Algunas ideas más sobre los sistemas de Compliance

Con cierta frecuencia, la primera reacción ante el establecimiento de un sistema de compliance es percibirlo como un conjunto de normas, procesos, controles y personas que pueden generar un elevado volumen de burocracia, impedir que se lleven a cabo actuaciones que deberían estar permitidas y, en general, conllevar dificultades operativas para la empresa.

En realidad, un sistema de compliance correctamente diseñado y ejecutado, no solo debería confirmar la incorrección de tales percepciones, sino que podría representar importantes ventajas, en aspectos tan relevantes como:

• la generación de confianza, tanto para terceros que se relacionan con la compañía como para su personal (por ejemplo, al permitir que el personal de la compañía pueda consultar y conocer con certeza qué conductas son correctas y están permitidas en el desarrollo de sus funciones);

• la certeza sobre los procesos a seguir y las funciones y responsabilidades que corresponden al personal de la compañía en la toma de decisiones (lo que, unido una sistematización en los procesos, puede dar lugar a un mayor grado de agilidad en la adopción de decisiones); y

• la prevención y detección de incumplimientos de obligaciones, así como la posible reducción de sus efectos (tanto para la compañía como para el personal que se ajuste a lo establecido en el sistema de compliance).

En todo caso, para poder diseñar y ejecutar un sistema de compliance de forma adecuada es esencial conocer cuáles deben ser sus características y cuál es el alcance de las obligaciones cuyo cumplimiento se debe supervisar y controlar. Es evidente que la diversidad y complejidad de la normativa existente en la actualidad dificulta esta tarea.

En este contexto, el hecho que la Fiscalía General del Estado haya publicado una Circular en la que pone de manifiesto su interpretación sobre  la regulación de la responsabilidad penal de las personas jurídicas, es una buena noticia, ya que puede contribuir a que las compañías acierten en el diseño y ejecución de sus sistemas de compliance y, por lo tanto, puedan aprovechar las ventajas que pueden resultar de los mismos.

En consecuencia, creemos que es importante destacar las siguientes consideraciones recogidas en la Circular 1/2016 de la Fiscalía:

¿Quién puede causar responsabilidad penal de la empresa?

Las empresas pueden ser penalmente responsables a raíz de las conductas de las siguientes personas:

(a)     sus administradores o representantes legales, tanto si han sido nombrados para ejercer dichos cargos como si llevan a cabo estas funciones sin haber sido nombrados.

(b)     otras personas autorizadas para tomar decisiones, incluyendo los mandos intermedios, los apoderados generales o singulares, y personas en quienes se hayan delegado funciones de organización y control (incluyendo el “compliance officer”); y

(c)     quienes están sometidos a la autoridad de las anteriores personas, incluyendo a empleados de filiales, y a personas con un vínculo mercantil con la persona jurídica, tales como autónomos o trabajadores subcontratados, siempre que se hallen integrados en el perímetro de su dominio social.

Como norma general, la empresa sólo incurrirá en responsabilidad penal si la actuación delictiva de alguna de estas personas físicas es intencionada y dolosa. Las actuaciones imprudentes pueden derivar en responsabilidad penal de la empresa sólo en los delitos relativos a “insolvencias punibles”, a “recursos naturales y el medio ambiente”, a la “financiación del terrorismo” y al “blanqueo de capitales”.

En el caso de conductas de representantes legales, de las personas autorizadas para tomar decisiones en nombre de la persona jurídica, o de las personas a las que se les hayan encomendado funciones de organización y control, la empresa sólo quedará eximida de responsabilidad penal si acredita que el delito fue cometido eludiendo fraudulentamente el sistema de compliance. En el caso de delitos cometidos por personal subordinado no será necesario probar esta circunstancia, pero la Fiscalía advierte que la existencia de un sistema de compliance sólo exime de responsabilidad a la empresa si el mismo es eficaz, y que en general se considerará no eficaz cualquier sistema que pueda ser quebrado sin que se incurra en algún tipo de fraude.

La existencia de beneficio para la empresa no es condición sine qua non

Para que exista responsabilidad penal de una persona jurídica no es necesario que la empresa obtenga un beneficio como consecuencia de un delito cometido por una de las personas indicadas con anterioridad, es suficiente que la actuación delictiva de la persona física pretenda beneficiar a la compañía de manera directa o indirecta. No obstante, la Fiscalía reconoce que la responsabilidad corporativa no debe valorarse igual en los supuestos en los que la conducta criminal redunda principalmente en beneficio de la entidad que en aquellos casos en los que dicho beneficio es secundario respecto del objetivo perseguido por la persona que actuó incorrectamente.

El hecho de que una persona jurídica pueda ser penalmente responsable por delitos que le representen un “beneficio indirecto” implica que puede existir responsabilidad cuando el beneficio se ha obtenido a través de un tercero o en el caso de que el beneficio sea intangible.

Los sistemas de compliance

En cuanto a las condiciones y requisitos que deben cumplir los sistemas de compliance, la Circular señala que:

(a)     deben ser claros, precisos, eficaces y estar redactados por escrito, así como contar con recursos financieros adecuados y con el inequívoco compromiso y apoyo de la alta dirección de la compañía para trasladar una cultura de cumplimiento al resto de la entidad;

(b)     deben apoyarse en una evaluación de riesgos adecuada a la actividad de la empresa y establecer aplicar y mantener procedimientos eficaces de gestión de dichos riesgos;

(c)     no deben ser desarrollados y ejecutados sólo para evitar la sanción penal, sino que deben representar un compromiso firme de disuadir conductas criminales y promover una verdadera cultura ética corporativa. En este sentido, debe obligarse a respetar el sistema de compliance en la toma de decisiones de empleados y directivos, y evitarse los sistemas con finalidades meramente cosméticas (el denominado “make-up compliance”). Por ello, la Fiscalía se pronuncia especialmente en contra de los sistemas que son meramente una reproducción de los adoptados por otras empresas;

(d)     un sistema de compliance puede seguir siendo válido aunque se haya eludido y se haya cometido un delito; pero para beneficiarse de la exención de responsabilidad la empresa deberá acreditar que el sistema es, en términos generales, adecuado para prevenir y detectar dicho delito. Por otra parte, la Fiscalía también señala que la detección y denuncia del delito por parte de la empresa debería ser tomada en consideración como prueba de la existencia de una verdadera cultura de cumplimiento y, por lo tanto, implicar la exención de responsabilidad penal de la misma;

(e)     en las empresas de cierto tamaño (sin que la Circular aclare cuál debe ser el criterio para establecer el tamaño de la empresa) el sistema de compliance debe contar con aplicaciones informáticas que controlen con la máxima exhaustividad los procesos internos de negocio de la entidad;

(f)      es esencial que cuenten con canales adecuados de denuncia de incumplimientos. Para ello, la empresa debe contar con una regulación protectora del denunciante, que le permita informar sobre incumplimientos asegurando la confidencialidad de su denuncia y la ausencia de represalias;

(g)     deben incluir un sistema disciplinario que sancione adecuadamente las infracciones que se cometan. También debe sancionarse la infracción del deber de denunciar incumplimientos y las conductas que contribuyan a impedir o dificultar el descubrimiento de infracciones. La Fiscalía señala, además, que para valorar el compromiso de la empresa con la detección y prevención de delitos, es esencial analizar su comportamiento frente a las conductas infractoras de su sistema de compliance; y

(h)     deben contemplar expresamente su revisión periódica, así como especificar en qué circunstancias debe ser inmediatamente revisado. La revisión inmediata se exige cuando se produzcan infracciones sustanciales del sistema, en caso de cambios relevantes en la organización, la estructura de control o la actividad desarrollada por la empresa o cuando concurran circunstancias que puedan influir en el análisis de riesgo de la entidad.

La Circular recuerda que si el sistema de compliance presenta defectos, o si la empresa únicamente puede probar cierta preocupación por el control de delitos, la existencia y funcionamiento del sistema de compliance no operará como eximente de la responsabilidad penal, pero podrá implicar la atenuación de la pena que se imponga a la persona jurídica.

Además, según la Fiscalía, las certificaciones emitidas por empresas o asociaciones evaluadoras o certificadoras, indicando que el sistema de compliance cumple con las condiciones y requisitos establecidos en el Código Penal, podrán ser consideradas como un elemento adicional de la adecuación del sistema, pero no acreditarán en sí mismas su eficacia.

Cuestiones sobre el compliance officer

En relación con la figura del compliance officer, la Fiscalía aporta ciertas ideas a destacar:

(a)     La supervisión del sistema de compliance debe encargarse a un órgano específico que puede ser unipersonal (compliance officer) o colegiado (compliance committee). El sistema, en todo caso, debe permitirles ejercer sus funciones con plena autonomía.

(b)     El compliance officer debe participar en la elaboración de los sistemas de compliance y asegurar su buen funcionamiento, estableciendo procedimientos adecuados de auditoría, vigilancia y control. Para ello deberá contar con personal con conocimientos y experiencia profesional suficientes, disponer de los medios técnicos adecuados y tener acceso a los procesos internos y a la información necesaria sobre las actividades de la empresa.

(c)     El compliance officer puede delegar algunas de sus funciones en otras personas u órganos, siendo incluso posible la externalización de algunas de dichas funciones (como las relativas a la gestión del canal de denuncias, que la Circular señala que pueden ser más eficaces en caso de que se efectúe por una empresa externa).

Como hemos visto anteriormente, la actuación del compliance officer puede generar responsabilidad penal para la empresa, al igual que la actuación de otras personas autorizadas para tomar decisiones.

Por otro lado, según la Fiscalía, si el compliance officer omite de forma grave el control de sus subordinados, puede generarse responsabilidad penal tanto para la empresa como para el propio compliance officer. Dicho esto, la Fiscalía añade que la responsabilidad del compliance officer no es mayor que la de otros directivos de la empresa, y clarifica que la posición especial del compliance officer deriva del hecho de que puede tener más conocimiento de la comisión de hechos delictivos dada su responsabilidad en relación con el canal de denuncias y que, por tanto, tiene más posibilidad de impedirlos con su actuación.  En todo caso conviene recordar que la responsabilidad personal se genera en caso de omisión grave del deber de control. En general, señala la Circular, ello supone que quedan fuera del ámbito penal los incumplimientos de escasa entidad (no graves).

Además, según la Fiscalía, las certificaciones emitidas por empresas o asociaciones evaluadoras o certificadoras, indicando que el sistema de compliance cumple con las condiciones y requisitos establecidos en el Código Penal, podrán ser consideradas como un elemento adicional de la adecuación del sistema, pero no acreditarán en sí mismas su eficacia.

Conclusión

A título de conclusión, cabe destacar que para que una empresa quede exenta de responsabilidad penal, debe probar que su sistema de compliance existe y funciona de forma efectiva, que es acorde con las condiciones y requisitos establecidos en el Código Penal y que el delito se cometió eludiendo dicho sistema, y que no ha existido incumplimiento grave de las obligaciones de supervisión y control.

Sin perjuicio de lo anterior, cabe por último destacar que, si bien las instrucciones de la Fiscalía pueden ser consideradas como de obligatorio cumplimiento para los fiscales y son una referencia muy útil para la confección de los sistemas de compliance de las compañías, las mismas no deben ser interpretadas como normas reglamentarías con efectos directos para terceros; en especial, para los jueces, quienes en la adopción de sus decisiones podrán seguir criterios con matices distintos a los expuestos en la Circular.