Mucho se ha escrito hasta el momento sobre las implicaciones de la reciente reforma del Código Penal en cuanto a la Responsabilidad penal de las personas jurídicas se refiere. Expertos penalistas han disertado ampliamente sobre los aspectos jurídicos asociados (fundamentación, interpretación, implicaciones, etc.), aportando claridad al análisis -no siempre fácil para los no expertos- de un texto legal y técnicamente complejo.
Quisiera aportar mi grano de arena a este tema profundizando en la otra vertiente del asunto, la de la persona jurídica, abordando lo que la reforma del Código Penal implica en el tejido empresarial español, en la gestión diaria de sus actividades y el modo de desarrollar estrategias de gestión que incorporen de forma eficaz y eficiente el llamado Compliance Penal en el Sistema de Gestión de las empresas, ya de por sí castigadas en estos tiempos complicados de postcrisis.
Actualmente el tejido empresarial anda inmerso en una situación de recuperación de unos años convulsos en los que se han visto obligados a replantear sus prioridades y estrategias, debiendo atender a todo tipo de urgencias (de mercado, de clientes, económicas, de recursos humanos, etc.). En este contexto, abordar proyectos de mejora u orientados a medio / largo plazo deberían venir avalados por una exigencia clara de sus mercados / clientes o avalados por una posición clara de liderazgo de sus máximos responsables. A pesar de todo lo que conlleva la responsabilidad penal de persona jurídica y de la inmediatez de su aplicación según hemos podido ya observar en los pocas sentencias ya producidas, el tejido empresarial está observando las implicaciones derivadas de este tema para posicionarse, esperando una clarificación tanto por el grado de exigencia como de los posibles modos de exención.
No obstante, existen -en función de la experiencia adquirida por el que suscribe en este tipo de proyectos- determinados sectores que han dado el primer paso en el abordaje de este tipo de estrategias:
- Organizaciones descentralizadas, en donde la dispersión de decisiones hace necesario disponer de herramientas de control y gestión que mitiguen, también, la posible responsabilidad penal.
- Empresas familiares, en donde el dueño / propietario quiere disponer de los elementos de confianza necesarios que le garanticen que lo construido con su esfuerzo no genera problemas no deseados.
- Cooperativas, Asociaciones y Organizaciones similares, en donde los cambios en el Equipo Directivo aconsejan disponer de Sistemas que blinden a la Organización ante posibles ilícitos penales, abordando la estabilidad operativa por encima de los cambios directivos.
- Organizaciones de ámbito público, en las que, aunque no les sea de aplicación la reforma del CP, la llamada “pena del telediario” les preocupe especialmente y necesiten disponer de mecanismos de defensa ante cualquier eventualidad.
- Sectores de actividad con muchas implicaciones legales que, ante la situación compleja en la que desarrollan sus actividades necesitan perentoriamente disponer de elementos de protección (empresas en el ámbito del Medio Ambiente, la Seguridad o las Finanzas, por ejemplo).
Esta relación de prioridades no pretende ser un grupo exclusivo sino una descripción de la realidad observada como termómetro de la situación actual, evidentemente. En una situación en la que dos son los principales factores de aproximación a este tema por parte de las empresas:
- El temor de incurrir en los ilícitos penales tipificados
- La oportunidad de disponer de la eximente establecida
Para abordarlos, las empresas están reclamando herramientas para:
- Evitar que se puedan llegar a producir ilícitos penales. Es decir, herramientas de Prevención
- En el caso que se produzcan, poder detectarlos cuanto antes. Es decir, herramientas de Detección
- En el caso que se hayan producido (e incluso detectado), se hace necesario poder gestionarlos de la forma adecuada. Es decir, establecer Planes de Acción que reduzcan al máximo el efecto y puedan eliminar las causas que lo produjeron.
- Y por último, se hace necesario que estos esfuerzos anteriores no sean flor de un día sino que se conviertan en una operativa estable en el tiempo, arraigada en la Organización y que vele por el cumplimiento de los objetivos antes planteados.
En el fondo estamos hablando de Herramientas de Gestión de Riesgos, a las cuales las Organizaciones están más que acostumbradas: Riesgos Empresariales, Riesgos Económicos, Riesgos Laborales, Riesgos Ambientales, etc.
De ahí el enfoque que defendemos de abordar el Compliance Penal desde una perspectiva empresarial en donde, más allá del análisis de cada delito tipificado, se pueda hacer una verdadera Identificación, Evaluación y Priorización de Riesgos Penales que permita establecer sólida y fundamentadamente un Plan de Acción (Plan de Compliance) solvente. Todo ello, debiera estar, además, soportado por los elementos de los Sistemas de Gestión al uso habituales en la mayoría de Sistemas de Gestión implantados en las Organizaciones españolas (ISO 9 001, ISO 14 001, OHSAS 18 001, por ejemplo).
En nuestro planteamiento:
- La Identificación de riesgos debe abordarse desde la perspectiva del triple eje: Delitos, procesos y Responsabilidades.
A menudo nos encontramos con los Riesgos identificados en empresas tras el mero análisis del posible delito, entendiendo que para un exhaustivo análisis de posibles riesgos se debe analizar la operativa de la empresa (qué hace y cómo lo hace) para poder identificar todos los posibles riesgos. La experiencia nos ha mostrado, que dicho análisis debe ser completado con el estudio de las funciones y responsabilidades de las personas (puestos), toda vez que hay decisiones adoptadas en las organizaciones más vinculadas a la jerarquía y responsabilidades que a la propia operativa en sí (instrucciones del máximo mandatario, o negociaciones comerciales, por ejemplo).
Poder llegar a la identificación de riesgos como consecuencia del análisis de la matriz Procesos / responsabilidades, aporta un grado de solvencia y credibilidad ante posibles eventualidades no deseadas.
- Para el análisis de los Riesgos identificados, las empresas disponen de herramientas suficientemente rodadas y validadas (Método AMFE, por ejemplo)
La identificaciones de riesgos exhaustivas planteadas anteriormente suelen generar un número de posibles riesgos difícil de manejar (más de 200 en la mayoría de las casos), por lo que se hace necesario poder priorizar. Para ello las empresas adoptan (en casos de riesgos higiénicos, de seguridad laboral o ambientales, por ejemplo) herramientas de priorización basadas en aspectos tales como la Gravedad, Facilidad de detección o Probabilidad de que ocurra. Para valorar estos aspectos se hace necesario el enfoque anterior planteado de conocer la realizada de la organización (procesos, claramente).
Tras aplicar este tipo de técnicas de Evaluación (priorización),ya sí se permite poder concentrar esfuerzos en los riesgos considerados “No bajos”, tanto por relevancia como por volumen.
- El llamado Plan de Compliance, o Plan de Acción para mitigar los Riesgos identificados, es fácil de establecer al haber abordado las etapas anteriores.
Nos hemos encontrado en nuestro desarrollo profesional con numerosos Planes de Compliance planteados a las empresas sin conocer la realidad de las mismas o simplemente por la gravedad del posible ilícito penal, lo cual es una pena por el esfuerzo requerido como un elemento ajeno que no está integrado en la realidad del día a día de las Organizaciones, convirtiéndose en una carpeta alejada de la gestión diaria en detrimento de la ya famosa “Cultura de Compliance” exigida tanto en el CP, como el Circular FGE 01/2016, como en las distintas sentencias ya producidas al respecto.
El Plan de Compliance nunca debiera ser un añadido a la gestión de las Organizaciones, sino que debiera formar parte de su Sistema de Gestión y ser gestionado con las propias herramientas de las empresas.
Normalmente hasta aquí suelen abordarse, desde la mera perspectiva jurídica del tema, los proyectos de Compliance penal de las Organizaciones, en el establecimiento de un Plan de Compliance en los que, en muchos de los casos observados, no se ha incorporado ni el enfoque matricial (procesos / responsabilidades), ni las técnicas de evaluación al uso habituales en las empresas.
En este primer artículo planteamos esta primera fase, si bien entendemos que este enfoque debe completarse además con el Desarrollo de un Sistema de Gestión que integre la sistemática desarrollada de una forma estable en la gestión diaria de las organizaciones.
Pero este tema será objeto de análisis en un escrito posterior.
Javier Gutiérrez
Director de Gestión de EUROCONTROL, S.A.