Como ocurre tantas veces, cuando se un tema concentra el interés de la sociedad, mil moscas, como al panal, han acudido. El compliance penal, es decir, la gestión de riesgos penales para las personas jurídicas, está siendo foco de atención, especialmente después de la reforma del ministro Catalá del código penal en el año 2015.
Este interés, aparentemente desproporcionado si consideramos que el texto original es de 2012 y hasta ahora poco caso se le había hecho la verdad, trae como consecuencia un nivel de “ruido” importante en donde grupos interesados (nótese la diferencia con “grupos de interés”) lanzan al espacio de comunicación virtual un volumen alto de información muchas veces contaminada. Quizás por ello se han empezado a dar pasos que se pueden considerar precipitados por crédulos, faltos de fundamento y algunos sencillamente mal enfocados.
No podemos menos que defender la libertad de negocio y enfoque de las empresas, incluidas claro está la de consultoría, así como defender que cada empresa adapte sus sistemas a su criterio y conveniencia, pero también creemos que poner encima de la mesa algunas conclusiones pueden ayudar a hacer las cosas si no bien (sería presuntuoso) al menos un poco mejor. Y aprender de los errores de los demás es una forma barata y eficiente de aprendizaje. Vamos a repasar algunos de ellos, no necesariamente en orden de importancia o prevalencia.
Olvidar el fundamento
Lo básico es que las empresas pueden tener responsabilidad penal (para evitar los consabidos chivos expiatorios españoles) si en su ámbito se comenten una serie de delitos (claramente identificados en el código penal) a raíz de actuaciones de personas físicas (las conductas penales) que suponen además de la comisión del citado delito, un beneficio para la empresa.
El Código Penal contempla como eximente el hecho cierto y demostrable de tener “vivo” un sistema de prevención del delito que el responsable (la persona) de la conducta penal se ha saltado a sabiendas de lo que hacía.
Sencillo: la pena y su eximente.
Todo aquello que implique, por exceso o por defecto, que el sistema de prevención de delitos no actúe de forma constante, no esté vivo, implicará que dicho sistema no servirá para absolutamente nada.
Disponer de un Compliance penal no comprendido como un sistema de gestión de riesgos
No se puede separar el Compliance Penal de las metodologías de gestión de riesgos (como ISO 31001 y en breve UNE 19601) y como tal debe de ser tratado, es decir, identificando peligros, valorando si por su grado de significancia podrían ser peligros a gestionar y desarrollando medidas de prevención y control.
No priorizar riesgos
Una gestión de riesgos implica necesariamente una priorización y a su vez ésta implica que hay riesgos (los de menor probabilidad/impacto) que no se gestionan o que, como poco se posponen.
Eso puede poner, de hecho pone, de los nervios a algunos abogados (que suelen ser expertos en solucionar los siniestros y menos en su prevención), pero no se puede olvidar que se si intenta gestionar todo lo posible (diferénciese de lo probable) el sistema tenderá al infinito y esa gestión será imposible, ergo NO tengo sistema, no tengo un sistema vivo y en su caso, su señoría no lo tendrá en consideración.
Tratar de evitar todo peligro es tan peligroso (perdón por la redundancia) como tratar de proteger a los hijos de todo peligro…., eso es imposible, lo sabemos, y nos vemos obligados a tomar algunos riesgos con su vida (como que se equivoquen) No lo olvide, vivir siempre es peligroso.
Sistemas incompletos
Si falta alguno de los siguientes elementos, el sistema no funcionará y no servirá, revise su caso: mapa de riesgos, criterios de evaluación de riesgos, procedimientos de control y supervisión, medidas de prevención del riesgo penal, evidencias del funcionamiento regular del sistema, de su revisión y de su eficiencia y actualidad, política de dirección en relación al compliance difundida y aplicada, canales de comunicación seguros con los grupos de interés, sistema disciplinario, así como normas de conducta (códigos éticos y de conducta).
Sistemas muertos: si no está implantado no sirve para nada
Muchos sistemas, especialmente los que han cometido buena parte de los errores que aquí comentamos, no están implantados. Es decir, el empresario tiene un manual muy bonito que le ha hecho el consultor, con su certificadillo endogámico (luego hablaremos de esto) y ya está. Eso no sirve para absolutamente nada. Si el sistema no está vivo, es decir, no existen registros de los controles, de las inspecciones, de las revisiones, de las denuncias, de las decisiones de revisión del sistema, no nos sirve para nada si tuviéramos que demostrar que una conducta penal personal se ha producido al reventar una persona el sistema de prevención y control.
Enfoques pendulares de riesgos
Tan peligroso es afirmar que “no hemos detectado riesgos penales en el análisis” (alguno hemos conocido) como considerar todo como probable (“hombre, siempre es posible que alguien transporte en la moto del taller de repuestos un riñón humano, con lo que estaríamos ante un delito de tráfico de órganos…”) No. Debemos considerar y analizar aquellas conductas penales que razonablemente pudieran darse, todas ellas y ninguna más ni menos. Estas conductas extremas llevan, de nuevo, a sistemas que no existen y que por lo tanto NO valen.
Errores en la identificación del beneficio para la empresa
Para que exista responsabilidad de la persona jurídica en una conducta penal, tiene que producirse un beneficio para la empresa (“directo o indirecto”) y este análisis se hace mal en ocasiones.
Unas veces porque del supuesto beneficio indirecto se llega a relacionar todo con todo. Por ejemplo, un conductor puede llevar en el vehículo profesional una droga ilegal con la intención de venderla, eso es un delito de tráfico de drogas, pero no hay beneficio para la empresa; creemos que no se puede identificar ese beneficio afirmando “como el trabajador redondea su sueldo con esa actividad ilícita, presiona menos a su empresa para que le suba el sueldo y así la empresa se beneficia”, creemos que estas interpretaciones no se sostienen.
Como tampoco se sostiene el análisis contrario, en el que se niega todo beneficio para la empresa, en ocasiones porque en casos, por ejemplo, de cohecho el empleado ha utilizado su propio dinero en vez del de la compañía (ocultando claro que el empleado piensa cobrarse su “inversión” cuando cobre sus comisiones o variable).
Certificaciones de “papelito” y serias
Ha corrido por ahí (me perdonarán que no señale con el dedo a quien lanzó el bulo) de que hay que tener un “papel” que diga que tu sistema de prevención de delitos en bueno y normalmente es el despacho de abogados o el consultor quien te lo da (sobre todo si te pones pesado). Esa obligación es como hemos dicho un bulo y además es inútil. Ningún juez se va a emocionar lo mas mínimo con el dicho papelito.
Otra cosa es que la empresa certifique seriamente su sistema y eso solo tiene un camino: el JURISCERT de AENOR (que pronto será la UNE 19601) Esta certificación sigue sin ser obligatoria pero es altamente recomendable. Primero de todo porque valida el sistema diseñado mediante una auditoría externa e independiente, segundo porque, seamos claros, el miedo guarda la viña y las auditorias de seguimiento anuales hacen que el sistema no muera y esté vivo, lo que en definitiva es lo que pide el Código Penal para que haya un eximente y lo tercero, su señoría seguirá sin emocionarse (es decir, que no por ello de forma automática va aplicar la eximente) ante un certificado, pero creo que es muy difícil que no valore como prueba de peso del sistema de prevención de delitos un certificado emitido por AENOR.
Equipos exclusivamente jurídicos
No les quitaré yo la voz a los abogados en este tema, pero como decíamos de broma en los 80, “la ingeniería es algo demasiado importante como para dejarla en manos de los ingenieros….” Tradúzcase al momento y al tema…. El análisis y diseño del sistema debe de ser realizado por un equipo interdisciplinar en el que no deben de faltar los expertos en riesgos y los expertos en sistemas de gestión. Volvemos a insistir en que el objetivo es disponer de un sistema de prevención de delitos vivo y eficiente, que sea demostrable y evidenciable en cualquier momento. No pertenezco al gremio, pero parece claro que los esquemas del Compliance vienen del mundo anglosajón, cuyo derecho tiene una cultura muy diferente al derecho romano, tan caro entre nuestros amigos togados. Ese mundo anglosajón es, digamos, más moderno y directo y no cae en la tentación, al menos con facilidad, de intentar proteger de todo lo posible a la compañía, porque ese enfoque mata, ahoga al sistema, y de nuevo no nos sirve.
La estrategia del avestruz: no disponer de canales de denuncia
Quizás por cultura general del país, quizás por la influencia de los amigos togados citados antes, las empresas tienden a gestionar sus riesgos no ya con discreción y confidencialidad (lo razonable) sino con miedo y con oscuridad.
No se trata de publicar el mapa de riesgos, pero sí de considerar a los grupos de interés y de abrir los canales de comunicación. Entre esos canales es clave disponer de un canal de denuncias, que no puede ser “un buzón en la puerta del despacho del presidente”. Muchas empresas afirman que en su caso no hay denuncias, claro, si trabajadores o proveedores no tienen la menor seguridad en los canales de comunicación de posibles conductas penales callarán y no se les puede reprochar, pero ese silencio solo hará que la bola de nieve sea cada vez mayor.
Un canal de denuncias debe asegurar la confidencialidad y seguridad del comunicante (que no el anonimato), utilizando sistemas encriptados, y debe tener un acceso sencillo. Sin esas dos características no nos enteramos de lo que pasa en nuestros bastidores.
Olvidar la cultura
Quizás lo más importante, como siempre, es el error de no valorar y conocer la cultura corporativa (la de verdad, no la del plan estratégico). Sectores como el de la construcción, en donde ahora sabemos todos las malas practicas que lo había invadido, van a tener difícil un cambio por mucho compliance que se tenga.
Actuar en riesgos, procedimientos y procesos es positivo y necesario, pero tiene más fuerza trabajar para mejorar la cultura de las organizaciones y eso empieza por el ejemplo de propietarios y directivos.
Enlaces:
https://www.youtube.com/watch?v=1HtNVEEtCMw
http://www.aenor.com/revista/pdf/feb17/14feb17.pdf
http://www.expansion.com/juridico/opinion/2017/03/02/58b85c1422601d10538b4668.html
Artículo publicado originalmente por el autor en Blogs EOI bajo licencia Creative Commons.