Esta es la pregunta que siempre se hacen las empresas que ponen en marcha medidas para cumplir con los requisitos del Código Penal Español y prevenir que puedan ser acusadas por un delito penal.
Recordemos brevemente los requisitos del Código Penal para que la empresa (la persona jurídica) pueda ser eximida de una posible acusación penal.
La persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
- Si antes de la comisión del delito, la alta dirección ha implantado un modelo de organización y gestión eficaz que incluye las medidas de vigilancia y control idóneas para prevenir el delito o para reducir el riesgo de que sea cometido.
- La supervisión del funcionamiento y del cumplimiento del modelo de prevención ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control que tenga encomendada la función de supervisar la eficacia de los controles internos de la empresa.
- Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención.
- No se ha producido una omisión o un ejercicio insuficiente de las funciones de supervisión, vigilancia y control por parte del órgano anteriormente indicado.
Además, el Código Penal establece que el modelo de organización y gestión al que se refiere en el punto 1. anterior deberá contemplar, cuando menos, lo siguiente:
- Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
- Establecimiento de los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
- Disposición de modelos de gestión de recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
- Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
- Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
- Verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
La puesta en práctica y el mantenimiento de las medidas indicadas anteriormente es un trabajo cuya dificultad depende básicamente de la complejidad de la organización y de los negocios o actividades a las que se dedica.
La gran ventaja que tenemos en este terreno es que no es necesario inventar nada, porque además de las más o menos claras directrices del Código Penal, existen normas que establecen los requisitos que debe cumplir un modelo de gestión para prevenir el delito: la Norma UNE 19601 sobre sistemas de compliance penal, la norma UNE 19602 sobre sistemas de gestión de compliance financiero y la Norma ISO 37001 sobre prevención del soborno y la corrupción. Todas ellas basadas en buenas prácticas a nivel internacional.
Las citadas normas tienen la ventaja adicional de que son una guía tremendamente útil para el desarrollo del modelo de gestión, sobre todo en lo relativo a la mejora continua de la eficacia del modelo y al desarrollo de una cultura de cumplimiento en la organización, por medio de la formación y la sensibilización de las personas, aspectos ambos que, por otro lado, son esenciales para que el modelo de gestión se mantenga “vivo” y sea verdaderamente eficaz.
En consecuencia, la mejor herramienta para el desarrollo e implantación de un modelo de gestión que cumpla con los requisitos del Código Penal es, sin duda, la norma UNE 19601, porque se enfoca a la prevención de todos los delitos que pueden afectar a la persona jurídica (la norma UNE 19602 se centra de forma específica en al ámbito financiero y la norma ISO 37001, en el ámbito del soborno y la corrupción), si bien no es necesario el estricto cumplimiento de la norma para cumplir con lo establecido en el Código Penal.
Llegados a este punto, es el momento de replantear la pregunta de si es necesario, o no, certificar mi sistema de compliance. Para responder a esta pregunta de la forma más adecuada posible, es aconsejable repasar las razones por las que puede ser recomendable la certificación y las dificultades o inconvenientes que implica el proceso y que tratamos de resumir a continuación.
RAZONES O VENTAJAS DE LA CERTIFICACIÓN |
1. Requiere la realización de una auditoría anual por una entidad externa acreditada e independiente, que obliga a solucionar las deficiencias e incumplimientos detectados y refuerza la actualización y el mantenimiento del modelo. |
2. La certificación aporta fiabilidad y permite acreditar ante clientes, proveedores y otros terceros interesados la disposición del modelo implantado, elevando a público el compromiso de la organización con el cumplimiento de la ley y la prevención del delito. En el caso de las empresas con proyección internacional es interesante considerar de forma prioritaria la certificación con la norma ISO 37001. |
3. Permite optar a concursos o licitaciones en las que disponer de un sistema de gestión de cumplimiento certificado es un requisito obligado o, al menos, valorado. |
4. Refuerza la “obligación” de realizar una gestión sistemática y enfocada hacia la mejora continua, para asegurar la eficacia del modelo. |
5. El reconocimiento externo que supone la certificación es un elemento adicional de motivación y confianza para los empleados. |
6. La certificación del modelo podría ser considerada como una garantía adicional por un juez, en el caso de que la empresa fuera acusada de un delito penal. |
DIFICULTADES O INCONVENIENTES DE LA CERTIFICACIÓN |
1. La auditoría externa de certificación tiene un coste adicional con el que es necesario contar. |
2. Mantener un sistema de gestión certificado suele requerir una mayor dotación de recursos internos que los que serían necesarios para cumplir estrictamente con el Código Penal. |
3. La pérdida de la certificación, por cualquier motivo, podría tener una repercusión negativa en la imagen de la organización. |
4. La certificación del sistema de cumplimiento no implica automáticamente la exención, en su caso, de la responsabilidad penal de la empresa, esta decisión es exclusiva del juez. |
La necesidad de la certificación depende de los intereses de la organización, que básicamente se pueden extraer la tabla de razones/ventajas.
La factibilidad de la certificación depende de los recursos adicionales que la organización pueda dedicar.
Solo analizando y valorando las ventajas (necesidad) y la factibilidad (recursos), la organización podrá dar una respuesta sólida a la pregunta de si es necesario certificar su modelo de gestión de compliance.
En el proceso de decisión puede ser de ayuda analizar el riesgo tanto de certificarse como de no hacerlo.
En la mayor parte de los casos, las razones que más peso tienen en la decisión final de las empresas que optan por la certificación son las expresadas en los puntos 2, 3 y 6 de la tabla de razones/ventajas.
Por ultimo es clave la elección de un certificador de prestigio, como puede ser AENOR, confiar este proceso a empresas que no sean altamente solventes puede arruinar todo el esfuerzo desarrollado por la empresa.
Jose Luis Villa Martinez
Gerente de Riesgos y Compliance