Los programas de compliance según el articulo 31 bis

En la reforma del Código Penal de 2015 se expone en el artículo 31 bis que una de las condiciones para la exención de la responsabilidad de las personas jurídicas es que se “si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión”.

Asimismo se definen los requisitos que deberán cumplir los modelos de organización y gestión que son:

1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Como complemento a lo expuesto en el Código Penal en enero de 2016 la Fiscalía General del Estado publicó la “Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015” un documento con el que se “imparten instrucciones a los fiscales para valorar la eficacia de los planes de compliance en las empresas que tras la reforma se configuran como una eximente de la responsabilidad penal”.

En esta circular cuando se trata el tema de los modelos de organización y gestión realiza diversos comentarios que considero muy relevantes en este tema como los siguientes:

  • Los programas deben ser claros, precisos y eficaces y, desde luego, redactados por escrito. No basta la existencia de un programa, por completo que sea, sino que deberá acreditarse su adecuación para prevenir el concreto delito que se ha cometido, debiendo realizarse a tal fin un juicio de idoneidad entre el contenido del programa y la infracción. Por ello, los modelos de organización y gestión deben estar perfectamente adaptados a la empresa y a sus concretos riesgos.”

Este comentario establece muy claramente que los programas de Compliance deberán ser específicos para cada empresa. Pero además se debe interpretar que dado que se habla de “sus concretos riesgos” pueden existir diferencias en los programas de Compliance para cada una de las ubicaciones que formen parte de la empresa. Así nos podemos encontrar que en una sociedad en la que exista una sede central sin actividad industrial los riesgos sean unos, mientras que en las ubicaciones de carácter productivo existirán otros riesgos que no se dan en la sede central como p.ej. los relacionados con el medio ambiente.

  • No es infrecuente en la práctica de otros países que, para reducir costes y evitar que el programa se aleje de los estándares de la industria de los compliance, las compañías se limiten a copiar los programas elaborados por otras, incluso pertenecientes a sectores industriales o comerciales diferentes. Esta práctica suscita serias reservas sobre la propia idoneidad del modelo adoptado y el verdadero compromiso de la empresa en la prevención de conductas delictivas.”

Esto es algo que se produjo en los años 90 del siglo pasado cuando se pusieron de moda las diversas versiones de la ISO9000 (9001, 9002 o 9003) y se daban casos que para “reducir el coste” de la implantación se adaptaran manuales de calidad de otras empresas sustituyendo el nombre de una por la otra. Ahora bien hemos de tener en cuenta que no es lo mismo hacer un “copia y pega” en un manual de calidad que en un manual de compliance penal porque las consecuencias de una evaluación incorrecta de un riesgo o su ausencia no son desdeñables.

  • A la necesidad de que la persona jurídica identifique y gestione adecuadamente los riesgos, estableciendo las medidas para neutralizarlos, alude el primer requisito del apartado 5. La persona jurídica deberá establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo específico establecidos. Para ello el análisis identificará y evaluará el riesgo por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones, etc., tomando en consideración variables como el propósito de la relación de negocio, su duración o el volumen de las operaciones.”

Aquí hace referencia a la identificación y evaluación de riesgos que es un tema que en el ámbito de la ingeniería hace muchos años que se tiene en cuenta, y para el que se han desarrollado diferentes metodologías que han ido evolucionando con la experiencia obtenida en su aplicación. Es este un campo en el que desde la ingeniería se puede dotar a los sistemas de compliance de herramientas que permitan la identificación, gestión, control y comunicación de los riesgos reales y potenciales.

 

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información sobre protección de datos:

  • Responsable: Gian-Lluis Ribechini
  • Fin del tratamiento: Controlar el spam, gestión de comentarios
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  • Derechos: Acceso, rectificación, portabilidad, olvido.
  • Contacto: blog@compliancetecnico.com
  • Información adicional: Más información en Política de privacidad

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.