actúa con excesiva tolerancia, no basta a una organización disponer del enunciado de unos valores o reflejar éstos en un código de conducta si no se tiene la voluntad de hacer que se cumpla, si no se establecen los medios y recursos imprescindibles para que se cumpla. En este caso cualquier declaración de principios, código ético o plan de cumplimiento es papel mojado, inútil para su propósito.

Tenemos numerosos ejemplos de buenismo en todo tipo de organizaciones, no solo en empresas privadas, también en las empresas públicas, en los partidos políticos, en las organizaciones no gubernamentales, en las instituciones públicas, en las universidades, los colegios, en los institutos de religión… tanto en las que son efímeras o recientes como en las más consolidadas, y hasta entre las que tienen mejor prestigio y reconocimiento social o en el mercado. Basta con asomarse a las noticias cada día para encontrarse con “escándalos de corrupción”, leer con cierto sentido crítico las páginas de economía de los diarios, o hacer cuenta de las informaciones sobre los tribunales de justicia, para descubrir que detrás de tantas irregularidades –presuntos delitos‑ hay un enunciado de valores, un compromiso ético, un código de conducta, declaraciones, promesas, pactos… ¨líneas rojas” que han sido transgredidas.

No son las organizaciones, que también, sino sus responsables quienes tiene que poner la debida diligencia para que se apliquen sus principios con la diligencia debida en sus actividades. Para pasar de las buenas intenciones al bien hacer. Es en este punto donde la certificación de un plan de cumplimiento se convierte en una herramienta importantísima, donde las normas UNE 19601 sobre compliance e ISO 37001 sobre antisoborno se presentan como el mejor instrumento para confirmar que se transmite y aplica de forma transversal en la organización –también entre sus socios de negocio y otras partes interesadas dentro de su contexto‑ el código de conducta y el respeto a la legislación y normativa que les resulta de aplicación.

Protección para la empresa, la institución, sus socios y sus responsables

Un plan de cumplimiento asienta los principios, reduce el fraude, orienta el comportamiento, pero también protege a la organización.

Nos adentramos en el campo de la responsabilidad penal de las personas jurídicas. Si bien es cierto que los delitos los cometen las personas es también cierto que las empresas –y otras organizaciones con excepción del estado, las administraciones, organismos, agencias y entidades públicas‑ pueden ser imputadas y condenadas cuando les afecta la comisión de esos delitos. Y las penas en las que pueden incurrir, económicas, no son solo leves ni las únicas: el cierre parcial, la intervención judicial, y hasta su disolución. Parafraseando las penas personales, desde breves a largas condenas, hasta una prisión permanente o la pena de muerte.

La forma de evitarlo es contar con “modelos de organización y gestión que incluyen las medidas de vigilancia y control” y a esto apuntan directamente los requisitos que establecen las normas que hemos mencionado en el párrafo anterior. Pero no basta con disponer del modelo, tiene que haber sido adoptado y ejecutado con eficacia, y las medidas tienen que ser idóneas, y ser supervisadas, vigiladas y controladas de forma suficiente por un órgano que se haga responsable de ello. Son precisamente estas finalidades y el cumplimiento de los requisitos que son exigencias de la ley (3) los que asientan el contenido de las normas.

Añado, estos modelos deben de estar implantados antes de la comisión del delito, de lo contrario no podrán ser invocados como eximentes de responsabilidad y solo en determinadas circunstancias la persona jurídica podrá atenuar las penas que pudieran corresponderle.

¿Una certificación exime de responsabilidad penal de la persona jurídica?

Cuando en Enero de 2016 la Fiscalía General del Estado publica su Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas en España dedica el apartado 19 de las conclusiones a explicar cómo los fiscales habrán de valorar la eficacia de los modelos de organización y gestión en cada caso concreto y señala que las certificaciones sobre la idoneidad del modelo expedidas por empresas o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán apreciarse como un elemento adicional más de la adecuación del modelo pero en modo alguno acreditan su eficacia, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial.

Asigna la fiscalía valor a las certificaciones, pero como es natural y así lo señala no condicionan la decisión del órgano judicial, único competente en último término para valorar en cada caso la idoneidad del modelo de gestión de la organización en cada caso concreto.

Hay que mencionar no obstante que ésta circular es quince meses anterior a la publicación en mayo de 2017 de la norma UNE 19601 que en el establecimiento de los requisitos y en las orientaciones para la aplicación de los sistemas de gestión de compliance penal ha tenido en consideración lo que establece el Código Penal español y que la propia norma recoge en su anexo A.

Desde la publicación de esta norma es cada vez más frecuente escuchar en el ámbito jurídico opiniones que le otorgan valor. Ya en junio de 2017 el Presidente de la Audiencia Nacional señalaba en unas jornadas (4) que la existencia de un plan de compliance que se ajuste a la norma UNE 19601 si bien “no puede suplantar la valoración judicial” y en consecuencia actuar de forma directa como eximente, sin embargo, según su opinión, “la propia existencia de un certificado de prestigio es importante para los jueces, y debería bastar para cambiar la carga de la prueba a la parte acusadora”, lo que consideraba de gran importancia por cuanto puede evitar el grave perjuicio que provoca a la empresa, también en términos de prestigio, el hecho de que tenga que esperar a la celebración del juicio para la presentación de la prueba. Desde otros foros se ha apuntado la necesidad que puede tener el sistema judicial, ya que no existe tiempo ni formación que permita abarcar todo los conocimientos, de contar con peritajes que puedan dar explicaciones técnicas, y que bien podrían guardar íntima relación con la certificación de un sistema de compliance hecha por tercera parte con la participación de un auditor con la formación y experiencia necesarios como así se exige.

¿Por qué certificar el compliance?

Además del interés por atender los requisitos legales y eventualmente exonerar de responsabilidad penal a la persona jurídica disponer de un plan de compliance certificado reporta un considerable número de ventajas y beneficios para la empresa u organización que tratamos de compendiar en la siguiente relación:

• Mejorar la imagen y prestigio de empresa a nivel internacional y como elemento diferenciador de la competencia.
• Aumentar la confianza, preferencia y fidelidad de clientes y socios estratégicos por las garantías que aporta de seguridad, legalidad en las actuaciones y protección de la confidencialidad comercial, entre otras.
• Proporcionar tranquilidad a los socios y equipos directivos que pueden confiar en la aplicación eficaz de un plan de compliance.
• Contar con una metodología clara y estructurada al establecer un plan de cumplimiento.
• Reducir comportamientos irregulares, contrarios al código de valores de la empresa, potencialmente delictivos o que entrañen algún tipo de corrupción.
• Aumentar la satisfacción y mejorar los hábitos de las personas de la organización al establecer unas reglas claras de conducta y guía en el proceso de toma de decisiones.
• Incrementar de la motivación y rendimiento de las personas.
• Reducir costes derivados de fraudes internos en la organización y mejorar la producción y el servicio evitando comportamientos que reducen la productividad.
• Añadir seguridad a la gestión de los procesos para tratar situaciones de riesgo en casos de conflictos de interés, contratación, gestión financiera, seguridad de las personas, administración, gestión comercial… sustituyendo hábitos o procederes espontáneos o indeterminados en cada caso.
• Evitar posibles imputaciones penales de la persona jurídica afianzando la conformidad con la legislación vigente en aquellas actividades expuestas a determinadas normativas o en el marco de determinados tipos delictivos, como el tratamiento de la información personal, propiedad intelectual, medioambiente, seguridad de las personas, entre otras.
• Asegurar la continuidad de las operaciones de negocio estableciendo formas de reacción en caso de incidentes de gravedad.
• Aplicar una revisión continuada de los riesgos y sus controles conforme a las necesidades de la organización.
• Contar con auditorias externas que ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Integrar el compliance con otros sistemas de gestión: antisoborno, calidad, medioambiente, seguridad, protección de datos.

¿A quiénes interesa certificar el compliance?

Soy un acérrimo defensor de que todas las empresas se guíen por unos valores y que entre ellos destaque el de la honestidad en las personas y el cumplimiento de la ley por parte de la organización; y lo soy por tanto de que todas ellas dispongan y apliquen un código ético y un plan de cumplimiento que impulsen un comportamiento responsable, leal, íntegro, honesto, justo, y propio sin ceder a la tentación de copiar el de otro por simple mimetismo o de caer en el buenismo.

Pero no existe la necesidad de que todas las organizaciones tengan un sistema de compliance certificado aunque hay circunstancias que lo hacen aconsejable, entre otras las de aquellas empresas o entidades que:

• Se sostienen o financian, aunque sea en parte o indirectamente, con donaciones o dinero procedente de fondos públicos o subvenciones, como sería el caso de ONG’s, partidos políticos o sindicatos, asociaciones, fundaciones, centros de formación…
• Tienen importante visibilidad pública, por su carácter, relevancia en el mercado o tipo de actividad, como medios de comunicación, cadenas hoteleras, entidades deportivas…
• Prestan un servicio público, contratan con las administraciones, disponen de concesiones públicas, como gestores de residuos, suministro de agua, servicios portuarios, carreteras y transporte…
• Suministran productos y prestan servicios, o aspiran a hacerlo, a las administraciones públicas o empresas públicas, las que negocian con administraciones públicas.
• En su estructura social u organización tiene vinculaciones internacionales, pertenecientes a una multinacional, con participación accionarial de o en empresas extranjeras o internacionales, con vinculaciones de marca de ámbito transnacional…
• Su actividad tiene transcendencia internacional, con clientes internacionales, que venden, construyen u operan en el ámbito internacional de forma directa o mediante filiales en el extranjero…
• Están particularmente expuestas por su actividad a poder incurrir en determinados tipos de delitos en caso de cometerse irregularidades, como las del sector financiero o inmobiliario que mueven importantes cantidades de dinero, trabajan con efectivo, o en el caso del sector farmacéutico, sanitario, asistencia, viajes…
• Disponen de una extensa estructura con vinculaciones diversas en forma de franquicias, delegaciones, redes, agrupaciones.

Quienes son, o debieran de ser, los primeros interesados en contar con un plan de compliance y su certificación son los socios, y en su representación el órgano de gobierno, y con ellos los equipos directivos para los que constituye un soporte a su gestión y a las responsabilidades que asumen. A ellos compete la responsabilidad de aplicarlo.

Después están los empleados, los socios de negocio, clientes, proveedores, y hasta la sociedad en general en la que lamentablemente es frecuente constatar el malestar que provoca los comportamientos irregulares amparados en el marco de una organización o empresa.

Juan Bosco Gimeno.

Abogado y consultor. Auditor de sistemas de gestión de compliance.

Miembro y auditor de la World Compliance Association

https://compliancelegal.wordpress.com/

(1) ISO 9001. ISO 14001.ISO 45001. ISO 27001.

(2) UNE 19601. ISO 37001.

(3) En España Arts. 31 bis y ss. del Código Penal tras la reforma introducida por la Ley Orgánica 1/2015, de 30 de marzo de 2015. En Perú la Ley Nº 30424, de 1 de abril de 2016. En Argentina la Ley 27401, de 8 de noviembre de 2017.

(4) Artículo de Luis Javier Sanchez en Confilegal del 18 de Junio de 2017.