El rol de los administradores y de la alta dirección se ha transformado en los últimos años. Lo que anteriormente se percibía como una posición de privilegio, es hoy en día un foco de responsabilidades que va mucho más allá de la gestión económica y la representación institucional.
Actualmente el cargo de administrador conlleva una serie de deberes no sólo vinculados a la diligente administración, sino que también exigen principios como la lealtad a la sociedad y los grupos de interés, la prevención de conflictos de interés, la prohibición de competencia desleal o la confidencialidad. La falta de diligencia en el cumplimiento de las obligaciones encomendadas, o falta de vigilancia sobre las actividades realizadas por las personas que están a su cargo, puede conllevar no solo una responsabilidad personal para los administradores, sino que en ocasiones generará la responsabilidad directa de la organización, incluso en el ámbito penal.
Con el fin de prevenir estas responsabilidades, los órganos de administración y dirección necesitan soluciones que les permitan determinar, de un modo sencillo y eficaz, cuáles son los riesgos normativos más relevantes a tener en cuenta, y para ello cuentan con la ayuda del legislador nacional y de los reguladores internacionales, que se han venido esforzando en el desarrollo de normas y pautas de actuación cada vez más precisas para la evaluación de los riesgos que afectan a la actividad empresarial.
Esta necesidad de control y gestión de los riesgos ha sido impulsada por la normativa tanto española como internacional. Así, el Código Penal a través de su reforma operada en el año 2015, introdujo expresamente la posibilidad de que las entidades puedan eximirse de responsabilidad penal, librarse de la pena o atenuarla en su caso, siempre y cuando, y atendiendo a las circunstancias, hayan implantado un Modelo de Organización y Gestión eficaz para prevenir delitos (también conocido como Modelo de Compliance).
Pero no solo la normativa nacional orienta a los administradores hacia una gestión eficiente de sus riesgos, desde el entorno internacional se fomentan nuevas normas o pautas de actuación que tienen, como propósito, consolidar la necesidad de disponer de sistemas de gestión y control aplicados al ámbito de la prevención y detección de los riesgos más relevantes que les acechan. En este sentido, los estándares internacionales ISO 19600 y 37001, sobre Sistemas de Gestión de Compliance y Gestión de la corrupción, respectivamente, establecen recomendaciones y controles en aras de prevenir riesgos en relación con las actividades desarrolladas por las organizaciones.
En este contexto, surge la Norma UNE 19601 de Sistemas de Gestión de Compliance Penal, que tiene como propósito prevenir delitos en los que las organizaciones participen y obtengan algún tipo de beneficio.
La Norma UNE 19601 se configura como el primer estándar nacional certificable sobre Compliance penal, estableciendo los requisitos que deben cumplir las organizaciones, de conformidad con el Código Penal e incluyendo, además, recomendaciones y directrices para su adopción, mantenimiento y mejora continua a través de notas y anexos informativos, que ayudan a una mejor comprensión a la hora de implementar este tipo de modelos.
Pero más allá de resultar útil para reforzar la eficacia de su sistema de cumplimiento, esta norma, otorga a las organizaciones la posibilidad de entrar a analizar cuestiones estratégicas vinculadas a los riesgos a los que están expuestas. Estas cuestiones tal vez no hayan sido analizadas previamente de manera correcta, a pesar de resultar de capital importancia. Así, la norma UNE ISO 19601 ayuda a resolver cuestiones, como, por ejemplo:
¿Cuáles son los riesgos penales a los que estoy expuesto?: Partimos de la base de que cualquier actividad empresarial conlleva riesgos y responsabilidades, y puede, por tanto, ser susceptible de generar consecuencias en el ámbito penal. La identificación correcta de estos riesgos precisa, en un primer momento, del profundo conocimiento de la organización y su contexto, siendo determinantes cuestiones como, entre otras, la ubicación (o ubicaciones) de la organización, los sectores en los que opera, la complejidad de sus actividades o la definición del tipo de relaciones mantenidas, tanto de negocio, como con entidades públicas. Partiendo del entendimiento de la Compañía, la Norma UNE 19601 establece la necesidad de realizar una correcta identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
¿Son los controles con los que cuenta mi organización suficientes y efectivos para minimizar los riesgos identificados?: Es necesario saber identificar aquellos controles existentes en la organización, que permitan mitigar los riesgos previamente identificados. La Norma UNE 19601 ayuda a determinar cuáles son los procesos necesarios para cumplir los requisitos derivados del Modelo de Compliance, estableciendo qué información debe estar documentada. Por otra parte, en ocasiones, los controles se llevan a cabo de forma eficiente, pero no dejan la necesaria evidencia que garantice su eficacia.
Destacamos, entre otros, el desarrollo de procesos de diligencia debida a llevar a cabo con miembros de la organización, con especial atención a personas que ocupan puestos en los que estén expuestos a riesgos penales de gran relevancia para la compañía, el establecimiento de controles financieros que garanticen una adecuada gestión de los recursos de la organización (política de segregación de funciones y auditorías financieras, entre otros), la identificación de controles no financieros (controles sobre compras, operaciones, comercialización y otros procesos relevantes), así como controles en las filiales y en socios de negocio o relaciones comerciales.
¿Es este Modelo aplicable a todos miembros de la organización? El Modelo de Compliance es aplicable a todos los miembros de la organización, así como a terceros vinculados a la misma. Partiendo de esta premisa, el liderazgo de la alta dirección y de los órganos de gobierno, es un factor imprescindible para la implementación exitosa del Modelo. La Norma UNE 19601 establece como requisito indispensable la actuación ejemplar y el compromiso inequívoco de la alta dirección, quién guiará y servirá de ejemplo al resto de los empleados. El Modelo carece de sentido si desde la alta dirección no se muestra un compromiso inequívoco, o no se establece la garantía de rechazo absoluto y tolerancia cero hacía ciertas prácticas no consideradas como éticas. De igual modo, la empresa debe facilitar canales de comunicación para que tanto los miembros de la organización, como terceros, comuniquen de buena fe y, sobre la base de indicios razonables, aquellas circunstancias que puedan suponer la materialización de un riesgo penal. Tales incumplimientos, y tras realizar los procesos de investigación pertinentes, pueden ser objeto de sanción. En este sentido, la Norma UNE 19601 también reproduce la necesidad de que la empresa establezca un sistema disciplinario que sancione adecuadamente cualquier incumplimiento del Modelo que pueda observarse.
¿Cuáles son los medios que tengo que destinar a este Modelo?: la Norma UNE 19601 establece la necesidad de poner a disposición del Modelo medios tecnológicos, económicos y humanos para una efectiva resolución de los objetivos establecidos en el mismo, si bien, debemos de adecuar estos recursos al tipo y capacidades de la organización. La Norma UNE 19601 no establece como necesaria la creación de un área específica cuyo único cometido sea el cumplimiento en materia de derecho penal en la entidad, debiendo adoptar las necesidades de adaptar el Modelo a la realidad objetiva de nuestra organización.
¿Cómo puedo conseguir que mi organización entienda la importancia de este Modelo y actúe consecuentemente? La formación y concienciación continuada a los miembros de la organización conforme a su cargo y a su nivel de responsabilidad, es un elemento fundamental para la correcta implantación del Modelo, y que requiere de una difusión de los objetivos y riesgos del Modelo de forma adecuada, eficaz y proporcional.
Por dar respuesta a estas y otras cuestiones, la Norma UNE 19601 es una referencia importante para que las empresas profundicen en los mecanismos de gestión del riesgo penal. Si bien, esta norma no aporta garantías de eliminar el riesgo de comisión de delitos, resultando un elemento adicional que garantice la eficacia del Modelo.
Las organizaciones que dispongan de un Modelo adecuado de Compliance garantizan haber abordado cuestiones estratégicas que van más allá del mero resultado económico. Se convierten en actores de un Modelo empresarial de cambio, en el que, la legalidad va de la mano del compromiso ético, y el beneficio es algo más que lo que pueda reflejar la contabilidad.
En definitiva, un Modelo eficiente de Compliance conlleva, en el largo plazo, oportunidades relacionadas con la atracción de talento, relaciones comerciales con las mejores empresas, asentar una relación de confianza con las instituciones públicas, oportunidades de atracción para nuevos inversores y en definitiva, es una fórmula que facilita el crecimiento, la estabilidad y la perdurabilidad en el tiempo.
Manuel A. Sánchez Soler y Alnair Gallego Armero. Departamento Regulatory & Compliance, de la oficina de Alicante de Deloitte Legal