- 1. La presente publicación contiene opiniones y criterios cuyo único fin es orientar de forma general a los lectores sobre aspectos generales de cumplimiento normativo y no sustituye de forma alguna la asesoría de profesionales especializados en la atención de dudas concretas. Para cualquier consulta sobre el evento o en materia de cumplimiento normativo, podéis contactar a los organizadores a través de las siguientes direcciones: Garberí Penal: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Escudo Legal: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. GAT Intelligence: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. ECIX Group: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..
- 2. Todos los que hemos asistido a las ponencias sobre la responsabilidad penal de las personas jurídicas impartidas por Don José Manuel Maza, Magistrado de la Sala Segunda del Tribunal Supremo, le hemos escuchado decir que él es un “converso” en esta materia. La verdad es que no sólo él es un converso. Creo que muchos profesionales del Derecho y de otros ámbitos se “han convertido” en lo que se refiere al Derecho Penal, en general, y a la responsabilidad penal de las personas jurídicas, en particular, aunque evidentemente, la gran mayoría, por razones absolutamente distintas a las de Don José Manuel Maza. Tras asistir a muchas ponencias, seminarios, conferencias, cursos, charlas, etc, sobre la responsabilidadpenaldelaspersonasjurídicas, los abogados y expertos en compliance Alex Garberí y Nestor Aparicio, y el que suscribe, hemos detectado que, además de repetirse mucho todos los argumentos, algunos de ellos son inconsistentes cuando no una venta de servicios jurídicos, entre ellos, de los famosos programas informáticos. Además de lo anterior, de la lectura de artículos en revistas especializadas, del buceo en las redes sociales, y de esas ponencias a las que hacía referencia, se evidencia que muchas empresas o profesionales de diversos ámbitos han aprovechado la responsabilidad penal de las personas jurídicas para impulsar sus negocios, como por otra parte, es lógico, pero creo sinceramente, que ven la responsabilidad penal de las personas jurídicas como algo sencillo y que pueden prescindir de contar en sus equipos con abogados o despachos de perfil penalista en la elaboración de los Planes de Prevención de Delitos y todo lo que les rodea, sin tener en cuenta los despachos que se dedican al Derecho Penal y la especialización que el mismo requiere. Todo lo anterior, nos llevó a la idea de organizar una serie de debates como espacios de intercambio de opiniones e ideas sobre la responsabilidad penal de las personas jurídicas, tanto desde un punto de vista teórico como desde un punto de vista práctico, con Introducción 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 2
- 3. clarísimos ejemplos de cómo debían ser esos órganos según la estructura que pudiera tener cada sociedad, dejando claro que “si el delito se comete en el seno del Consejo, burlando al compliance officer, habrá sanción” y lanzando nuevas cuestiones que fueron objeto de un encendido debate: ¿Qué debe hacer el compliance officer cuando tenga conocimiento de que un delito se está cometiendo o se puede cometer por el órgano de administración? y ¿Qué debe hacer el compliance officer si informa al órgano de Administración y éste decide no hacer nada?. En último lugar, y no por ello menos importante, habló Gertrudis Alarcón, CEO de GAT INTELLIGENCE y Presidenta en España de la “Asociación de Examinadores contra el Fraude”, sobre las investigaciones internas empresariales, destacando la importancia de tener establecidos dentro de la empresa “canales de denuncia”, y una vez conocido un hecho iniciar una eficaz investigación interna, dirigida, para el caso de detectarse la comisión de un delito, por un abogado penalista, siendo esencial que toda la investigación quede perfectamente documentada para evitar problemas para el compliance officer . Dado el éxito del debate y su formato, en próximas fechas se espera la realización de más debates en otras localidades de España. y las sentencias dictadas hasta el momento en cuanto a la responsabilidad penal de las personas jurídicas, y muy especialmente, la Sentencia “bisiesta” nº154/2016. Tras esta primera ponencia y como consecuencia de ella, se inició un interesante debate entre todos los asistentes, en el que se sacaron nuevos asuntos que serán tratados en futuros debates como, por ejemplo, cuál debía ser la estrategia a seguir en el juzgado una vez detectado la comisión de un delito en el seno de la empresa. En segundo lugar, Nestor Aparicio, abogado y experto en Compliance se encargó de lanzar al debate quién debe realizar los planes de prevención de delitos y quien debe implementarlos. Entre muchos extremos, Nestor Aparicio dejó claro que el compliance es “control, control, control”, “que las normas ISO, con especial referencia a la norma ISO 19600, son una buena guía para realizar los planes”, y “que el compliance debe ser tratado de manera multidisciplinar, pero que debían ser dirigidos por un abogado penalista”. Como no podía ser de otra manera se generó otro interesante debate, surgiendo discrepancias en cuanto a la importancia o no de las certificaciones que derivarían de las normas ISO y en cuanto a la figura del abogado penalista en el “compliance”. En tercer lugar, Alex Garberi, abogado penalista y experto en Compliance, trató sobre qué son y cuáles son las funciones del órgano de supervisión y control, exponiendo el objetivo no sólo aprender sino también de situar la responsabilidad penal de las personas jurídicas en su debido contexto, debatiendo en un formato ágil y completamente participativo todas las posturas y criterios existentes para, en la medida de lo posible, encontrar puntos en común y, como no, generar sinergias siempre positivas en cualquier materia. Así, se celebró el día 30 de junio de 2016 en la sala Constanza del Hotel NH de Príncipe de Vergara, Madrid, el primer debate entre profesionales sobre la Responsabilidad Penal de las Personas Jurídicas y los Modelos de Prevención de Delitos, organizado por CGA ABOGADOS (Madrid), GARBERI PENAL (Barcelona), GARRIDO ABOGADOS (Madrid), GRUPO GAT (Madrid) y la ASSOCIATION OF CERTIFIED FRAUD EXAMINERS (ACFE), al que acudieron abogados, “compliance officers” e interesados en la materia. El debate moderado por el que suscribe, comenzó con la intervención del Ilmo. Magistrado–Juez Don Eduardo Gutiérrez Gómez, miembro de la sección 23ª de la Audiencia Provincial de Madrid, sobre la “Circular 1/16 de la Fiscalía General del Estado frente a sentencias recientes del Tribunal Supremo” y quien ya desde un primer momento consideraba que “era suficiente la regulación anterior a la reforma” en lo que se refiere a la responsabilidad de las personas jurídicas cuando por medio de ellas o en su seno se cometían delitos, pasando a continuación a desgranar las diferencias entre la Circular 1/16 IntroducciónIntroducción 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 43
- 4. Mi intervención no puede comenzar sino con una breve mención al concepto de “responsabilidad”, puesto que –prima facie– debemos buscar en la empresa al responsable de realizar los planes de prevención e implementarlos y ejecutarlos. Resulta clásico entonces acudir a la dogmática y al análisis de la palabra “responsabilidad” que en la conceptualización anglosajona se refiere a los términos de responsibility (“the state or fact of having a duty to deal with something or of having control over someone”) y liability (“the state of being legally responsible for something”); división que nos resulta de cierta utilidad para hacer mención de aquellas responsabilidades del consejo de administración que son delegables y de aquellas otras que puede delegar materialmente sin que ello signifique renunciar a la responsabilidad que tiene sobre su resultado. En el ámbito legal civil, las responsabilidades de los administradores (y consejos de administración) son claras y bien definidas, expresándose nítidamente las obligaciones que pueden delegarse y aquellas otras que son propias de los administradores por exigencia legal. Cabe aquí la cita de los arts. 236 y 249 bis de la Ley de Sociedades de Capital para apreciar la responsabilidad de los administradores sobre sus acciones u omisiones y la conceptualización del deber de vigilancia como una labor indelegable (al menos respecto de la responsabilidad legal o liability). Conelbagajedelatradicióncivilista,ellegislador penal ha pretendido en el art. 31 bis 2 1ª regla la involucración exclusiva y absoluta del consejo de administración, que debe adoptar y ejecutar con eficacia modelos de organización y gestión “que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión”. La obligación de los administradores (responsibility-liability) de liderar la implementación de un sistema de compliance es, por lo tanto, inexcusable por expreso mandato legal, surgiendo de forma inmediata la cuestión acerca de la responsabilidad penal 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 6 “ Para determinar el alcance del sistema de compliance será necesario identificar el contexto interno y externo, social y cultural, situación económica de la empresa y del entorno competencial, identificar las partes interesadas y comprometer a la alta dirección con principios de buen gobierno…”
- 5. de los administradores de una empresa condenada por no disponer de un sistema de compliance. Es obvio que pueden derivarse las correspondientes acciones civiles, pero ¿no es cierto que podrían ser imputados ex arts. 11 y 27 del Código Penal? En efecto, con el modelo constructivista de autoresponsabilidad empresarial aclarado por la sentencia del Tribunal Supremo de 29 de febrero de 2016, parece obvio que los administradores son cómplices de la falta de organización corporativa (hecho propio punible) y, por tanto, responsables penales si omiten los deberes legalmente impuestos de adoptar y ejecutar un sistema de compliance. Aclaradas las cuestiones sobre la responsabilidad legal en la realización e implementacióndelossistemasdecompliance, parece aconsejable que los administradores deleguen la responsabilidad de realizar materialmente los programas en despachos de abogados especializados y multidisciplinares, por cuanto que el compliance se proyecta necesariamenteendiversosaspectossobrelos que es necesario un examen laboral, mercantil, fiscal y penal. Debemos llamar la atención, en este sentido, que los administradores serán igualmente responsables de la elección e idoneidad de los especialistas que elaboren el plan de prevención de delitos y, en aplicación de la clásica culpa in eligendo. Con el cuadro de responsabilidades definido, llega el momento de adoptar y ejecutar con eficacia modelos de organización y control, cuestión que necesariamente debe ser objeto de una planificación específica, por cuanto que se trata de dotar a la empresa de un verdadero sistema transversal de control del cumplimiento corporativo. Recomiendo seguir el hilo ofrecido por la ISO 19600, porque se trata de un modelo internacionalmente válido y constitutivo de una suerte de soft law. En un primer momento, habrá que determinar el alcance del sistema de compliance, aclarando cuáles son los límites y la aplicabilidad. El Tribunal Supremo ya aclara que es exigible a una empresa pequeña el mismo nivel de vigilancia (modelo de máximos establecido en el Código Penal) que a una empresa grande. Así, en una empresa de cincuenta trabajadores y una única sede lo esencial será poder determinar que existe un compromiso de cumplimiento normativo y no tanto disponer de un compliance officer, un canal de comunicaciones, un código ético y protocolos de gobierno corporativo, compras, proveedores y de política fiscal. Compliance, para estas empresas, significará valorar los riesgos y acreditar medidas que lo mitiguen: cumplimiento normativo laboral, control de materias primas, formación de empleados y subcontratación de especialista fiscal, por ejemplo. En cualquier caso, para determinar el alcance del sistema de compliance será necesario identificar el contexto interno y externo, social y cultural, situación económica de la empresa y del entorno competencial, identificar las partes interesadas (propietarios, administradores, directivos, empleados, stakeholders, etc.) y comprometer a la alta dirección con principios de buen gobierno básicos (como la autonomía del compliance officer, su acceso al comité de dirección y la necesaria asignación de recursos). 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 87
- 6. Para terminar, debo llamar la atención sobre dos cuestiones: compliance no se reduce a disponer de modelos escritos más o menos adecuados para la empresa, sino a disponer de verdaderos controles para objetivar el cumplimiento ético y normativo en la empresa. Por lo tanto, el sistema de compliance corporativo debe ser dinámico y actualizado y actualizable, con el fin de adaptarse a las necesidades y entorno de la empresa, y ofrecer respuestas rápidas a los incumplimientos del modelo, con el fin de crear una verdadera cultura de cumplimiento en la empresa. Una vez establecida la política de compliance deberemos identificar los requisitos y compromisos de compliance, acudiendo a las normas imperativas externas (normas legales, permisos, sentencias, etc.) y a las internas (acuerdos y pactos voluntarios, políticas propias de la empresa) y mapear los riesgos de conformidad con el alcance que nos hemos definido. Con los riesgos identificados y definidos debemos acudir a una planificación de los objetivos a lograr: un sistema de compliance exige entonces el 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 10 9 diseño de acciones dinámicas para minimizar riesgos y aprovechar las oportunidades. Como consecuencia lógica de la planificación, el compliance necesitará del establecimiento de controles y procedimientos concretos, con el fin de alcanzar de forma sostenible los objetivos corporativos. Como es obvio, de nada sirve si las políticas diseñadas y planificadas no disponen de controles concretos: es necesario hacer que la ética de cumplimiento llegue hasta el último de los empleados, en forma de controles específicos que además puedan medirse y evaluarse.
- 7. Para que los modelos de organización y gestión que deben instaurar las personas jurídicas a los que se refiere el artículo 31 bis desplieguen su verdadera eficacia, como eximentes, la supervisión de su funcionamiento y cumplimiento debe haber sido otorgado a lo que define como órganos del ente con poderes autónomos de iniciativa y control o que tengan encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica. Dada la falta de sustantividad de la norma, surgen numerosos interrogantes que deben ser despejados para atender los requerimientos de un buen modelo de organización y gestión ¿a qué se refiere el Código con poderes autónomos de iniciativa y control? ¿Autónomos respecto de quién o de qué? ¿Quién o qué órgano/s tienen encomendada legalmente la función de supervisar los controles internos en la persona jurídica? Tradicionalmente se ha definido el «control interno» como el conjunto de normas, controles, procedimientos, actividades y procesos establecidos con el fin de regular y controlar la eficiencia de las operaciones en una organización. Consecuentemente, la supervisión y vigilancia se ha orientado siempre al cumplimiento de unas metas u objetivos específicos; financieros principalmente, de transparencia en la contabilidad, de prevención del fraude y protección de los activos de la sociedad, y, ulteriormente pero con gran importancia, la verificación del cumplimiento normativo. A ello se han dedicado normas y estándares internacionales (COSO, ISO), estableciendo toda una doctrina soft law de cómo deben organizarse los entes jurídicos y sus controles. El marco de las Tres Líneas de Defensa nos da un buen ejemplo teórico comúnmente empleado por innumerables empresas de todo el Globo. “…hablar de poderes autónomos de iniciativa y control no es más que afirmar que la delegación debe expresar claramente la funciones de control a todos los niveles ” 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 12
- 8. estatutos o por los realizados incumpliendo los deberes inherentes al desempeño de su cargo mediando dolo o culpa. Unos deberes que, recogidos en el Capítulo III de dicha Ley, comprenden esencialmente el de diligencia debida (artículo 225), el de no discriminación empresarial (artículo 226), el de lealtad (artículo 227) y la evitación del conflicto de intereses (artículo 229). En síntesis, pues, corresponde al órgano de administración la implementación de un sistema de compliance; o para que quede más claro, la decisión de Pero la cuestión sigue sin resolverse sino se acude a los conceptos básicos y sus previsiones legales, toda vez que sólo ellos nos darán la clave para entender qué es y a quién corresponde la función de supervisión del modelo en las personas jurídicas. Acudiendo a la inevitable LSC, resulta que su artículo 236 establece claramente la responsabilidad de los administradores –ante la propia sociedad, sus socios, y terceros- por actos u omisiones contrarios a la ley o a los 13 hacerlo y hacerlo de forma comprometida en su contenido, alcance, y hasta en la correcta elección de profesionales para ello. Sin embargo, no es esta la incógnita que queremos despejar de la ecuación, sino la que dice relación con quién vigila y/o supervisa el cumplimiento del sistema; y qué es eso de poderes autónomos de iniciativa y control y/o función legal atribuida de supervisión de los controles internos, ya que de tales enunciados parece desprenderse que dichas competencias corresponderían a persona/órgano distinto del de administración. Lo que no es tanto así sino que, a tenor del artículo 249 LSC, existe la posibilidad de su delegación en miembros del Consejo de Administración concretos bajo la figura de la Comisión Ejecutiva o la del Consejero Delegado, por ejemplo, quienes serán entonces aquellos órganos a quienes deberá darse poderes autónomos de iniciativa y control mediante un contrato de delegación claramente definido (delegable, a su vez, salvo estipulación en contra, en Directivos), con el límite marcado por el apartado a) del artículo 249 bis LSC que convierte en indelegable la facultad de supervisión del funcionamiento de los órganos delegados y directivos designados. A partir de ahí, nombres, los que queramos. Desde el Compliance Officer strictu sensu hasta el de Comité de Auditoría, pasando por el de Comité de Compliance, encontramos tantos órganos delegados de supervisión y control como empresas existen. Su configuración es lo importante y dependerá tanto de la estructura societaria a la que nos enfrentemos como de las necesidades de la empresa, siendo deseable, en entidades ya adultas, su configuración por profesionales de distinto corte (finanzas, auditoría, legal y propiamente especialistas en compliance) pero semejante perfil: el del control. No nos cansaremos de repetir que el compliance es control. Y no dejaremos de destacar la conveniencia de que, entre sus integrantes o asesores externos, se halle la figura del abogado especialista en Derecho Penal. Porque en nuestro país existe la Responsabilidad Penal de la Persona Jurídica a diferencia de otros ordenamientos y, mal que le pese a algunos, ello supone una nueva era en la que el abogado penalista va a ostentar un rol de suma relevancia en el mundo empresarial. Ulteriormente, hablar de poderes autónomos de iniciativa y control no es más que afirmar la autonomía en el desarrollo de sus funciones, por un lado, y que la delegación debe expresar claramente la funciones de control a todos los niveles por otro; que el delegado controller debe tomar parte en las sesiones del Consejo y tener como mínimo voz en ellas; y que, en respeto a una verdadera cultura de cumplimiento, las decisiones relevantes de la sociedad deben hacerse eco de los planteamientos o recomendaciones del Órgano de de Supervisión y Control del modelo de cumplimiento normativo. 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 14
- 9. En línea con el correcto establecimiento de un Plan de prevención de delitos y habiéndose definido las funciones del Órgano de Supervisión y Control se hace imperativo abordar el papel que juegan las investigaciones internas en la empresa. Las investigaciones internas son una parte de los Planes de Acción ante incumplimientos. Esto significa que las investigaciones son inherentes a todos los Programas de Cumplimientos. Un plan de acción desde el punto de vista de la investigación tiene tres componentes esenciales, y su eficacia dependerá de: • Las decisiones internas • La comunicación con la organización y • La gestión de la información e informes Enlosartículosprecedentessehanmencionado lasresponsabilidadesyrolesdedistintospuestos en la organización vinculados al cumplimiento. Y será este equipo de cumplimiento o control, o integridad (llámese como se quiera), quien tendrá responsabilidades sobre la eficacia de algunas herramientas necesarias para prevenir riesgos. Las más básicas e imprescindibles son aquellas que se refieren a la diligencia debida y la evitación del conflicto de intereses, los canales de denuncia y las investigaciones. Alineados con los controles internos, estos mecanismos son una herramienta complementaria a otros mecanismos de control que tiene una empresa. Es decir son un medio que sirve para perfeccionar el entorno de control. Cuando hablamos de complementariedad se ha de entender que no es accesorio o que puede prescindirse de ello. Esta herramienta, que se materializa en alguna forma comunicación bidireccional y directa entre los órganos de gobierno de la empresa y el resto de la empresa y el entorno cercano, tiene la finalidad de la permitir la identificación de comportamientos inapropiados o irregulares dentro del marco de la política empresarial. “Las investigaciones internas son una parte de los Planes deAcción ante incumplimientos. Esto significa que las investigaciones son inherentes a todos los Programas de Cumplimientos.” 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos 16
- 10. mecanismo que sea, debe ir seguida de una investigación. Estas investigaciones serán de distintos tipos. La empresa se encontrará con investigaciones sobre asuntos muy concretos cuya investigación será rápida, con lo que tendrá un coste menor y la empresa tendrá también una involucración menor. Y donde los riesgos de perder información o que se destruyan evidencias también serán menores. También tendrá que enfrentar investigaciones basadas en informaciones poco claras y con los involucrados trabajando en la empresa, con lo que la misma tendrá una duración mayor, mayor coste, más personas involucradas, y por lo tanto mayores riesgos de destrucción de evidencias. En cualquiera de estos casos la empresa tendrá que seguir un procedimiento previamente elaborado en el Plan de Acción mencionado al principio de este capítulo. Para iniciar dicho Plan la empresa habrá de valorar las posibilidades que se le pueden plantear según el tamaño y características de la misma, sobre el tipo de equipo que realizará las investigaciones (interno, externo o mixto). Poniendo por caso las investigaciones que son parte de mi experiencia, como equipo externo o como parte de un equipo mixto. Sea cual sea la decisión de la empresa en relación al equipo, recomiendo conocer bien los antecedentes con los que se cuenta antes de tomar ninguna medida. Menciono únicamente de política empresarial y no Leyes vigentes, porque esa política tiene que estar alineada con la legislación vigente, ya de no estarlo sería una organización criminal que marca sus propias reglas del juego. Las empresas toman conocimiento de si algo marcha mal por distintos canales como los Controles Externos e Internos, por accidente, Quejas de proveedores y clientes, sospechas y denuncias de empleados. Siendo las denuncias recibidas a través de los canales de denuncias puestos a disposición de los empleados, los mayores proveedores de información por encima del resto. Desde que se idearon los canales de denuncia en el 2002, se ha mantenido consistentemente como la forma más común de detectar situaciones irregulares dentro de la empresa. Ademásalolargodelosaños,sehademostrado que son los mecanismos más eficaces para la detección de los asuntos más graves que puedan afectar a una empresa, como son la corrupción, la apropiación indebida o el fraude en los estados financieros. Además, como muestra el Report to the Nations on Occupational Fraud desde hace una década, con independencia del tamaño de la compañía, los canales de denuncia son los preferidos por los usuarios a la hora de reportar irregularidades. Todas las irregularidades de las que toma conocimiento la empresa, sea por el 17 No hay nada más importante para la empresa que una investigación por un posible delito ya que del resultado de la investigación dependerán las decisiones que afecten de forma importante tanto a la propia empresa como a las personas que trabajan en ella. Una de las consecuencias de una investigación es que despierta el interés de los empleados y la ansiedad de los involucrados por lo que el manejo de la información será un aspecto clave del impacto y los resultados de la misma. Los errores graves en muchas investigaciones internas es el desconocimiento de las técnicas de investigación, el desconocimiento de la legislación en esta materia y la falta de experiencia, con lo que las consecuencias suelen tener un impacto en el coste de la investigación y una pérdida de tiempo valioso. Del resultado de la investigación puede depender que la empresa se embarque en un proceso judicial largo en el tiempo y costoso en lo económico. 1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona Jurídica y los Modelos de Prevención de Delitos
Leave your comments
Post comment as a guest