¿Sirve tu programa de cumplimiento para la exoneración penal? Los ‘paper compliance’
No es difícil intuir que muchos de los programas de compliance que se están implementado en las empresas, lo están haciendo bajo parámetros meramente estéticos. Es, hasta cierto punto comprensible, en ningún caso excusable, que una cultura empresarial tradicionalmente reactiva al cumplimiento normativo acoja las nuevas obligaciones en materia de prevención de riesgo con la misma actitud.
A ello, no ha ayudado el hecho de que, al menos en España, la necesidad de implantar modelos de cumplimiento y ética haya sido una consecuencia directa de introducir, vía Código Penal, un marco punitivo con duras consecuencias para las empresas que no prevean el delito en su seno.
En cierto modo, podría decirse que en el remedio está la enfermedad. No cabe ninguna duda que la responsabilidad penal empresarial ha sido un revulsivo para introducir el compliance mucho mayor que el que hubiera aportado cualquier otra recomendación o reforma legal menos punitiva. Pero, del mismo modo, conlleva la percepción de que el compliance es algo cuya finalidad es evitar la sanción judicial.
Este temor ha sido siempre perceptible por los operadores de la responsabilidad penal corporativa. De hecho, fue la propia Fiscalía General del Estado la que, en los inicios titubeantes de la responsabilidad penal corporativa, ya advertía en la Circular 1/2011 (Relativa a la responsabilidad penal de la persona jurídica) de los riesgos de los programas de compliance meramente cosméticos.
Siete años después y tras muchos esfuerzos invertidos en crear en las empresas un concepto tan extraño para ellas como es el de la cultura de cumplimiento, aún les queda por superar la prueba más dura: El test de la eficacia de sus programas de compliance ante los Tribunales.
Cualquier que siga la actualidad de la jurisdicción penal en materia de delitos corporativos verá como la mayoría de las sentencias habidas hasta ahora se centran en empresas que carecían de programas de cumplimiento. Con lo cual, la cuestión era relativamente sencilla ya que no implicaba la necesidad de evaluar la eficacia de los modelos de prevención de delitos de la empresa.
A medida que las empresas han incorporado a sus modelos de gestión los programas de ‘compliance’ el foco de atención se va a desplazar a la evaluación de la eficacia de dichos programas.
A medida que las empresas han incorporado a sus modelos de gestión los programas de compliance el foco de atención se va a desplazar a la evaluación de la eficacia de dichos programas. En otras palabras, la exoneración penal dependerá de si el programa implementado por la empresa era eficaz, en términos del Código Penal, “para prevenir delitos de la misma naturaleza” al que es objeto de investigación.
La tarea no va a ser fácil tampoco para abogados, fiscales o jueces sumidos en procedimientos penales cuyo quid de la cuestión sea evaluar la eficacia del modelo de prevención.
Mucho se está debatiendo aún al respecto de la eficacia de los programas de compliance como exoneración de la responsabilidad penal. Se trata de una cuestión con una perspectiva jurídica amplia y compleja que impide abarcarla aquí de una forma exhaustiva. No obstante, es conveniente que quienes tienen responsabilidades en la función de compliance, consultores, compliance officers y, en general, cualquiera con responsabilidades de prevención y control en la empresa tengan determinados conceptos presentes.
En este sentido hay ya algunas incógnitas despejadas como es que la sanción penal para la empresa por delitos cometidos en su seno es consecuencia directa de no haber adoptado un modelo de gestión con medidas de eficaces de prevención del delito. Esto implica que el foco de la investigación penal para la empresa se pondrá en la eficacia de su modelo de prevención de delitos o, mejor dicho, de compliance.
¿Por qué decir mejor compliance que no prevención de delitos? Porque uno de los mayores errores que se cometen en la prevención de delitos es entender que las medidas de control y prevención deben ir encaminadas a evitar las consecuencias penales de las acciones de sus empleados y directivos. A priori, parece que esta debería ser la razón de ser de las medidas de prevención. Sin embargo, la adopción de un modelo de prevención desde la perspectiva de la neutralización de las consecuencias legales se ha acreditado insuficiente.
En un reciente artículo publicado por Hui Chen (exconsultora de compliance del Departamento de Justicia de Estados Unidos), titulado Seven Signs of Ineffective Compliance Programs, advierte de la ineficacia de los programas de compliance pensados como parte de la estrategia de defensa penal de la empresa. Apunta, que este tipo de programas acaban tendiendo a buscar más cubrirse las espaldas que a eliminar el riesgo delictivo.
La eficacia de un modelo de 'compliance' radica en su capacidad para crear una cultura proactiva al cumplimiento y la responsabilidad ética que incida en eliminar la causa raíz de las malas prácticas.
En general en estos casos los responsables evitan compartir información, analizar la causa raíz de las malas prácticas, recopilar datos o auditar a conciencia los procedimientos establecidos. Todo ello por temor a que lo que puedan encontrar comprometa su situación jurídica.
La eficacia de un modelo de compliance radica en su capacidad para crear una cultura proactiva al cumplimiento y la responsabilidad ética que incida en eliminar la causa raíz de las malas prácticas.
Usando una metáfora simple pero muy descriptiva, se puede imaginar que el riesgo es un tren que va pasando por diferentes estaciones a cuál más peligrosa, en el que la última estación sería la comisión del delito. Pero antes del delito, el riesgo ha ido progresando desde lo que era inicialmente una mala práctica, a un comportamiento poco ético, a una infracción administrativa… La función del programa de compliance es detener el tren del riesgo varias paradas antes del delito y buscar el origen del problema. Lo que en auditoria se conoce como causa raíz.
Los programas de compliance eficientes atacan el origen del problema y no el problema mismo. Y esto solo es posible con un conocimiento profundo y continuado de la empresa y sus riesgos.
Por ejemplo, si una empresa dedicada a productos de alta innovación recorta los recursos de investigación pero aumenta los incentivos para quienes desarrollen nuevos productos, estará creando el caldo de cultivo para la generación de malas prácticas en materia de propiedad industrial. En este caso, los códigos de conductas, los procedimientos de control o las formaciones en la materia de poco servirá si el mensaje de fondo de la empresa es, “consigue resultados, no me importa como lo hagas”.
Como se ha dicho antes, no es de extrañar, habida cuenta de que el compliance en España ha venido de la mano de una reforma puramente punitiva, que las empresas caigan en el error de plantear los programas de cumplimiento como parte de su defensa.
No será fácil para los responsables de cumplimiento en las empresas, quienes pensando que sí cuentan con un manual de 'compliance' más o menos homologable pueden encontrarse con la sorpresa que en sede judicial no resulte suficiente para obtener la exoneración penal.
Por eso, la labor de los tribunales no va a ser fácil. Porque más allá de descartar los más burdos programas de compliance, meramente cosméticos, la tarea más ardua será distinguir a las empresas con costosos modelos, pero que solo se cumplen en apariencia, de las que generan una verdadera cultura de cumplimiento.
Tampoco es fácil para los responsables de cumplimiento en las empresas, para quienes pensando que sí cuentan con un manual de compliance más o menos homologable pueden encontrarse con la desagradable sorpresa que en sede judicial no resulte suficiente para obtener la exoneración penal.
Los responsables de la función de compliance a cualquier nivel en la empresa deben pararse y reflexionar sobre lo que están haciendo. Deben tener en cuenta que es probable que, en el caso de verse sometidos a una investigación penal, su trabajo puede ser evaluado, desde tres perspectivas.
En primer lugar, que el manual de compliance cumpla con los requisitos establecidos, no solo en el Código Penal, si no en con las directrices internacionalmente aceptadas o con los estándares del tipo ISO o UNE.
En segundo lugar, que el manual se haya ejecutado eficazmente en el día a día de la empresa y no sea un montón de documentación guardada en un cajón o un continua de burocracia que nadie se mira y a la que nadie hace caso.
Y, por supuesto, no puede olvidarse de que la investigación versará sobre un delito concreto por lo que va a ser inevitable que se investigue si respecto al delito investigado los controles se dejaron de aplicar deliberadamente, aunque en todo lo demás funcionaran eficientemente.
Esta aún por ver cuál va a ser la verdadera perspectiva con la que los tribunales van a tratar el problema del paper compliance. En breve, comenzarán a verse las resoluciones judiciales que darán pautas más concretas. Sin embargo, lo correcto sería que los programas de compliance se valoraran ponderando los tres elementos mencionados.
Estupendo boletin.