Publicado bajo licencia Creative Commons en http://www.eoi.es/blogs/serafincarballo/compliance-penal-vamos-a-utilizar-siempre-p-x-g/ el día 22 de enero de 2018
En ocasiones, en muchas ocasiones, arrastramos esquemas e ideas sin cuestionarlas durante años, olvidando que la mejor forma de reforzar un concepto es someterlo a tensión.
A mí no me cabe duda de lo que se ha dado en llamar “compliance penal” (que es realmente un sistema de prevención de delitos penales en personas legales) es una parte de la gestión de riesgos de una empresa. Y eso nos lleva, de cabeza, al clásico esquema de evaluación de riesgos en los que les damos más o menos importancia a cada riesgo, en función del resultado del algoritmo que multiplica una probabilidad (por ejemplo: nula, baja, alta, muy alta) por un factor de gravedad (por ejemplo: leve, grave, muy grave, gravísima).
Este esquema (robado del viejo AMFE) tiene su fuerte lógica, no es lo mismo un riesgo grave y además muy probable que uno de gravedad leve y baja probabilidad. Esa lógica deja hueco, no obstante, a una evaluación mas subjetiva cuando marcamos la frontera entre significativo y no significativo…. ¡ahhhh! No tenemos sistemas adecuados para calcular esa línea roja, solo sabemos que, en muchas ocasiones no podemos abordar todo al mismo tiempo, lo que nos obliga a priorizar, yendo antes a lo más importante y luego a lo mas accesorio. Y ojo, eso no es malo, es mero realismo y es, además, mejor que el que no hace nada, dado el tamaño de la tarea.
Este esquema no tiene, en mi opinión, cuestionamiento en el mundo de los riesgos, pero me entran dudas, y muchas, cuando entramos en el mundo del compliance penal.
Un sistema de compliance penal (basado en el propio código penal o en la UNE 19601) es un esquema que, una vez identificados los riesgos de que se cometa en el ámbito de la empresa un delito penal (de un catalogo de unos 30), que suponga algún beneficio directo o indirecto para la empresa, desarrolla herramientas de prevención del riesgo así como de control del mismo, ya que si llega a producirse el siniestro, el juez podría considerar dicho sistema como un eximente (nunca a priori, es decir, nadie reparte certificados de inmunidad), siempre que esté vivo y funcionando (vamos que existan registros). La eximente se produce porque se considera que el sistema de compliance ha generado una cultura de cumplimiento, que una persona física “se ha saltado a la torera”, no siendo responsable la empresa de ello. El código penal busca que las empresas que vocación delincuente, que alguna hay y ha habido penen por ello; el problema va a estar en empresas que no siendo delincuentes, puedan padecerlo por no tener una adecuada cultura (y un sistema) de rechazo al delito.
Resumido todo esto, es cuando surge la duda ¿Puedo considerar un riesgo penal como no significativo solo porque sea poco probable? (…es poco probable que en nuestro hospital alguien venda un riñón) ¿Puede considerarse un riesgo penal como poco grave? (…es de baja gravedad falsificar una tarjeta de crédito, es de baja gravedad explotar a los trabajadores, es de baja gravedad atentar contra el medio ambiente….?)
Yo creo que no sería locura clasificar los riesgos penales en “posibles” e “imposibles”.
Los “imposibles” son fáciles de identificar para la mayoría de las empresas; algunos de ellos pueden ser:
- Delito de tráfico ilegal de órganos humanos (salvo sector sanitario).
- Delitos relativos a la manipulación genética (salvo sector biotecnológico).
- Delitos relativos a la prostitución y la corrupción de menores (salvo sector hotelero, de forma indirecta, es cierto, pero le podría aplicar).
- Financiación ilegal de partidos políticos (salvo que se quiera hacer y ante eso no hay sistema que valga).
- Delitos relativos a las radiaciones ionizantes (en general las empresas no tienen fuentes radioactivas).
- Delitos de tráfico de drogas (salvo que se quiera hacer y ante eso no hay sistema que valga).
- Delito de falsificación de moneda (nada fácil ni queriendo).
- Delito de falsificación de tarjetas de crédito y débito y cheques de viaje (nada fácil ni queriendo).
Téngase en cuenta que hablo de empresas “normales”, en las que es totalmente impensable falsificar tarjetas de crédito, traficar con droga o promover la prostitución de manera volitiva y consciente.
Es verdad que en algunos casos hay que extremar el análisis, como el citado caso de la prostitución y el sector hotelero, ya que no parece descabellado pensar que un hotel puede consentir en sus instalaciones un negocio de prostitución del que obtiene un beneficio (la venta de noches), sin una vocación real de entrar en ese “negocio”, pero consintiendo….
Otros delitos son “posibles” para casi todas las empresas, casi independientemente del sector: Delitos de estafa, frustración de la ejecución, insolvencia punible, alteración de precios en concursos y subastas públicas, daños relativos a la propiedad intelectual e industrial, al mercado y a los consumidores, negativa a las actuaciones inspectoras, blanqueo de capitales, etc.
Por lo tanto, no parece descabellado hacer esa única diferenciación “posible – imposible”, trabajando sobre los delitos posibles. En ocasiones lo que es imposible en España puede ser posible en otros países (tráfico de personas, por ejemplo), lo que debería ser recogido por el sistema de la empresa, aunque el código penal afecte solo a delitos cometidos en el ámbito nacional, porque esas empresas “normales” temen también, y mucho, al daño reputacional.
Un posible problema son las auditorias en las que algunos auditores enfangados de rutina y lugares comunes, no entiendan que no se aplique el sempiterno P x G. La verdad es que si lo comparamos con poner la “raya roja” donde nos parece bien, sin muchas (o ninguna) base, este sistema puede ser mejor. Por lo menos lo deberíamos pensar…