Comentábamos en anteriores publicaciones que muchos de los proyectos de Compliance Penal suelen finalizarse, desde la mera perspectiva jurídica del tema, con el establecimiento de un Plan de Compliance en los que, en muchos de los casos observados, no se ha incorporado ni el enfoque matricial (procesos / responsabilidades), ni las técnicas de evaluación al uso habituales en las empresas.
Otros muchos proyectos dan un paso más proponiendo a la Organización los elementos marcados en la propia reforma del CP como elementos exigibles del Modelo de Prevención exigible para poder aplicar la eximente, tales como la existencia de un Código de Conducta, un Sistema de Régimen disciplinario, un Canal de Comunicación o unas claras asignaciones de responsabilidades en Compliance (Compliance Officer).
Creemos es un error simplificar que la Cultura de Compliance realmente exigida se materializa en un Plan de Compliance y un mínimo Modelo de Prevención con los aspectos mencionados en el párrafo anterior. En este caso, las Organizaciones llevan ventaja al propio CP y conocen bien esta filosofía y casi todas disponen ya de una Cultura de la calidad, o del Medio Ambiente, o de la Seguridad y Salud Laboral, o de Seguridad de la Información, etc. En definitiva, disponen ya de un Sistema de Gestión consolidado e implantado en su Organización, por lo que su necesidad pasa por integrar los aspectos diferenciales y específicos de la Cultura de Compliance en la Cultura de su Organización. Todo desarrollo adicional o no integrado en este enfoque, a nuestro juicio, estará condenado al fracaso al visualizarse como un añadido al día a día.
A modo de ejemplo, los elementos anteriormente mencionados y requeridos por la reforma del CP, están ya, en la mayoría de los casos, disponibles en las organizaciones. A modo de ejemplo:
- Los regímenes disciplinarios suelen estar ya incorporados bien en los Convenios Particulares de las empresas o, en su defecto, en los Colectivos (nacionales o territoriales) aplicables a cada sector
- Los canales de comunicación están también establecidos con los distintos Grupos de Interés (son una exigencia de los enfoques ISO de reciente revisión) y, con la irrupción de internet en la gestión empresarial también se han establecido en la gestión habitual.
No obstante, sí es cierto que, hasta hace poco, no existía ese modelo concreto de referencia que el tejido empresarial reclama para poder tomar como referencia a la hora de implantar los requisitos aplicables.
La irrupción de la ISO 19 601 ha venido a cubrir esa necesidad de las Organizaciones que ya sí disponen de un Modelo de Referencia concreto que además, cuenta con el consenso necesario al nacer fruto del consenso de todas las partes interesantes como una Norma UNE.
No es objeto del presente artículo desglosar esta Norma, pero sí creemos oportuno poner en valor que:
- Establece Requisitos y Directrices para adoptar, implementar, mantener y mejorar continuamente políticas de compliance penal y el resto de los elementos de un SGCP.
- Está alineada con lo que exige la legislación penal española a los sistemas de control y gestión para la prevención y detección de delitos, tanto en su forma como en su fondo y ha tenido en cuenta las distintas Mejores Prácticas internacionales existentes al respecto
- Ayuda y facilita la acreditación de la adopción y ejecución con eficacia, antes de la comisión del delito, de un modelo de organización y gestión para prevenir delitos o para reducir de forma significativa el riesgo de su comisión. (Atenuante/ eximente desde el 1 de julio responsabilidad penal PJ).
- Facilita el proceso de Auditoría externa y reconocimiento emitido por un tercero independiente, sin conflicto de interés y de prestigio.
- Ofrece mayor garantía de seguridad y confianza ante órganos de gobierno, accionistas e inversionistas, entre otros grupos de interés, al ser un Modelo consensuado y reconocido como Norma UNE.
Nuestra experiencia en el Desarrollo e Implantaciónde un Sistema de Gestión, Prevención y Detección de Delitos Penales en las empresas se debe integrar en los Sistemas de Gestión existentes / implantados actualmente en las Organizaciones y aprovechando al máximo todas las sinergias existentes, de manera que se consiga integrar plenamente en el día a día de la Organización. Este proceso debe realizarse, además de lo ya indicado anteriormente (el QUÉ), teniendo en cuenta algunos aspectos que consideramos clave:
- La Evaluación de riesgos debe realizarse exhaustivamente y con prevalencia del trabajo de campo (en las propias organizaciones) por un Equipo mixto de profesionales debidamente cualificado:
- Especialistas penales (en nuestro caso contamos con Catedráticos de Derecho Penal de reconocido prestigio), que sean capaces tanto de aportar el pertinente valor añadido tanto para identificar los posibles ilícitos penales como para poder valorar la relevancia (gravedad) de cada riesgo en cada caso particular
- Expertos consultores, tanto en el análisis de procesos como de Metodología de Gestión y Evaluación de Riesgos (Metodología AMFE, por ejemplo).
- Profesionales de las Organizaciones evaluadas a fin de aportar el conocimiento específico requerido para analizar cada situación
- La evaluación de riesgos debe realizarse de manera periódica, dado que con el paso del tiempo los posibles cambios en la Organización (cambios en la dirección, en el Objeto social, en la cartera de cliente / productos / servicios, etc. puedan generar nuevos riesgos que deban ser analizados. Es por ello importante que la Evaluación de Riesgos se realice contando con personal propio que permita ser autosuficiente a la Organización en el futuro
- El Modelo UNE 19 601 es un modelo válido para tomar como referente en la implantación de un Sistema de Gestión, Prevención y Detección de Delitos Penales, si bien debe abordarse desde una perspectiva integradora, aprovechando al máximo las distintas sinergias existentes en el / los sistemas de gestión existentes.
- Está por ver el grado de reconocimiento en el entorno judicial de los Certificados de conformidad UNE 19 601 emitidos por Organismos de Certificación (AENOR, EQA, DNV GL, por ejemplo). En este sentido cabe decir que la Entidad Nacional de Acreditación (ENAC) se encuentra ya desarrollando el proceso de acreditación de Entidades para esta misión, estando revista la acreditación de las primeras Entidades de Certificación durante este año.
Hemos dejado intencionadamente fuera de este análisis todos los aspectos relacionados con la figura de la Compliance Officer de que se está produciendo un amplio debate en relación a sus competencias y responsabilidades y que requerirá probablemente un nuevo artículo, si bien echamos en falta se incorpore nuevamente la visión empresarial y más allá de lo deseable o exigible para esta figura se tenga en cuenta también las necesidades de las Organizaciones al respecto y, de manera particular, las limitaciones existentes para incorporación de nuevos recursos y la necesidad de aprovechar los recursos existentes.
A mis 25 años de ejercicio profesional asesorando a todo tipo de Organizaciones en el ámbito de la Mejora de su Gestión y sus Operaciones no puedo evitar echar la vista atrás y comprobar cómo hemos interiorizado los Sistemas de Gestión (sean del tipo que sean) en nuestras Organizaciones, constituyéndose en el elemento fundamental con el que abordar períodos convulsos como los que últimamente nos está tocando transitar.
Es por ello que estoy convencido que la irrupción de la Responsabilidad Penal de la Persona Jurídica debe abordarse desde la perspectiva empresarial expuesta para garantizar su plena implantación y garantizando de esa forma los Objetivos primarios vinculados a nuestro Marco Legislativo Penal en general y a la Responsabilidad Penal de la Persona Jurídica en particular.
Javier Gutiérrez
Director de Gestión de EUROCONTROL, S.A.
